IIS（Internet Information Server）作為目前最為流行的Web服務(wù)器平臺，發(fā)揮著巨大的作用。因此，了解如何加強IIS的安全機制，建立一個高安全性能的Web服務(wù)器就顯得尤為重要。

    保證系統(tǒng)的安全性

    因為IIS是建立在Windows NT/2000操作系統(tǒng)下，安全性也應(yīng)該建立在系統(tǒng)安全性的基礎(chǔ)上，因此，保證系統(tǒng)的安全性是IIS安全性的基礎(chǔ)，為此，我們要做以下事情。

    1、 使用NTFS文件系統(tǒng)

    在NT系統(tǒng)中應(yīng)該使用NTFS系統(tǒng)，NTFS可以對文件和目錄進行管理，而FAT文件系統(tǒng)只能提供共享級的安全，而且在默認(rèn)情況下，每建立一個新的共享，所有的用戶就都能看到，這樣不利于系統(tǒng)的安全性。和FAT文件系統(tǒng)不同，在NTFS文件下，建立新共享后可以通過修改權(quán)限保證系統(tǒng)安全。

    2、 關(guān)閉默認(rèn)共享

    在Windows 2000中，有一個“默認(rèn)共享”，這是在安裝服務(wù)器的時候，把系統(tǒng)安裝分區(qū)自動進行共享，雖然對其訪問還需要超級用戶的密碼，但這是潛在的安全隱患，從服務(wù)器的安全考慮，最好關(guān)閉這個“默認(rèn)共享”，以保證系統(tǒng)安全。方法是：單擊“開始/運行”，在運行窗口中輸入“Regedit”，打開注冊表編輯器，展開“HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\lanmanworkstation\parameters”，在右側(cè)窗口中創(chuàng)建一個名為“AutoShare-Wks”的雙字節(jié)值，將其值設(shè)置為0，這樣就可以徹底關(guān)閉“默認(rèn)共享”。

    3、 設(shè)置用戶密碼

    用戶一定要設(shè)置密碼，用戶的密碼盡量使用數(shù)字與字母大小混排的口令，還需要經(jīng)常修改密碼，封鎖失敗的登錄嘗試，并且設(shè)定嚴(yán)格的賬戶生存時間。應(yīng)避免設(shè)置簡單的密碼，且用戶的密碼盡可能不要和用戶名有任何關(guān)聯(lián)。

    保證IIS自身的安全性

    在保證系統(tǒng)具有較高安全性的情況下，還要保證IIS的安全性，主要請注意以下事情：

    1、要盡量避免把IIS安裝在網(wǎng)絡(luò)中的主域控制器上。因為在安裝完IIS后，會在所安裝的計算機上生成IUSR_Computername的匿名賬戶。這個賬戶會被添加到域用戶組中，從而把應(yīng)用于域用戶組的訪問權(quán)限提供給訪問Web服務(wù)器的每個匿名用戶，這樣不僅不能保證IIS的安全性，而且會威脅到主域控制器。

    2、限制網(wǎng)站的目錄權(quán)限。目前有很多的腳本都有可能導(dǎo)致安全隱患，因此在設(shè)定IIS中網(wǎng)站的目錄權(quán)限時，要嚴(yán)格限制執(zhí)行、寫入等權(quán)限。

    3、經(jīng)常到微軟的站點下載IIS的補丁程序，保證IIS最新版本。

    只要提高安全意識，經(jīng)常注意系統(tǒng)和IIS的設(shè)置情況，IIS就會是一個比較安全的服務(wù)器平臺，能為我們提供安全穩(wěn)定的服務(wù)。
IIS安全技巧

　  4. 保持Windows升級:

　　你必須在第一時間及時地更新所有的升級，并為系統(tǒng)打好一切補丁。考慮將所有的更新下載到你網(wǎng)絡(luò)上的一個專用的服務(wù)器上，并在該機器上以Web的形式將文件發(fā)布出來。通過這些工作，你可以防止你的Web服務(wù)器接受直接的Internet訪問。

　　5. 使用IIS防范工具:

　　這個工具有許多實用的優(yōu)點，然而，請慎重的使用這個工具。如果你的Web服務(wù)器和其他服務(wù)器相互作用，請首先測試一下防范工具，以確定它已經(jīng)被正確的配置，保證其不會影響Web服務(wù)器與其他服務(wù)器之間的通訊。

　　6. 移除缺省的Web站點:

　　很多攻擊者瞄準(zhǔn)inetpub這個文件夾，并在里面放置一些偷襲工具，從而造成服務(wù)器的癱瘓。防止這種攻擊最簡單的方法就是在IIS里將缺省的站點禁用。然后，因為網(wǎng)蟲們都是通過IP地址訪問你的網(wǎng)站的 (他們一天可能要訪問成千上萬個IP地址)，他們的請求可能遇到麻煩。將你真實的Web站點指向一個背部分區(qū)的文件夾，且必須包含安全的NTFS權(quán)限 (將在后面NTFS的部分詳細(xì)闡述)。

　　7. 如果你并不需要FTP和SMTP服務(wù)，請卸載它們:

　　進入計算機的最簡單途徑就是通過FTP訪問。FTP本身就是被設(shè)計滿足簡單讀/寫訪問的，如果你執(zhí)行身份認(rèn)證，你會發(fā)現(xiàn)你的用戶名和密碼都是通過明文的形式在網(wǎng)絡(luò)上傳播的。SMTP是另一種允許到文件夾的寫權(quán)限的服務(wù)。通過禁用這兩項服務(wù)，你能避免更多的黑客攻擊。

　　8. 有規(guī)則地檢查你的管理員組和服務(wù):

　　有一天我進入我們的教室，發(fā)現(xiàn)在管理員組里多了一個用戶。這意味著這時某個人已經(jīng)成功地進入了你的系統(tǒng)，他或她可能冷不丁地將炸彈扔到你的系統(tǒng)里，這將會突然摧毀你的整個系統(tǒng)，或者占用大量的帶寬以便黑客使用。黑客同樣趨向于留下一個幫助服務(wù)，一旦這發(fā)生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盤，從備份服務(wù)器恢復(fù)你每天備份的文件。因此，檢查IIS服務(wù)器上的服務(wù)列表并保持盡量少的服務(wù)必須成為你每天的任務(wù)。你