IIS安全最佳做法 IIS Security Best Practice(转东转西）

主持人和专家介绍

Grace：大家好！欢迎进入微软在线技术聊天。我们的聊天将于4点准时开始。今天我们请到了微软最有价值专家 - Bernard Cheah。

Grace：聊天室的主題：IIS Security Best Practise

Grace：请大家准备好问题。我们的聊天很快就要开始。

Bernard[BB]：大家好-今天聊天主题是IIS安全最佳做法

Grace：欢迎你，Bernard!Bernard Cheah（BB）是新闻组中IIS方面非常著名的高手。 :-）

Grace：大家请在下面的窗口贴出问题，BB将在上面的窗口回答。谢谢！

---

来宾提问Q 和专家解答A

Bernard[BB]：先说说安全。。IIS安全不只是注重IIS服务器而已

Bernard[BB]：扫毒软件，防火墙，IDS入侵侦查软件及VPN等等。都要注意

Bernard[BB]：Q-then can you tell me what's iis ?

Bernard[BB]：A - IIS - Internet Information Server - Web服务

Bernard[BB]：Q -IIS Lock的工作原理是什么啊？"

Bernard[BB]：A - IIS Lockdown - IIS 锁定工具-帮助管理员设置一些安全选项

Bernard[BB]：Q - IIS如何能有效控制访问用的可用线程

Bernard[BB]：A - 可以用IP Restriction, 身份验证,NTFS权限等等

Bernard[BB]：Q - 有个问题，如果网站的代码有问题，如何防止这些代码危及其他站点甚至系统的安全？

Bernard[BB]：A - 把站点隔离成'高'，用独立的匿名用户，再配置NTFS权限

Bernard[BB]：Q - 我听说IIS需要三个帐号同步，才会工作正常，否则会引起500错误，是这样吗

Bernard[BB]：A - 两个帐号。是的，因为密码存放在三个地方。

Bernard[BB]：Q - 请问IP Restriction是什么

Bernard[BB]：A - IP 禁止设置。

Bernard[BB]：Q - iis的 ftp设置虚拟目录，有什么办法支持中文吗？

Bernard[BB]：A - IIS 6.0已经支持了。。

Bernard[BB]：Q - BB,请回答一下liyf的问题,并请回答一下,有什么最方便的方法让这三个账号密码同步

Bernard[BB]：A - 看看这文章http://support.microsoft.com/?id=297989

Bernard[BB]：Q - 我的IISADMIN服务启动不了!提示:IIS Admin服务因下列错误而停止:目录名无效.

Bernard[BB]：A - 把问题发到新闻组-microsoft.public.cn.iis - 原因很多-不能在这解答

Bernard[BB]：Q - 把站点隔离成'高'，用独立的匿名用户，再配置NTFS权限

Bernard[BB]：1. A - http://support.microsoft.com/?id=326086

Bernard[BB]：2. 建立用户-把该用户-设置成站点匿名用户

Bernard[BB]：3. 用NTFS来针对该用户权限。

Bernard[BB]：Q - IP Restriction 有一个专门的工具？还是仅仅是IIS的一个设置

Bernard[BB]：A - 只是个配置。看看http://support.microsoft.com/?id=324066

Bernard[BB]：Q - 为了安全起见，我通常将IIS的wwwroot移动到别的分区，之后只保留自己的站点文件，这样在初级完全方面是否起到一定作用

Bernard[BB]：A - 一般是这么配置的。

Bernard[BB]：Q - 如何把登录对话框做在页面里？而不是弹出来？（asp)

Bernard[BB]：A - 假如是用IIS本身验证功能-不能。另外可以用ASP自己编程

Bernard[BB]：Q - 一个网卡，用iis配置多个ip地址的网站怎么操作

Bernard[BB]：A - 看看http://support.microsoft.com/?id=190008

Bernard[BB]：Q - 现在大家对IIS的安全问题大都限于IIS的漏洞方面，请问除了这个，还有别的需要注意的地方吗？

Bernard[BB]：A - 看看这些文章

Bernard[BB]：管理Windows IIS Web服务的安全性 - http://www.microsoft.com/china/security/bestprac/MCSWebBP.asp

Bernard[BB]：IIS 5.0基本安全性检查清单 - http://www.microsoft.com/china/security/tools/iis5cl.asp

Resources for Securing Internet Information Services

http://support.microsoft.com/?id=282060

IIS 5 HiSecWeb Potential Risks and the IIS Lockdown Tool

http://support.microsoft.com/?id=316347

Microsoft TechNet - Make your web server secure

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/chklist/wsrvsec.asp

Building and Configuring More Secure Web Sites

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/openhack.asp

Bernard[BB]：Q - Q-补充，那么之前的默认目录是否可以完全删除。会不会影响系统稳定性

Bernard[BB]：A - 可以。IIS 6.0 默认已经没有添加默认虚拟目录

Bernard[BB]：Q - bb，还有一个有意思的问题，我记得有一次我们一个程序员由于代码编写问题，不小心写了个死循环，结果在他机器上试验的时候不断持续占用内存空间，直至机器运行不了陷入死机，那么如果象这种不完善的代码上传的服务器上，客户浏览的时候怎么才能防止类似的现象？用cpu资源限制么？

Bernard[BB]：A - 这。。在IIS6.0资源控制已经比较好。IIS5.1以下。。不是很理想

Bernard[BB]：所以还是要慢慢调式。

Bernard[BB]：Q - 我想把表单上取到的用户和密码拿给windows作验证，在asp.net里可以使用impersonate，在asp里如何做？

Bernard[BB]：A - 这属于asp, aspnet 问题- 可以看看 - http://support.microsoft.com/?id=248187

