互联网信息服务

IIS（InternetInformationServer，互联网信息服务）本章内容IIS基本配置IIS的安全问题IIS的辅助工具提高IIS效率的方法IIS简介IIS（InternetInformationServer，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。本章内容讲述Windows2000高级服务器版中自带的IIS5.0的配置和管理方法。（目前最高版本是IIS6.0)IIS是扮演所有用户端服务要求的接口，和一般结构不同的是对ASP文件的处理方式，当IIS收到ASP文件的服务要求时，它会调用必须的ISAPI或DLL程序，对ASP程序进行解释执行，经过处理后，IIS再将结果转为HTML格式传回给使用者的Web浏览器。IIS的安装和运行进入“控制面板”，依次选“添加/删除程序→添加/删除Windows组件”，将“Internet信息服务（IIS）”前的小钩去掉（如有），重新勾选中后按提示操作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。

IIS的运行当IIS添加成功之后，再进入“开始→程序→管理工具→Internet服务管理器”以打开IIS管理器，对于有“已停止”字样的服务，均在其上单击右键，选“启动”来开启。建立第一个Web站点请先在“默认Web站点”上单击右键，选“属性”，以进入名为“默认Web站点属性”设置界面。1．修改绑定的IP地址：转到“Web站点”窗口，再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“”。2．修改主目录：转到“主目录”窗口，再在“本地路径”输入（或用“浏览”按钮选择）好自己网页所在的“D:\Wy”目录。

3．添加虚拟目录：比如你的主目录在“D:\Wy”下，而你想输入“/test”的格式就可调出“E:\All”中的网页文件，这里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键，选“新建→虚拟目录”，依次在“别名”处输入“test”，在“目录”处输入“E:\All”后再按提示操作即可添加成功。4．添加首页文件名：转到“文档”窗口，再按“添加”按钮，根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。

添加多个Web站点多个IP对应多个Web站点如果本机已绑定了多个IP地址，想利用不同的IP地址得出不同的Web页面，则只需在“默认Web站点”处单击右键，选“新建→站点”，然后根据提示在“说明”处输入任意用于说明它的内容（比如为“我的第二个Web站点”）、在“输入Web站点使用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可；当建立好此Web站点之后，再按上步的方法进行相应设置。

一个IP地址对应多个Web站点当按上步的方法建立好所有的Web站点后，对于做虚拟主机，可以通过给各Web站点设不同的端口号来实现，比如给一个Web站点设为80，一个设为81，一个设为82……（如图2），则对于端口号是80的Web站点，访问格式仍然直接是IP地址就可以了，而对于绑定其他端口号的Web站点，访问时必须在IP地址后面加上相应的端口号，也即使用如“:81”的格式。

3．多个域名对应同个Web站点你只需先将某个IP地址绑定到Web站点上，再在DNS服务器中，将所需域名全部映射向你的这个IP地址上，则你在浏览器中输入任何一个域名，都会直接得到所设置好的那个网站的内容。对IIS服务的远程管理1．在“管理Web站点”上单击右键，选“属性”，再进入“Web站点”窗口，选择好“IP地址”。

2．转到“目录安全性”窗口，单击“IP地址及域名限制”下的“编辑”按钮，点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理；最后单击“确定”按钮。3．则在任意计算机的浏览器中输入如“:3598”（3598为其端口号）的格式后，将会出现一个密码询问窗口，输入管理员帐号名（Administrator）和相应密码之后就可登录成功，现在就可以在浏览器中对IIS进行远程管理了！在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建、修改、启动、停止和删除等操作。

IIS常见漏洞ISM.DLL缓冲截断漏洞IIS存在的Unicode解析错误漏洞Win2000+IIS5.0安全配置规范■．关闭所有不需要的服务*Alerter(disable)

*ClipBookServer(disable)

*ComputerBrowser(disable)

*DHCPClient(disable)

*DirectoryReplicator(disable)

*FTPpublishingservice(disable)

*LicenseLoggingService(disable)

*Messenger(disable)

*Netlogon(disable)

*NetworkDDE(disable)

*NetworkDDEDSDM(disable)

*NetworkMonitor(disable)

*PlugandPlay(disableafterallhardwareconfiguration)

*RemoteAccessServer(disable)

*RemoteProcedureCall(RPC)locater(disable)

*Schedule(disable)

*Server(disable)

*SimpleServices(disable)

*Spooler(disable)

*TCP/IPNetbiosHelper(disable)

*TelephoneService(disable)

■.删除OS/2和POSIX子系统:

删除如下目录的任何键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2SubsystemforNT

删除如下的键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath

删除如下的键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Os2

删除如下目录：

c:\winnt\system32\os2■.帐号和密码策略

1）保证禁止guest帐号

2）将administrator改名为比较难猜的帐号

3）密码唯一性：记录上次的6个密码

4）最短密码期限：2

5）密码最长期限：42

6）最短密码长度：8

7）密码复杂化(passfilt.dll)：启用

8）用户必须登录方能更改密码：启用

9）帐号失败登录锁定的门限：6

10）锁定后重新启用的时间间隔：720分钟

■．保护文件和目录将C:\winnt,C:\winnt\config,C:\winnt\system32,C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限

