【IT168 专】通常，大多数Web站点的设计目标都是：以最易接受的方式，为访问者提供即时的信息访问。在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性，尽管Apache服务器也常常是攻击者的目标，然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。这里面的一些技巧对拥有强大预算的IIS管理人员也是非常有用的。

    首先开发一套安全策略
    保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产，那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分，那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。

     网络管理员为各方面资源建立安全性的直接结果是什么呢？一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层，管理层人员又会去质问网络管理员究竟发生了什么。那么，网络管理员没办法建立支持他们安全工作的文档，因此，冲突发生了。通过标注Web服务器安全级别以及可用性的安全策略，网络管理员将能够从容地在不同的操作系统上部署各种软件工具。

    IIS安全技巧七则：上篇
    微软的产品一向是众矢之的，因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后，网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单，服务器操作员也许会发现这是非常有用的。

    1、保持Windows升级： 必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上，并在该机器上以Web的形式将文件发布出来。通过这些工作，你可以防止你的Web服务器接受直接的Internet访问。

    2、使用IIS防范工具：这个工具有许多实用的优点，然而，请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用，请首先测试一下防范工具，以确定它已经被正确的配置，保证其不会影响Web服务器与其他服务器之间的通讯。

    3、移除缺省的Web站点：很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后，因为网虫们都是通过IP地址访问网站的 ，请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹，且必须包含安全的NTFS权限 。

    4、如果并不需要FTP和SMTP服务请卸载它们：进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，能避免更多的黑客攻击。

    5、有规则地检查管理员组和服务：检查IIS服务器上的服务列表并保持尽量少的服务必须成为每天的任务。应该记住哪个服务应该存在，哪个服务不应该存在。Windows 2000 Resource Kit带给用户一个有用的程序，叫作tlist.exe，它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给一个提示：任何含有daemon几个字的服务可能不是Windows本身包含的服务，都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用，请点击这里。

    6、严格控制服务器的写访问权限，并对其设置复杂的密码。

    7、减少/排除Web服务器上的共享：如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外，通过运行一个简单的循环批处理文件，黑客能够察看一个IP地址列表，利用\\命令寻找Everyone/完全控制权限的共享。

    IIS安全技巧七则：下篇
    8、禁用TCP/IP协议中的NetBIOS：这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用，便不能这么做了。另一方面，随着NETBIOS被禁用，黑客就不能看到局域网上的资源了。

    9、使用TCP端口阻塞：这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口，那么你可以进入你网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有你不需要的端口。你必须小心的使用这一工具，因为你并不希望将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节，点击这里。

    10、仔细检查*.bat和*.exe 文件：每周搜索一次*.bat和*.exe文件，检查服务器上是否存在黑客最喜欢，而对用户来说将是一场恶梦的可执行文件。在这些破坏性的文件中，也许有一些是*.reg文件。如果右击并选择编辑，可以发现黑客已经制造并能让他们能进入系统的注册表文件。可以删除这些没任何意义但却会给入侵者带来便利的主键。

    11、管理IIS目录安全：IIS目录安全允许拒绝特定的IP地址、子网甚至是域名。

    12、使用NTFS安全：缺省地，NTFS驱动器使用的是EVERYONE/完全控制权限，除非手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。最重要的文件夹是System32，这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助保护重要的文件和应用程序。

    13、管理用户账户：如果已经安装IIS，可能产生了一个TSInternetUser账户。除非真正需要这个账户，否则应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

    14、审计你的Web服务器：审计对计算机的性能有着较大的影响，因此如果不经常察看的话，还是不要做审计了。如果你真的能用到它，请审计系统事件并在你需要的时候加入审计工具。如果正在使用前面提到的WhosOn工具，审计就不那么重要了。缺省地，IIS总是纪录访问， WhosOn 会将这些纪录放置在一个非常容易易读的数据库中，可以通过Access或是 Excel打开它。如果经常察看异常数据库，能在任何时候找到服务器的脆弱点。

   上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署，结果可能损失惨重，可能需要重启，从而遗失访问。

    最后的技巧：登陆Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和端口建立连接。