概述: IIS 6.0 SP1: 修补重要的Bugs  Windows Server 2003 Service Pack 1 list of updates -->http://support.microsoft.com/?id=824721  新增功能特性: IIS 6.0 Content Revision Summary(IIS 6.0)-->http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/8a7f678b-b163-4b99-8572-ecb83ea0bcdc.mspx
  Security Configuration Wizard -->Windows Server 2003 SP1中新增的可选组件  可以创建,编辑,应用或者撤回安全策略  类似与IIS Lockdown Tool  关于SCW的更多信息-->http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/default.mspx
  Metabase审计: 激活后,对MetaBase(IIS配置)的修改将记录相应的安全日志  记录的信息包括修改MetaBase的日期,时间,修改前后的数值以及做出修改的相应的用户账号  分两步激活: 激活audit object access的审计策略  执行iiscnfg.vbs/enableAudit激活
  如何启用Metabase审计呢?
20031746
  我现在来到一台计算机名称叫做GC的服务器  它是一台全局编录服务器同时是一台IIS 6.0服务器  我已经在这台服务器上安装GPMC了 通过开始--程序--管理工具--选择组策略管理来打开它  展开森:yejunsheng.com--域--yejunsheng.com--Domain Controllers--对着Default Domain Controllers Policy这条组策略右键--选择编辑  在组策略编辑器里面展开计算机配置--Windows设置--安全设置--本地策略--按审核策略--双击审核对象访问--然后把成功和失败都沟上  按确定   
20031747
  通过开始--运行--输入cmd按确定来打开命令提示符  在命令提示符里面输入cd \按回车键--输入cd windows\system32按回车键--输入cscript iiscnfg.vbs /enableaudit / /r按回车键  第一个/后面不输入任何值代表激活所有的节点  如果你不想激活节点的话就直接在命令提示符里面输入cscript iiscnfg.vbs /disableaudit / /r按回车键就ok了 
20031748
  激活这些节点之后会发生什么变化呢?  我把一个网站的端口修改一下看看是什么样的结果  打开Internet信息服务(IIS)管理器--展开网站--对着Microsoft这个网站右键--选择属性  把TCP端口从原来的80修改成802  按确定
20031749
  通过开始--运行--输入eventvwr按确定来打开事件查看器--按安全性  双击来源为IIS-METABASE这个事件--可以看到yejunsheng这个域中的管理员把 www.microsoft.com 这个网站的TCP端口从默认的80端口修改成802端口了
  集中的W3C Logging: 默认情况下,IIS中每个站点有单独的logging文件。对于同一服务器上有大量站点的情况,需要同时处理多个log文件的handle,对性能和拓展性有影响  每台服务器上所有站点使用一个W3C log(默认位置: %windir%\system32\logfiles\W3SVC)  Log字段: Site ID-与站点对应  所有W3C拓展字段   无UI支持,通过metabase激活: 需要重启www服务   可以通过文本阅读器阅读,而不需要特殊的Parser   FTP,NNTP,SMTP不支持W3C centralized logging                                                              cscript adsutil.vbs set W3SVC/CentralW3CLoggingEnabled true 
  如何使用文本阅读器阅读logging文件呢?
20031750
  打开命令提示符--在里面输入cd \按回车键--输入cd Inetpub\AdminScripts按回车键--输入cscript adsutil.vbs set w3svc/centralw3cloggingEnabled true按回车键  激活完成之后需要重启www服务  输入net stop w3svc & net start w3svc按回车键  此时我来访问一个网站  打开IE浏览器--在地址里面输入 http://www.microsoft.com 按回车键  看到了吧? 可以访问到这个网站的内容了-->Welcome to the Microsoft Site!  然后就可以去看这个日志了 在C:\WINDOWS\system32\LogFiles\W3SVC1162618920路径里面双击ex081005.log这个文件来打开它  在里面可以看到日期 浏览器的版本 客户端的操作系统等等  这个logging文件主要是记录功能 
  Kernel Mode SSL: Windows Server 2003 SP1后提供基于Kernel Mode的SSL,性能提高近20%  通过注册表激活-->HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters  Key: EnableKernelSSL(DWORD)  Value: 0=User Mode  1=Kernel Mode   Kernel Mode SSL不支持: 客户端证书  RC2 Cipher  PCT(Private Communications Technology) 1.0  服务器证书配置改变需要重新启动HTTP服务  Bulk encryption and offload   更多信息可参考"Changes to HTTP API in Windows Server 2003 SP1" -->http://www.microsoft.com/downloads/details.aspx?Familyld=A3DA3D7F-18C7-45CE-A47A-ED747DACEF34&displaylang=en 
  SSL Host Headers: 同服务器上多个SSL站点共享相同的IP,port和证书(仅Host Headers不同)。Windows Server 2003 SP1前不支持  注意: 配置没有图形界面支持,可通过命令行,脚本或者直接编辑metabase  每个站点都需要安装wildcard certificate,例如*.yejunsheng.com  为了避免非授权使用该证书,每个使用该证书的网站都需要配置secure bindings   语法: adsutil.vbs set W3SVC/<site identifier>/SecureBindings ":443:<host header>"  例如: adsutil.vbs set W3SVC/124325/SecureBindings ":443:www.test.com"
  如何启用安全的Web服务器呢?
