沒有任何系統(tǒng)是100%安全的，系統(tǒng)漏洞會不斷地發(fā)現，這是因為黑客和系統(tǒng)管理員一樣也在整天看著新聞組，收集著這方面的信息。黑與反黑之間的戰(zhàn)斗會永遠進行下去。Web服務器通常是各種安全攻擊的目標。其中一些攻擊非常嚴重，足以對企業(yè)資產、工作效率和客戶關系造成相當的破壞—所有攻擊都會帶來不便和麻煩。Web服務器的安全是企業(yè)成功的關鍵。

　　初次安裝IIS6.0時，Web服務器僅服務于或顯示靜態(tài)網頁(HTML)，這降低了服務于動態(tài)網頁或可執(zhí)行文件、內容而帶來的風險。默認情況下禁用ASP和ASP.NET。由于IIS6.0的默認設置禁用了Web服務通常使用的許多功能，所以，如何在降低服務器暴露給潛在攻擊者的程度，同時配置Web服務器的其他功能呢?

　　一、減少Web服務器的攻擊面，通過減少Web服務器的攻擊面，或者降低服務器暴露給潛在攻擊者的程度，來開始保護Web服務器的過程。例如，僅啟用Web服務器正常運行所必需的組件、服務和端口：

　　1、禁用面向Internet連接上的SMB：開始---設置---控制面板---網絡連接---本地連接---屬性---清除“Microsoft網絡客戶端”復選框---清除“Microsoft網絡的文件和打印機共享”復選框，然后單擊“確定”。

　　SMB使用的端口：

　　TCP端口139、TCP和UDP端口445(SMBDirectHost)

　　2、禁用基于TCP/IP的NetBIOS：我的電腦---屬性---硬件---設備管理”器---單擊查看---顯示隱藏的設備---雙擊非即插即用驅動程序---右鍵單擊“NetBiosoverTcpip”---停用

　　NetBIOS使用的端口：

　　TCP和UDP端口137(NetBIOS命名服務)、TCP和UDP端口138(NetBIOS數據報服務)、TCP和UDP端口139(NetBIOS會話服務)

　　上述過程不僅禁用TCP端口445和UDP端口445上的SMB直接宿主偵聽者，而且禁用Nbt.sys驅動程序，并需要重新啟動系統(tǒng)。

　　3、配置IIS組件和服務，只選擇基本的IIS組件和服務。IIS6.0除了包括WWW服務之外，還包括一些子組件和服務，例如FTP服務和SMTP服務。為了最大限度地降低針對特定服務和子組件的攻擊風險，建議您只選擇網站和Web應用程序正確運行所必需的服務和子組件。開始---控制面板---添加或刪除程序---添加/刪除Windows組件---應用程序服務器單擊詳細信息---Internet信息服務(IIS)單擊詳細信息---然后通過選擇或清除相應組件或服務的復選框，來選擇或取消相應的IIS組件和服務。

　　IIS子組件和服務的推薦設置：

　　禁用：后臺智能傳輸服務(BITS)服務器擴展;FTP服務;FrontPage2002ServerExtensions;Internet打印;NNTP服務

　　啟用：公用文件;Internet信息服務管理器;萬維網服務

　　二、建議您刪除未使用的帳戶，因為攻擊者可能發(fā)現這些帳戶，然后利用這些帳戶來獲取您服務器上的數據和應用程序的訪問權。始終使用強密碼，因為弱密碼增加了成功進行強力攻擊或字典攻擊(即攻擊者竭盡全力地猜密碼)的可能性。使用以最低特權運行的帳戶。否則，攻擊者可以通過使用以高級特權運行的帳戶來獲取未經授權的資源的訪問權。

　　1、禁用來賓帳戶(Guest)，采用匿名連接來訪問Web服務器時，使用來賓帳戶。在默認安裝WindowsServer2003時，禁用來賓帳戶。要限制對服務器的匿名連接，請確保禁用來賓帳戶。

