IIS（Internet Information Server）作为当今流行的Web服务器之一，提供了强大的Internet和Intranet服务功能。如何加强IIS的安全机制，建立高安全性能的可靠的Web服务器，已成为网络管理的重要组成部分。

　　以Windows NT的安全机制为基础
　　 1.应用NTFS文件系统
　　 NTFS文件系统可以对文件和目录进行管理，FAT文件系统则只能提供共享级的安全，而Windows NT的安全机制是建立在NTFS文件系统之上的，所以在安装Windows NT时最好使用NTFS文件系统，否则将无法建立NT的安全机制。

　　2.共享权限的修改
　　 在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此，在建立新的共享后应该立即修改Everyone的缺省权限。

　　3.为系统管理员账号更名
　　 域用户管理器虽可限制猜测口令的次数，但对系统管理员账号（adminstrator）却无法限制，这就可能给非法用户攻击管理员账号口令带来机会，通过域用户管理器对管理员账号更名不失为一种好办法。具体设置方法如下：
　　 选择“开始”选单→“程序”→启动“域用户管理器”→选中“管理员账号（adminstrator）”→选择“用户”选单→“重命名”，对其进行修改。

　　4.取消TCP/IP上的NetBIOS绑定
　　 NT系统管理员可以通过构造目标站NetBIOS名与其IP地址之间的映像，对Internet或Intranet上的其他服务器进行管理，但非法用户也可从中找到可乘之机。如果这种远程管理不是必须的，就应该立即取消（通过网络属性的绑定选项，取消NetBIOS与TCP/IP之间的绑定）。

　　设置IIS的安全机制
　　 1.安装时应注意的安全问题
　　 1）避免安装在主域控制器上
　　 安装IIS之后，在安装的计算机上将生成IUSR_Computername匿名账户。该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这不仅给IIS带来潜在危险，而且还可能威胁整个域资源的安全。所以要尽可能避免把IIS服务器安装在域控制器上，尤其是主域控制器上。
　　 2）避免安装在系统分区上
　　 把IIS安装在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区，所以应该避免将IIS服务器安装在系统分区上。

　　2.用户的安全性
　　 1）匿名用户访问权限的控制
　　 安装IIS后产生的匿名用户IUSR_Computername（密码随机产生），其匿名访问给Web服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，则可以取消Web的匿名访问服务。具体方法：
　　 选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→取消其匿名访问服务。
　　 2）控制一般用户访问权限
　　 可以通过使用数字与字母（包括大小写）结合的口令，使用长口令（一般应在6位以上），经常修改密码，封锁失败的登录尝试以及设定账户的有效期等方法对一般用户账户进行管理。

　　3.IIS三种形式认证的安全性
　　 1）匿名用户访问：允许任何人匿名访问，在这三种中安全性最低。
　　 2）基本（Basic）认证：用户名和口令以明文方式在网络上传输，安全性能一般。
　　 3）Windows NT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式（需IE 3.0以上版本支持）。

　　4.访问权限控制
　　 1）设置文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的组和用户设置不同的权限；另外，还可以利用NTFS的审核功能对某些特定组的成员读、写文件等方面进行审核，通过监视“文件访问”、“用户对象的使用”等动作，来有效地发现非法用户进行非法活动的前兆，及时加以预防和制止。具体方法：
　　 选择“开始”选单→“程序”→启动“域用户管理器” →选择“规则”选项卡下的“审核”选项→设置“审核规则”。
　　 2）设置WWW目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全机制。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限——允许用户读取或下载WWW目录中的文件；执行权限 ——允许用户运行WWW目录下的程序和脚本。具体设置方法如下：
　　 选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录”选项卡→选定需要编辑的WWW目录→选择“编辑属性”中的“目录属性”进行设置。

　　5.IP地址的控制
　　 IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问。可以通过设置来阻止指定IP地址外的网络用户访问你的Web服务器。具体设置方法如下：
　　 选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→双击“WWW”启动WWW服务属性页→启动Web属性页中“高级”选项卡；进行IP地址的控制设置。

