信息服務(wù)器IIS是BACKOFFICE系列產(chǎn)品中功能最強(qiáng)大、最流行的應(yīng)用程序，它與整個(gè)BACKOFFICE組件一樣，IIS也是圍繞WINDOWS NT體系而生成的。它作為WINDOWS NT SERVER提供的一組服務(wù)而運(yùn)行，允許它利用WINDOWS NT的各項(xiàng)軟件功能。

　　不過，確保你數(shù)據(jù)完整性仍是一個(gè)必須認(rèn)真對待的關(guān)鍵性安全問題。IIS憑借豐富而又強(qiáng)大的驗(yàn)證、訪問控制和審核功能可以保證數(shù)據(jù)的完整性，因?yàn)樗�以WINDOWS NT SERVER作系統(tǒng)為基礎(chǔ)。此外，它還支持安全插接層SSL，它通過對IIS和支持SSL的所有瀏覽器之間的對話進(jìn)行加密來保證安全通信更加保密。

　　黑客們知道大多數(shù)WEB和FTP網(wǎng)站都允許匿名訪問。這些網(wǎng)站常常錯(cuò)誤配置，這樣就存在安全漏洞。下面介紹須采取哪些措施才能保證保證IIS使你的網(wǎng)絡(luò)和數(shù)據(jù)完全避免黑客入侵。

　　一、利用現(xiàn)有的WINDOWS NT安全性能來保護(hù)IIS ISS通過WINDOWS NT安全模型提供安全性，也就說，安全帳戶管理器數(shù)據(jù)庫中定義的用戶帳戶和組將確定一旦用戶接入IIS機(jī)器，他們能進(jìn)行什么操作。你不僅要核查現(xiàn)有的帳戶權(quán)限和許可權(quán)，并且要限制匿名訪問使用的帳戶權(quán)限和許可權(quán)，這非常重要。

　　記錄IIS的所有服務(wù)程序都支持廣泛的記錄功能。記錄功能很重要，因?yàn)樗�能用來監(jiān)視可疑的活動(dòng)，從而決定應(yīng)當(dāng)保留什么、應(yīng)當(dāng)取消什么，以便進(jìn)行容量規(guī)劃。

　　啟動(dòng)記錄功能很容易，每項(xiàng)服務(wù)的事件都共同記錄在同一個(gè)公用文件中。若要啟動(dòng)記錄功能，請打開IIS MANEGER，雙擊你要啟動(dòng)其記錄功能的服務(wù)器，顯示PROPERTIES對話框。接著單擊LOGGING標(biāo)簽，將彈出一個(gè)對話框。該標(biāo)簽的用法相當(dāng)直接，你只須單擊ENABLE LOGGING選項(xiàng)，然后你選擇是記錄到一個(gè)文本文件，還是記錄到SQL數(shù)據(jù)庫，并確定日志文件多長時(shí)間更新一次。

　　提示當(dāng)你第一次安裝服務(wù)器時(shí)，要設(shè)置為DAILY LOGGING（日志），這樣你可以每天看到結(jié)果。過一段時(shí)間后，你再選擇最合適的記錄方式。

　　ADVANCED選項(xiàng)通過單擊SERVICE PROPERTIED對話框的ADVANCED標(biāo)簽，IIS還支持簡單過濾功能。你可使用ADVANCED OPTIONS標(biāo)簽來限制或允許某些IP地址對Web服務(wù)器的訪問。在彈出的ADVANCED標(biāo)簽中，激活By default all computer will be granted access(缺省時(shí)，所有計(jì)算機(jī)將獲得訪問權(quán)）你可以使用ADD鈕將應(yīng)當(dāng)拒絕訪問的某些特定的IP地址范圍輸入進(jìn)來。

　　或者，如果你想強(qiáng)制執(zhí)行嚴(yán)格的安全保護(hù)，你可以選擇By Default all computer will be den access（缺省時(shí)，所有的計(jì)算機(jī)將被拒絕訪問），然后根據(jù)應(yīng)當(dāng)能訪問這臺(tái)機(jī)器的IP地址確定主機(jī)表。這是一個(gè)功能強(qiáng)大而且價(jià)值較高的工具，有助于確保你網(wǎng)站的安全，所以不應(yīng)忽視。