■．注册表一些条目的修改

1）去除logon对话框中的shutdown按钮

将HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\WindowsNT\CurrentVersion\Winlogon\中

ShutdownWithoutLogonREG_SZ值设为0

2）去除logon信息的cashing功能

将HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\WindowsNT\CurrentVersion\Winlogon\中

CachedLogonsCountREG_SZ值设为0

3）隐藏上次登陆的用户名

将HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\WindowsNT\CurrentVersion\Winlogon\中

DontDisplayLastUserNameREG_SZ值设为1

4）限制LSA匿名访问

将HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Control\LSA中

RestricAnonymousREG_DWORD值设为1

5）去除所有网络共享

将HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Services\LanManServer\Parameters\中

AutoShareServerREG_DWORD值设为0

■.启用TCP/IP过滤

只允许TCP端口80和443（如果使用SSL）

不允许UDP端口

只允许IPProtocol6(TCP)

■.移动部分重要文件并加访问控制：

创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录：

xcopy.exe,wscript.exe,cscript.exe,net.exe,ftp.exe,telnet.exe,arp.exe,

edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,

qbasic.exe,runonce.exe,syskey.exe,cacls.exe,ipconfig.exe,rcp.exe,

secfixup.exe,nbtstat.exe,rdisk.exe,debug.exe,regedt32.exe,regedit.exe,

,netstat.exe,tracert.exe,nslookup.exe,rexec.exe,cmd.exe

■．安装防病毒软件■.可以下载Hisecweb.inf安全模板来配置

Http:///downl...US/hisecweb.exe

该模板配置基本的Windows2000系统安全策略。

将该模板复制到%windir%\security\templates目录。

打开“安全模板”工具，查看这些设置。

打开“安全配置和分析”工具，然后装载该模板。

右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。

等候操作完成。

查看结果，如有必要就更新该模板。

右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。

IIS的安全配置■.删除不必要的IIS映射和扩展：

IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您不使用其中的某些扩展或功能，则应删除该

映射，步骤如下：

打开Internet服务管理器：

选择计算机名，点鼠标右键，选择属性：

然后选择编辑

然后选择主目录，点击配置

选择扩展名\".htw\",\".htr\",\".idc\",\".ida\",\".idq\"和\".printer\"，点击删除

如果不使用serversideinclude，则删除\".shtm\"\".stm\"和\".shtml\"

■.禁用父路径:

“父路径”选项允许您在对诸如MapPath函数调用中使用“..”。在默认情况下，该选项

处于启用状态，应该禁用它。

禁用该选项的步骤如下：

右键单击该Web站点的根，然后从上下文菜单中选择“属性”。

单击“主目录”选项卡。

单击“配置”。

单击“应用程序选项”选项卡。

取消选择“启用父路径”复选框。

■.启用日志记录

确定服务器是否被攻击时，日志记录是极其重要的。

应使用W3C扩展日志记录格式，步骤如下：

打开Internet服务管理器：

右键单击站点，然后从上下文菜单中选择“属性”。

单击“Web站点”选项卡。

选中“启用日志记录”复选框。

从“活动日志格式”下拉列表中选择“W3C扩展日志文件格式”。

单击“属性”。

单击“扩展属性”选项卡，然后设置以下属性：

*客户IP地址

*用户名

*方法

*URI资源

*HTTP状态

*Win32状态

*用户代理

*服务器IP地址

*服务器端口IIS的辅助工具使用MetaBase，管理员可以完成关于IIS的所有工作，例如，建立一个虚拟目录；停止、启动或暂停Web站点；建立、删除、禁止或启用应用程序。微软提供了一个可视化工具MetaEdit帮助你读写MetaBase，你可以在这里下载它的最新版本。为了更有效地利用MetaBase，你应该试一下命令行接口IISAdministrationScript，简称为adsutil.vbs，你可以在C:\inetpub\adminscripts或者%SystemRoot%\system32\inetsrv\adminsamples目录下找到它。

IIS的辅助工具--站点内容压缩

可以使用pipeboost压缩站点功能IIS的辅助工具Web应用程序缓存

你可以把不同的文件或目录设置过期时间，打开IIS信息服务器，右击站点内容，单击属性，在跳出来的窗体中你就可以进行相应的设置了。如果你想让开发者自己设置，请使用CacheRight、XCache这些软件IIS的辅助工具站点的安全

