盡管Windows服務器憑借其特有的穩定性，贏得了眾多用戶的青睞；不過在該服務器中搭建IIS服務器時，IIS服務器的安全并不是無懈可擊，這主要是Windows服務器中的IIS組件存在不少安全漏洞，這樣一來就很容易招來各種非法攻擊，盡管通過安裝相關補丁能夠及時修復這些安全漏洞，但無奈新漏洞又會層出不窮地出現。為了讓IIS服務器變得無懈可擊，本文特意為各位準備了以下安全防范招法，相信在這些招法的“保駕護航”下，你的IIS服務器的安全性能一定得到進一步增強。

　　1、及時刪除無效映射

　　在默認狀態下，IIS服務器會自動創建好十幾種應用程序的映射關系，可事實上，許多Web網站僅僅用到asp這個應用程序映射，其他應用程序映射幾乎沒有任何作用；如果你將這些用不著的無效映射保留在IIS服務器中的話，它們可能會給服務器帶來安全威脅，因為不少應用程序映射都存在安全漏洞，這些漏洞往往很容易被黑客或非法攻擊者利用。為此，筆者建議各位僅將Web網站使用到的幾個應用程序映射保留下來，而其他用不著的映射必須及時刪除，哪怕以后需要用時再重新添加一次也可以。在刪除無效應用程序映射時，你可以按照下面的步驟來操作：

　　依次單擊“開始”/“程序”/“管理工具”/“Internet服務管理器”命令，在彈出的Internet信息服務控制臺窗口中，用鼠標右鍵單擊目標Web網站，從彈出的快捷菜單中執行“屬性”命令，在其后出現的Web站點屬性設置窗口中，單擊“主目錄”標簽；

　　在接著出現的對應標簽頁面中，單擊“配置”按鈕，進入到應用程序映射配置界面；從該界面中，你將看到IIS服務器已經自動創建好十幾種應用程序的映射關系了；此時你可以選中某個暫時用不到的應用程序的映射項目，然后單擊“刪除”按鈕，就能把當前選中的映射項目刪除掉了。你也可以接著Ctrl、Shift鍵來同時選中多個無效的應用程序映射項目，然后再單擊“刪除”按鈕，這樣就能一次性刪除多個無效程序映射項目了。

　　當然，要是你的確需要某個應用程序映射項目時，就必須在系統中安裝對應該映射的系統修補補丁，同時打開對應映射項目的編輯窗口，并將該窗口中的“檢查文件是否存在”復選項選中；如此一來，日后IIS服務器一旦接受到對應文件請求時，就會自動先檢查對應文件是否存在，要是文件的確存在的話，IIS才會去調用映射中事先定義好的動態鏈接庫來解析目標文件。

    2、取消匿名訪問功能

　　要是允許任何人隨意訪問IIS服務器的話，那么服務器遭受攻擊的可能性就會大大增加；要想盡可能地降低被攻擊的風險，對服務器進行限制訪問就成為了必然需求。目前限制用戶訪問最常用的一種方式，就是對用戶的身份進行驗證，但無奈IIS服務器在默認狀態下，會允許匿名訪問的；因此在對用戶進行身份驗證之前，你必須先取消IIS服務器的匿名訪問功能：

　　依次單擊“開始”/“程序”/“管理工具”/“Internet服務管理器”命令，在彈出的Internet信息服務控制臺窗口中，用鼠標右鍵單擊目標Web網站，從彈出的快捷菜單中執行“屬性”命令，在其后出現的Web站點屬性設置窗口中，單擊“目錄安全性”標簽；在對應標簽頁面的“匿名訪問和驗證控制”設置項處，單擊“編輯”按鈕，在彈出的設置窗口中，取消“匿名訪問”選項的選中狀態；接著再選中“集成Windows驗證”復選項，再單擊一下“確定”按鈕就可以了。

    3、進行SSL加密驗證

　　大家知道在缺省狀態下，SSL服務器是通過http協議以普通明文的方式來傳輸信息的，黑客或非法攻擊者只要通過專業的嗅探器，就能輕易截取傳輸的帳號或密碼，這樣就容易給IIS服務器自身帶來安全危險。為了阻止黑客或非法攻擊者輕易竊取重要的隱私信息，你可以采用下面的方法來對IIS服務器進行SSL加密驗證，以便對在IIS服務器中傳輸的信息進行加密：

　　要想對IIS服務器進行SSL加密，你首先需要在Windows 2003服務器系統中安裝證書服務，而在默認狀態下該服務是沒有被安裝的。在安裝證書服務時，你可以依次單擊“開始”/“設置”/“控制面板”命令，在其后出現的控制面板窗口中，雙擊“添加/刪除程序”圖標，然后單擊“添加/刪除Windows組件”標簽，并在對應的標簽頁面中，選中“證書服務”選項，單擊“下一步”按鈕，在接著出現的向導設置窗口中，選中“獨立根CA”選項，繼續單擊“下一步”按鈕后，正確設置好CA服務器的名稱信息以及使用期限，最后再為證書數據庫以及相關日志文件指定好保存路徑，就可以完成對證書服務的安裝操作了。