　　二、IIS Advanced安全性能與Exchange Server一樣，Internet信息服務(wù)器提供Advanced安全性能，使你通信絕對安全。它們由SSL（安全插接層）2.0版和3.0版以及PCT（保密通信技術(shù)）1.0組成。SSL可對TCP/IP通信進(jìn)行數(shù)據(jù)加密、服務(wù)器驗(yàn)證和郵件集成功能。

　　安全插接層安全插接層（SSL）是一個(gè)由Netscape通信公司開發(fā)的協(xié)議，并提交環(huán)球網(wǎng)聯(lián)盟（W3C）作為保證Internet通信安全的標(biāo)準(zhǔn)。當(dāng)支持SSL的一臺(tái)客戶機(jī)（Internet Explorer2.0和3.x和Netscape 3.x）與支持SSL的服務(wù)器連接時(shí)，在TCP/IP連接時(shí)就出現(xiàn)“信號(hào)交換的交接關(guān)系”來進(jìn)行驗(yàn)證，以確定在通信中將實(shí)施哪一級安全保護(hù)。

　　在建立連接后，SSL接著對流經(jīng)使用中的應(yīng)用協(xié)議的數(shù)據(jù)進(jìn)行加密和解密。所有請示和響應(yīng)信息都應(yīng)該加密，其中包括客戶機(jī)下在請示的統(tǒng)一資源定位符（URL）、其它形式的數(shù)據(jù)（如你的地址或食用卡號(hào)碼）、任何驗(yàn)證信息（用戶名和口令）以及所有由服務(wù)器返回到客戶機(jī)的數(shù)據(jù)。

　　SSL是位于應(yīng)用協(xié)議（如HTTP）之下，SMTP位于連接協(xié)議TCP/IP之上。MICROSOFT INTERNET信息服務(wù)器支持超文本傳輸協(xié)議保密（HTTPS）訪問方式。盡管SSL能提供實(shí)際不可破譯的加密功能，但SSL加密傳輸?shù)乃俣纫�低于非加密傳��。因此，為了防止你整個(gè)WEB網(wǎng)站的性能下降，你可以考慮只把SSL作為虛擬的文件夾用來處理高度機(jī)密信息，如提交的包含信用卡信息的表格。

　　你可以在你WEB網(wǎng)站的根目錄（\InetPub\Wwwroot是缺省值）或在一個(gè)或多個(gè)虛擬文件夾中啟動(dòng)SSL安全功能。一旦SSL配置好和啟動(dòng)后，只有支持SSL的客戶機(jī)能與支持SSL的WWW公文夾進(jìn)行通信交流。

　　在Web服務(wù)器上啟動(dòng)SSL安全性能，需要進(jìn)行以下幾步工作：

　　1、使用密鑰管理器來生成一個(gè)密鑰對文件和一個(gè)請求文件。

　　2、從一個(gè)認(rèn)證機(jī)構(gòu)獲得一個(gè)證書。

　　3、在你的服務(wù)器上安裝新獲得的證書。

　　4、激活WEB服務(wù)文件夾中的SSL安全功能。

　　對于保密和公用內(nèi)容，微軟公司建議你使用公開的目錄。比如，c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public。

　　應(yīng)注意以下幾點(diǎn)：

　�。�1）為IIS生成一個(gè)密鑰對時(shí)，在任何域中不要使用逗號(hào)，原因是逗號(hào)被解釋為字段的結(jié)尾。它們會(huì)在沒有警告的情況下產(chǎn)生無效請求。

　　（2）如果你擁有多臺(tái)具有IIS的虛擬服務(wù)器功能的Web服務(wù)器在安裝你的證書時(shí)，要確定具體服務(wù)器的IP地址，否則系統(tǒng)創(chuàng)建的所有虛擬服務(wù)都適用同一個(gè)證書。

