IIS（Internet Information Server）作為當(dāng)今流行的Web服務(wù)器之一，提供了強(qiáng)大的Internet和Intranet服務(wù)功能。如何加強(qiáng)IIS的安全機(jī)制，建立高安全性能的可靠的Web服務(wù)器，已成為網(wǎng)絡(luò)管理的重要組成部分。
　　以Windows NT的安全機(jī)制為基礎(chǔ)
　　1.應(yīng)用NTFS文件系統(tǒng)
　　NTFS文件系統(tǒng)可以對文件和目錄進(jìn)行管理，F(xiàn)AT文件系統(tǒng)則只能提供共享級的安全，而Windows NT的安全機(jī)制是建立在NTFS文件系統(tǒng)之上的，所以在安裝Windows NT時(shí)最好使用NTFS文件系統(tǒng)，否則將無法建立NT的安全機(jī)制。
　　2.共享權(quán)限的修改
　　在系統(tǒng)默認(rèn)情況下，每建立一個(gè)新的共享，Everyone用戶就享有“完全控制”的共享權(quán)限，因此，在建立新的共享后應(yīng)該立即修改Everyone的缺省權(quán)限。
　　
　　　　3.為系統(tǒng)管理員賬號更名
　　　　域用戶管理器雖可限制猜測口令的次數(shù)，但對系統(tǒng)管理員賬號（adminstrator）卻無法限制，這就可能給非法用戶攻擊管理員賬號口令帶來機(jī)會(huì)，通過域用戶管理器對管理員賬號更名不失為一種好辦法。具體設(shè)置方法如下：
　　　　選擇“開始”選單→“程序”→啟動(dòng)“域用戶管理器”→選中“管理員賬號（adminstrator）”→選擇“用戶”選單→“重命名”，對其進(jìn)行修改。
　　
　　　　4.取消TCP/IP上的NetBIOS綁定
　　　　NT系統(tǒng)管理員可以通過構(gòu)造目標(biāo)站NetBIOS名與其IP地址之間的映像，對Internet或Intranet上的其他服務(wù)器進(jìn)行管理，但非法用戶也可從中找到可乘之機(jī)。如果這種遠(yuǎn)程管理不是必須的，就應(yīng)該立即取消（通過網(wǎng)絡(luò)屬性的綁定選項(xiàng)，取消NetBIOS與TCP/IP之間的綁定）。
　　設(shè)置IIS的安全機(jī)制
　　1.安裝時(shí)應(yīng)注意的安全問題
　　1）避免安裝在主域控制器上
　　安裝IIS之后，在安裝的計(jì)算機(jī)上將生成IUSR_Computername匿名賬戶。該賬戶被添加到域用戶組中，從而把應(yīng)用于域用戶組的訪問權(quán)限提供給訪問Web服務(wù)器的每個(gè)匿名用戶，這不僅給IIS帶來潛在危險(xiǎn)，而且還可能威脅整個(gè)域資源的安全。所以要盡可能避免把IIS服務(wù)器安裝在域控制器上，尤其是主域控制器上。
　　2）避免安裝在系統(tǒng)分區(qū)上
　　把IIS安裝在系統(tǒng)分區(qū)上，會(huì)使系統(tǒng)文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統(tǒng)分區(qū)，所以應(yīng)該避免將IIS服務(wù)器安裝在系統(tǒng)分區(qū)上。
　　2.用戶的安全性
　　1）匿名用戶訪問權(quán)限的控制
　　安裝IIS后產(chǎn)生的匿名用戶IUSR_Computername（密碼隨機(jī)產(chǎn)生），其匿名訪問給Web服務(wù)器帶來潛在的安全性問題，應(yīng)對其權(quán)限加以控制。如無匿名訪問需要，則可以取消Web的匿名訪問服務(wù)。具體方法：
　　　　選擇“開始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁→取消其匿名訪問服務(wù)。
　　2）控制一般用戶訪問權(quán)限
　　可以通過使用數(shù)字與字母（包括大小寫）結(jié)合的口令，使用長口令（一般應(yīng)在6位以上），經(jīng)常修改密碼，封鎖失敗的登錄嘗試以及設(shè)定賬戶的有效期等方法對一般用戶賬戶進(jìn)行管理。
　　3.IIS三種形式認(rèn)證的安全性
　　1）匿名用戶訪問：允許任何人匿名訪問，在這三種中安全性最低。
　　2）基本（Basic）認(rèn)證：用戶名和口令以明文方式在網(wǎng)絡(luò)上傳輸，安全性能一般。
　　3）Windows NT請求/響應(yīng)方式：瀏覽器通過加密方式與IIS服務(wù)器進(jìn)行交流，有效地防止了竊聽者，是安全性比較高的認(rèn)證形式（需IE 3.0以上版本支持）。
　　4.訪問權(quán)限控制
　　1）設(shè)置文件夾和文件的訪問權(quán)限：安放在NTFS文件系統(tǒng)上的文件夾和文件，一方面要對其權(quán)限加以控制，對不同的組和用戶設(shè)置不同的權(quán)限；另外，還可以利用NTFS的審核功能對某些特定組的成員讀、寫文件等方面進(jìn)行審核，通過監(jiān)視“文件訪問”、“用戶對象的使用”等動(dòng)作，來有效地發(fā)現(xiàn)非法用戶進(jìn)行非法活動(dòng)的前兆，及時(shí)加以預(yù)防和制止。具體方法：
