加固Windows Server 2003 IIS 服务器

通过 MSBP 应用的安全设置为 IIS 服务器提供大量的增强安全性。不过，还是应该考虑一些其他的注意事项和步骤。这些步骤不能通过组策略完成，而应该在所有的 IIS 服务器上手动执行。

仅安装必要的 IIS 组件

除“万维网发布服务”之外，IIS6.0 还包括其它的组件和服务，例如 FTP 和 SMTP 服务。您可以通过双击“控制面板”上的“添加/删除程序”来启动 Windows 组件向导应用程序服务器，以安装和启用 IIS 组件和服务。安装 IIS 之后，必须启用 Web 站点和应用程序所需的所有必要的 IIS 组件和服务。

您应该仅启用 Web 站点和应用程序所需的必要 IIS 组件和服务。启用不必要的组件和服务会增加 IIS 服务器的受攻击面。

有关 IIS 组件位置和建议设置的指导，请参阅如何识别 Windows Server 2003 中的 IIS 6.0 组件。

仅启用必要的 Web 服务扩展

许多运行于 IIS 服务器上的网站和应用程序具有超出静态页面范畴的扩展功能，包括生成动态内容的能力。通过 IIS 服务器提供的功能来产生或扩展的任何动态内容，都是通过使用 Web 服务扩展来实现的。

IIS 6.0 中增强的安全功能允许用户单独启用或禁用 Web 服务扩展。在一次新的安装之后，IIS 服务器将只传输静态内容。可通过 IIS 管理器中的 Web 服务扩展节点来启用动态内容功能。这些扩展包括 ASP.NET、SSI、WebDAV 和 FrontPage Server Extensions。

启用所有的 Web 服务扩展可确保与现有应用软件的最大可能的兼容性。但是，这可能带来一些安全性风险，因为当所有的扩展被启用时，同时也启用了您的环境下 IIS 服务器所不需要的功能，这样 IIS 的受攻击面就会增加。

为了尽可能减少 IIS 服务器的受攻击面，在本指南所定义的三种环境下，只应该在 IIS 服务器上启用必要的的 Web 服务扩展。