一般Web站點的設計目標是用最快鍵的方式，為訪問者提供即時的信息訪問。在過去的幾年中，越來越多的安全問題嚴重影響了網站的可訪問性，雖然Apache服務器也經常成為被攻擊的目標，但是微軟的Internet信息服務(IIS)Web服務器才是真正的眾矢之的。

企業總是糾結該構建充滿活力、界面友好的網站還是構建高安全性高的網站，因為他們無法從總找到兩者的平衡點。除此之外，它們還必須致力于提高網站的安全性，面對技術預算的縮減。

為了更好的保護IIS服務器，這里將給因為預算問題而頭疼的IT經理們提供一些技巧。

安全策略的開發

保護Web服務器的必須確保網絡管理員清楚安全策略中的每一項制度。如果公司高層沒有重視服務器的安全，那么保護工作就完全沒有任何意義的。這項工作需要長時間的努力。如果沒有預算的支持或者它不是長時間IT戰略的一部分，那么花費大量時間保護服務器安全的管理員就得不到管理層方面的重視。

如果網絡管理員為各方面資源建立安全性，一些喜歡冒險的用戶就會被關在門外，然后抱怨公司的管理層，管理層又會去質問網絡管理員。這樣的話，網絡管理員就不可以建立支持他們安全工作的文檔，因此，矛盾就產生了。

網絡管理員可以通過標注Web服務器安全級別以及可用性的安全策略，將能夠從容地在不同的操作系統上部署各種軟件工具。

IIS的安全技巧

微軟的產品一向是眾矢之的，因此IIS服務器很容易成為攻擊者的靶子，網絡管理員必須打醒十二分精神準備執行大量的安全措施。

1.保持Windows的更新升級

你必須在第一時間內更新所有的升級，并為系統安裝好一切補丁，將所有的更新都下載到你的一個網絡專用的服務器上，并以Web的形式發布文件，這樣可以防止Web服務器接受直接的Internet訪問。

2.使用IIS的防范工具

IIS的防范工實用優點很多，但是還需要謹慎的使用。如果你的Web服務器和其他服務器相互作用，就需要對防范工具進行測試，確定它的配置沒有問題，不會影響Web服務器與其他服務器之間的通訊。

3.刪除缺省的Web站點

很多黑客都會看準inetpub這個文件夾，里面放置一些偷襲工具，服務器就會出現癱瘓。要防止這種情況的發生就要將IIS的缺省站點禁用。然后，當網蟲們想要通過IP地址訪問你的網站的時候，他們的請求就會遇到麻煩。如果你想將你真實的Web站點指向一個背部分區的文件夾的時候，必須包含安全的NTFS權限。

4.卸載不需要的FTP和SMTP服務

FTP訪問是進入計算機的最簡單的途徑。FTP本身就是為了簡單讀/寫訪問而存在的，如果你執行的是身份認證，那么你的用戶名和密碼都是通過明文的形式在網絡上傳播的。另一種允許到文件夾的寫權限的服務是SMTP，禁用這兩項服務，能夠避免更多的黑客攻擊。

5.學會檢查你的管理員組和服務

當管理員組里多了一個用戶，就多一個人可以成功地進入了你的系統，如果他或她冷不丁地將炸彈扔到你的系統里，整個系統將會突然被摧毀，或者被黑客使用。黑客同樣趨向于留下一個幫助服務，一旦這發生了，任何采取措施都已經是太晚了，只能格式化磁盤，從備份服務器中恢復每天的備份文件。因此，檢查IIS服務器上的服務列表并保持盡量少的服務是每天必須的任務。Windows2000ResourceKit有一個程序叫作tlist.exe，它可以列出每種情況運行在svchost之下的服務。這個程序可以幫助你尋找到一些隱藏的服務。順便說一句，有daemon幾個字的服務可能不是Windows本身包含的服務，不應該存在于IIS服務器上。

