Microsoft IIS 真的如此「不安全」吗？(2)

很多公司使用以下这两个步骤为它们基于 Windows 2000 的网络服务器来做组态：（1）安装 IIS 5.0、（2）不再理它。如果仅只于此的话，何不来个第三步骤：祈祷。

对于 IIS 5.0，Microsoft 针对安全性和可存取性/可用性（accessibility/usability）两方面做了很好的折衷，一般认为更倾向于后者。Data Return Corporation 的高级信息安全工程师 Alexandra Nosratinia 说，与诸如Apache 等服务器相比，IIS 的图形使用者接口（GUI）使管理和解决问题变得容易了，网站架设也非常快速。有了 IIS 的图形使用者接口，甚至可以不再需要专家的帮助。但要了解的是，容易用的系统并不代表是安全的系统。

如果选择 IIS 的预设组态（default configuration），你就是在自找麻烦。加强安全性虽然是你的责任，不过Microsoft 为此提供了充足的信息来帮助你。

从 Microsoft 的IIS 5.0 安全性检查清单开始吧！它收录了许多简单易懂的步骤，帮助保护 Windows 2000 系列的网站服务器免受绝大多数的攻击。在这个清单中能够找到的信息包括以下实用的主题：

在入侵者突破了防火墙的情况下配置 IPSec 策略。
通过限制来隔绝那些可以存取 Telnet 服务器的用户以达到保护服务器的目的。
为服务器的虚拟目录设置适当的存取控制。
进行日志记录，并在日志文件（log files）中设置适当的权限。
如果合适的话，为 IP 地址和 DNS 地址做权限。
更新网络服务器上的 Root CA 证书。
移除 IIS 中所有的示范应用程序。
移除所有不必要的 COM 组件，例如 File System Object。
从 IIS 4.0 升级以后，移除 IISADMPWD 虚拟目录。
移除无用的应用程序对应（script mappings），例如 IDC 或 HTR。
在 ASP 程序代码中检查窗体输入，以防止恶意输入。
在 IIS 5.0 中禁用 Parent Paths 选项。
禁用 Content-Location 文件的表头信息，以免泄露地址。
如果你熟悉为 IIS 4.0 提供的类似检查清单，你会注意到 IIS 5.0 的版本简短了许多。这是因为 Microsoft 把很多 IIS 4.0 清单中的配置（setting）移到了为 Windows 2000 准备的新的Hisecweb.inf 安全模板中。下载该模板并用在你的服务器上。另外，也有很多在IIS 4.0 清单中属于建议的配置，现在已成了 IIS 5.0 中预设的配置。