IIS作為目前最為流行的Web服務(wù)器平臺，發(fā)揮著巨大的作用。因此，了解如何加強(qiáng)IIS的安全機(jī)制，建立一個(gè)高安全性能的Web服務(wù)器就顯得尤為重要。

　　保證系統(tǒng)的安全性

　　因?yàn)镮IS是建立在操作系統(tǒng)下，安全性也應(yīng)該建立在系統(tǒng)安全性的基礎(chǔ)上，因此，保證系統(tǒng)的安全性是IIS安全性的基礎(chǔ)，為此，我們要做以下事情。

　　1、使用NTFS文件系統(tǒng)

　　在NT系統(tǒng)中應(yīng)該使用NTFS系統(tǒng)，NTFS可以對文件和目錄進(jìn)行管理，而FAT文件系統(tǒng)只能提供共享級的安全，而且在默認(rèn)情況下，每建立一個(gè)新的共享，所有的用戶就都能看到，這樣不利于系統(tǒng)的安全性。和FAT文件系統(tǒng)不同，在NTFS文件下，建立新共享后可以通過修改權(quán)限保證系統(tǒng)安全。

　　2、關(guān)閉默認(rèn)共享

　　在Windows2000中，有一個(gè)“默認(rèn)共享”，這是在安裝服務(wù)器的時(shí)候，把系統(tǒng)安裝分區(qū)自動進(jìn)行共享，雖然對其訪問還需要超級用戶的密碼，但這是潛在的安全隱患，從服務(wù)器的安全考慮，最好關(guān)閉這個(gè)“默認(rèn)共享”，以保證系統(tǒng)安全。方法是：單擊“開始/運(yùn)行”，在運(yùn)行窗口中輸入“Regedit”，打開注冊表編輯器，展開“HKEY_LOCAL_MACHINE\SYSTEM\

　　CurrentControlSet\lanmanworkstation\parameters”，在右側(cè)窗口中創(chuàng)建一個(gè)名為“AutoShare-Wks”的雙字節(jié)值，將其值設(shè)置為0，這樣就可以徹底關(guān)閉“默認(rèn)共享”。

　　3、設(shè)置用戶密碼

　　用戶一定要設(shè)置密碼，用戶的密碼盡量使用數(shù)字與字母大小混排的口令，還需要經(jīng)常修改密碼，封鎖失敗的登錄嘗試，并且設(shè)定嚴(yán)格的賬戶生存時(shí)間。應(yīng)避免設(shè)置簡單的密碼，且用戶的密碼盡可能不要和用戶名有任何關(guān)聯(lián)。

　　保證IIS自身的安全性

　　在保證系統(tǒng)具有較高安全性的情況下，還要保證IIS的安全性，主要請注意以下事情：

　　1、要盡量避免把IIS安裝在網(wǎng)絡(luò)中的主域控制器上

　　因?yàn)樵诎惭b完IIS后，會在所安裝的計(jì)算機(jī)上生成IUSR_Computername的匿名賬戶。這個(gè)賬戶會被添加到域用戶組中，從而把應(yīng)用于域用戶組的訪問權(quán)限提供給訪問Web服務(wù)器的每個(gè)匿名用戶，這樣不僅不能保證IIS的安全性，而且會威脅到主域控制器。

　　2、限制網(wǎng)站的目錄權(quán)限

　　目前有很多的腳本都有可能導(dǎo)致安全隱患，因此在設(shè)定IIS中網(wǎng)站的目錄權(quán)限時(shí)，要嚴(yán)格限制執(zhí)行、寫入等權(quán)限。

　　3、經(jīng)常到微軟的站點(diǎn)下載IIS的補(bǔ)丁程序，保證IIS最新版本

　　只要提高安全意識，經(jīng)常注意系統(tǒng)和IIS的設(shè)置情況，IIS就會是一個(gè)比較安全的服務(wù)器平臺，能為我們提供安全穩(wěn)定的服務(wù)。IIS作為目前最為流行的Web服務(wù)器平臺，發(fā)揮著巨大的作用。因此，了解如何加強(qiáng)IIS的安全機(jī)制，建立一個(gè)高安全性能的Web服務(wù)器就顯得尤為重要。

