信息服務器IIS是BACKOFFICE系列產品中功能最強大、最流行的應用程序，它與整個BACKOFFICE組件一樣，IIS也是圍繞WINDOWS NT體系而生成的。它作為WINDOWS NT SERVER提供的一組服務而運行，允許它利用WINDOWS NT的各項軟件功能。
　　
　　不過，確保你數據完整性仍是一個必須認真對待的關鍵性安全問題。IIS憑借豐富而又強大的驗證、訪問控制和審核功能可以保證數據的完整性，因為它以WINDOWS NT SERVER作系統為基礎。此外，它還支持安全插接層SSL，它通過對IIS和支持SSL的所有瀏覽器之間的對話進行加密來保證安全通信更加保密。
　　
　　黑客們知道大多數WEB和FTP網站都允許匿名訪問。這些網站常常錯誤配置，這樣就存在安全漏洞。下面介紹須采取哪些措施才能保證保證IIS使你的網絡和數據完全避免黑客入侵。
　　
　　一、利用現有的WINDOWS NT安全性能來保護IIS ISS通過WINDOWS NT安全模型提供安全性，也就說，安全帳戶管理器數據庫中定義的用戶帳戶和組將確定一旦用戶接入IIS機器，他們能進行什么操作。你不僅要核查現有的帳戶權限和許可權，并且要限制匿名訪問使用的帳戶權限和許可權，這非常重要。
　　
　　記錄IIS的所有服務程序都支持廣泛的記錄功能。記錄功能很重要，因為它能用來監視可疑的活動，從而決定應當保留什么、應當取消什么，以便進行容量規劃。
　　
　　啟動記錄功能很容易，每項服務的事件都共同記錄在同一個公用文件中。若要啟動記錄功能，請打開IIS MANEGER，雙擊你要啟動其記錄功能的服務器，顯示PROPERTIES對話框。接著單擊LOGGING標簽，將彈出一個對話框。該標簽的用法相當直接，你只須單擊ENABLE LOGGING選項，然后你選擇是記錄到一個文本文件，還是記錄到SQL數據庫，并確定日志文件多長時間更新一次。
　　
　　提示當你第一次安裝服務器時，要設置為DAILY LOGGING（日志），這樣你可以每天看到結果。過一段時間后，你再選擇最合適的記錄方式。
　　
　　ADVANCED選項通過單擊SERVICE PROPERTIED對話框的ADVANCED標簽，IIS還支持簡單過濾功能。你可使用ADVANCED OPTIONS標簽來限制或允許某些IP地址對WEB服務器的訪問。在彈出的ADVANCED標簽中，激活By default all computer will be granted access(缺省時，所有計算機將獲得訪問權）你可以使用ADD鈕將應當拒絕訪問的某些特定的IP地址范圍輸入進來。
　　
　　或者，如果你想強制執行嚴格的安全保護，你可以選擇By Default all computer will be den access（缺省時，所有的計算機將被拒絕訪問），然后根據應當能訪問這臺機器的IP地址確定主機表。這是一個功能強大而且價值較高的工具，有助于確保你網站的安全，所以不應忽視。
　　
　　二、IIS Advanced安全性能與Exchange Server一樣，Internet信息服務器提供Advanced安全性能，使你通信絕對安全。它們由SSL（安全插接層）2.0版和3.0版以及PCT（保密通信技術）1.0組成。SSL可對TCP/IP通信進行數據加密、服務器驗證和郵件集成功能。
　　
　　安全插接層安全插接層（SSL）是一個由Netscape通信公司開發的協議，并提交環球網聯盟（W3C）作為保證Internet通信安全的標準。當支持SSL的一臺客戶機（Internet Explorer2.0和3.x和Netscape 3.x）與支持SSL的服務器連接時，在TCP/IP連接時就出現“信號交換的交接關系”來進行驗證，以確定在通信中將實施哪一級安全保護。