　　接著我們需要對安裝在SSL服務器中的目標網站，創建一個請求證書文件。在創建請求證書文件時，必須依次單擊“開始”/“程序”/“管理工具”/“Internet服務管理器”命令，在彈出的Internet信息服務控制臺窗口中，用鼠標右鍵單擊目標Web網站，從彈出的快捷菜單中執行“屬性”命令，在其后出現的Web站點屬性設置窗口中，單擊“目錄安全性”標簽；

　　在對應標簽頁面的“安全通信”設置項處，單擊一下“服務器證書”按鈕，在接著打開的證書創建向導窗口中，單擊“下一步”按鈕，在隨后彈出的設置窗口中，選中“創建一個新證書”選項，繼續單擊“下一步”按鈕，然后將“現在準備請求，但稍候發送”項目選中；

　　當向導窗口出現命名和安全設置提示時，你必須要為新證書正確輸入證書名稱，同時設置好加密密鑰的位長，默認位長為512位；繼續單擊“下一步”按鈕，然后按照提示設置好證書的組織單位、公用名稱等信息，再設置好請求證書的保存路徑，最后單擊“完成”按鈕就可以了。

    完成上面的設置后，你還需要將前面創建好的請求證書文件提交給IIS網站的證書服務器。在將請求證書文件提交給IIS網站的證書服務器時，首先需要將Windows系統目錄“system32”下的“CertSrv”子目錄，直接復制到目標網站的根目錄下；然后在服務器系統中打開IE瀏覽器窗口，并在其地址欄中輸入“http://www.aaa.com/CertSrv/default.asp”URL地址（其中“www.aaa.com”為目標網站的網址），在接著出現的證書服務歡迎界面中，單擊一下“申請一個證書”鏈接，并在其后的頁面中將證書申請類型設置為“高級證書申請”；接下來在高級證書申請頁面中，單擊“使用base64編碼……”鏈接，然后把前面創建好的證書請求文件，直接復制到此處的“保存的申請”文本框中，再單擊“提交”按鈕就能完成證書請求文件的提交任務了。

　　一旦將請求證書文件提交給證書服務器后，你還需要進行頒發證書操作，才能使證書有效。在頒發證書時，你可以依次單擊“開始”/“設置”/“控制面板”命令，在彈出的控制面板窗口中，找到“證書頒發機構”圖標，然后用鼠標雙擊該圖標；在接著打開的設置窗口中，將鼠標定位到“掛起的申請”選項上，然后用鼠標右鍵單擊前面申請的證書，在其后彈出的右鍵菜單中依次單擊“所有任務”/“頒發”命令；

　　等到頒發操作完畢后，再雙擊剛剛頒發成功的證書，并在證書設置窗口中單擊“詳細信息”標簽，然后在對應標簽頁面中單擊一下“復制到文件”按鈕，打開一個文件導出向導界面，根據向導提示設置好導出文件的名稱以及保存路徑，最后單擊一下“完成”按鈕。

　　頒發完服務器證書之后，IIS服務器還沒有把SSL加密功能啟動起來，你還需要在Internet服務管理器控制臺中，對IIS服務器進行進一步配置。在配置時，你必須重新進入到目標網站的“目錄安全性”標簽頁面，再次單擊該頁面中的“服務器證書”按鈕，在隨后打開的設置窗口中，將“處理掛起的請求……”項目選中，接著按照向導提示設置好服務器證書文件的存放路徑，同時啟用SSL默認的“443”端口，再單擊“完成”按鈕；然后重新返回到“目錄安全性”標簽頁面，單擊“安全通信”設置項處的“編輯”按鈕，在其后打開的編輯設置窗口中，將“要求安全通信”選項選中，最后單擊一下“確定”按鈕，這樣IIS服務器的SSL加密功能就被正式啟用了。日后你想訪問目標網站“www.aaa.com”時，就必須在IE地址欄中輸入“https://www.aaa.com”才可以瀏覽到網站內容，而且你在該網站中提交的任何信息都是被加密之后才傳輸的，因此網站信息的安全性就會得到大大增強。

    4、巧用日志尋找安全隱患

　　任何對IIS服務器的訪問，都會在服務器中留下訪問記錄，黑客或非法攻擊者的訪問同樣也會在日志文件中留下痕跡；因此，要是我們能活用日志文件，就能及時知道黑客是否對IIS服務器進行了攻擊，并且還能知道什么時候進行了攻擊；一旦發現有攻擊記錄時，必須及時采用安全應對措施來阻止黑客的繼續攻擊。考慮到IIS服務器的日志記錄，在默認狀態下保存在Windows系統的“system32\logfiles”文件夾中，許多黑客很容易從這里找到原始日志文件，并對該日志文件進行修改，從而抹除其攻擊痕跡，這樣我們就無法從日志文件中知道IIS服務器是否存在安全隱患。為了阻止黑客隨意更改日志記錄文件，你可以按照如下步驟來修改日志文件的保存路徑：