6.控制服務器的寫訪問權限

這聽起來很容易，但做起來很難，一個Web服務器上是有很多”作者”的。共享是互聯網的意義，這樣服務器上的文件夾可能會有極其危險的訪問權限。避免這一情況，可以安裝第2個服務器以提供專門的共享和存儲目的，將信息共享或是傳播出去，然后配置你的Web服務器來指向共享服務器。這樣Web服務器本身的寫權限僅僅限制給管理員組。

7.密碼必須復雜

從事件察看器，你可能會發現很多可能的黑客。他或她進入了足夠深的實驗室域結構，能夠對任何用戶運行密碼破解工具。如果不是有復雜的密碼，黑客可以快速并簡單的入侵這些用戶的賬號。

8.減少Web服務器上的共享

如果唯一擁有Web服務器寫權限的人是網絡管理員，就共享的存在。共享是對黑客來說是極大的誘惑。黑客可以通過運行一個簡單的循環批處理文件就能夠察看一個IP地址列表，尋找Everyone/完全控制權限的共享。

9.禁用TCP/IP協議中的NetBIOS

這是沒有辦法的。很多用戶希望訪問Web服務器通過UNC路徑名。如果NETBIOS被禁用了，他們像這樣做就變成了妄想，但是，這樣黑客就不可以看到你局域網上的資源了。這是一把雙刃劍，網絡管理員需要做的是學會在NETBIOS失效的情況下發布信息。

10.TCP端口阻塞

這是一個危險的工具。只要你熟悉每個通過合法原因訪問你服務器的TCP端口，那么就可以通過網絡接口卡的屬性選項卡，選擇綁定的TCP/IP協議，阻塞所有不需要的端口。但你必須小心一點，因為你有可能將自己鎖在Web服務器之外，特別是在當你需要遠程登陸服務器的情況下。

11.仔細檢查*.bat和*.exe文件

每周搜索一次*.bat和*.exe文件，看一下服務器上是否存在黑客喜歡，而對你來說將是一場惡夢的可執行文件，就像是*.reg文件，如果你選擇編輯，就可以發現黑客已經制造出可以讓他們進入你系統的注冊表文件。果斷刪除這些沒任何意義但卻會給入侵者帶來便利的主鍵。

12.IIS目錄安全

IIS目錄安全允許你拒絕特定的IP地址、子網、域名。有一款軟件叫做WhosOn能夠幫助你了解哪些IP地址正在試圖訪問服務器上的特定文件，并列出了一系列的異常。當你發現有人正在試圖訪問你的cmd.exe，可以拒絕這個用戶訪問Web服務器。當然，這可能需要一個全職的員工！在內部網，你也可以選擇對所有局域網內部用戶提供資源，或者對特定的用戶提供。

13.NTFS安全

NTFS驅動器使用的是EVERYONE/完全控制權限，除非手工關掉它們。不同的人有不同的權限需要，管理員、后臺管理賬戶需要完全的控制。根據不同的文件，系統和服務各自需要一種級別的訪問權限。System32是一個最重要的文件夾，這個文件夾的訪問權限越小越好。使用NTFS權限能幫助你保護重要的文件和應用程序。

14.用戶賬戶

IIS會產生了一個TSInternetUser賬戶，如果你不需要這個賬戶，請禁用它。這個用戶很容易成為黑客的目標。為了幫助管理用戶賬戶，確定你的本地安全策略沒有問題。IUSR用戶的權限也應該盡可能的小。

15.審計Web服務器

審計對你計算機的性能有著較大的影響，如果不經常察看的話，那還是免了吧。但如果你經常察看異常數據庫，你能在任何時候找到服務器的脆弱點。需要用它的話，請審計系統事件并在你需要的時候加入審計工具。如果你正在使用的是WhosOn工具，審計就不那么重要了。IIS總是紀錄訪問，WhosOn會將這些紀錄放置在一個非常容易易讀的數據庫中，你可以通過Access或是Excel打開它。

總結

上述所有IIS技巧和工具除了WhosOn以外，都是Windows自帶的。測試網站可達性之前記得一個一個的使用這些技巧和工具，否則可能讓你損失慘重，你可能會遺失訪問。

關鍵字：服務器、Web、數據庫、網站、IIS、WhosOn、NTFS