如果使用IIS6.0/7.0來(lái)搭建web高防服務(wù)器，那么請(qǐng)需要注意以下幾點(diǎn)

這里來(lái)總結(jié)一下關(guān)于IIS使用必須注意的幾個(gè)問(wèn)題，否則可能造成重大安全隱患，而對(duì)于IIS用戶的使用這些都是可以防范的，這些必須在開(kāi)始使用的時(shí)候就做好規(guī)劃。

一、不要使用缺省的WEB站點(diǎn). IIS服務(wù)器安裝部署完成之后，系統(tǒng)會(huì)建立一個(gè)默認(rèn)的Web站點(diǎn)。有些用戶就會(huì)直接使用這個(gè)站點(diǎn)進(jìn)行網(wǎng)站的開(kāi)發(fā)。這是一個(gè)非常不理智的做法，可能會(huì)帶來(lái)很大的安全隱患。因?yàn)楹芏喙舳际轻槍?duì)默認(rèn)的Web站點(diǎn)所展開(kāi)的。

   如在默認(rèn)的Web站點(diǎn)中，有一個(gè)inetpub文件夾。有些攻擊者喜歡在這個(gè)文件夾中放置一些黑客工具，如竊取密碼、Dos攻擊等等。從而使得 他們可以遠(yuǎn)程遙控這些工具，造成服務(wù)器的癱瘓。由于默認(rèn)的站點(diǎn)與文件夾的相關(guān)配置信息基本上是相同的，這就方便了攻擊者對(duì)服務(wù)器進(jìn)行工具。連信息搜集這一 個(gè)步驟都可以省了。一些通過(guò)IP地址與服務(wù)掃描的黑客工具，其使用的就是默認(rèn)站點(diǎn)這個(gè)空子。

二、嚴(yán)格控制服務(wù)器的寫(xiě)訪問(wèn)權(quán)限 在一些內(nèi)容比較多、結(jié)構(gòu)比較復(fù)雜的Web服務(wù)器，往往多個(gè)用戶都對(duì)服務(wù)器具有寫(xiě)入的權(quán)限。如sina網(wǎng)站，有專門人員負(fù)責(zé)新聞板塊，有專門人員 負(fù)責(zé)博客，有專門人員負(fù)責(zé)論壇等等。由于有眾多的用戶對(duì)網(wǎng)站服務(wù)器具有寫(xiě)入的權(quán)限，就可能會(huì)帶來(lái)一定的安全隱患。如某個(gè)用戶的密碼泄露的話，就會(huì)乘機(jī)對(duì)服 務(wù)器進(jìn)行破壞。其實(shí)雖然他們都具有對(duì)服務(wù)器的寫(xiě)入權(quán)限，但是他們的分工是不同的。每個(gè)人都有自己的領(lǐng)域。

   再如一個(gè)大學(xué)校園的校園網(wǎng)，一個(gè)Web服務(wù)器實(shí)際上可能擁有多個(gè)網(wǎng)站，多個(gè)管理員。如各個(gè)學(xué)院有自己的網(wǎng)站等等。此時(shí)管理員都有對(duì)服務(wù)器修改的權(quán)限。權(quán)限控制不嚴(yán)格的話，那么服務(wù)器上的文件夾就可能會(huì)處于非常危險(xiǎn)的境地。

三、不定時(shí)的檢查服務(wù)器上的 bat與exe文件 大部分攻擊者都系統(tǒng)使用bat或者exe文件來(lái)進(jìn)行攻擊。如有些攻擊者會(huì)利用操作系統(tǒng)的任務(wù)管理器。讓系統(tǒng)每天或者每隔一段固定的時(shí)間調(diào)用某個(gè) 程序。這些程序就是以bat或者exe結(jié)尾的，或則是以reg文件結(jié)尾的。這些文件具有非常大的破壞性。如黑客可以利用這些文件更改注冊(cè)表、建立隱形帳 戶、發(fā)送文件給黑客等等。

四、對(duì)于IIS目錄采用嚴(yán)格的訪問(wèn)策略 IIS目錄是Web服務(wù)器中很重要的一個(gè)目錄。其相當(dāng)于人的大腦，控制著Web服務(wù)器的運(yùn)行。為此在規(guī)劃Web服務(wù)器安全的時(shí)候，要對(duì)此進(jìn)行特 別的關(guān)注。不過(guò)在實(shí)際工作中，這個(gè)目錄卻沒(méi)有引起用戶的足夠高的關(guān)注。他們有些甚至直接使用系統(tǒng)的默認(rèn)設(shè)置，也沒(méi)有進(jìn)行后續(xù)的追蹤。這都有可能成為以后網(wǎng) 站被黑、服務(wù)器癱瘓的起因。

五、做好服務(wù)器的升級(jí)工作 如果在服務(wù)器上只部署了一個(gè)Web服務(wù)，那么筆者建議在第一時(shí)間對(duì)操作系統(tǒng)與IIS服務(wù)器進(jìn)行升級(jí)。通過(guò)給系統(tǒng)與服務(wù)打補(bǔ)丁，是提高Web服務(wù) 器安全的最好方法之一。畢竟現(xiàn)在很多的黑客其攻擊都是停留在對(duì)現(xiàn)有漏洞的攻擊。如果將這些已經(jīng)發(fā)現(xiàn)的漏洞補(bǔ)上，那么遭受到攻擊的可能性就會(huì)小許多。

六、禁用不需要的服務(wù) IIS服務(wù)器部署完成之后，其可能還會(huì)同時(shí)裝有其他的應(yīng)用服務(wù)。如FTP、SMTP等等。這些服務(wù)都帶有比較大的安全隱患。如FTP本身就是被 設(shè)計(jì)滿足簡(jiǎn)單的讀寫(xiě)訪問(wèn)。如果你在Web服務(wù)器上采取了比較嚴(yán)格的安全措施。但是在FTP服務(wù)上沒(méi)有。則攻擊者就可以先利用FTP服務(wù)器下載一些黑客的工 具。然后再借助這些工具從內(nèi)部發(fā)起對(duì)Web服務(wù)器的攻擊。此時(shí)攻擊成功率就會(huì)高許多。

   以上這六點(diǎn)雖然不怎么起眼，但是確是大家在日常工作中經(jīng)常容易忽視的地方。從小處著眼，能夠讓你的Web服務(wù)器安全方面前進(jìn)一大步。