　　2、重命名管理員帳戶，默認的本地管理員帳戶因其在計算機上的更高特權而成為惡意用戶的目標。要增強安全性，請重命名默認的管理員帳戶并分配一個強密碼。

　　3、重命名IUSR帳戶，默認的匿名Internet用戶帳戶IUSR_ComputerName是在IIS安裝期間創(chuàng)建的。ComputerName的值是安裝IIS時服務器的NetBIOS名稱。

　　4、在IIS元數據庫中更改IUSR帳戶的值：單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet信息服務(IIS)管理器”，右鍵單擊“本地計算機”，然后單擊“屬性”。選中“允許直接編輯配置數據庫”復選框，然后單擊“確定”。瀏覽至MetaBase.xml文件的位置，默認情況下為C:\Windows\system32\inetsrv。右鍵單擊MetaBase.xml文件，然后單擊“編輯”。搜索“AnonymousUserName”屬性，然后鍵入IUSR帳戶的新名稱。在“文件”菜單上，單擊“退出”，然后單擊“是”。

　　三、使用應用程序池來隔離應用程序，使用IIS6.0，可以將應用程序隔離到應用程序池。應用程序池是包含一個或多個URL的一個組，一個工作進程或者一組工作進程對應用程序池提供服務。因為每個應用程序都獨立于其他應用程序運行，因此，使用應用程序池可以提高Web服務器的可靠性和安全性。在Windows操作系統(tǒng)上運行進程的每個應用程序都有一個進程標識，以確定此進程如何訪問系統(tǒng)資源。每個應用程序池也有一個進程標識，此標識是一個以應用程序需要的最低權限運行的帳戶。可以使用此進程標識來允許匿名訪問您的網站或應用程序。

　　1、創(chuàng)建應用程序池：單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet信息服務(IIS)管理器”。雙擊本地計算機，右鍵單擊“應用程序池”，單擊“新建”，然后單擊“應用程序池”。在“應用程序池ID”框中，為應用程序池鍵入一個新ID(例如，ContosoAppPool)。在“應用程序池設置”下，單擊“Usedefaultsettingsforthenewapplicationpool”(使用新應用程序池的默認設置)，然后單擊“確定”。

　　2、將網站或應用程序分配到應用程序池：單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet信息服務(IIS)管理器”。右鍵單擊您想要分配到應用程序池的網站或應用程序，然后單擊“屬性”。根據您選擇的應用程序類型，單擊“主目錄”、“虛擬目錄”或“目錄”選項卡。如果您將目錄或虛擬目錄分配到應用程序池，則驗證“應用程序名”框是否包含正確的網站或應用程序名稱或者如果在“應用程序名”框中沒有名稱，則單擊“創(chuàng)建”，然后鍵入網站或應用程序的名稱在“應用程序池”列表框中，單擊您想要分配網站或應用程序的應用程序池的名稱，然后單擊“確定”。

　　四、配置文件和目錄的安全使用強訪問控制來幫助保護敏感的文件和目錄。在多數情況下，允許對特定帳戶的訪問比拒絕對特定帳戶的訪問更加有效。如有可能，請將訪問設置在目錄級。當文件添加到文件夾時，它們繼承文件夾的權限，因此您不需要采取進一步的措施。

　　1、重新定位和設置IIS日志文件的權限，為了增強IIS日志文件的安全，您應該將文件重新定位到非系統(tǒng)驅動器，此驅動器格式化為使用NTFS文件系統(tǒng)。此位置應該與網站內容的位置不同。單擊“開始”，右鍵單擊“我的電腦”，然后單擊“資源管理器”。瀏覽至您想要重新定位IIS日志文件的位置。右鍵單擊您想要重新定位IIS日志文件的上一級目錄，單擊“新建”，然后單擊“文件夾”。鍵入文件夾的名稱，例如ContosoIISLogs，然后按Enter鍵。單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet信息服務(IIS)管理器”。右鍵單擊網站，然后單擊“屬性”。單擊“網站”選項卡，然后單擊“啟用日志記錄”框架中的“屬性”。在“常規(guī)屬性”選項卡中，單擊“瀏覽”，然后導航到您剛才創(chuàng)建的文件夾以存儲IIS日志文件，再確定。(注意：如果您在原來的位置Windows\System32\Logfiles上有IIS日志文件，則必須將這些文件手動移動到新位置。IIS不為您移動這些文件。)

