Hardening de servidores com IIS 7.0 e 7.5 (pt-BR)

1. Utilize uma conta sem privilégios para administração, caso necessite de permissão de Administrador utilize o RunAS
2. Renomeie a conta de Administrador
3. Altere o caminho padrão de armazenamento dos arquivos
4. Rode o Pool de Aplicativos com o usuário (ApplicationPoolIdentity)
5. Execute cada site com um Pool de Aplicativos diferente
6. Remova qualquer modulo que não esteja sendo utilizado
7. Não habilite o Remote Desktop, caso seja necessário certifique-se que seja acessado a partir de uma VPN.
8. Não é recomendado instalar o serviço de FTP e SMTP no mesmo servidor.
9. Habilite o Firewall do Windows, bloqueie todas as portas com excessão das 80, 443 e 3389.
10.  Mantenha o servidor atualizado com os últimos paths e Service Packs
11. Rode aplicações ASP.NET com o nível MEDIUM ou abaixo: http://iisbrasil.wordpress.com/2011/04/26/net-trust-levels-page/
12.  Habilite a auditoria local de segurança
13.  Utilize anti-virus
14.  Habilite Custom Errors para não exibir erros remotamente: http://learn.iis.net/page.aspx/267/how-to-use-http-detailed-errors-in-iis/
15.  Desabilitar modulo de autenticação anonima: appcmd set config /section:anonymousAuthentication /enabled:false
16. Microsoft Web Application Configuration Analyzer v2.0 : http://iisbrasil.wordpress.com/2012/01/02/microsoft-web-application-configuration-analyzer-v2-0-waca/
17. DynamicIPRestrictions: http://www.iis.net/download/DynamicIPRestrictions:
18. Bloqueando SQL Injection com URL Rewrite: http://iisbrasil.wordpress.com/2011/02/03/bloqueando-sql-injection-com-url-rewrite/
19. Boas práticas de segurança com o PHP.INI: http://iisbrasil.wordpress.com/2011/04/13/boas-praticas-de-seguranca-com-o-php-ini/
20. IIS Lockdown Tool http://technet.microsoft.com/en-us/library/dd450372%28WS.10%29.aspx
21. Improving Web Application Security: Threats and Countermeasures
22. lISAPI/CGI Restrictions: http://www.iis.net/ConfigReference/system.webServer/security/isapiCgiRestriction