　�。�3）如果你啟動(dòng)SSL，任何指向支持SSL的WWW文件夾中文檔的URL必須使用http://，而不是在URL中的http://。使用在URL中的http://的任何鏈路不支持安全文件夾。

　　IIS的一般性安全提示你使用IIS隨意向INTERNET發(fā)布信息時(shí)，要確保網(wǎng)絡(luò)安全性。除了我們以前講座過后IIS功能外，你還要做到以下各點(diǎn)：

　�。�1）為系統(tǒng)分區(qū)和各項(xiàng)IIS服務(wù)程序生成分開的區(qū)，這樣黑客無法輕易地從某項(xiàng)服務(wù)程序的某個(gè)漏洞對整個(gè)機(jī)器訪問。

　�。�2）對機(jī)器的所有分區(qū)使用NTFS，要保證用戶權(quán)限設(shè)置正確。

　�。�3）將IIS服務(wù)器放置于其自己的域中，并與你的帳戶建立一種單向委托關(guān)系。如果黑客能得到某個(gè)有效帳戶的信息，那個(gè)帳戶也無法對你的用戶域進(jìn)行訪問。

　　（4）為各項(xiàng)INTERNET服務(wù)使用單獨(dú)帳戶（如果你計(jì)劃運(yùn)行的不止是Web服務(wù)器的話），這使得跟蹤用戶的活動(dòng)相當(dāng)容易。

　�。�5）核查，然后再三核查為指定進(jìn)行匿名訪問的帳戶分配的權(quán)限和許可權(quán)。需要給用戶分配最小的許可權(quán)，通常這是讀許可權(quán)。

　�。�6）只在你IIS機(jī)器上存儲(chǔ)非機(jī)密信息，并將信息放置在防火墻。這樣，如果信息安全性遭到破壞，黑客仍必須穿越防火墻。

　�。�7）在服務(wù)器上使用WINDOWS NT SERVER的TCP/IP過濾功能，只允許連接到你需要支持IIS服務(wù)的端口。比如，如果你只想運(yùn)行Web服務(wù)器只須啟動(dòng)端口80。

　�。�8）如果用戶利用非匿名帳戶對服務(wù)器進(jìn)行訪問，務(wù)必通過加密口令進(jìn)行驗(yàn)證。

　　三、安全性與WEB服務(wù)器Web服務(wù)器是IIS中一個(gè)強(qiáng)有力的功能全面的工具，它優(yōu)于其他同類產(chǎn)品。它的性能得到優(yōu)化。且作為WINDOWS NT SERVER下的一項(xiàng)服務(wù)運(yùn)行時(shí)，能為各種規(guī)模的網(wǎng)絡(luò)提供快速、方便、安全的WEB出版功能。

　�。ㄒ唬┤绾伪Ｗo(hù)Web服務(wù)器的安全呢？如果你計(jì)劃建立WEB網(wǎng)站，要確保你WEB網(wǎng)站及其內(nèi)容的安全以及你網(wǎng)絡(luò)及其資源的安全，除了我們曾經(jīng)提到過的安全措施外，你還要采取其它相應(yīng)的手段。

　　**注意**由于IIS提供的三種服務(wù)配置起來非常相似，故我們只詳細(xì)介紹Web服務(wù)器的配置，接著只說明Ftp服務(wù)器和Gopher服務(wù)器的差異。

　　1、用戶和口令驗(yàn)證明首先你需要了解匿名訪問的嚴(yán)重后果，并采取預(yù)防措施來確保你為匿名訪問創(chuàng)建的帳戶擁有適當(dāng)?shù)脑S可權(quán)。若要設(shè)置用戶對你的WEB服務(wù)器進(jìn)行訪問的類型，請?jiān)贗IS MANAGER中雙擊WWW，調(diào)出你的WEB服務(wù)器再雙擊WEB服務(wù)器，就會(huì)顯示出WWW SERVICE PROPERTIES對話框。在對話框中，你可以看到，設(shè)置Web服務(wù)器服務(wù)程序可以使用多種選項(xiàng)。對于安裝的大多數(shù)的IIS而言，缺省選項(xiàng)最好。然而，有兩種關(guān)鍵的設(shè)置將決定用戶對WEB網(wǎng)站的訪問等級：匿名登錄和口令驗(yàn)證。

