WIN服真麻烦，每天都会被上传好多脚本，然后网站上都是bo彩一类的

WIN都是开箱即用，根本就没有注重过安全这块，因为平时自己接了一些私单来做，客户都是用些WIN服，我也不能给别人重新安装成LINUX服，只能直接把程序上传到WIN服上，但是近来每天都会收到客户反应，网站有时候打开很慢，网站文章被百度收录，都提示安全风险，有些甚至直接显示bo彩一类的标题，这一看，就是网站被攻击了，被上传了一些脚本程序。

以前没有使用过WIN服，也不知道怎么设置才是最安全的，百度和谷歌了一下，收集了下面一些。

(1)新建用户vhost_usr，属于IIS_IUSERS组。
(2)新建应用程序池app1，使用vhost_usr用户绑定。
(3)新建网站website1，使用vhost_usr用户绑定。
(4)D:\www\website1 目录权限，只允许vhost_usr system administrators 3个用户读写。
(5)D:\www 只允许system administrators2个用户读写；IIS_IUSERS用户组读，但不能写。
(6)在需要禁止执行权限的目录里新建web.config，并将下面命令写入文件中。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <handlers accessPolicy="Read" />
    </system.webServer>
</configuration>

(7)将防火墙规则全删除，创建需要放行的软件或端口。
(8)运行服务器环境的软件使用独立的用户来运行，不能使用超级管理员来运行。
(9)定期更新WIN服，将软件或环境随时保证在最稳定状态。
(10)关闭服务器在开发时的调试模式，当页面报错时不至于显示详细错误，暴露路径。
(11)给可以设置帐号密码的软件如mysql/redis等增加授权机制。

目前只收集到这些，如果有哥们知道更好的，麻烦回复一下。