　　6.端口安全性的实现
　　 对于IIS服务，无论是WWW站点、Fpt站点，还是NNpt、SMpt服务等都有各自侦听和接收浏览器请求的TCP端口号（Post），一般常用的端口号为：WWW是80，Fpt是21，SMpt是25，你可以通过修改端口号来提高IIS服务器的安全性。如果你修改了端口设置，只有知道端口号的用户才可以访问，不过用户在访问时需要指定新端口号。

　　7.IP转发的安全性
　　 IIS服务可提供IP数据包的转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，禁用这一功能将提高IIS服务的安全性。设置方法如下：
　　 选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“协议”选项卡→在TCP/IP属性中去掉“路由选择”。

　　8.SSL安全机制
　　 SSL（加密套接字协议层）位于HTpt层和TCP层之间，建立用户与服务器之间的加密通信，确保信息传递的安全性。SSL是工作在公共密钥和私人密钥基础上的。任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道。具体设置方法如下：
　　 选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录安全性”选项卡→单击“密钥管理器”按钮→通过密钥管理器生成密钥文件和请求文件→从身份认证权限中申请一个证书→通过密钥管理器在服务器上安装证书→激活Web站点的SSL安全性。
　　 建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，注意输入的是“htpts://”，而不是“htpt://”。

　　SSL安全机制的实现，将增加系统开销，增加服务器CPU的额外负担，从而会在一定程度上降低系统性能。笔者建议在规划网络时，仅考虑为高敏感度的Web目录使用SSL安全机制。另外，SSL客户端需要使用IE 3.0及以上版本才能使用。

如何用IIS建立高安全性Web服务器

安装完NT/2K以后，并不等于就可以把这台机器放到Internet上做服务器了。还需要进行以下几步：

　　一、 以Windows NT的安全机制为基础

　　1）NT打SP6、2K打SP1。把磁盘的文件系统转换成NTFS（安装系统的分区可以在安装系统的时候转换，也可以安装完系统以后，用工具转换）。同时把使用权限里有关Everyone的写、修改的权限去掉，关键目录：如Winnt\Repair连读的权限也去掉。

　　2）共享权限的修改。在NT下到开始菜单--》程序--》管理工具--》系统策略编辑器，然后打开系统策略里文件菜单里的“打开注册表”修改其中的windows nt 网络把其中勾去掉。 2K下可以写个net share c$ /delete的bat文件，放到机器的启动任务里。

　　3）为系统管理员账号更名。同时把系统管理员的密码改成强加密：密码长度在10位以上，并且密码要包括数字、字母、！等各种字符。

　　4）废止TCP/IP上的NetBIOS。通过网络属性的绑定选项，废止NetBIOS与TCP/IP之间的绑定。

　　5）安装其他服务。应该尽量不在同台服务器上安装数据库的别的服务，如果装了的话 最主要一点是数据库密码不能跟系统的登陆密码一样。

　　二、 设置IIS的安全机制

　　1）解决IIS4以及之前的版本受到D.O.S攻击会停止服务。 运行Regedt32.exe 在：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters 增加一个值： Value Name: MaxClientRequestBuffer DATA Type: REG_DWORD 设置为十进制具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256。

　　2）删除HTR脚本映射。

　　3）将IIS web server下的 /_vti_bin 目录设置成禁止远程访问。

　　4）在IIS管理控制台中，点 web站点，属性，选择主目录，配置（起始点），应用程序映射，将htw与webhits.dll的映射删除。

　　5）如果安装的系统是2K的话，安装Q256888_W2K_SP1_x86_en.EXE。

　　6）删除:c:\Program Files\Common Files\System\Msadc\msadcs.dll。

　　7）如果不需要使用Index Server，禁止或卸载该服务。 如果你使用了Index Server，请将包含敏感信息的目录的“Index this resource”的选项 禁止。

　　8）解决unicode漏洞： 2K安装2kunicode.exe、NT安装ntunicode86.exe

IIS安全机制漫谈

IIS（Internet Information Server）作为当今流行的Web服务器之一，提供了强大的Internet和Intranet服务功能。如何加强IIS的安全机制，建立高安全性能的可靠的Web服务器，已成为网络管理的重要组成部分。

