10招步骤保护IIS服务器安全

温柔幻刀

IIS（Internet Information Server）是黑客特别喜欢的目标。因此，对于管理IIS网页服务器的管理员来说，确保服务器安全是一件至关重要的事。IIS 4.0和IIS 5.0的默认值安装尤其容易受到攻击。

　　采取下面的10个步骤来确保IIS的安全：

　　1.专门为IIS应用和数据设置一个NTFS磁盘驱动器。如果可能的话，不允许IUSER（或者无论什么匿名用户）存取任何其它的磁盘驱动器。如果应用遇到任何由于匿名用户没有权限存取位于其它磁盘驱动器上的程序而造成的问题，那么，使用Sysinternals的FileMon来寻找哪一个档案该用户不能存取，然后把该程序移至IIS磁盘驱动器上。如果这样不可行的话，则允许IUSER仅可存取该档案。

　　2.设置磁盘驱动器上的NTFS权限： Developers = Full IUSER = Read and execute only System and admin = Full

　　3.使用一个软件防火墙确保没有终端用户（只有研发人员）可以存取IIS机器上除了port 80之外的其它埠。

　　4.使用微软的工具来保护机器：IIS Lockdown和UrlScan。

　　5.启动使用IIS的日志文件(logging)功能。除了IIS纪录外，如果可能的话，同时也使用防火墙日志文件功能。

　　6.把记录的日志(log)从预设地点移开，并确保已经进行备份。为日志档案夹建立一个备份，这样在另一个位置总是有一个可以使用的备份档。

　　7.启动机器上的Windows监督功能(auditing)，因为在试图反向追查攻击者的行为的时候总会发现资料不足。利用监督日志，你可借着执行脚本来检查任何可疑的行为，然后发送报告给管理员。这听起来好像有一点极端，但是如果贵公司非常重视安全的话，这种作法可说十分值得鼓励。建立监督功能来报告所有的失败账号登录事件。另外，就跟先前的IIS日志一样，请将默认值位置 （c:\winnt\system32\config\secevent.log）改变为另一个不同的位置，并且确保你有一个备份而且有一个复制的拷贝文件。

　　8.经常多阅读一些安全文章（各种来源的）。最好是尽可能多了解IIS，并进行全面的安全作法，而不仅仅是按照其它人（比如我）告诉你的经验来实现。

　　9.加入IIS漏洞邮件清单(mailing list)，并要确实加以阅读以掌握最新状态。这种列表有来自因特网安全系统的X-Force Alerts and Advisories。

　　10.最后，确保你经常执行Windows Update，并重复检验修补程序真的已经有安装妥当。