在曩昔的几年中，不断增加的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可拜访性，虽然Apache效劳器也常常是进犯者的方针，可是微软的Internet信息效劳（IIS） Web效劳器才是实在意义上的众矢之的。

观一般地，大多数Web站点的规划方针都是：以最易承受的办法，为拜访者供给即时的信息拜访。在曩昔的几年中，不断增加的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可拜访性，虽然Apache效劳器也常常是进犯者的方针，可是微软的Internet信息效劳（IIS） Web效劳器才是实在意义上的众矢之的。

高档教学组织通常无法在构建充满活力、界面友爱的网站还是构建高安全性的网站之间找到平衡点。另外，它们现在有必要致力于进步网站安全性以面临减缩中的技能核算 （本来许多它们的私有有些也面临着类似的局势）。

正由于如此，我在这儿将为核算而头疼的大学IT经理们供给一些窍门，以协助他们维护他们的IIS效劳器。虽然主要是面临大学里的IT专业人员的，可是这些窍门也基本上适用于希望经过少数的财政核算来进步安全性的IIS管理人员。实际上，这儿面的一些窍门对具有强壮核算的IIS管理人员也是非常有用的。

首要，开发一套安全策略

维护Web效劳器的第一步是保证网络管理员清楚安全策略中的每一项准则。假如公司高层没有把效劳器的安全看作是有必要被维护的财物，那么维护作业是彻底没有意义的。这项作业需要长时刻的尽力。假如核算不支撑或许它不是长时刻IT战略的一有些，那么花费许多时刻维护效劳器安全的管理员将得不到管理层方面的重要支撑。

网络管理员为各方面资本树立安全性的直接成果是啥呢？一些格外喜爱冒险的用户将会被关在门外。那些用户随后会诉苦公司的管理层，管理层人员又会去责问网络管理员终究发生了啥。那么，网络管理员没办法树立支撑他们安全作业的文档，因而，抵触发生了。

经过标示Web效劳器安全级别以及可用性的安全策略，网络管理员将能够沉着地在不一样的操作体系上布置各种软件东西。

IIS安全窍门

微软的商品一向是众矢之的，因而IIS效劳器格外容易变成进犯者的靶子。搞清楚了这一点后，网络管理员有必要预备履行许多的安全措施。我将要为你们供给的是一个清单，效劳器操作员或许会发现这是非常有用的。

1. 坚持Windows晋级：

你有必要在第一时刻及时地更新全部的晋级，并为体系打好全部补丁。思考将全部的更新下载到你网络上的一个专用的效劳器上，并在该机器上以Web的方式将文件发布出来。经过这些作业，你能够防止你的Web效劳器承受直接的Internet拜访。

在曩昔的几年中，不断增加的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可拜访性，虽然Apache效劳器也常常是进犯者的方针，可是微软的Internet信息效劳（IIS） Web效劳器才是实在意义上的众矢之的。

2. 运用IIS防备东西：

这个东西有许多有用的长处，可是，请稳重的运用这个东西。假如你的Web效劳器和其他效劳器相互作用，请首要测验一下防备东西，以断定它现已被准确的装备，保证其不会影响Web效劳器与其他效劳器之间的通讯。

3. 移除缺省的Web站点：

许多进犯者瞄准inetpub这个文件夹，并在里边放置一些狙击东西，从而形成效劳器的瘫痪。防止这种进犯最简略的办法即是在IIS里将缺省的站点禁用。然后，由于网虫们都是经过IP地址拜访你的网站的 （他们一天可能要拜访不计其数个IP地址），他们的恳求可能遇到麻烦。将你实在的Web站点指向一个背有些区的文件夹，且有必要包含安全的NTFS权限 （将在后边NTFS的有些具体论述）。

4. 假如你并不需要FTP和SMTP效劳，请卸载它们：

进入计算机的最简略路径即是经过FTP拜访。FTP自身即是被规划满意简略读/写拜访的，假如你履行身份认证，你会发现你的用户名和暗码都是经过明文的方式在网络上传达的。SMTP是另一种答应到文件夹的写权限的效劳。经过禁用这两项效劳，你能防止更多的黑客进犯。

5. 有规则地检查你的管理员组和服务：

有一天我进入我们的教室，发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会突然摧毁你的整个系统，或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务，一旦这发生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。因此，检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在，哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序，叫作tlist.exe，它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示：任何含有daemon几个字的服务可能不是Windows本身包含的服务，都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用，请点击这里。

6. 严格控制服务器的写访问权限：

这听起来很容易，然而，在大学校园里，一个Web服务器实际上是有很多“作者”的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的，然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

7. 设置复杂的密码：

我最近进入到教室，从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深，以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 （例如“password”或是 changeme“或者任何字典单词），那么黑客能快速并简单的入侵这些用户的账号。

8. 减少/排除Web服务器上的共享：

如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外，通过运行一个简单的循环批处理文件，黑客能够察看一个IP地址列表，利用命令寻找Everyone/完全控制权限的共享。

在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性，尽管Apache服务器也常常是攻击者的目标，然而微软的Internet信息服务（IIS） Web服务器才是真正意义上的众矢之的。

9. 禁用TCP/IP协议中的NetBIOS：

这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用，他们便不能这么做了。另一方面，随着NETBIOS被禁用，黑客就不能看到你局域网上的资源了。这是一把双刃剑，如果网络管理员部署了这个工具，下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。

10. 使用TCP端口阻塞：

这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口，那么你可以进入你网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有你不需要的端口。你必须小心的使用这一工具，因为你并不希望将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节，点击这里。

11. 仔细检查*.bat和*.exe 文件：

每周搜索一次*.bat和*.exe文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中，也许有一些是*.reg文件。如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。

12. 管理IIS目录安全：

IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择，我选择了一个被称作WhosOn的软件，它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe，你可以选择拒绝这个用户访问Web服务器。当然，在一个繁忙的Web站点，这可能需要一个全职的员工！然而，在内部网，这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源，也可以对特定的用户提供。

13. 使用NTFS安全：

缺省地，你的NTFS驱动器使用的是EVERYONE/完全控制权限，除非你手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。最重要的文件夹是System32，这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

14.管理用户账户：

如果你已经安装IIS，你可能产生了一个TSInternetUser账户。除非你真正需要这个账户，否则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

15. 审计你的Web服务器：

审计对你计算机的性能有着较大的影响，因此如果你不经常察看的话，还是不要做审计了。如果你真的能用到它，请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具，审计就不那么重要了。缺省地，IIS总是纪录访问， WhosOn 会将这些纪录放置在一个非常容易易读的数据库中，你可以通过Access或是 Excel打开它。如果你经常察看异常数据库，你能在任何时候找到服务器的脆弱点。

总结

上述所有IIS技巧和工具（除了WhosOn以外）都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署，结果可能让你损失惨重，你可能需要重启，从而遗失访问。

最后的技巧： 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接，然后你将有一大堆的调查和研究要做了。