以Windows NT的安全机制为基础

1.应用NTFS文件系统

NTFS文件系统可以对文件和目录进行管理，FAT文件系统则只能提供共享级的安全，而Windows NT的安全机制是建立在NTFS文件系统之上的，所以在安装Windows NT时最好使用NTFS文件系统，否则将无法建立NT的安全机制。

2.共享权限的修改

在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此，在建立新的共享后应该立即修改Everyone的缺省权限。

3.为系统管理员账号更名

域用户管理器虽可限制猜测口令的次数，但对系统管理员账号（adminstrator）却无法限制，这就可能给非法用户攻击管理员账号口令带来机会，通过域用户管理器对管理员账号更名不失为一种好办法。具体设置方法如下：

选择“开始”选单→“程序”→启动“域用户管理器”→选中“管理员账号（adminstrator）”→选择“用户”选单→“重命名”，对其进行修改。

4.取消TCP/IP上的NetBIOS绑定

NT系统管理员可以通过构造目标站NetBIOS名与其IP地址之间的映像，对Internet或Intranet上的其他服务器进行管理，但非法用户也可从中找到可乘之机。如果这种远程管理不是必须的，就应该立即取消（通过网络属性的绑定选项，取消NetBIOS与TCP/IP之间的绑定）。

设置IIS的安全机制

1.安装时应注意的安全问题

1）避免安装在主域控制器上

安装IIS之后，在安装的计算机上将生成IUSR_Computername匿名账户。该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这不仅给IIS带来潜在危险，而且还可能威胁整个域资源的安全。所以要尽可能避免把IIS服务器安装在域控制器上，尤其是主域控制器上。

2）避免安装在系统分区上

把IIS安装在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区，所以应该避免将IIS服务器安装在系统分区上。

2.用户的安全性

1）匿名用户访问权限的控制

安装IIS后产生的匿名用户IUSR_Computername（密码随机产生），其匿名访问给Web服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，则可以取消Web的匿名访问服务。具体方法：

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→取消其匿名访问服务。

2）控制一般用户访问权限

可以通过使用数字与字母（包括大小写）结合的口令，使用长口令（一般应在6位以上），经常修改密码，封锁失败的登录尝试以及设定账户的有效期等方法对一般用户账户进行管理。

3.IIS三种形式认证的安全性

1）匿名用户访问：允许任何人匿名访问，在这三种中安全性最低。

2）基本（Basic）认证：用户名和口令以明文方式在网络上传输，安全性能一般。

3）Windows NT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式（需IE 3.0以上版本支持）。

4.访问权限控制

1）设置文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的组和用户设置不同的权限；另外，还可以利用NTFS的审核功能对某些特定组的成员读、写文件等方面进行审核，通过监视“文件访问”、“用户对象的使用”等动作，来有效地发现非法用户进行非法活动的前兆，及时加以预防和制止。具体方法：

选择“开始”选单→“程序”→启动“域用户管理器” →选择“规则”选项卡下的“审核”选项→设置“审核规则”。

2）设置WWW目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全机制。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限——允许用户读取或下载WWW目录中的文件；执行权限——允许用户运行WWW目录下的程序和脚本。具体设置方法如下：

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录”选项卡→选定需要编辑的WWW目录→选择“编辑属性”中的“目录属性”进行设置。

5.IP地址的控制

IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问。可以通过设置来阻止指定IP地址外的网络用户访问你的Web服务器。具体设置方法如下：

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→双击“WWW”启动WWW服务属性页→启动Web属性页中“高级”选项卡；进行IP地址的控制设置。

6.端口安全性的实现

对于IIS服务，无论是WWW站点、Fpt站点，还是NNpt、SMpt服务等都有各自侦听和接收浏览器请求的TCP端口号（Post），一般常用的端口号为：WWW是80，Fpt是21，SMpt是25，你可以通过修改端口号来提高IIS服务器的安全性。如果你修改了端口设置，只有知道端口号的用户才可以访问，不过用户在访问时需要指定新端口号。

