IIS（Internet Information Server）作为目前最为流行的Web服务器平台，发挥着巨大的作用。因此，了解如何加强IIS的安全机制，建立一个高安全性能的Web服务器就显得尤为重要。

    保证系统的安全性

    因为IIS是建立在Windows NT/2000操作系统下，安全性也应该建立在系统安全性的基础上，因此，保证系统的安全性是IIS安全性的基础，为此，我们要做以下事情。

    1、 使用NTFS文件系统

    在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。和FAT文件系统不同，在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。

    2、 关闭默认共享

    在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\lanmanworkstation\parameters”，在右侧窗口中创建一个名为“AutoShare-Wks”的双字节值，将其值设置为0，这样就可以彻底关闭“默认共享”。

    3、 设置用户密码

    用户一定要设置密码，用户的密码尽量使用数字与字母大小混排的口令，还需要经常修改密码，封锁失败的登录尝试，并且设定严格的账户生存时间。应避免设置简单的密码，且用户的密码尽可能不要和用户名有任何关联。

    保证IIS自身的安全性

    在保证系统具有较高安全性的情况下，还要保证IIS的安全性，主要请注意以下事情：

    1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后，会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这样不仅不能保证IIS的安全性，而且会威胁到主域控制器。

    2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患，因此在设定IIS中网站的目录权限时，要严格限制执行、写入等权限。

    3、经常到微软的站点下载IIS的补丁程序，保证IIS最新版本。

    只要提高安全意识，经常注意系统和IIS的设置情况，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。
IIS安全技巧

　  4. 保持Windows升级:

　　你必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上，并在该机器上以Web的形式将文件发布出来。通过这些工作，你可以防止你的Web服务器接受直接的Internet访问。

　　5. 使用IIS防范工具:

　　这个工具有许多实用的优点，然而，请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用，请首先测试一下防范工具，以确定它已经被正确的配置，保证其不会影响Web服务器与其他服务器之间的通讯。

　　6. 移除缺省的Web站点:

　　很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后，因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址)，他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹，且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。

　　7. 如果你并不需要FTP和SMTP服务，请卸载它们:

　　进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。

　　8. 有规则地检查你的管理员组和服务:

　　有一天我进入我们的教室，发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会突然摧毁你的整个系统，或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务，一旦这发生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。因此，检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你