　　保證系統(tǒng)的安全性

　　因?yàn)镮IS是建立在操作系統(tǒng)下，安全性也應(yīng)該建立在系統(tǒng)安全性的基礎(chǔ)上，因此，保證系統(tǒng)的安全性是IIS安全性的基礎(chǔ)，為此，我們要做以下事情。

　　1、使用NTFS文件系統(tǒng)

　　在NT系統(tǒng)中應(yīng)該使用NTFS系統(tǒng)，NTFS可以對文件和目錄進(jìn)行管理，而FAT文件系統(tǒng)只能提供共享級的安全，而且在默認(rèn)情況下，每建立一個(gè)新的共享，所有的用戶就都能看到，這樣不利于系統(tǒng)的安全性。和FAT文件系統(tǒng)不同，在NTFS文件下，建立新共享后可以通過修改權(quán)限保證系統(tǒng)安全。

　　2、關(guān)閉默認(rèn)共享

　　在Windows2000中，有一個(gè)“默認(rèn)共享”，這是在安裝服務(wù)器的時(shí)候，把系統(tǒng)安裝分區(qū)自動進(jìn)行共享，雖然對其訪問還需要超級用戶的密碼，但這是潛在的安全隱患，從服務(wù)器的安全考慮，最好關(guān)閉這個(gè)“默認(rèn)共享”，以保證系統(tǒng)安全。方法是：單擊“開始/運(yùn)行”，在運(yùn)行窗口中輸入“Regedit”，打開注冊表編輯器，展開“HKEY_LOCAL_MACHINE\SYSTEM\

　　CurrentControlSet\lanmanworkstation\parameters”，在右側(cè)窗口中創(chuàng)建一個(gè)名為“AutoShare-Wks”的雙字節(jié)值，將其值設(shè)置為0，這樣就可以徹底關(guān)閉“默認(rèn)共享”。

　　3、設(shè)置用戶密碼

　　用戶一定要設(shè)置密碼，用戶的密碼盡量使用數(shù)字與字母大小混排的口令，還需要經(jīng)常修改密碼，封鎖失敗的登錄嘗試，并且設(shè)定嚴(yán)格的賬戶生存時(shí)間。應(yīng)避免設(shè)置簡單的密碼，且用戶的密碼盡可能不要和用戶名有任何關(guān)聯(lián)。

　　保證IIS自身的安全性

　　在保證系統(tǒng)具有較高安全性的情況下，還要保證IIS的安全性，主要請注意以下事情：

　　1、要盡量避免把IIS安裝在網(wǎng)絡(luò)中的主域控制器上

　　因?yàn)樵诎惭b完IIS后，會在所安裝的計(jì)算機(jī)上生成IUSR_Computername的匿名賬戶。這個(gè)賬戶會被添加到域用戶組中，從而把應(yīng)用于域用戶組的訪問權(quán)限提供給訪問Web服務(wù)器的每個(gè)匿名用戶，這樣不僅不能保證IIS的安全性，而且會威脅到主域控制器。

　　2、限制網(wǎng)站的目錄權(quán)限

　　目前有很多的腳本都有可能導(dǎo)致安全隱患，因此在設(shè)定IIS中網(wǎng)站的目錄權(quán)限時(shí)，要嚴(yán)格限制執(zhí)行、寫入等權(quán)限。

　　3、經(jīng)常到微軟的站點(diǎn)下載IIS的補(bǔ)丁程序，保證IIS最新版本

　　只要提高安全意識，經(jīng)常注意系統(tǒng)和IIS的設(shè)置情況，IIS就會是一個(gè)比較安全的服務(wù)器平臺，能為我們提供安全穩(wěn)定的服務(wù)。