　　
　　在建立連接后，SSL接著對流經使用中的應用協議的數據進行加密和解密。所有請示和響應信息都應該加密，其中包括客戶機下在請示的統一資源定位符（URL）、其它形式的數據（如你的地址或食用卡號碼）、任何驗證信息（用戶名和口令）以及所有由服務器返回到客戶機的數據。
　　
　　SSL是位于應用協議（如HTTP）之下，SMTP位于連接協議TCP/IP之上。MICROSOFT INTERNET信息服務器支持超文本傳輸協議保密（HTTPS）訪問方式。盡管SSL能提供實際不可破譯的加密功能，但SSL加密傳輸的速度要低于非加密傳輸。因此，為了防止你整個WEB網站的性能下降，你可以考慮只把SSL作為虛擬的文件夾用來處理高度機密信息，如提交的包含信用卡信息的表格。
　　
　　你可以在你WEB網站的根目錄（InetPubWwwroot是缺省值）或在一個或多個虛擬文件夾中啟動SSL安全功能。一旦SSL配置好和啟動后，只有支持SSL的客戶機能與支持SSL的WWW公文夾進行通信交流。
　　
　　在WEB服務器上啟動SSL安全性能，需要進行以下幾步工作：
　　
　　1、使用密鑰管理器來生成一個密鑰對文件和一個請求文件。
　　2、從一個認證機構獲得一個證書。 　　
　　3、在你的服務器上安裝新獲得的證書。 　　
　　4、激活WEB服務文件夾中的SSL安全功能。 　　
　　對于保密和公用內容，微軟公司建議你使用公開的目錄。比如，c:InetPubWwwrootSecure和C:InetPubWwwrootPublic。
　　
　　應注意以下幾點：
　　
　　（1）為IIS生成一個密鑰對時，在任何域中不要使用逗號，原因是逗號被解釋為字段的結尾。它們會在沒有警告的情況下產生無效請求。 　　
　　（2）如果你擁有多臺具有IIS的虛擬服務器功能的WEB服務器在安裝你的證書時，要確定具體服務器的IP地址，否則系統創建的所有虛擬服務都適用同一個證書。 　　
　　（3）如果你啟動SSL，任何指向支持SSL的WWW文件夾中文檔的URL必須使用http://，而不是在URL中的http://。使用在URL中的http://的任何鏈路不支持安全文件夾。 　　
　　IIS的一般性安全提示你使用IIS隨意向INTERNET發布信息時，要確保網絡安全性。除了我們以前講座過后IIS功能外，你還要做到以下各點：　　
　　（1）為系統分區和各項IIS服務程序生成分開的區，這樣黑客無法輕易地從某項服務程序的某個漏洞對整個機器訪問。 　　
　　（2）對機器的所有分區使用NTFS，要保證用戶權限設置正確。 　　
　　（3）將IIS服務器放置于其自己的域中，并與你的帳戶建立一種單向委托關系。如果黑客能得到某個有效帳戶的信息，那個帳戶也無法對你的用戶域進行訪問。 　　
　　（4）為各項INTERNET服務使用單獨帳戶（如果你計劃運行的不止是WEB服務器的話），這使得跟蹤用戶的活動相當容易。 　　
　　（5）核查，然后再三核查為指定進行匿名訪問的帳戶分配的權限和許可權。需要給用戶分配最小的許可權，通常這是讀許可權。 　　
　　（6）只在你IIS機器上存儲非機密信息，并將信息放置在防火墻。這樣，如果信息安全性遭到破壞，黑客仍必須穿越防火墻。 　　
　　（7）在服務器上使用WINDOWS NT SERVER的TCP/IP過濾功能，只允許連接到你需要支持IIS服務的端口。比如，如果你只想運行WEB服務器只須啟動端口80。 　　
　　（8）如果用戶利用非匿名帳戶對服務器進行訪問，務必通過加密口令進行驗證。