　　2、設置IIS日志文件的ACL，單擊“開始”，右鍵單擊“我的電腦”，然后單擊“資源管理器”。瀏覽至日志文件所在的文件夾。右鍵單擊此文件夾，單擊“屬性”，然后單擊“安全”選項卡。在頂部窗格中，單擊“Administrators”(管理員)，確保底部窗格中的權限設置為“完全控制”。在頂部窗格中，單擊“System”(系統(tǒng))，確保底部窗格中的權限設置為“完全控制”，然后單擊“確定”。

　　3、配置IIS元數據庫權限，單擊“開始”，右鍵單擊“我的電腦”，然后單擊“資源管理器”。瀏覽至Windows\System32\Inetsrv\MetaBase.xml文件，右鍵單擊此文件，然后單擊“屬性”。單擊“安全”選項卡，確認只有Administrators組的成員和LocalSystem帳戶擁有對元數據庫的完全控制訪問權，刪除所有其他文件權限，然后單擊“確定”。

　　4、禁用FileSystemObject組件，ASP、Windows腳本主機和其他編寫腳本的應用程序使用FileSystemObject(FSO)組件來創(chuàng)建、刪除、獲取信息以及操縱驅動器、文件夾和文件?？煽紤]禁用FSO組件，但要注意，這也將刪除字典對象。另外，驗證是否沒有其他程序需要這個組件：單擊“開始”，單擊“運行”，在“打開”框中鍵入cmd，然后單擊“確定”。切換到C:\Windows\system32目錄。在命令提示符處，鍵入regsvr32scrrun.dll/u，然后按Enter鍵。出現：DllUnregisterServerinscrrun.dllsucceeded，再確定。

　　五、保護網站和虛擬目錄，將Web根目錄和虛擬目錄重新定位到非系統(tǒng)分區(qū)，以幫助防御目錄遍歷攻擊。這些攻擊允許攻擊者執(zhí)行操作系統(tǒng)程序和工具。由于這種攻擊不能遍歷所有驅動器，因此，將網站內容重新定位到另一個驅動器可以增強對這些攻擊的防護。

　　1、將網站內容移動到非系統(tǒng)驅動器，不要使用默認的\Inetpub\Wwwroot目錄作為網站內容的位置。例如，如果系統(tǒng)安裝在C:驅動器，則將內容目錄移動到D:驅動器，以減輕目錄遍歷攻擊(這種攻擊試圖瀏覽Web服務器的目錄結構)帶來的危險。一定要驗證是否所有的虛擬目錄都指向新驅動器。

　　2、刪除系統(tǒng)驅動器上的網站內容

　　六、配置網站權限可以為您的Web服務器配置特定站點、目錄和文件的訪問權。這些權限可以應用于所有用戶，無論用戶有何特定的訪問權。

　　七、配置文件系統(tǒng)目錄的權限，IIS6.0依靠NTFS權限來幫助保護單個文件和目錄不會受到未經授權的訪問。網站權限應用于試圖訪問網站的任何人，與此不同的是，您可以使用NTFS權限來定義哪些用戶可以訪問您的內容，以及如何允許這些用戶操作這些內容。為了增強安全性，同時使用網站權限和NTFS權限。

