保障 IIS Web 服务器安全堵住一切漏洞

保障Web服务器的安全可能是令IT部门最头疼的问题之一。每当想到系统防御中存在着漏洞，这些漏洞允许外部人员访问我们的网络和数据，我们就会利用自己的最大努力尽可能地将系统的对外暴露完全关闭。而且我们不太可能将Web服务器与网络的其它部分完全分离开，虽然这样会极大地减少可能的风险。更别说，这台机器需要与非常敏感的数据进行交互，这些数据你是绝对不可能使其受到破坏的。

如果你喜欢微软的产品，你可能选择使用微软的Web服务器产品─IIS（Internet Information Services）。虽然Apache无疑是响应HTTP响应请求的最重要的软件产品。（根据Netcraft的每月调查，Apache占有超过50%市场份额），IIS在的Web服务器中约占三分之一。

使用IIS这种较为流行的、容易得到的、容易安装的产品有着另外一面，那就是黑客们早就准备好了如何对它进行访问，而且他们可以找到各种各样的方法来利用系统的漏洞。不幸的是，IIS从一开始就没有真正地提供一个Web服务器所要求的安全水平，因此那些对IIS情有独钟的人需要当心了！

在此，我们假定你是在Windows Server 2003中使用IIS 6.0，如果你没有使用该软件，建议你用这个版本。你最好使用一个正确配置的Windows Server 2003/IIS 6，而不是使用其以前的版本。

最基本的安全

在采取措施之前，需要从一些基本的问题开始，特别是一些基本的规则需要对所有的服务器实施。例如，确保你已经为你的Web服务器准备了良好的备份和恢复过程，以求使“岩机”时间最小化，而且你的Web服务器要位于一个坚固的、受监视的、最新的防火墙之后。定期监视服务器的日志，并且在安全更新可用时立即安装之。

当然，最重要的规则就是最简单的：如果你不需要它，就不要用它！现在IIS已经不再是默认安装了，因此如果因为你一开始就安装了一个本不需要的服务，而导致有人攻击了你的系统你可不要后悔莫及。

只要可能，要让服务器只负责Web页面。如果预算允许的话，应该尽可能地将服务器的职责进行分离。例如，让一台计算机作为域控制器，另一台作为SQL 服务器等等。如果你的预算不允许，就要确保让管理层彻底明白，这种省钱之道有可能会导致严重的后果。