【摘要】IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以，IIS在Windows Server 2003中不是默認安裝的，只有在確定啟用一臺Web服務(wù)器的時候，才有必要安裝。但是IIS的配置仍然是我們的重點。根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=最大的安全。

【關(guān)鍵詞】IIS；漏洞；問題；安全

一、IIS概述

IIS是Internet Information Services的簡稱，中文意思為Internet信息服務(wù)。它是Windows Server 2003的一個重點的服務(wù)器組件，主要是向客戶端提供各種Internet服務(wù)。IIS提供的基本服務(wù)包括：發(fā)布信息（WEB）、傳輸文件（FTP）、支持用戶通訊（SNMP）和更新這些服務(wù)所在依賴的數(shù)據(jù)存儲等等。正是因為這樣所以服務(wù)越多，漏洞也隨之越多，而這里的重點就是補漏。

二、有關(guān)IIS安全設(shè)置與漏洞安全

（1）有關(guān)IIS安全設(shè)置。第一，只安裝Option Pack中必須的服務(wù)。建議不要安裝公司Index Server、FrontPage Server Extensions、示例WWW站點等功能。第二，新建WWW服務(wù)與FTP服務(wù)。默認的站點與管理Web站點含有大量有安全漏洞的文件，容易給黑客創(chuàng)造攻擊機會。因此，必須禁止。同時，應(yīng)該在新的目錄下建立服務(wù)。這個目錄千萬不要放在InetPub\\wwwroot下，最好放在與它不同的分區(qū)下。第三，刪除不必要的IIS擴展名映射。最好關(guān)閉.IDC、.HTR、.STM、.IDA、.HTW等應(yīng)用程序映射。第四，安裝新的Service Pack后，IIS應(yīng)用程序映射應(yīng)重新設(shè)置。要安裝新的Service Pack后，某些應(yīng)用程序映射可能又會出現(xiàn)，導(dǎo)到出現(xiàn)安全漏洞。這是網(wǎng)絡(luò)管理員比較容易忽視的一點。第五，設(shè)置IP拒絕訪問列表。對于WWW服務(wù)，可以拒絕一些對站點有攻擊嫌疑的地址、特別是對于FTP服務(wù)。第六，禁止對FTP服務(wù)的匿名訪問如果允許對FTP服務(wù)做匿名訪問，該匿名賬戶就有可能被利用來獲取更多的信息，以至對系統(tǒng)造成危害。第七，建議使用W3C擴充日志文件格式。每天記錄客戶IP地址、用戶名、服務(wù)器端口、方法、URL字根、HTTP狀態(tài)以用用戶代理，而且每天均要審查日志。同時最好不要使用缺省目錄。建議更換一個記日志的路徑，同時重新設(shè)置日志的訪問權(quán)限。（2）有關(guān)IIS漏洞安全。第一，IIS的Index Server服務(wù)漏洞。IIS4.0與5.0的服務(wù)器存在著INDEX SERVER服務(wù)漏洞，當用戶使用IIS4.0或者IIS5.0的服務(wù)器時，一旦啟動了INDEX SERVER，入侵者就可在瀏覽器地址欄中的URL后面加上一些特殊的字符格式，此時入侵者就可以瀏覽到ASP源程序或者其他頁面的程序，甚至已經(jīng)打上了最近關(guān)于查看源代碼的漏洞補丁程序的系統(tǒng)，或者沒有.HTW文件的系統(tǒng)，同樣存在該問題。通過構(gòu)建下面的URL請求可以查看到該程序的源代碼：http：//___/1.htw?CiwebHitsFile=/default.acpCiRestriction=noneCiHiliteType=pull。但是，這樣只能得到一些HTML格式的文本.如果把特殊符號%20添加到CiWebHitsFile的參數(shù)后面，構(gòu)造如下的URL：HTTP：//___/1.htw?CiWebHitsFile=/default.asp%20CiRestriction=noneCiHiliteType=Full，就得到了該程序的源代碼了?！?.htw”文件并非真正的系統(tǒng)映射文件，它只是一個儲存在系統(tǒng)內(nèi)在中的虛擬文件。第二，IIS的INDEX WERVER服務(wù)漏洞的防范。解決這個漏洞的方法就是刪除.htw映像文件或者下載補丁。

三、IIS安全隱患策略

首先，把C盤那個什么Inetpub目錄徹底刪掉，在D盤建一個Inetpub（要是這樣也不放心用默認目錄名也可以改一個名字，但是自己要記得）在IIS管理器中將主目錄指向D:\\Inetpub；其次，那個IIS安裝時默認的什么scripts等虛擬目錄一概刪除（這里雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了，但是還是小心為上），如果這里需要什么權(quán)限的目錄可以慢慢建，需要什么權(quán)限開什么。（特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒有絕對的必要千萬不要給。）

當今社會隨之而來的電子信息產(chǎn)的發(fā)展趨勢，我們有理由相信不久的將來網(wǎng)絡(luò)站點服務(wù)將會越來越重要，隨之而來的就是網(wǎng)站服務(wù)的安全問題。重點就是怎樣使它們之間保持平衡能夠更好的服務(wù)于大眾，在這里網(wǎng)站服務(wù)的安全性就顯的尤其重要，所以這里就得對它隨時隨地監(jiān)控和維護。

參 考 文 獻

[1]劉永華．Windows Server 2003[J]．北京：科學(xué)出版社，2005

[2]方耿，林慶霓，莫卓豪．網(wǎng)絡(luò)維護與故障診斷[J]．北京：冶金工業(yè)出版，2004

[3]孫振池，王勤．ASP動態(tài)網(wǎng)頁設(shè)計[J]．北京：中國計劃出版社，2007