　　1、訪問控制列表(ACL)指示哪些用戶或組有訪問或修改特定文件的權限。不是在每個文件上設置ACL，而是為每種文件類型創(chuàng)建新目錄，在每個目錄上設置ACL，然后允許文件從它們所在的目錄中繼承這些權限。單擊“開始”，右鍵單擊“我的電腦”，然后單擊“資源管理器”。瀏覽至包含網站內容的文件，然后單擊網站內容的最上層的文件夾。在“文件”菜單中，單擊“新建”，然后單擊“文件夾”，以便在網站的內容目錄中創(chuàng)建一個新文件夾。為文件夾命名，然后按Enter鍵。按Ctrl鍵，然后選擇您想要保護的每個網頁。右鍵單擊這些網頁，然后單擊“復制”。右鍵單擊新文件夾，然后單擊“粘貼”。(注意：如果您已經創(chuàng)建了到這些網頁的鏈接，則必須更新這些鏈接以便反映站點內容的新位置。)

　　2、設置Web內容的權限，單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet信息服務(IIS)管理器”。右鍵單擊您想要配置的網站的文件夾、網站、目錄、虛擬目錄或文件，然后單擊“屬性”。根據您想要授權或拒絕訪問的類型，選擇或清除下列任何復選框(如果可用)：

　　腳本源文件訪問。用戶可以訪問源文件。如果選擇“讀”，則可以讀源文件;如果選擇“寫”，則可以寫源文件。腳本源訪問包括腳本的源代碼。如果“讀”或“寫”均未選擇，則此選項不可用。

　　讀(默認情況下選擇)。用戶可以查看目錄或文件的內容和屬性。

　　寫。用戶可以更改目錄或文件的內容和屬性。

　　目錄瀏覽。用戶可以查看文件列表和集合。

　　日志訪問。對網站的每次訪問創(chuàng)建日志項。

　　檢索資源。允許檢索服務檢索此資源。這允許用戶搜索資源。

　　在“執(zhí)行權限”列表框中，選擇腳本執(zhí)行的相應級別：

　　無。不在服務器上運行腳本和可執(zhí)行文件(例如，文件類型為.exe的文件)。

　　僅腳本。只在服務器上運行腳本。

　　腳本和可執(zhí)行文件。在服務器運行腳本和可執(zhí)行文件。

　　單擊“確定”。如果目錄的子節(jié)點配置了不同的網站權限，則出現“繼承覆蓋”框。如果出現“繼承覆蓋”框，在“子節(jié)點”列表中選擇您想要應用目錄的Web權限的子節(jié)點或者單擊“全選”來設置屬性，以便將Web權限應用到所有子節(jié)點。如果您不只看到一個“繼承覆蓋”對話框，則從“子節(jié)點”列表中選擇子節(jié)點，或者單擊“全選”，然后單擊“確定”，以便將此屬性的Web權限應用到子節(jié)點。如果一個子節(jié)點屬于您已經更改了網站權限的目錄，此節(jié)點還為特定選項設置了網站權限，則子節(jié)點的權限將覆蓋您為目錄設置的權限。如果您想要將目錄級的Web權限應用到子節(jié)點，則必須在“繼承覆蓋”框中選擇這些子節(jié)點。

　　八、在Web服務器上配置安全套接字層(SSL)安全功能，以便驗證內容的完整性，驗證用戶身份并對網絡傳輸加密。SSL安全依靠服務器證書，此證書允許用戶在傳輸個人信息(例如信用卡帳號)之前驗證Web網站的身份。每個網站只能有一個服務器證書。

