多年來(lái)，微軟的互聯(lián)網(wǎng)信息服務(wù)（IIS）Web服務(wù)器給許多企業(yè)帶來(lái)了大量的安全問(wèn)題，包括十二年前臭名昭著的Code Red蠕蟲(chóng)病毒。IIS的一個(gè)重要安全隱患是它會(huì)默認(rèn)安裝和啟用很多功能，比如腳本和虛擬目錄等，但這其中的許多功能又被證實(shí)是很容易被利用，從而導(dǎo)致重大安全事故。

幾年前發(fā)布的IIS 6采用了一種“默認(rèn)鎖定”的方法，即不安裝某些功能，或者安裝以后將其默認(rèn)禁用，而最新版本IIS 7則采取了更多措施。Windows Server 2008甚至沒(méi)有默認(rèn)安裝IIS 7，而在安裝的時(shí)候，IIS 7網(wǎng)絡(luò)服務(wù)器經(jīng)過(guò)配置后只提供具有匿名身份驗(yàn)證和本地管理的靜態(tài)內(nèi)容，雖然生成的只是最簡(jiǎn)單的網(wǎng)絡(luò)服務(wù)器，但卻把受到安全攻擊的幾率降至最小。

做到這一點(diǎn)是可能的，因?yàn)镮IS 7已被完全模塊化。讓我們簡(jiǎn)單的研究一下IIS 7更加安全的原因，以及它的安全性是如何實(shí)現(xiàn)的。通常而言，管理員可以從40多個(gè)單獨(dú)的功能模塊中做出選擇，實(shí)現(xiàn)完全自定義的安裝。通過(guò)只安裝某個(gè)網(wǎng)站所需要的功能，管理員可以大大減小潛在的攻擊面，并且節(jié)省資源。

然而，請(qǐng)注意這只適用于清潔安裝（clean install）。如果你在運(yùn)行老版本的IIS，你又要升級(jí)你的Windows操作系統(tǒng)，所有的元數(shù)據(jù)庫(kù)和IIS狀態(tài)信息都會(huì)被收集并保存。結(jié)果，許多不必要的Web服務(wù)器功能會(huì)在升級(jí)時(shí)被安裝到系統(tǒng)中。因此，企業(yè)在升級(jí)之后最好重新查看應(yīng)用程序?qū)IS功能的依賴性，并卸載不需要的IIS模塊。

更少的組件意味著更少的設(shè)置管理，以及更少的問(wèn)題修補(bǔ)，因?yàn)槿藗冎恍枰S護(hù)那些正在使用的模塊附屬內(nèi)容。這樣可以減少停機(jī)時(shí)間并提高可靠性。此外，標(biāo)簽混亂的IIS管理控制臺(tái)已經(jīng)被更加直觀的GUI工具所取代，這讓安全設(shè)置的可視化更加簡(jiǎn)單，理解起來(lái)也更加容易。比如，如果支持基本身份驗(yàn)證的組件沒(méi)有安裝在你的系統(tǒng)中，該組件的配置設(shè)置就不會(huì)出現(xiàn)，以免混淆視聽(tīng)。

那么，安全運(yùn)行IIS可能需要哪些組件呢？下面列出的九個(gè)組件中，運(yùn)行靜態(tài)網(wǎng)頁(yè)以及其他功能的網(wǎng)站都需要前六個(gè)；而需要加密服務(wù)器與客戶端之間數(shù)據(jù)的人則需要第七和第八項(xiàng)；當(dāng)你擁有一個(gè)Web farm，并且想要farm中每個(gè)Web服務(wù)器都使用相同的配置文件和加密密鑰時(shí)，你將需要第九項(xiàng)共享配置：

1、驗(yàn)證組件，其中包括集成Windows驗(yàn)證、客戶端證書驗(yàn)證以及基于ASP.NET格式的驗(yàn)證，這些驗(yàn)證可以讓你在應(yīng)用層上管理客戶端注冊(cè)和驗(yàn)證，而不是依靠Windows賬戶。

2、URL驗(yàn)證，它很好地與ASP.NET會(huì)員和角色管理整合，然后根據(jù)用戶名和角色來(lái)授權(quán)或者拒絕應(yīng)用程序中的URL，防止沒(méi)有授權(quán)的用戶去訪問(wèn)受限制的內(nèi)容。

3、IPv4地址和域名規(guī)則（Domain Name Rules）提供了基于IP地址和域名的內(nèi)容訪問(wèn)管理。新屬性“allowUnlisted”可以更容易的阻止人們?cè)L問(wèn)所有的IP地址，除非列表中允許。

4、CGI和ISAPI約束，它們?cè)试S你用CGI文件方式（.exe）和ISAPI擴(kuò)展方式（.dll）啟用或禁用動(dòng)態(tài)內(nèi)容。

5、請(qǐng)求過(guò)濾器，它結(jié)合了UrlScan工具中限制HTTP請(qǐng)求類型的功能，IIS 7將會(huì)拒絕這些包含可疑數(shù)據(jù)的請(qǐng)求。像Apache的mod_rewrite屬性一樣，它可以用正則表達(dá)式來(lái)阻止攻擊或者基于動(dòng)詞、文件擴(kuò)展名、大小、命名空間和時(shí)序的修改請(qǐng)求。

6、日志，它現(xiàn)在可以提供有關(guān)應(yīng)用程序池、進(jìn)程、網(wǎng)站、應(yīng)用程序域和運(yùn)行請(qǐng)求的實(shí)時(shí)狀態(tài)信息，并且能夠在整個(gè)請(qǐng)求與應(yīng)答過(guò)程中跟蹤某個(gè)請(qǐng)求。

7、服務(wù)器證書

8、安全套接層

9、共享配置

其他增強(qiáng)IIS 7安全性的功能還包括：Web服務(wù)器專用的新型內(nèi)置用戶帳戶和組帳戶。該功能啟用了一個(gè)系統(tǒng)之間通用的安全標(biāo)識(shí)符（SID），從而簡(jiǎn)化了訪問(wèn)控制列表管理，以及應(yīng)用程序池保護(hù)機(jī)制（sandboxing）。同時(shí)，應(yīng)用程序管理員可以配置哪些設(shè)置，服務(wù)器管理員都能完全控制，同時(shí)讓他們直接在應(yīng)用程序上做出配置的改變，無(wú)需使用管理權(quán)限去訪問(wèn)服務(wù)器。

IIS 7與以前的產(chǎn)品相比非常不同，這對(duì)用戶來(lái)說(shuō)是一件好事。它的設(shè)計(jì)與創(chuàng)建遵循了經(jīng)典的安全原則，它為使用Windows系統(tǒng)的企業(yè)提供了一個(gè)比過(guò)去更加安全的、更容易配置和管理的Web服務(wù)器。從安全的角度看，它可能還做得不夠，還不能動(dòng)搖Linux和Apache工作站的地位，但是微軟的確已經(jīng)縮小了與它們的差距。管理員可能還需要一段時(shí)間來(lái)適應(yīng)新的模塊化方式以及管理工具和任務(wù)。盡管管理員都熟悉Windows操作系統(tǒng)和框架，但仍需要培訓(xùn)和進(jìn)行系統(tǒng)測(cè)試。

【編輯推薦】

1. 微軟發(fā)布IIS安全漏洞大家還是用MS FTP 7.5吧
2. 對(duì)IIS安全機(jī)制的深入解析