破解IIS 6.0默认设置安全性的终极秘籍

因此，IIS 6.0被完全的重新设计，以实现默认安全和设计安全。本文主要讲述了IIS 6.0在默认设置和设计上安全性的改变是如何使其成为关键web应用的平台。

由于Web服务器被越来越多的骇客和蠕虫制造者作为首要攻击目标，IIS便也成为了Microsoft可信赖计算计划中首要关注的内容。因此，IIS 6.0被完全的重新设计，以实现默认安全和设计安全。本文主要讲述了IIS 6.0在默认设置和设计上安全性的改变是如何使其成为关键web应用的平台。

默认安全

过去，包括像微软这样的企业

，都在他们的web服务器上安装一系列的默认示例脚本，文件处理和最小文件授权，以提高管理员管理的灵活性和可用性。但是，这些默认设置都增加了IIS的被攻击面，或者成为了攻击IIS的基础。因此，IIS 6.0被设计成了一个比早期产品更安全的平台。最显而易见的变化是IIS 6.0并没有被Windows Server 2003默认安装，而是需要管理员显式的安装这个组件。其他的变化包括：

默认只安装静态HTTP服务器

IIS 6.0的默认安装被设置为仅安装静态HTML页面显示所需的组件，而不允许动态内容。下表比较了IIS 5.0和IIS 6.0的默认安装设置：

默认不安装应用范例

IIS 6.0中不再包括任何类似showcode.asp或codebrws.asp等的范例脚本或应用。这些程序原被设计来方便程序员快速察看和调试数据库的连接代码，但是由于showcode.asp和codebrws.asp没有正确的进行输入检查，以确定所访问的文件是否位于站点根目录下。这就允许攻击者绕过它去读取系统中的任何一个文件(包括敏感信息和本应不可见的配置文件)，参考以下链接以获取该漏洞的更多的细节：http://www.microsoft.com/technet/treeview/default.asp?

url=/technet/security/bulletin/MS99-013.asp

增强的文件访问控制

匿名帐号不再具有web服务器根目录的写权限。另外，FTP用户也被相互隔离在他们自己的根目录中。这些限制有效的避免了用户向服务器文件系统的其他部分上传一些有害程序。例如攻击者可以向/scripts目录上传一些有害的可执行代码，并远程执行这些代码，从而攻击web站点。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]