　　如果你希望允許大眾進(jìn)行訪問，一定要確保你同意匿名訪問。按照缺省設(shè)置，當(dāng)IIS安裝好后，在你的用戶數(shù)據(jù)庫就會(huì)創(chuàng)建一個(gè)新用戶帳戶，其名字為IUSR_，后接已安裝好的服務(wù)器名。舉例說明：如果服務(wù)器名為SAMUEL-1，新用戶帳戶則為IUSR_SAMUE-1。當(dāng)帳戶創(chuàng)建好，它被賦予有限的訪問權(quán)，并增加到域用戶、客人用戶和EVERYONE組中。

　　此外，IUSR_帳戶被賦予在本地登錄的權(quán)限（LOGON LOCALLY）。所有WEB用戶都必須具有這種權(quán)限，原因是他們的請求被傳送至Web服務(wù)器服務(wù)程序，該服務(wù)程序利用他們的帳戶去登錄，接著允許WINDOWS NT分配相應(yīng)的訪問權(quán)。

　　如果你希望所有用戶按照特定的用戶帳戶和口令得到驗(yàn)證，你僅僅清除Anonymous Logon（匿名登錄）選項(xiàng)即可。那將要求各用戶在訪問服務(wù)器的資源前輸入有效的用戶ID和口令。如果你能啟動(dòng)啟示功能，你就能查看到誰正訪問Web服務(wù)器以及他們所進(jìn)行的操作。

　　另一項(xiàng)決定你網(wǎng)站安全性的重要設(shè)置是你想使用的口令驗(yàn)證類型，這里我們不再深入探討。為了實(shí)現(xiàn)最大的安全性，你可以激活Windows NT Challenge/Response選項(xiàng)，它在傳輸信息前對你的用戶ID和口令進(jìn)行加密，從而保證帳戶信息在網(wǎng)絡(luò)安全傳輸。（遺憾的是只有Microsoft Internet Explorer 2.0及2.0以上版本才支持這種功能。）

　　2、虛擬目錄為確保你網(wǎng)站的安全性，配置WEB服務(wù)器可以看到的目錄以及相應(yīng)的訪問層次也是很重要的。當(dāng)你第一次安裝IIS時(shí)，按照缺省設(shè)置，它會(huì)自行創(chuàng)建一個(gè)叫做InetPub的目錄（安裝老版本的IIS則創(chuàng)建InetPub），接著為其提供的INTERNET服務(wù)生成根目錄。Web服務(wù)器的根目錄缺省為wwwroot，它應(yīng)當(dāng)是你主頁所在位置。接著你可以使用Directories標(biāo)簽來增加存儲(chǔ)額外內(nèi)容的新目錄。

　　3、Web服務(wù)器安全提示如果你正運(yùn)行Web服務(wù)器，盡管你已根據(jù)以前所討論過的內(nèi)容采取了預(yù)防措施，也許仍有些安全漏洞有待于你填補(bǔ)。以下列出當(dāng)提供WEB服務(wù)時(shí)，你應(yīng)當(dāng)采取的一般措施：

　　*停用.bat和.cmd文件的映射功能。如果黑客們拿到這些Web服務(wù)器上的可執(zhí)行文件的話，他們就可運(yùn)行這些Web文件。你通過取消對腳本程序的所有目錄的閱讀許可權(quán)，就可以停用某些文件夾映射功能。

　　*總是將你的腳本程序和數(shù)據(jù)存儲(chǔ)在不同的目錄，務(wù)必使包含腳本程序的目錄只擁有執(zhí)行許可權(quán)。

　　*禁止使用Directory Browsing Allowed（允許目錄瀏覽）。這一功能啟動(dòng)后會(huì)給出一個(gè)瀏覽器，該瀏覽器含有某個(gè)目錄中的超文本文件列表，從而使黑客能篡改目錄中的文件。