找出你的服务器信息和操作系统信息是攻击者的第一个目标，所以不要暴露你的HTTP头让别人知道你运行的是IIS，使用ServerMask这类软件将HTTP头删除或替换掉。其次，你可以通过删除不必要的文件扩展名来进一步安装你的服务器环境。另外，你还可以扫描有问题的URL请求，微软提供了一个免费工具--URLScan。IIS的辅助工具补丁IIS信息服务器排错IIS服务器出错的原因是复杂的。象服务启动失败、IIS进程中断或者站点不能启动这些错误都会在系统日志中记录一个错误事件。不论IIS出现何种错误，在确定排错方案之前，都应先使用事件查看器查阅系统日志所记录的相关事件。某些错误显然是由服务器硬件的损坏而造成的，而另一些由于软件原因造成的错误往往不易察觉。重新启动IIS大多数软件问题可以通过重新启动到方法得以解决。作为IIS5.0的新功能之一，我们可以在不重新启动计算机的情况下重启IIS服务，甚至相当严重的问题都可以采用这种方法解决。重新启动IIS服务可以强迫系统重置IIS进程的内存空间，故由于内存错误引起的问题可以得到解决。重启IIS的方法主要用于下列情况：网站应用程序瘫痪、且不能有效加以控制；网站应用程序工作不正常或者不稳定。重新启动IIS服务的过程中，全部当前连接都不能保留，且重启期间服务器上的全部站点都不能工作。如果重启IIS服务不能解决问题，则重启服务器亦不会有效。

当站点应用程序不能正常工作时，按照下述步骤重新启动服务器的IIS服务：

1．在IIS管理控制树中展开IIS节点，选择需要重新启动IIS服务的计算机。

2．单击【操作】菜单，选择【重新启动IIS】。

3．在【停止/启动/重新启动】对话框中的【您向要IIS做什么】下拉列表中选择【重新启动服务器的IIS】，单击【确定】。

4．正在关闭】对话框显示重新启动IIS的进度，如果对话框长时间没有反应，单击【现在结束】并重新进行上述操作。

注意：对于单个站点的稳定性问题，不必重新启动整个IIS进程，只要重启站点即可。

备份/还原IISIIS的实现机制包括一个类似注册表的元数据库：MetaBase，有关IIS本身和站点的配置属性全部保存在Windows2000和元数据库MetaBase中。因此，只要将相关的注册表和元数据库进行备份，即可保存站点相关的全部配置。即使在删除站点甚至重新安装IIS之后，仍然能够利用备份恢复到原来的状态。备份IIS的步骤如下：

1．在IIS管理器中展开IIS节点，选择向要备份的计算机。

2．单击【操作】菜单，选择【备份/还原配置】。

3．在【备份/还原配置】对话框中的【备份】列表中列出全部备份文件以及备份时间。单击【创建备份】按钮。

4．在【备份配置】对话框中指定新建备份的名称，单击【确定】。

5．单击【关闭】完成备份。

默认情况下，备份文件将保存在Winnt\system32\inetsrv\MetaBack目录中。

IIS内置的备份、还原功能只能在本地服务器中使用，但如果想在网络中移植IIS网站配置信息到其它服务器，该工具就显得力不从心了。专门的备份工具IIS备份精灵IIS备份精灵只能用在相同版本的IIS网站间配置信息的移植IISExportUtility

可以对不同版本的IIS站点配置信息进行移植恢复备份的方法与此类似，在【备份/还原配置】对话框中的【备份】列表中选择一个备份文件，单击【还原】。然后再如左图所示的提示对话框中单击【确定】，一段时间之后，IIS服务器恢复到进行备份时所处的状态。

提高IIS网站服务器效率1.启用HTTP的持续作用可以改善15~20%的执行效率。

2.不启用记录可以改善5~8%的执行效率。

3.使用[独立]的处理程序会损失20%的执行效率。

4.增加快取记忆体的保存文档数量，可提高ActiveServerPages之效能。

5.勿使用CGI程式

6.增加IIS5.0电脑CPU数量。

7.勿启用ASP侦错功能。

8.静态网页采用HTTP压缩，大约可以减少20%的传输量。

1、启用HTTP的持续作用

启用HTTP的持续作用（Keep-Alive）时，IIS与浏览器的连线不会断线，可以改善执行效率，直到浏览器关闭时连线才会断线。因为维持「Keep-Alive」状态时，于每次用户端请求时都不须重新建立一个新的连接，所以将改善服务器的效率。

此功能为HTTP1.1预设的功能，HTTP1.0加上Keep-Aliveheader也可以提供HTTP的持续作用功能。2、启用HTTP的持续作用可以改善15~20%的执行效率。

如何启用HTTP的持续作用呢？步骤如下：

在[Internet服务管理员]中，选取整个IIS电脑、或Web站台，[内容]之[主目录]页，勾选[HTTP的持续作用]选项。

3、不启用记录

不启用记录可以改善5~8%的执行效率。

如何设定不启用记录呢？步骤如下：

在[Internet服务管理员]中，选取整个IIS电脑、或Web站台，於[内容]之[主目录]页，不勾选[启用记录]选项。

设定非独立的处理程序

使用[独立]的处理程序会损失20%的执行效率，此处所谓「独立」系指将[主目录]、[虚拟目录]页之应用程式保护选项设定为[高（独立的）]时。因此[应用程式保护]设定为[低(IIS处理程序)]时执行效率较高，设定画面如下：

如何设定非「独立」的处理程序呢？步骤如下：

在[Internet服务管理员]中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於[内容]之[主目录]、[虚拟目录]页，设定应用程式保护选项为[低(IIS处理程序)]。

4、调整快取（