7.IP转发的安全性

IIS服务可提供IP数据包的转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，禁用这一功能将提高IIS服务的安全性。设置方法如下：

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“协议”选项卡→在TCP/IP属性中去掉“路由选择”。

8.SSL安全机制

SSL（加密套接字协议层）位于HTpt层和TCP层之间，建立用户与服务器之间的加密通信，确保信息传递的安全性。SSL是工作在公共密钥和私人密钥基础上的。任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道。具体设置方法如下：

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录安全性”选项卡→单击“密钥管理器”按钮→通过密钥管理器生成密钥文件和请求文件→从身份认证权限中申请一个证书→通过密钥管理器在服务器上安装证书→激活Web站点的SSL安全性。

建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，注意输入的是“htpts://”，而不是“htpt://”。

SSL安全机制的实现，将增加系统开销，增加服务器CPU的额外负担，从而会在一定程度上降低系统性能。笔者建议在规划网络时，仅考虑为高敏感度的Web目录使用SSL安全机制。另外，SSL客户端需要使用IE 3.0及以上版本才能使用。

IIS5中的安全认证系统

绪论

　　本文将讨论的内容是实现一个基于Internet的受保护应用程序，这 种保护是用IIS5提供的安全选项实现的，包括：

安全的数据传输和完整性
客户端和服务 器端的验证
IIS服务器验证和数据保护
　　 X.509协议 (IETF 标 准)是在Internet上使用的标准服务器验证机制，IIS当然也秉承了这个标准。这个协议是建立在一个验证权威 机构签署的证书基础上的。

　　当客户要求服务器的验证时，Web服务器就将其证书发送 给浏览器。如果能成功完成以下步骤，服务器验证就算成功了：

客户浏览器信任所提供证书的证 明机构的签署。
客户使用证明机构的公共关键字来打开证书，然后验证证书内的公共名称与浏览器正 在指向的 URL是否相匹配。
客户验证证书没有过期。
　　 最后浏览器可 能会检查CRL(证书撤回列表)，它的URL包含在证书内，看看证书是否在失效期之前被收回。

如果客户端接受了服务器的证书，那么就将开始安全Sockets层（SSL）协议的握手阶段，以 建立起受保护的数据传输。SSL协议是一种基于会话（session）关键字的私用关键字算法。

在握手阶段，客户向服务器发送一个session关键字，这个关键字是用服务器公共关键字加密 的。只有知道相应的私用关键字的服务器才能对这个session关键字进行解密。当服务器和客户安全地共享 session关键字后，通讯就可以在希望的保护中进行了。

　　基于证书的不对称加密法只 局限于在握手阶段使用，这是因为象SSL的对称算法在加密和解密数据方面比不对称算法要有效得多。

请注意服务器证明和数据加密是紧密联系的。从理论上说，不进行服务器证明也能使用SSL， 但是在实际中这种情况不会发生。以上所描述的证书和SSL通常指的是 HTTPS 协议。

IIS客户证明 安全选项
　　 IIS客户证明的全部内容就是映射身份，这个映射身份通过HTTP协议， 在点击一个windows域中身负责验证的 web服务器时发生的。根据 IIS应用程序安全性的设置，为请求提供服务 的IIS线程都会担当一个特定的身份，这样所有的访问检查，比如文件存取、ASP 脚本等等，都会参照这个线程 身份进行，而不是参照IIS的程序身份。这种身份可以应用在以下访问检查中：

当请求HTML 或ASP 页面时，在NTFS 驱动器上进行的文件系统访问检查。
在执行ASP脚本期间所要求的访问检查。
对标准和配置过的COM+ 组件的激活和访问检查。
对配置的COM+组件应用基于角色的安全。
使用Windows综合安全与SQL服务器相连接时，在ASP脚本内执行的数据库访问。
你可以为IIS应用程序定义下面5种可能的安全设置以提供客户证明：

