安裝過程中的IIS與asp安全防護

IIS是Internet Information Server的縮寫，它是微軟公司主推的伺服器，最新的版本是Windows2000裡面包含的IIS 5，IIS與WindowNT Server完全集成在一起， 因而使用者能夠利用Windows NT Server和NTFS（NT HTTP://www.aliyun.com/zixun/aggregation/19352.html">File System， NT的檔案系統）內置的安全特性，建立強大，靈活而安全的Internet和Intranet網站。

IIS支援HTTP（Hypertext Transfer Protocol，超文字傳輸協議），FTP（File Transfer Protocol，檔案傳輸協定）以及SMTP協定，通過使用CGI和ISAPI， IIS可以得到高度的擴展。

IIS支援與語言無關的腳本編寫和元件，通過IIS，開發人員就可以開發新一代動態的，富有魅力的Web網站。 IIS不需要開發人員學習新的指令碼語言或者編譯應用程式，IIS完全支援VBScript，JScript開發軟體以及JAVA，它也支援CGI和WinCGI，以及ISAPI擴展和篩檢程式。

一:前言

(僅以此文感謝運城站長圈，運城互聯網圈。 不是你們，我可能不會有運城巨峰網路的。 呵呵!)

人說，一朝被蛇咬，十年怕.....。 就是這樣。 2007年初，當我終於擺脫winnt 4.0 server那可怕的補丁之旅，邁向win2000 server時。 我終於可以比較放心我的伺服器了。 但隨著sp1的補丁出現。 我知道，與微軟的補丁因緣又開始輪回了。 但還好。 win2000自動化的管理還是讓我放心好多，而以前管理winnt後的失眠症狀也逐漸消失了。 偶爾還能見到我的「夢」老弟。

但這一切都伴隨者同bigeagle的一次知心交談中付之東流了。 一次。 bigeagle發來qq。 給我看了一段代碼。 我一看就知道這不是bigeagle寫的代碼，那麼爛，不過有點熟悉。 再一看。 啊?! 這不是我的資料庫連接字串嗎!! GOD。 頓時覺得有一種不祥的預兆。 不過還好，這個只是個access的，我還用了一些手段防止他被下載。 但這足以讓我長時間的失眠又來了。 (再次說明，bigeagle不是蛇，他是鷹)

二：安裝過程中的IIS 與 asp安全防護。 (這裡只考慮是web伺服器，而不是本地機子上的web開發平臺。 )

接下來的幾天有是幾個難熬的日子。 我開始重新部署win2000 web伺服器的安全性原則。

找到asp代碼被洩漏的原因，原來。 我的補丁每次打得都比較及時的。 但一次因為卸載FTP時，重裝了IIS，而這之後，我並沒有再打補丁而導致最新的漏洞web解析出錯。 (就是那個較新的漏洞 Translate:f 用這個加上一些工具就可以看到asp的代碼了。 )

首先，開始重裝IIS。

這次安裝的策略就是安全，夠用。 去掉一些多餘的東西。

一：FTP不要安裝了，功能不好，還容易出錯，並且漏洞很大。 Ftp缺省傳輸密碼的過程可是明文傳送，很容易被人截獲。 (可以考慮用協力廠商工具。 )

二：一切實例、文檔也不要安裝了。 這是在web伺服器上，最好不要這些例子，事實證明可以從這些例子網站突破IIS的防線的。

三：安裝時選擇網站目錄，建議不要用缺省目錄c:inetpub，最好安裝道不是系統磁片的盤上。 如：d:IISWEB，可以考慮自建目錄。 這樣即使IIS被突破，也能盡可能的保護好系統檔了。

四：不要安裝html的遠端系統管理。 html的遠端系統管理在winnt 4.0還能用的上，但漏洞比較大，而且比較危險，埠號雖然是隨機的，但很容易被人掃描道，從而留下隱患。 事實上，我們可以通過另一台伺服器上的IIS來管理他。 這樣比較安全。