　　*避免使用Remote Virtual Directories（遠(yuǎn)程虛擬目錄）。務(wù)必將IIS所有的可執(zhí)行文件以及數(shù)據(jù)安裝在同一臺(tái)機(jī)器上，并利用NTFS來保護(hù)。當(dāng)用戶試圖從遠(yuǎn)程目錄訪問文檔時(shí)，總是使用輸入到屬性頁上的用戶名和口令，這就有可能繞過訪問控制列表。*當(dāng)編寫和使用CGI腳本程序時(shí)，一定要小心。有經(jīng)驗(yàn)的黑客也許會(huì)利用編寫拙劣的CGI腳本程序來對你的系統(tǒng)進(jìn)行訪問。

　　*牢記特權(quán)最小的原則，如果你計(jì)劃只運(yùn)行Web服務(wù)器，那么請只激活Web服務(wù)器主機(jī)的端口80。

　　*全面測試你的Web服務(wù)器——設(shè)法發(fā)現(xiàn)并彌補(bǔ)任何漏洞。最好的方法是，讓可靠而且內(nèi)行的同事設(shè)法破壞你網(wǎng)絡(luò)的安全性。

　　*想了解額外的情況，請上網(wǎng)www.ncsa.com/webcert/sgl_site.html去查看NCSA Web Site Certification Program文檔，尋求使你的Web服務(wù)器安全的靈丹妙藥。

　　四、安全性與FTP服務(wù)器Ftp服務(wù)器是唯一一項(xiàng)允許用戶通過INTERNET將文件傳輸至你服務(wù)器的IIS服務(wù)程序。設(shè)置FTP安全性能、用戶和口令驗(yàn)證與Web服務(wù)器大致相似。但是有一點(diǎn)值得你**注意**：用戶名和口令將以明文（非加密）形式傳輸至Ftp服務(wù)器服務(wù)程序，這意味著如果使用網(wǎng)絡(luò)嗅探器就可以捕捉到這一信息，從而破壞網(wǎng)絡(luò)的安全！

　　在你允許大眾進(jìn)行訪問時(shí)，一定要熟悉FTP Service Properties頁的Current Session鈕。它告訴你哪個(gè)用戶與Ftp服務(wù)器相連，他們何時(shí)連接，以及他們已連接多長時(shí)間。

　　虛擬目錄設(shè)置Ftp服務(wù)器的目錄與設(shè)置Web服務(wù)器服務(wù)程序十分類似，一定要保證用戶不能訪問FTPRoot目錄之外的目錄，并要正確設(shè)置FTP目錄的訪問許可。

　　FTP服務(wù)器安全提示運(yùn)行Ftp服務(wù)器時(shí)，為保證安全你應(yīng)當(dāng)了解的以下事項(xiàng)：

　　1、謹(jǐn)記用戶可以修改Ftp服務(wù)器的目錄。一定要確保他們無法進(jìn)入FTPRoot目錄以外的目錄，同時(shí)要使用NTFS來保證你服務(wù)器的安全。

　　2、避免使用遠(yuǎn)程虛擬目錄。當(dāng)用戶度圖從遠(yuǎn)程目錄訪問文檔時(shí)，總是要求其提供輸入到屬性頁的用戶名和口令，這就有可能繞過訪問控制表表。

　　3、一定要啟動(dòng)記錄功能，查找可疑活動(dòng)，如在日志和事件查看器中查找沒有成功的登錄4、如果你只計(jì)劃運(yùn)行Ftp服務(wù)器，只啟動(dòng)FTP主機(jī)的端口20和端口21。

　　5、全面測試你的Ftp服務(wù)器，并設(shè)法找到任何漏洞。你還可以讓一個(gè)可靠的內(nèi)行的同事設(shè)法打入系統(tǒng)。

　　五、安全性和Gopher服務(wù)器保護(hù)Gopher服務(wù)器與保護(hù)FTP服務(wù)程序和Web服務(wù)程序很類似，差別在于Gopher只允許匿名登錄。