加固Windows Server 2003 IIS 服务器

　　除了安全性考虑之外，将站点和应用程序文件和文件夹放置在一个专用的磁盘卷中使诸如备份和恢复这样的管理任务变得更加容易。而且，将这种类型的内容放在一个分开的专用物理驱动器中有助于减少系统分区中的磁盘争用现象，并且改善磁盘的整体访问性能。

　　设置 NTFS 权限

　　Windows Server 2003 将检查 NTFS 文件系统的权限,以确定用户或进程对特定文件或文件夹具有的访问权限类型。

　　您应该分配相应的 NTFS 权限，以便在本指南定义的三种环境下，允许或拒绝特定用户对 IIS 服务器上站点的访问。

　　NTFS 访问权限应当与 Web 访问权限协同使用，而不是取代 Web 权限。NTFS 权限只影响那些已经被允许或被拒绝访问站点和应用程序内容的帐户。Web 权限则影响所有访问站点或应用程序的用户。如果站点权限与 NTFS 权限在某个文件夹或目录上发生冲突，限制性更强的设置将生效。

　　对于不允许匿名访问的站点和应用程序，匿名帐户访问将被明确拒绝。当没有经过身份验证的用户访问系统资源时，就是匿名访问。匿名帐户包括内置“Guest”帐户、“Guests”组和“IIS Anonymous”帐户。此外，除了 IIS 管理员之外，对其它任何用户都应该清除所有的写权限。

　　下表提供了关于 NTFS 权限的一些建议，这些权限将应用于 IIS 服务器上不同的文件类型。不同的文件类型可以被组织在不同的文件夹中，以简化应用 NTFS 权限的过程。

　　表 5：NTFS 权限

　　文件类型 建议的 NTFS 权限

　　CGI 文件（.exe、.dll、.cmd、.pl）

　　Everyone（执行）

　　Administrators（完全控制）

　　System（完全控制）

　　脚本文件 (.asp)

　　Everyone（执行）

　　Administrators（完全控制）

　　System（完全控制）

　　包含文件（.inc、.shtm、.shtml）

　　Everyone（执行）

　　Administrators（完全控制）

　　System（完全控制）

　　静态内容（.txt、.gif、.jpg、.htm、.html）

　　Everyone（只读）

　　Administrators（完全控制）

　　System（完全控制）

　　设置 IIS Web 站点权限

　　IIS 将检查 Web 站点权限，以确定在 Web 站点中可能发生的操作类型，例如允许脚本源访问或允许文件夹浏览。您应该为 Web 站点分配权限，以便进一步保证 IIS 服务器上的站点在本指南定义的三种环境下的安全性。

　　Web 站点权限可与 NTFS 权限结合使用。它们可配置给特定的站点、文件夹和文件。与 NTFS 权限不同，Web 站点权限影响试图访问 IIS 服务器站点的每个人。Web 站点权限可以通过使用 IIS 管理器管理单元得到应用。

　　下表列举了 IIS 6.0 支持的 Web 站点权限，并且提供了简要描述，解释如何为 Web 站点分配给定的权限。

　　表 6：IIS 6.0 Web 站点权限

　　Web 站点权限： 授予的权限：

　　读

　　用户可查看目录或文件的内容和属性。在默认情况下，该权限为选中状态。

　　写用户可更改目录或文件的内容和属性。

　　脚本源访问

　　用户可以访问源文件。如果启用“读”权限，则可以读取源文件；如果启用“写”权限，则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限，也不启用“写”权限，则此选项将不可用。

　　要点：启用“脚本源访问”时，用户可以查看敏感信息，例如用户名和密码。他们还可以更改 IIS 服务器上运行的源代码，从而严重影响服务器的安全性和性能。

　　目录浏览

　　用户可以查看文件列表和集合。

　　日志访问

　　每次访问 Web 站点都会创建日志条目。

　　索引此资源

　　允许使用索引服务索引资源。这样便可以对资源执行搜索。

　　执行

　　以下选项确定用户运行脚本的级别：

　　“无” — 不允许在服务器上运行脚本和可执行文件。

　　“仅限于脚本” — 仅允许在服务器上运行脚本。

　　“脚本和可执行文件” — 允许在服务器上运行脚本和可执行文件。

　　配置 IIS 日志

　　本指南建议在指南定义的三种环境下均启用 IIS 服务器上的 IIS 日志。

　　可以为每个站点或应用程序创建单独的日志。IIS 可以记录 Microsoft Windows? 操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS 日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。IIS 日志可被用来了解那些内容最受欢迎，确定信息瓶颈，或者用作协助攻击事件调查的资源。

　　IIS 管理器管理单元可以用来配置日志文件格式、日志计划以及将被记录的确切信息。为限制日志的大小，应当对所记录信息的内容进行仔细规划。

　　当 IIS 日志被启用时，IIS 使用 W3C 扩展日志文件格式来创建日常操作记录，并存储到在 IIS 管理器中为站点指定的目录中。为改善服务器性能，日志文件应当存储到系统卷以外的条带集或条带集/镜像磁盘卷上。

　　而且，您还可以使用完整的全局命名约定 (UNC) 路径将日志文件写到网络上以便远程共享。远程日志让管理员能够建立集中的日志文件存储和备份。但是，通过网络对日志文件进行写操作可能会对服务器性能带来负面影响。

　　IIS 日志可以配置为使用其它几种 ASCII 或开放数据库连接 (ODBC) 文件格式。ODBC 日志让 IIS 能够将活动信息存储到 SQL 数据库中。但是，应该注意，当启用 ODBC 日志时，IIS 将禁用内核模式缓存。因此，执行 ODBC 日志会降低服务器的总体性能。

　　存放数以百计的站点的 IIS 服务器通过启用集中的二进制日志来改善日志性能。集中化的二进制日志允许 IIS 服务器将所有 Web 站点的活动信息写到一个日志文件上。这样，通过减少需要逐一存储和分析的日志文件的数量，大大地提高了 IIS 日志记录过程的可管理性和可伸缩性。有关集中化二进制日志的更多信息，请参阅 Microsoft TechNet 主题“Centralized Binary Logging”，其网址为：http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp（英文）。

　　当 IIS 日志按默认设置存储在 IIS 服务器中时，只有服务器管理员有权访问它们。如果日志文件的文件夹或文件的所有者不在“Local Administrators”组中时，HTTP.sys — IIS 6.0 的内核模式驱动程序 — 将向 NT 事件日志发布一个错误。该错误指出文件夹或文件的所有者不在“Local Administrators”组中，并且这个站点的日志将暂时失效，直到其所有者被添加到“Local Administrators”组中，或者现有的文件夹或文件被删除。