一般Web站点的设计目标是用最快键的方式，为访问者提供即时的信息访问。在过去的几年中，越来越多的安全问题严重影响了网站的可访问性，虽然Apache服务器也经常成为被攻击的目标，但是微软的Internet信息服务(IIS)Web服务器才是真正的众矢之的。

企业总是纠结该构建充满活力、界面友好的网站还是构建高安全性高的网站，因为他们无法从总找到两者的平衡点。除此之外，它们还必须致力于提高网站的安全性，面对技术预算的缩减。

为了更好的保护IIS服务器，这里将给因为预算问题而头疼的IT经理们提供一些技巧。

安全策略的开发

保护Web服务器的必须确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有重视服务器的安全，那么保护工作就完全没有任何意义的。这项工作需要长时间的努力。如果没有预算的支持或者它不是长时间IT战略的一部分，那么花费大量时间保护服务器安全的管理员就得不到管理层方面的重视。

如果网络管理员为各方面资源建立安全性，一些喜欢冒险的用户就会被关在门外，然后抱怨公司的管理层，管理层又会去质问网络管理员。这样的话，网络管理员就不可以建立支持他们安全工作的文档，因此，矛盾就产生了。

网络管理员可以通过标注Web服务器安全级别以及可用性的安全策略，将能够从容地在不同的操作系统上部署各种软件工具。

IIS的安全技巧

微软的产品一向是众矢之的，因此IIS服务器很容易成为攻击者的靶子，网络管理员必须打醒十二分精神准备执行大量的安全措施。

1.保持Windows的更新升级

你必须在第一时间内更新所有的升级，并为系统安装好一切补丁，将所有的更新都下载到你的一个网络专用的服务器上，并以Web的形式发布文件，这样可以防止Web服务器接受直接的Internet访问。

2.使用IIS的防范工具

IIS的防范工实用优点很多，但是还需要谨慎的使用。如果你的Web服务器和其他服务器相互作用，就需要对防范工具进行测试，确定它的配置没有问题，不会影响Web服务器与其他服务器之间的通讯。

3.删除缺省的Web站点

很多黑客都会看准inetpub这个文件夹，里面放置一些偷袭工具，服务器就会出现瘫痪。要防止这种情况的发生就要将IIS的缺省站点禁用。然后，当网虫们想要通过IP地址访问你的网站的时候，他们的请求就会遇到麻烦。如果你想将你真实的Web站点指向一个背部分区的文件夹的时候，必须包含安全的NTFS权限。

4.卸载不需要的FTP和SMTP服务

FTP访问是进入计算机的最简单的途径。FTP本身就是为了简单读/写访问而存在的，如果你执行的是身份认证，那么你的用户名和密码都是通过明文的形式在网络上传播的。另一种允许到文件夹的写权限的服务是SMTP，禁用这两项服务，能够避免更多的黑客攻击。

5.学会检查你的管理员组和服务

当管理员组里多了一个用户，就多一个人可以成功地进入了你的系统，如果他或她冷不丁地将炸弹扔到你的系统里，整个系统将会突然被摧毁，或者被黑客使用。黑客同样趋向于留下一个帮助服务，一旦这发生了，任何采取措施都已经是太晚了，只能格式化磁盘，从备份服务器中恢复每天的备份文件。因此，检查IIS服务器上的服务列表并保持尽量少的服务是每天必须的任务。Windows2000ResourceKit有一个程序叫作tlist.exe，它可以列出每种情况运行在svchost之下的服务。这个程序可以帮助你寻找到一些隐藏的服务。顺便说一句，有daemon几个字的服务可能不是Windows本身包含的服务，不应该存在于IIS服务器上。

6.控制服务器的写访问权限

这听起来很容易，但做起来很难，一个Web服务器上是有很多”作者”的。共享是互联网的意义，这样服务器上的文件夹可能会有极其危险的访问权限。避免这一情况，可以安装第2个服务器以提供专门的共享和存储目的，将信息共享或是传播出去，然后配置你的Web服务器来指向共享服务器。这样Web服务器本身的写权限仅仅限制给管理员组。

7.密码必须复杂

从事件察看器，你可能会发现很多可能的黑客。他或她进入了足够深的实验室域结构，能够对任何用户运行密码破解工具。如果不是有复杂的密码，黑客可以快速并简单的入侵这些用户的账号。

8.减少Web服务器上的共享

如果唯一拥有Web服务器写权限的人是网络管理员，就共享的存在。共享是对黑客来说是极大的诱惑。黑客可以通过运行一个简单的循环批处理文件就能够察看一个IP地址列表，寻找Everyone/完全控制权限的共享。

9.禁用TCP/IP协议中的NetBIOS

这是没有办法的。很多用户希望访问Web服务器通过UNC路径名。如果NETBIOS被禁用了，他们像这样做就变成了妄想，但是，这样黑客就不可以看到你局域网上的资源了。这是一把双刃剑，网络管理员需要做的是学会在NETBIOS失效的情况下发布信息。

10.TCP端口阻塞

这是一个危险的工具。只要你熟悉每个通过合法原因访问你服务器的TCP端口，那么就可以通过网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有不需要的端口。但你必须小心一点，因为你有可能将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。

11.仔细检查*.bat和*.exe文件

每周搜索一次*.bat和*.exe文件，看一下服务器上是否存在黑客喜欢，而对你来说将是一场恶梦的可执行文件，就像是*.reg文件，如果你选择编辑，就可以发现黑客已经制造出可以让他们进入你系统的注册表文件。果断删除这些没任何意义但却会给入侵者带来便利的主键。

12.IIS目录安全

IIS目录安全允许你拒绝特定的IP地址、子网、域名。有一款软件叫做WhosOn能够帮助你了解哪些IP地址正在试图访问服务器上的特定文件，并列出了一系列的异常。当你发现有人正在试图访问你的cmd.exe，可以拒绝这个用户访问Web服务器。当然，这可能需要一个全职的员工！在内部网，你也可以选择对所有局域网内部用户提供资源，或者对特定的用户提供。

13.NTFS安全

NTFS驱动器使用的是EVERYONE/完全控制权限，除非手工关掉它们。不同的人有不同的权限需要，管理员、后台管理账户需要完全的控制。根据不同的文件，系统和服务各自需要一种级别的访问权限。System32是一个最重要的文件夹，这个文件夹的访问权限越小越好。使用NTFS权限能帮助你保护重要的文件和应用程序。

14.用户账户

IIS会产生了一个TSInternetUser账户，如果你不需要这个账户，请禁用它。这个用户很容易成为黑客的目标。为了帮助管理用户账户，确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

15.审计Web服务器

审计对你计算机的性能有着较大的影响，如果不经常察看的话，那还是免了吧。但如果你经常察看异常数据库，你能在任何时候找到服务器的脆弱点。需要用它的话，请审计系统事件并在你需要的时候加入审计工具。如果你正在使用的是WhosOn工具，审计就不那么重要了。IIS总是纪录访问，WhosOn会将这些纪录放置在一个非常容易易读的数据库中，你可以通过Access或是Excel打开它。

总结

上述所有IIS技巧和工具除了WhosOn以外，都是Windows自带的。测试网站可达性之前记得一个一个的使用这些技巧和工具，否则可能让你损失惨重，你可能会遗失访问。

关键字：服务器、Web、数据库、网站、IIS、WhosOn、NTFS