【51CTO獨家特稿】在Windows Server 2003中對于IIS的安全設置具有十分重要的意義，所以掌握IIS安全設置的六大技巧是一個網(wǎng)管員必備的基本技能。下面就是對IIS的安全設置的六大技巧。

推薦專題：IIS服務“講武堂”

技巧1、安裝系統(tǒng)補丁

安裝好操作系統(tǒng)之后，最好能在托管之前就完成補丁的安裝，配置好網(wǎng)絡后，如果是2000則確定安裝上了SP4，如果是Windows Server 2003 系統(tǒng)，則最好安裝上SP1，然后點擊開始→Windows Update，安裝所有的關鍵更新。

技巧2、設置端口保護和防火墻

Windows Server 2003 系統(tǒng)的端口屏蔽可以通過自身防火墻來解決，這樣比較好，比篩選更有靈活性，桌面—>網(wǎng)上鄰居—>（右鍵）屬性—>本地連接—>（右鍵）屬性—>高級—>（選中）Internet 連接防火墻—>設置，把服務器上面要用到的服務端口選中 即可。

例如：一臺WEB服務器，要提供WEB（80）、FTP（21）服務及遠程桌面管理（3389）

在“FTP 服務器”、“WEB服務器（HTTP）”、“遠程桌面”前面打上對號

如果你要提供服務的端口不在里面，你也可以點擊“添加”銨鈕來添加，具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。

然后點擊確定。注意：如果是遠程管理這臺服務器，請先確定遠程管理的端口是否選中或添加。

技巧3、合理的權限設置

需要重點設置如下三種權限：

WINDOWS用戶，在WINNT系統(tǒng)中大多數(shù)時候把權限按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統(tǒng)用戶和用戶組。

NTFS權限設置，請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū)，然后我們可以確定每個分區(qū)對每個用戶開放的權限?！疚募▕A）上右鍵→屬性→安全】在這里管理NTFS文件（夾）權限。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現(xiàn)在暫且把它叫“IIS匿名用戶”），當用戶訪問你的網(wǎng)站的.ASP文件的時候，這個.ASP文件所具有的權限，就是這個“IIS匿名用戶”所具有的權限。

設置好上述用戶和文件系統(tǒng)權限后，還要記住設置如下的磁盤權限，設置原則如下：

系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限

系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限

系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限

系統(tǒng)盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權限

系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權限

技巧4、禁用不必要的服務

操作路徑為：開始菜單—>管理工具—>服務

Print Spooler   
Remote Registry   
TCP/IP NetBIOS Helper   
Server  

以上是在Windows Server 2003 系統(tǒng)上面默認啟動的服務中禁用的，默認禁用的服務如沒特別需要的話不要啟動。

技巧5、卸載不安全的組件

最簡單的辦法是直接卸載后刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，( 以下均以 WIN2000 為例，如果使用Windows Server 2003 系統(tǒng)，則系統(tǒng)文件夾應該是 C:\WINDOWS\ )

regsvr32/u C:\WINNT\System32\wshom.ocx   
del C:\WINNT\System32\wshom.ocx   
regsvr32/u C:\WINNT\system32\shell32.dll   
del C:\WINNT\system32\shell32.dll  

然后運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了?？赡軙崾緹o法刪除文件，不用管它，重啟一下服務器即可。

技巧6、IIS服務器安全的防護原則

一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了權限，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然后用木馬上傳提升工具來獲得更高的權限，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網(wǎng)論壇并且數(shù)據(jù)庫忘記了改名，人家就可以直接下載你的數(shù)據(jù)庫了，然后距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網(wǎng)站被黑客進入。另外就是防止攻擊者使用一個被黑的網(wǎng)站來控制整個服務器，因為如果你的服務器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些權限設置和防提升之后，黑客就算是進入了一個站點，也無法破壞這個網(wǎng)站以外的東西。

【51CTO獨家特稿，合作站點轉(zhuǎn)載請注明原文譯者和出處。】

【編輯推薦】

1. IIS 7.5將會集成WebDAV
2. 講解IIS 6.0與apache無法同時使用80端口
3. 學習讓IIS服務跟隨系統(tǒng)自動啟動