　　1、獲取并安裝服務器證書，證書由稱作證書頒發(fā)機構(CA)的非Microsoft組織頒發(fā)。服務器證書通常與Web服務器有關，尤其與配置了SSL的網站有關。您必須生成證書請求，將此請求發(fā)送到CA，然后在接收到CA的證書之后安裝此證書。證書依靠一對加密密鑰(一個公鑰和一個私鑰)來確保安全。當您生成服務器證書請求時，您實際上正在生成私鑰。從CA接收到的服務器證書包含公鑰。單擊“開始”，右鍵單擊“我的電腦”，然后單擊“管理”。雙擊“服務和應用程序”部分，然后雙擊“Internet信息服務”。右鍵單擊您想要安裝服務器證書的網站，然后單擊“屬性”。單擊“目錄安全”選項卡。在“安全通信”部分中，單擊“服務器證書”，以啟動“Web服務器證書向導”，然后單擊“下一步”。單擊“創(chuàng)建一個新證書”，然后單擊“下一步”。單擊“立即準備請求，但稍后發(fā)送”，然后單擊“下一步”。在“名稱”框中，鍵入容易記住的名稱。(默認的名稱是您正在生成證書請求的網站名，例如http://www.abc.com)指定位長度，然后單擊“下一步”。加密密鑰的位長度確定了加密的強度。大多數非MicrosoftCA都希望您最少選擇1024位。在“組織”部分，鍵入您的組織和組織單位信息。確保此信息的準確性，并且“組織”字段中不包含逗號，然后單擊“下一步”。在“站點的公用名稱”部分，鍵入含域名的宿主計算機的名稱，然后單擊“下一步”。鍵入您的地理信息，然后單擊“下一步”。將此文件保存為.txt文件。(默認的文件名和位置是C:\certreq.txt。)以下示例顯示證書請求文件的特征:

　　-----BEGINNEWCERTIFICATEREQUEST-----

　　MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG

　　A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v

　　cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw

　　gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f

　　IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI

　　JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw

　　GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G

　　A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C

　　AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh

　　AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp

　　AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8

　　MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi

　　TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA

　　AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o

　　MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M

　　GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj

　　Jb9/2RM=

　　-----ENDNEWCERTIFICATEREQUEST-----

　　確認請求的詳細信息，單擊“下一步”，然后單擊“完成”。

　　2、提交服務器證書請求，聯系CA，查找提交請求的要求。將上述過程中創(chuàng)建的.txt文件的內容復制成CA要求的請求格式。將請求發(fā)送給您的CA。接收到CA的證書后，準備在您的Web服務器上安裝此證書。

　　3、安裝服務器證書，將證書(.cer)文件復制到C:\Windows\System32\CertLog文件夾。單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet信息服務(IIS)管理器”。右鍵單擊您想要安裝服務器證書的網站，然后單擊“屬性”。單擊“目錄安全”選項卡。在“安全通信”部分中，單擊“服務器證書”，以啟動“Web服務器證書向導”，然后單擊“下一步”。單擊“處理掛起的請求并安裝證書”，然后單擊“下一步”。瀏覽至您接收到的CA證書。單擊“下一步”兩次，然后單擊“完成”。

　　4、在Web服務器上強制和啟用SSL連接，

　　A、強制SSL連接：安裝服務器證書之后，必須在Web服務器上強制SSL連接。然后，必須啟用SSL連接。單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet信息服務(IIS)管理器”。右鍵單擊您想要強制SSL連接的網站，然后單擊“屬性”。單擊“目錄安全”選項卡。在“安全通信”部分，單擊“編輯”。單擊“要求安全通道(SSL)”，選擇加密長度，然后單擊“確定”。注意：如果您指定128位加密，使用40位或56位長度瀏覽的客戶端計算機不能與您的站點通信，除非將其瀏覽器升級到支持128位加密的版本。

　　B、啟用SSL連接：單擊“開始”，單擊“控制面板”，再單擊“管理工具”，然后雙擊“Internet信息服務(IIS)管理器”。鍵單擊您想要啟用SSL連接的網站，然后單擊“屬性”。單擊“網站”選項卡。在“網站標識”部分，驗證“SSL端口”是否填充了數值443。然后單擊“高級”。通常出現兩個對話框，在“此網站的多個標識”框中列出此網站IP地址和端口。在“此網站的多個SSL標識”字段下，如果還沒有列出端口443，則單擊“添加”。選擇服務器的IP地址，在“SSL端口”框中鍵入數值“443”，然后單擊“確定”。

　　現在IIS已經安全很多了，但是，黑客會不斷尋找新漏洞來攻破你的系統(tǒng)，所以這種安全性設置只是與黑客進行的第一場戰(zhàn)役。