IIS安全配置研究

2024年4月11日发(作者：)

IIS安全配置研究

摘要：本文选取了一种Web数据库系统的服务器端应用技术(IIS)

进行了分析，望提高Web数据库系统的安全性，使得IIS成为一个相

对稳定、比较安全的服务器平台，能够为我们提供安全的服务。

关键词：IIS 服务器 功能和用途 安全设置

1 IIS的安装

在Windows XP操作系统上安装IIS是很方便的。准备一张

Windows XP操作系统安装盘，放入光驱之后自动跳出菜单，选择安

装可选的Windows组件选项，在可选组件中把Internet信息服务(IIS)

勾选上，之后按下一步，自动安装。出现提示插入光盘时候选择光盘

文件目录下面的I386这个目录，确定之后就可以继续安装，顺利完

成了。

安装时注意尽量避免把IIS软件安装在系统分区上，否则如果IIS

设置不合理会使系统文件遭受非法访问。

2 改变日志目录

IIS服务器一共有3种日志文件格式，分别是Microsoft IIS日志

文件格式、NCSA公用日志文件格式和W3C扩展日志文件格式。默

认情况是W3C扩展日志文件格式，它是最详细的格式。默认情况下，

日志保存路径是%systemroot%system32Logfiles，我们可以改变这个

目录的地址让它指向另外一个服务器。入侵者会采用删除系统日志记

录的方式来隐藏他们入侵的痕迹。我们要确保IIS生成的日志文件

(%systemroot%system32LogFiles)上的ACL是：Administrators(完全

控制)、System(完全控制)、Everyone(RWC)，这有助于防止恶意用户

删除文件以掩饰他们的踪迹。如果黑客控制了Web服务器，这个目

录下的日志很快会被找到，对它们进行修改或者删除。把日志存储目

录放在另外一个位置，就增强了日志的安全性。

3 IIS的元素据转移

IIS维护包含所有设置值的数据库称为元数据库。它的文件名是

，存储位置是%systemroot%system32inetsrv。元数据库

中的配置属性不正确可能会导致问题，包括一个Web站点或FTP站

点的失败。如果发生错误，Web站点或FTP站点的配置可能被损坏。

所以只有我们无法在界面进行设置的时候才对元数据库直接进行操

作，而且每当直接编辑元数据库时必须要格外小心。同时，如果黑客

和入侵者破坏或者替换元数据库中的数据可能会对服务器安全产生

威胁，我们可以选择转移元数据库，同时还需要修改注册表。

4 访问权限设置

站点文件可以在操作系统内直接进行设置，也可以在IIS服务器

进行设置。一般而言，对一个文件夹永远也不应同时设置写和执行权

限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也

应禁止，防止黑客浏览整个目录，寻找漏洞进行攻击。一个好的设置

策略是：为Web站点上不同类型的文件都建立目录，然后给它们分

配适当权限。

根据程序的需要，我们可以做如下的设置：静态文件文件夹，包

括所有静态文件，如HTM或HTML，给予允许读取、拒绝写的权限。

ASP脚本文件夹，包含站点的所有脚本文件，如cgi、15vbs、asp等，

给予允许执行、拒绝写和读取的权限。可执行程序和二进制执行文件，

给予允许执行、拒绝写和拒绝读取的权限。

5 应用程序映射设置

Web应用程序可以使用多种编程和脚本语言来开发。因此，IIS

使用网站上请求资源的文件扩展名来确定运行哪个Internet服务器

API(ISAPI)或通用网关接口(CGI)程序处理请求。例如，以.aspx扩展

名结尾的请求将导致Web服务器调用程序(aspnet_)

来处理请求。从映射列表中我们可以发现很多个文件扩展名的映射，

大多数都是不熟悉的。除了.asp的这个程序映射，其它的文件在网站

上都很少用到。文件扩展名与ISAPI或CGI程序的关联称为“应用程

序映射”。在这些程序映射中，.htr、.idq/ida、.printer等多个程序映射

都已经被发现存在缓存溢出问题，入侵者可以利用这些程序映射中存

在的缓存溢出获得系统的权限。

如果我们不需要某种文件扩展名结尾的文件执行，那么就应该删

除它。不只是在这里适用这条“不需要便删除”的原则，在别的地方也

同样适用。越复杂，就越容易出错。删除方法是：在“Internet信息服

务”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目

录”标签中，点击“配置”按钮，弹出“应用程序配置”对话框，在“应用

程序映射”界面，删除无用的程序映射。

6 IP地址限制

IIS提供了IP限制的机制，你可以通过配置来设置特定的地址、

地址范围或者允许/拒绝的DNS名称。而如果客户端在被你阻止的IP

范围内，或者不在你允许的范围内，则会出现错误提示。设置IIS的

IP地址控制的方法是：进入IIS的属性/安全性/IP地址和域名限制。

如果要限制某些IP地址的访问，需要选择授权访问，点添加选择不

允许的IP地址。反之则可以只允许某些IP地址的访问。如果未经允

许或者权限不够的用户强行登录网站会出现禁止访问的错误消息

HTTP Error 403：403.6 Forbidden：IP address rejected。不过Windows

XP Professional版本的操作系统不支持该功能。

7 Session超时设置

IIS如果开放Session功能的话，访问Web应用程序的用户都会

创建一个会话属于自己。这个会话有一个等待响应时间。超过这个时

间未对网站进行操作就属于访问超时或者响应超时。用户得重新进行

登录，服务器重新创建一个Session给用户。一般IIS设置的默认时

间是20分钟。针对某个具体的Web应用程序来说需要设置的时间长

短不同。20分钟有时足以让黑客侵入系统，所以可以适当根据需要

把超时时间缩短。可以采用特殊技术实现用户透明登录。这里

可以采用Session和Cookies同时工作的方法让用户觉得自己既

没有超时又保证了服务器的安全。

8 其他相关设置

还有一些其他的相关设置，如删除不必要的虚拟目录、删除

危险的IIS组件、取消匿名访问、为操作系统打补丁、升级IIS软件

等。

这样，IIS就成为了一个相对稳定、比较安全的服务器平台，

能够为我们提供安全的服务。