20031751
  我来到IIS服务器这边  我已经在这台服务器上安装IIS 6.0 Resource Kit工具了  打开命令提示符--在里面输入cd \按回车键--输入cd windows\system32按回车键--输入iisweb /query按回车键  可以看到我已经创建二个网站了  第一个网站的主机头名叫做 www.microsoft.com 它的ID(标识符)是1162618920  第二个网站的主机头名叫做 www.intel.com 它的ID(标识符)是1235185738
20031752
  我现在使用IIS 6.0 Resource Kit工具来对 www.microsoft.com 这个网站进行自动生成一个证书   打开命令提示符--在里面输入cd \按回车键--输入cd pro*按回车键--输入cd IIS R*按回车键--输入cd selfssl按回车键--输入selfssl /T /S:1162618920 /N:cn=*.yejunsheng.com按回车键--输入Y按回车键  此时还需要去对Microsoft这个网站做一个安全绑定才行  输入cd \按回车键--输入cd inetpub\adminscripts按回车键--输入cscript adsutil.vbs set w3svc/1162618920/securebindings ":443:www.microsoft.com"按回车键  注意: 1162618920是M icrosoft 这个网站的ID(标识符)
20031753
  我现在来到一台计算机名称叫做internet的客户端  打开IE浏览器--在地址里面输入 https://www.microsoft.com 按回车键  看到了吗? 我现在是使用https这种方式访问Microsoft这个网站的  可以访问到网站的内容了-->Welcome to the Microsoft Site!  表明现在已经成功启用安全的Web服务器了
  刚才只是对Microsoft这个网站启用安全的Web连接  如何在启用安全Web服务器的基础上对Intel这个网站启用安全站点连接呢?
20031754
  打开Internet信息服务(IIS)管理器--展开网站--对着Intel这个网站右键--选择属性  在Intel属性里面按目录安全性--按服务器证书--接着下一步
20031755
  在选择此网站使用的方法里面选择分配现有证书  接着下一步
20031756
  选中刚才申请的*.yejunsheng.com这个证书  接着下一步
20031757
  在此网站应该使用的SSL端口里面保留默认值(443)  接着下一步 
20031758
  这是最后一步了  按完成
20031759
  此时还需要对Intel这个网站做一个安全绑定才行  在命令提示符的C:\Inetpub\AdminScripts这个路径下输入cscript adsutil.vbs set w3svc/1235185738/securebindings ":443:www.intel.com"按回车键  注意:1235185738是Intel这个网站的ID(标识符)  www.intel.com 是Intel这个网站的主机头名
20031760
  我来到一台计算机名称叫做internet的客户端测试一下  打开IE浏览器--在地址里面输入 https://www.intel.com 按回车键  看到了吧? 我现在是使用https这种方式访问的  可以访问到Intel这个网站的内容了-->Welcome to the intel site!  表明已经成功对Intel这个网站启用安全的站点连接了    
  其他新增特性: 64-bit/WoW64 Support-->让32位应用运行在x64上  增强的HTTP错误日志  Tracing的增强 
  参考资源: Changes to HTTP API in Windows Server 2003 SP1-->http://www.microsoft.com/downloads/details.aspx?Familyld=A3DA3D7F-18C7-45CE-A47A-ED747DACEF34&displaylang=en  Configuring SSL Host Headers(IIS 6.0)-->http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/596b9108-b1a7-494d-885d-f8941b07554c.mspx  Security Configuration Wizard-->http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/default.mspx  Troubleshooting IIS 6.0 with Tracing-->http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/f4535a1e-09da-4347-86ee-f51aef0dabbe.mspx