概述

本章讨论在您的环境中强化IIS服务器所需要的指导和程序。要想为组织内部网中的Web服务器和应用软件提供全面的安全性，每一台Microsoft® Internet Information Services （IIS）服务器以及在这些服务器上运行的每一个站点和应用软件都应当受到保护，以免受到与之相连的客户机的攻击。另外，运行在IIS服务器上的这些网站和应用软件还应当免受公司内部Intranet中运行于其它IIS服务器上的网站和应用软件的攻击。

为了在抵制恶意用户和攻击者的过程中占据主动，在安装Microsoft Windows® Server™ 2003时，缺省情况下，Windows Server 2003家族在安装时不会安装IIS。IIS最初以高度安全的“锁定”模式安装。例如，默认情况下，IIS最初将只处理静态内容。除非管理员启用它们，否则诸如Active Server Pages (ASP)、ASP.NET、Server Side Includes（SSI）、WebDAV（Web Distributed Authoring and Versioning）发布、以及Microsoft FrontPage® Server Extensions等特性将无法工作。这些特性可以通过Internet Information Services Manger （IIS Manager）中的Web Service Extensions节点来启用。

IIS Manager 具有图形化的用户界面（GUI），可用来方便地对IIS进行管理。它包括用于文件和目录管理的资源，能够对应用程序池进行配置，并且具有安全性、性能、以及可靠性方面的诸多特性。

本章接下来的部分详细介绍了各种安全性强化设置，执行这些设置可增强公司Intranet中存放HTML内容的IIS服务器的安全性。但是，要想确保IIS服务器的彻底安全，您还应当运行安全监视、检测和响应等程序。

审核策略设置

在本指南定义的三种环境下，IIS服务器的审核策略设置通过MSBP来配置。要了解有关MSBP的更多信息，请参看第三章“创建成员服务器基线”。MSBP设置可确保所有的相关安全性审核信息均被记录在IIS服务器上。

用户权限分配

在本指南所的定义的三种环境中，大多数IIS服务器的用户权限分配通过MSBP来配置。要了解更多关于MSBP的信息，请参看第三章“创建成员服务器基线”。下面阐述MSBP与Incremental IIS Group Policy（增量式IIS组策略）之间的差别。

拒绝通过网络访问该计算机