Anonymous（匿名）：所有的请求都被映射到一个唯一域用户。默认的用户是 IUSR_ ，如果愿意也可以改变。
Basic（基本）：当你请求一个位于虚 拟目录下、要求基本证明的资源时(HTML 或ASP页面)，浏览器会提示你输入用户名和口令。IIS挑选出来完成这个请求的线程会用客户输入的信息试着登录到虚拟目录设置中定义的域上，这不一定是IIS服务器注册的那个。这个安全机制在IE和Netscape中能工作，但是有一个很大的缺点：用户口令是用明码发送的。通常这个问题 是通过要求HTTPS 通讯来解决的。使用HTTPS这种方法，整个的通讯，包括口令，都是加密发送的。可以对 IIS 线程进行配置，以执行对域的不同类型的登录。就是说，你可以指示IIS调用交互性LogonUser（默认值）、批 登录或网络登录。
Digest (在IIS4下不可用)：这是基于一个挑战响应机制上的新标准安全协 议，只在IE5 和IIS5上支持。Digest证明不太吸引人，因为Web服务器必须要位于PDC 上才能工作。
SPNEGO：这个Microsoft私有的证明协议在http上执行一个标准登录会话，就象你按 ALT+CTRL+DEL一样，被要求输入一个用户名、一个口令以及域名。实际使用的协议要由NTLM 和Kerberos进行协商。使用Kerberos的情况是在Windows 2000 计算机上运行IE 5浏览器和在一个Windows 2000 域中注册的计算机上的运行IIS5 Web服务器。综合证明只在IE中支持，并且通过代理是不能工作的，因此它只能用在 Intranet 环境。
客户证书映射：配置一个虚拟目录在HTTPS连接上运行，你就可以通过客户证书指示 IIS要求客户证明。如果这样做了，那么当用户连接到虚拟目录时，会被要求提供一个证书，然后IIS采用1对1 或多对1的方式，将这个证书映射到一个域帐户上。
　　 有两种建立证书映射的方 法：1、私有IIS 映射 2、活动目录 (AD)映射

　　默认状态下激活的是私有IIS映射。选 中Windows 目录服务映射器单选框就可以切换到AD映射，如下图所示(在这个图中这个单选框没有选中，因为 IIS没有注册在一个Windows 2000域中)：

有两种类型的AD 映射：UPN (唯一主要名称)映射和明确映射。

　　前 者是一种暗指的映射，是由Windows安全服务完成的，当它发现证书的UPN 域（如果有的话）和注册到域上的一个用户的UPN之间存在一个匹配的时候（表达形式是<username>@<domain name>）就执行这个映射。后者必须在活动目录管理snap-in 上明确定义。

　　与AD映射相比，IIS私有映射包括 更多负荷，但是它所提供的映射远远不止所能说出的多对1映射，请看下图：

基于Internet 应用程序的COM+中的流动 身份
　　 如果你想提供到一个基于配置COM+组件的应用程序的Internet入口，所需 要的就是建立适当的 IIS客户证明选项，这样每个客户的身份都从IIS透明地流向COM+ 应用程序。用这种方法，当应用基于角色的安全时，就可以使用客户的身份。如果不这样的话，基于角色的安全就没用了。

你可以有三种选择：

IIS综合安全：前面已经说过，这只用于 Intranet环境。 注意，如果 IE5 被用做客户浏览器，IIS5 在一个注册到W2K 域的服务器上运行，你就可以跳过客户身份到其 它服务器；如果不是这种情况的话，比如Web服务器是Windows NT上的IIS4，你就不得不配置COM 组件，这些组 件在IIS运行的同一个服务器上的一个 MTS包中。否则，当引用基于角色的安全时，就要使用IIS程序身份。
HTTPS 上的IIS 基本安全：要求互动或批登录，在任何浏览器中都能工作。
1对1客户证明 映射
　　 现在第二个选择是应用最广泛的，但是预计未来，基于证书的安全方案会 得到越来越多的应用。

结论
　　 你能看到，IIS5 为你提供了不同的证 明选择。我建议你寻找并使用最适合应用程序安全的一个，而不仅仅是执行一些基于私有用户帐号数据库的定 制安全机制。