　　依次單擊“開始”/“程序”/“管理工具”/“Internet服務管理器”命令，在彈出的Internet信息服務控制臺窗口中，用鼠標右鍵單擊目標Web網站，從彈出的快捷菜單中執行“屬性”命令，在其后出現的Web站點屬性設置窗口中，單擊“Web站點”標簽；在對應的標簽頁面中，將“啟用日志記錄”選項選中，同時單擊一下“屬性”按鈕，在隨后出現的屬性設置框中，你將看到IIS服務器的日志文件默認存放位置為“%Windir%\System32\Logfiles”；

　　此時你可以單擊“瀏覽”按鈕，在接著出現的文件夾選擇對話框中，選擇一個藏匿較深的子文件夾，作為IIS服務器日志文件新的存放位置。此外，為了能讓日志文件及時記錄黑客攻擊行為，你最好在“新日志時間間隔”設置項處，選中“每天”選項；然后在“擴充的屬性”標簽頁面中，你必須指定IIS服務器到底記錄哪方面的內容；最后為了防止黑客隨意改動日志文件，你還需要返回到系統資源管理器窗口，修改一下目標日志文件的屬性，讓日志文件只有本地管理員才有權限訪問。完成上面的設置后，IIS服務器的日志文件就能發揮應有作用，并能幫助你及時查找到服務器中存在的安全隱患了。

    5、限定特定區域主機的來訪

　　要是安裝在IIS服務器中的防火墻，總提示你有來自特定區域的某些上網主機，在不斷嘗試著攻擊你的服務器時，你完全可以將這些“可疑”主機全部封殺，以阻止它們對服務器的繼續攻擊。在封殺這些“可疑”主機時，你可以按照如下步驟來進行：

　　依次單擊“開始”/“程序”/“管理工具”/“Internet服務管理器”命令，在彈出的Internet信息服務控制臺窗口中，用鼠標右鍵單擊目標Web網站，從彈出的快捷菜單中執行“屬性”命令，在其后出現的Web站點屬性設置窗口中，單擊“目錄安全性”標簽； 在對應的標簽頁面中，單擊“IP地址及域名限制”設置項處的“編輯”按鈕，在彈出的設置窗口中，你可以選中“授權訪問”選項，然后在“以下所列除外”列表處單擊“添加”按鈕，在其后彈出的“拒絕訪問”設置框中，你可以將“一組計算機”選中，接著輸入該組區域中的任何一臺計算機的IP地址，同時在“子網掩碼”處輸入該區域的子網掩碼，這樣你就能將來自“可疑”區域的全部主機都封殺掉了。

　　要是你只想對單臺可疑計算機進行“封殺”的話，那么你可以選中“一臺計算機”選項，同時在“IP地址”文本框中直接輸入需要封殺的計算機IP地址，最后單擊“確定”按鈕返回到圖7所示的設置窗口中；倘若還想限制其他單臺計算機對IIS服務器的訪問時，你可以繼續單擊“添加”按鈕，然后繼續輸入需要限制的計算機IP地址，這樣所有出現在“以下所列除外”框中的目標計算機，都沒有訪問IIS服務器的權限了，而其他計算機都能正常訪問IIS服務器。

    6、巧用內容分級確保訪問安全

　　要是在IIS服務器中發布的網站信息，你不想讓所有訪問者都能看到的話，那么你可以對發布的網站內容進行分級設置，以便阻止受限用戶隨意查看目標站點的內容。巧用內容分級功能，你可以輕松限制哪些網站內容可以被授權訪問，哪些內容又不能被用戶隨意訪問。要對目標網站進行內容分級的話，可以按照下面的步驟來進行：

　　依次單擊“開始”/“程序”/“管理工具”/“Internet服務管理器”命令，在彈出的Internet信息服務控制臺窗口中，用鼠標右鍵單擊目標Web網站，從彈出的快捷菜單中執行“屬性”命令，在其后出現的Web站點屬性設置窗口中，單擊“HTTP頭”標簽；

　　在對應的標簽頁面中，你可以單擊“內容分級”設置項處的“編輯分級”按鈕，在其后打開的編輯設置窗口中，單擊“分級”標簽，然后在標簽頁面中，將“此資源啟用分級”復選框選中；

　　下面，在“類別”設置項處，選中一種合適的類別名稱，這樣對應類別的分級滑塊將會自動顯示出來，此時你只要移動該滑塊，就能改變當前類別的分級級別；完成好上面的設置操作后，再單擊一下“確定”按鈕，這樣就能把前面的設置保存好了，以后瀏覽者在訪問指定類別內容時，就會受到一定的限制了。