Bernard[BB]：Q - 我配置过一次NEWS服务，发现就不能删除系统默认自建的目录。提示有错误

Bernard[BB]：A - 默认control.* 是系统需要的，不可以删除

Bernard[BB]：Q - 记得网上曾经有一种asp的网页木马后门，上传上去后可以利用浏览器来执行系统命令如建立、删除、启动服务之类的，那么怎么防止此类攻击呢？

Bernard[BB]：A - 不允许上传，不就解决了吗？

Bernard[BB]：Q - IIS能否设置cookie得存取时间。我对国内一知名论坛程序作过试验，通过cookie得存取bug（可能算bug）可以突破论坛对我的上传文件数量的控制和其他一些发贴限制。

Bernard[BB]：A - 这一般都是代码设置，IIS只能Expire Content Page

Bernard[BB]：IIS安全工具- http://www.microsoft.com/china/security/tools/locktool.asp

Bernard[BB]：Urlscan 翻译 - http://www.chinamvp.com/msdn/review.asp?trans_id=26

Bernard[BB]：Q - 我的IIS最近出现一个怪问题：不能识别.exe文件，一个下载系统里，如果文件名是.exe后缀，则隔了好久后提示找不到此文件，而别的文件类型没有此现象；但是以前可以识别.exe文件，不知道这是为什么？

Bernard[BB]：A - 你有安装IISlockdown/Urlscan ?

Bernard[BB]：Q - 那不是其论坛安全性得不到保障，唉！失败

Bernard[BB]：A - 这些都属于代码及权限控制。与IIS无关

Bernard[BB]：Q - 我是说假如给企业开的ftp帐号密码被破解，别人上传了这个东西，怎么搞？

Bernard[BB]：A - 那么就像先前所的，隔离站点，用新的匿名用户，然后控制权限，该用户不能执行 cmd.exe 等等

Bernard[BB]：Q - 访问日志http回复？ 中文名字？"？不解其意

Bernard[BB]：A - IIS Web Access Log file. default: %windir%system32/logfiles/w3svX/

Bernard[BB]：Q - 我在windows server 2003 中, Asp 里 include file = "../conn.asp" 为什么不行呢?

Bernard[BB]：A - 默认是禁止的，看看http://support.microsoft.com/?id=332117

Bernard[BB]：Q - IUSR-XXXXX和IWAM-XXXXX这两个用户名有被破解密码的可能吗？

Bernard[BB]：A - 这本来是系统设置。比如9Dkaa#@kd

Bernard[BB]：A - 即使可以破解，也没有用。

Bernard[BB]：A - 用户权限很低

Bernard[BB]：Q - 在IIS5中改了注册表后对可以支持中文但装了urlscan后就不支持中文了£¿

Bernard[BB]：A - AllowHighBit设置了吗？

Bernard[BB]：Q - 如果被破解，他人是否能通过这两个用户名来登录或访问我的其他...

Bernard[BB]：A - 如何？http ？ 本地网络 ？用户权限太低，没有威胁。况且不是容易破解

Bernard[BB]：Q - 问个目录ACL的设置问题，网页有asp、cgi，要调用access或者sql数据库，权限该怎么设置。我一般是设置为管理员完全控制。everyone组读取及运行、写入、修改、列出权限，妥当否？

Bernard[BB]：A - 最好- iusr/iwam 运行、列出,只要在需要目录才允许写入、修改

Bernard[BB]：Q - 他们的权限有guest高或一样吗？

Bernard[BB]：A - iusr是GUEST组成员

Bernard[BB]：Q - 对了，我也遇到过iis5不支持中文目录，为何

Bernard[BB]：A – 用以下设置

1. HKLM/System/CurrentControlSet/Services/InetInfo/Parameters/FavorDBCS = 0.

2. Restart the server.

Bernard[BB]：A - IIS 5.0对unicode支持不好，IIS6.0就没有问题

Bernard[BB]：Q - AllowHighBit 在哪里设

Bernard[BB]：A - urlscan.ini

Bernard[BB]：Q - IIS日志中的500，200，304是什么意思呢？

Bernard[BB]：A - http://support.microsoft.com/?id=318380 HTTP回复资料

Bernard[BB]：Q - BB，你老说iis6好，什么时候帮我弄一套啊？

Bernard[BB]：A - 买 Windows 2003 Server

Bernard[BB]：Q - IWAM到底是用来做什么的？有些不大明白 Q

Bernard[BB]：A - IWAM_MACHINE 用于启动一个单独的进程，该 进程称为 Dllhost.exe，所有 Active Server Pages (ASP)、组件对象模型 (COM) 组 件或其他 ISAPI 扩展（ASP 被视为 ISAPI 扩展）都在该进程内运行。

Bernard[BB]：Q - 确实如你所说打开AllowHighBitCharacters我的中文路径又可以用了

Bernard[BB]：A - 默认是不允许，改了当然可以执行

Bernard[BB]：Q - 安装了iis后，自动添加的两个用户能不能禁用？禁用有什么影响，不禁用有什么安全隐患吗？

Bernard[BB]：A - 如果没有用到IIS，就禁用，不会有问题

---

结束语

Grace：感谢大家的参与.感谢微软最有价值专家 - Bernard Cheah的精彩回答.本次在线技术聊天圆满完成.

Grace：假如你还有问题，请在微软中文新闻组提问。

Grace：微软中文新闻组，<http://www.microsoft.com/china/community/newsgroup.asp>

Grace：我们每周四都有online chat, chat 的预告和整理请见http://www.microsoft.com/china/community/chat/chat.asp。谢谢大家的关注和参与！

Grace：再次感谢BB!

Bernard[BB]：谢谢。。