1. 缓冲区的溢出 

　　简单解释一下，缓冲区溢出主要是因为提交的数据长度超出了的服务器的接受度，从而导致服务器检查代码出现错误。而溢出可以分为基于堆栈的溢出和基于堆的溢出。在IIS 6以前的版本，Web服务是运行在LocalSystem账户下，如果某个黑客利用缓冲区溢出的漏洞入侵后，就可以执行大部分的管理员命令了。

　　利用缓冲区溢出漏洞比较名的病毒是“Redcode”和“Nimda”。eEye Digital Security 公司在1996年发现了这类漏洞的代表作HTR缓冲区漏洞。eEye还发现，IIS的抵抗力十分脆弱。如果攻击传送到IIS，那么输入值就是可以执行的系统命令。HTR文件的解释程序是将一个以.htr结尾的超长文件在ism.dll中造成输入缓冲区溢出。

　　说明：根据上文的说明我们知道一个漏洞的根源就是.htr文件和System32目录下的ism.dll有关系，如果将ism.dll和.htr文件之间存在的关系切开，或者删除ism.dll，问题就可以解决了。

　　2. Unicode

想知道什么是Unicode二次解码漏洞?打开IE，选择“查看→编码→Unicode(UTF-8)”，在没有Unicode之前，没有一个编码可以容纳数百种的数字编码。比如我们要在你的简体中文版的Windows 系统上看一个繁体中文(BIG5)的网页，就需要Unicode的支持。

　　如果非法用户提交一些特殊的编码，导致IIS错误地打开或者错误地执行某些Web根目录以外的文件，将会出现未经授权的用户可以利用 IUSR_machinename账号访问用户目录的任何文件的情况。同时，这个账号在默认情况下属于Everyone和Users 组，Windows 2000 Server默认的安全权限是“Everyone完全控制”，因此所有可以访问的文件都可能被删除、修改或执行。

　　说明：可以尝试限制网络用户的访问和调用CMD命令的权限;若没必要使用scripts和Msadc目录，可以将其重新命名或者删除;在安装Windows NT系统时尽量不使用默认的WINNT路径。

　　3. FrontPage 服务器的扩展漏洞

　　安装FrontPage服务器的网站，通常会在Web目录下有若干个以字母“_vti”开头的目录，这些目录就是黑客的快捷通道。我们可以从搜索引擎上搜索默认的Frontpage目录，这时我们能从引擎上返回大量的信息。

　　说明：如果你不需要FrontPage 服务器的扩展服务，直接卸载了吧，默认安装会为我们带来很多的隐患。

IIS安全加固策略建议

　　网站源代码不会完全一样，程序员也不会为你提供一种类型的代码，所以下面的加固列表操作只供参考，在加固之前可以和程序的提供商取得联系，双方确认后，才可以修改本文中涉及到服务器扩展内容。

　　1. 调整IIS日志

　　想确定服务器是否被攻击，日志的记录是极其重要的。默认的日志不会为我们搜索黑客记录提供很大的帮助，所以我们必须扩展 W3C日志记录格式，步骤如下：

　　★右键单击所述站点，然后从上菜单中选择启用“属性→Web 站点→启用日志记录”复选框。

　　★更改日志的默认路径，黑客成功入侵一个系统后，还会清除日志，如果启用默认路径，我们将无法保护日志。不过，现在比较流行的日志清除工具，大多以命令行方式删除默认的W3C日志记录，所以可以将默认路径改写，达到简单保护的功能。

　　★从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性→扩展属性”选项卡，然后添加以下信息的记录：客户IP 地址、用户名、方法、URI 资源、HTTP 状态、Win32 状态、用户代理、服务器 IP 地址、服务器端口。

　　日志记录是我们被入侵后唯一可以找到漏洞的地方。就比如有些人钟爱的“动网上传文件”漏洞，如果你能在日志当中发现“HTTP GET 200(文件上传成功)”，没什么可以辩解的，肯定是没有升级补丁或者开放了上传权限。

　　2. 删除IIS的默认示例

　　Windows 2000和Windows Server 2003在安装时都会保留默认示例，它们不会为服务器带来威胁。为了优化系统的功能，可以选择删除它们，届时需要关闭IIS服务。

　　3. 删除不必要扩展映射

　　IIS 5被预先配置为支持如.asp这样的动态程序文件，当IIS 接收到这些类型的文件请求时，该调用由 DLL 处理，可以避免接收本文中提到的可能造成缓冲区溢出的文件类型。

　　选择“WWW服务→编辑→主目录→应用程序配置”，参照下表有针对性的选择删除对象：

　　IIS 6 的全新奉献

　　我们常在网上看到关于Windows Server 2003 已经非常安全的报道，但是我们的管理员不是每天做个补丁更新的工作吗?其实，Windows Server 2003中给我带来最直接的感觉就是IIS 6的安全性，直到现在为止我也没有发现IIS 6中有什么重大的漏洞。

　　工作进程隔离(Worker Process Isolation)以及URL的授权访问，我在以前版本里面根本就没有奢念。不仅如此，最主要的改进就是IIS本身的“默认可用性”和“默认锁定扩展服务” 。

　　注意，当把服务器升级到Windows Server 2003的时候，如果你没有运行IISLockdown工具，服务器是会禁止我们提供Web服务。

关键字：服务器、IIS、Web、网络、漏洞、缓冲区、黑客