安全性一直被业内诟病的IIS服务器，应该如何做好安全防护？

IIS是“Internet Information Services”的英文缩写，即“互联网信息服务”，是由微软公司（Microsoft）提供的，基于运行“Microsoft Windows操作系统”的互联网基本服务。

IIS是一种Web（网页）服务组件，其中包括“Web服务器、FTP服务器、NNTP服务器和SMTP服务器”，分别用于“网页浏览、文件传输、新闻服务和邮件发送”等方面，它使得在网络上（包括广域网和局域网）发布信息成为一件容易的事情。

IIS是我们网站用的最普遍的web服务器，IIS允许在公共网络或者局域网络上发布信息，使得它成为目前使用最广泛的web服务器之一。我们经常使用的网站，很多都是搭建在IIS上运行的。

目前流行的Windows版本都默认安装了IIS服务,但同时IIS的安全性一直被业内诟病，一旦IIS出现高危漏洞，将会呈现“范围广、影响深”的特点。

那么IIS服务器究竟该如何做好安全防护？下面，小编分享和介绍15条安全防护措施，希望能够对使用和运行IIS服务器的系统管理员、读者和用户，有所帮助。

1、 保持Windows升级

你必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上，并在该机器上以Web的形式将文件发布出来。通过这些工作，你可以防止你的Web服务器接受直接的Internet访问。

2、 使用windows服务器防护软件

这些软件有许多实用的优点，然而，请慎重的使用这些软件。如果你的Web服务器和其他服务器相互作用，请首先测试一下这些软件，以确定它已经被正确的配置，保证其不会影响Web服务器与其他服务器之间的通讯。

3、 移除缺省的Web站点

很多攻击者瞄准“inetpub”这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后，因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址)，他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹，且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。

4、 如果你并不需要FTP、SMTP等其他服务，请关闭它们

进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。

5、 有规则地检查你的管理员组和服务

有一天我进入我们的教室，发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会突然摧毁你的整个系统，或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务，一旦这发生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。因此，检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在，哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序，叫作tlist.exe，它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示：任何含有daemon几个字的服务可能不是Windows本身包含的服务，都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用，请点击这里。

6、 严格控制服务器的写访问权限

这听起来很容易，然而，在大学校园里，一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的，然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

7、 设置复杂的密码

我最近进入到教室，从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深，以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 (例如“password”或是 “changeme”或者任何字典单词)，那么黑客能快速并简单的入侵这些用户的账号。

8、 减少/排除Web服务器上的共享

如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外，通过运行一个简单的循环批处理文件，黑客能够察看一个IP地址列表，利用命令寻找Everyone/完全控制权限的共享。

9、 禁用TCP/IP协议中的NetBIOS

这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用，他们便不能这么做了。另一方面，随着NETBIOS被禁用，黑客就不能看到你局域网上的资源了。这是一把双刃剑，如果网络管理员部署了这个工具，下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。

10、使用TCP端口阻塞

这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口，那么你可以进入你网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有你不需要的端口。你必须小心的使用这一工具，因为你并不希望将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。

11、仔细检查.bat和.exe 文件: 定期搜索一次*.bat

和.exe文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中，也许有一些是.reg文件。如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。

12、管理IIS目录安全

IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择，我选择了一个被称作WhosOn的软件，它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe，你可以选择拒绝这个用户访问Web服务器。当然，在一个繁忙的Web站点，这可能需要一个全职的员工！然而，在内部网，这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源，也可以对特定的用户提供。

13、使用NTFS安全

缺省地，你的NTFS驱动器使用的是EVERYONE/完全控制权限，除非你手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。最重要的文件夹是System32，这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

14、管理用户账户

如果你已经安装IIS，你可能产生了一个TSInternetUser账户。除非你真正需要这个账户，否则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

15、审计你的Web服务器

审计对你计算机的性能有着较大的影响，因此如果你不经常察看的话，还是不要做审计了。如果你真的能用到它，请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具，审计就不那么重要了。缺省地，IIS总是纪录访问， WhosOn 会将这些纪录放置在一个非常容易易读的数据库中，你可以通过Access或是 Excel打开它。如果你经常察看异常数据库，你能在任何时候找到服务器的脆弱点。

亿速云，是一家拥有丰富行业积淀的专业云计算服务提供商、云安全服务提供商，致力于为广大用户提供的“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器”等云主机租用服务，具有“安全稳定、简单易用、高可用性、高性价比”的特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

亿速云为用户提供专业抗DDoS攻击、DoS攻击、CC攻击的高防服务器、高防香港服务器、高防裸金属服务器，具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点与优势，能够更加精准有效地防御DDoS攻击、DoS攻击和CC攻击，真正做到了降低用户的防御成本。

采用“智能硬件防火墙 + 流量牵引技术”，并为用户配置相对应的高防IP，在用户面临DDoS攻击、DoS攻击时，可精准识别出恶意流量，并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后，高防IP会将正常流量返回给源站IP，从而达到“防御DDoS攻击、DoS攻击，保证用户网站正常稳定运行”的目的。