　　　　選擇“開始”選單→“程序”→啟動(dòng)“域用戶管理器” →選擇“規(guī)則”選項(xiàng)卡下的“審核”選項(xiàng)→設(shè)置“審核規(guī)則”。
　　　　2）設(shè)置WWW目錄的訪問權(quán)限：已經(jīng)設(shè)置成Web目錄的文件夾，可以通過*作Web站點(diǎn)屬性頁實(shí)現(xiàn)對WWW目錄訪問權(quán)限的控制，而該目錄下的所有文件和子文件夾都將繼承這些安全機(jī)制。WWW服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外，還提供讀取權(quán)限——允許用戶讀取或下載WWW目錄中的文件；執(zhí)行權(quán)限——允許用戶運(yùn)行WWW目錄下的程序和腳本。具體設(shè)置方法如下：
　　選擇“開始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁→選擇“目錄”選項(xiàng)卡→選定需要編輯的WWW目錄→選擇“編輯屬性”中的“目錄屬性”進(jìn)行設(shè)置。
　　5.IP地址的控制
　　IIS可以設(shè)置允許或拒絕從特定IP發(fā)來的服務(wù)請求，有選擇地允許特定節(jié)點(diǎn)的用戶訪問。可以通過設(shè)置來阻止指定IP地址外的網(wǎng)絡(luò)用戶訪問你的Web服務(wù)器。具體設(shè)置方法如下：
　　　　選擇“開始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁→啟動(dòng)Web屬性頁中“高級”選項(xiàng)卡；進(jìn)行IP地址的控制設(shè)置。
　　6.端口安全性的實(shí)現(xiàn)
　　對于IIS服務(wù)，無論是WWW站點(diǎn)、Fpt站點(diǎn)，還是NNpt、SMpt服務(wù)等都有各自偵聽和接收瀏覽器請求的TCP端口號（Post），一般常用的端口號為：WWW是80，F(xiàn)pt是21，SMpt是25，你可以通過修改端口號來提高IIS服務(wù)器的安全性。如果你修改了端口設(shè)置，只有知道端口號的用戶才可以訪問，不過用戶在訪問時(shí)需要指定新端口號。
　　7.IP轉(zhuǎn)發(fā)的安全性
　　IIS服務(wù)可提供IP數(shù)據(jù)包的轉(zhuǎn)發(fā)功能，此時(shí)，充當(dāng)路由器角色的IIS服務(wù)器將會(huì)把從Internet接口收到的IP數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中，禁用這一功能將提高IIS服務(wù)的安全性。設(shè)置方法如下：
　　選擇“開始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁→選擇“協(xié)議”選項(xiàng)卡→在TCP/IP屬性中去掉“路由選擇”。
　　8.SSL安全機(jī)制
　　SSL（加密套接字協(xié)議層）位于HTpt層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保信息傳遞的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的。任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí)，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機(jī)生成會(huì)話密鑰，用從服務(wù)器得到的公共密鑰對會(huì)話密鑰進(jìn)行加密，并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個(gè)唯一的安全通道。具體設(shè)置方法如下：
　　　　選擇“開始”選單→“程序”→“Microsoft Internet Server(公用) ”→“Internet服務(wù)管理器” →啟動(dòng)Microsoft Internet Service Manager→ 雙擊“WWW”啟動(dòng)WWW服務(wù)屬性頁→選擇“目錄安全性”選項(xiàng)卡→單擊“密鑰管理器”按鈕→通過密鑰管理器生成密鑰文件和請求文件→從身份認(rèn)證權(quán)限中申請一個(gè)證書→通過密鑰管理器在服務(wù)器上安裝證書→激活Web站點(diǎn)的SSL安全性。
　　　　建立了SSL安全機(jī)制后，只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并且在使用URL資源定位器時(shí)，注意輸入的是“htpts://”，而不是“htpt://”。
　　SSL安全機(jī)制的實(shí)現(xiàn)，將增加系統(tǒng)開銷，增加服務(wù)器CPU的額外負(fù)擔(dān)，從而會(huì)在一定程度上降低系統(tǒng)性能。筆者建議在規(guī)劃網(wǎng)絡(luò)時(shí)，僅考慮為高敏感度的Web目錄使用SSL安全機(jī)制。另外，SSL客戶端需要使用IE 3.0及以上版本才能使用。