IIS5是Windows2000操作系統所帶的Internet服務程式包，他包含了www、ftp、smtp連同index server等等眾多實用功能。無論是創建一個Internet外部站點，還是構造一個Intranet內部應用，使用IIS5都是很好的選擇。同時，如何保障IIS5安全穩定運行、內容發布正確可靠，這是系統管理員必須高度重視的問題。本文就IIS5的安全策略設計進行概要分析，旨在讓大家從宏觀角度了解系統管理員都應在哪些方面執行必要的安全配置，然后根據實際環境再在各個環節分別擴展，最終創建一個安全的IIS5服務器。

為虛擬目錄配置適當的訪問權限

正確配置虛擬目錄的訪問權限，將會很大程度地影響其中文檔的安全可靠性。建議考慮以下幾個方面的配置原則：

文檔類型 建議的訪問權限

為不同類型的文檔創建不同的目錄

假如一個虛擬目錄下面有多種類型的文檔，按照上面的原則為每一種文檔配置訪問權限，無疑是很煩瑣的事情。因此，我們能夠采取為不同類型文檔創建不同目錄的方式，然后再按照上面的原則為每一個目錄配置相應的訪問權限。比如，我們能夠創建如下的目錄結構：

C:\inetpub\wwwroot\myserver\static：存放靜態文本文檔(.html)

C:\inetpub\wwwroot\myserver\include：存放包含文檔(.inc)

C:\inetpub\wwwroot\myserver\script：存放腳本文檔(.asp)

C:\inetpub\wwwroot\myserver\executable：存放可執行文檔(.exe,.dll, .cmd, .pl)

C:\inetpub\wwwroot\myserver\images：存放圖像文檔(.gif,.jpeg)

另外，請注意以下2個特別的目錄：

C:\inetpub\ftproot：FTP服務所在目錄

C:\inetpub\mailroot：SMTP服務所在目錄

這2個目錄的訪問權限是Everyone 完全控制(Full Control)，每個用戶都具備向其中添加數據的權限。這樣，就有可能造成目錄所在磁盤的空間耗盡。因此，我們建議：

將這2個目錄放置到另外的磁盤卷中，和其他的IIS服務程式分開。

使用Windows 2000 磁盤配額功能限制添加到這2個目錄的數據量。

為IIS日志文檔配置適合的訪問權限

IIS日志文檔記錄了任何訪問IIS服務程式的信息，他對于系統管理員檢測故障很重要。攻擊者為了銷毀他們的侵入痕跡，總是要想方設法刪除掉日志文檔。因此，我們建議對這些日志文檔進行重點保護，配置如下的訪問權限：

IIS日志文檔一般位于如下路徑：%systemroot%\system32\LogFiles。

使用日志文檔

日志文檔對于檢查服務器是否被攻擊是極為重要的。日志文檔有多種，我們建議使用"W3C擴充日志文檔格式"，步驟如下：

啟動"Internet服務管理器"

點擊鼠標右鍵選擇要配置的站點，在從彈出菜單中選擇"屬性"

點擊"Web站點"選項卡

點擊選中"啟用日志記錄"復選框

從"活動日志格式"下拉選擇框中選擇"W3C 擴充日志文檔格式"

點擊"屬性"

點擊"擴充的屬性"選項卡，然后依次選中如下屬性：

客戶IP地址

用戶名

方法

URI資源

HTTP狀態

Win32狀態

用戶代理

服務器IP地址

服務器端口

以上最后2個屬性只當一個電腦充當多個Web服務器時有意義，也就是所謂的虛擬主機。屬性"Win32狀態"對于調試很有用，當他的數值等于5時，表示禁止訪問（access denied）。我們能夠在命令行執行如下命令得到其他的"Win32狀態碼"所表示的含義：

net helpmsg err

其中err表示Win32狀態碼。

禁止或刪除任何的例子程式

默認安裝選項中，例子程式不會被安裝到機器中。對于一個正式應用的服務器，我們不應該在其中安裝任何例子程式。假如已安裝了某些例子程式，建議將他們完整刪除掉。為了查找方便，以下我們列出一些例子程式的默認安裝路徑：

例子程式類別 所在虛擬目錄 默認安裝路徑

IIS例子程式 \IISSamples c:\inetpub\iissamples

IIS文檔 \IISHelp c:\winnt\help\iishelp

Data Access \MSADC c:\program files\common files\system\msadc

刪除虛擬目錄IISADMPWD