提高IIS的安全性_ASP技巧

概要：使用IIS的省缺设置就象把你屋子的钥匙给了别人，本文教你如何把门锁上。（本文不是100%直译，括号中的是讨饭猫的废话）

没有任何系统是100%安全的，系统漏洞会不断地发现，这是因为黑客和系统管理员一样也在整天看着新闻组，收集着这方面的信息。黑与反黑之间的战斗会永远进行下去。

如果你采用IIS的省缺设置，那你在这场较量中就已经处于下风。Windows NT省缺下被安装为一个开放的服务器，即使是菜鸟hacker也能得手。但只要你做下面几个简单步骤，情况就会有很大改善。虽不敢说攻无不克，至少可以保护你的数据不象小克的拉链门一样世人皆知。

一个安全的系统要有多层保护。一般的计算机系统有三层保护，物理层，网络层，文件系统。物理层就是保护好计算机硬件本身，硬盘，软盘不被偷走，这就不用我多说了。网络层是要保护与Internet和本地LAN的网络连接，主要是靠防火墙和端口的存取权限设置。最里面的是文件系统，这也是大多数攻击的目标。下面我们主要也就讲这方面。

省缺设置的问题

NT省缺设置成一个开放系统，文件系统是几乎完全没有安全设置的，网络上的任何用户都可以读写删除其中的文件。这主要原因是NT中大量使用了 Everyone 组（更可怕是省缺给 full权限），理论上，地球上任何用户都属于everyone组。相比之下，NetWare就设置为一个封闭的系统，安全性就好很多。为什么Microsoft要做这种蠢事？原因可能是给最大权限可以减少许多因为权限问题带来的技术支持电话吧。（是这样吗？）

IIS同样也有很多问题。安装IIS时，系统建立一个前缀是IWAM_（早期版本是IUSR_)的帐户，该帐户属于Guest组，能够存取Guest组和Everyone组权限下的所有文件。在省缺安装下，90%的系统文件可以被该用户访问。

看来解决方法就是删除所有的everyone组权限了，但实际上这样做行不通。因为IIS不仅要存取HTML文件，还会调用Script和ActiveX控件，还涉及到DLL的执行，全部取消Everyone组权限会使系统出现这样那样的问题。所以要使用一些系统安全工具来一步步做。

系统安全工具

熟悉以下NT系统自带的安全工具是很重要的：

User Manager（usrmgr.exe)

IIS 4.0: Microsoft management console (MMC.EXE)

IIS 3.0: Internet service manager (INETMGR.EXE)

Registry editor (REGEDT32.EXE)

(介绍省略，不相信你没用过）

Command line ACL editor (CACLS.EXE)

这个工具可能知道的人不多，也是NT自带，用于管理access control list(ACL)。

Control panel, system applet

该工具用于管理系统环境变量。

步骤一：使用专用的Web组

1 用user manager建立一个名为WWW的本地组

2 将IWAM_账号从Guests组中删除，加入WWW组