主题：IIS6.0典型配置的安全性

内容：

默认设置

首要区别！ 默认在WINDOWS2003下是没有安装IIS的

?默认只安装静态HTTP服务器
IIS 6.0的默认安装被设置为仅安装静态HTML页面显示所需的组件，而不允许动态内容。

?增强的文件访问控制
　　匿名帐号不再具有web服务器根目录的写权限。另外，FTP用户也被相互隔离在他们自己的根目录中。这些限制有效的避免了用户向服务器文件系统的其他部分上传一些有害程序。例如攻击者可以向/scripts目录上传一些有害的可执行代码，并远程执行这些代码，从而攻击web站点

父目录被禁用
　　IIS 6.0中默认禁用了对父目录的访问。这样可以避免攻击者跨越web站点的目录结构，访问服务器上的其他敏感文件，如SAM文件等。当然也请注意，由于父目录默认被禁用，这可能导致一些从早期版本IIS上迁移过来的应用由于无法使用父目录而出错。

坚持最小特权原则
　　IIS 6.0坚持一个基本安全原则--最小特权原则。也就是说，HTTP.sys中所有代码都是以Local System权限执行的，而所有的工作进程，都是以Network Service的权限执行的。Network Service是Windows 2003中新内置的一个被严格限制的账号。另外，IIS 6.0只允许管理员执行命令行工具，从而避免命令行工具的恶意使用。这些设计上的改变，都降低了通过潜在的漏洞攻击服务器的可能性。部分基础设计上的改变、一些简单配置的更改（包括取消匿名用户向web服务器的根目录写入权限，和将FTP用户的访问隔离在他们各自的主目录中）都极大地提高了IIS 6.0的安全性。

典型配置的权限

１、磁盘权限
　　系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

2．不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开

IIS默认创建的Inetpub目录被删除（在安装系统的盘上）

3．每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份