2024年4月11日发(作者：)

微软IIS 7.5的安全性如何？

微软为了进一步表明其对安全的关注，重新编写了互联网信息服务（IIS）7.0版本，该版本

最早出现在Windows Server 2008的初始版本中。在它成功的基础上，微软推出了IIS 7.5，

这是世界第二大流行Web服务器的最新版本。

目前为止，IIS 7.5已经发布一年有余，它与Windows Server 2008 R2和Windows 7

一起公开发布。但是，虽然我曾希望看到现在有更多的用户安装IIS 7.5，但就目前来看，

这种情况还未发生。不过，我已经对几个安装了IIS 7.5的设备进行了安全评估，并得到了

积极的结果。

就Windows 7和Server 2008 R2而言，IIS 7.5的攻击面更少，微软采取的“机器外

的安全措施”也取得了较好的效果。但是IIS 7.5并不是没有缺陷的。最好的情况下，在你

下一次进行规则遵从审计前你还有几步工作需要完成。而最坏的情况下，它可能让你的Web

服务器受损，可能包括以下内容：







调试开启，这可能无意间将敏感的配置信息泄露给用户。

FrontPage插件开启，这可以通过枚举的方法泄露配置信息。

IIS没有host报头，这将泄露服务器内部IP地址，如下所示的HTTP响应：

HTTP/1.1 301 Moved Permanently

Content-Type: text/html; charset=UTF-8

Location: 172.16.1.10/site/

Server: Microsoft-IIS/7.5

X-Powered-By:

Date: Tue, 15 Nov 2010 10:51:43 GMT

Connection: close

Content-Length: 154

Object Moved

This document may be found

here

虽然这些漏洞不会直接将系统暴露在外，但是它们可以让攻击者对网络有机可乘。

更重要的是，这些漏洞涉及到了ASP堆栈消耗/FastCGI request报头缓冲区溢出

(MS10-065)和IIS验证内存溢出(MS10-040)，它们都可能使得安装了IIS 7.5的系统受到

直接的攻击。针对MS10-065漏洞已经有现成的利用程序，只需找出存在该漏洞的系统某

台机器，黑客就能轻松控制该机器。一旦发生这种情况，攻击者就能完全控制并自由操作系

统。

回顾IIS过去存在的问题，Oracle填充漏洞曾导致了一些严重的安全事件，更不用说密

码强度较弱的问题、输入验证问题等特殊应用程序漏洞。

总之，IIS 7.5在合理范围内是可靠、稳定、安全。然而，如果你放松警惕，新的服务

器级别漏洞和应用程序缺陷将会出现，并可能被攻击者利用来对付你。你可以按照微软的

Windows Server 2008 R2安全基准或者其它一些你认为重要的标准来强化IIS 7.5的安全

性，并坚持为系统打补丁，定期测试你的网络环境，并在需要时做必要的调整。虽然这不会

保证100%的安全，但会和你的安全期望相当接近。