这里总结一下关于IIS使用必须注意的几个问题，不然可能造成重大安全隐患，而对于IIS用户的使用这些都是可以防范的，这些必须在开始使用前就做好规划。

 

　　一、不要使用缺省的WEB站点.IIS服务器安装部署完成之后，系统会建立一个默认的Web站点。有些用户就会直接使用这个站点进行网站的开发。这是一个非常不理智的做法，可能会带来很大的安全隐患。因为很多攻击都是针对默认的Web站点所展开的。如在默认的Web站点中，有一个inetpub文件夹。有些攻击者喜欢在这个文件夹中放置一些黑客工具，如窃取密码、Dos攻击等等。从而使得他们可以远程遥控这些工具，造成服务器的瘫痪。由于默认的站点与文件夹的相关配置信息基本上是相同的，这就方便了攻击者对服务器进行工具。连信息搜集这一个步骤都可以省了。一些通过IP地址与服务扫描的黑客工具，其使用的就是默认站点这个空子。

 

　　二、严格控制服务器的写访问权限在一些内容比较多、结构比较复杂的Web服务器，往往多个用户都对服务器具有写入的权限。如sina网站，有专门人员负责新闻板块，有专门人员负责博客，有专门人员负责论坛等等。由于有众多的用户对网站服务器具有写入的权限，就可能会带来一定的安全隐患。如某个用户的密码泄露的话，就会乘机对服务器进行破坏。其实虽然他们都具有对服务器的写入权限，但是他们的分工是不同的。每个人都有自己的领域。

 

　　三、不定时的检查服务器上的bat与exe文件大部分攻击者都系统使用bat或者exe文件来进行攻击。如有些攻击者会利用操作系统的任务管理器。让系统每天或者每隔一段固定的时间调用某个程序。这些程序就是以bat或者exe结尾的，或则是以reg文件结尾的。这些文件具有非常大的破坏性。如黑客可以利用这些文件更改注册表、建立隐形帐户、发送文件给黑客等等。

 

　　四、对于IIS目录采用严格的访问策略IIS目录是Web服务器中很重要的一个目录。其相当于人的大脑，控制着Web服务器的运行。为此在规划Web服务器安全的时候，要对此进行特别的关注。不过在实际工作中，这个目录却没有引起用户的足够高的关注。他们有些甚至直接使用系统的默认设置，也没有进行后续的追踪。这都有可能成为以后网站被黑、服务器瘫痪的起因。

 

　　五、做好服务器的升级工作如果在服务器上只部署了一个Web服务，那么笔者建议在第一时间对操作系统与IIS服务器进行升级。通过给系统与服务打补丁，是提高Web服务器安全的最好方法之一。毕竟现在很多的黑客其攻击都是停留在对现有漏洞的攻击。如果将这些已经发现的漏洞补上，那么遭受到攻击的可能性就会小许多。

 

　　六、禁用不需要的服务IIS服务器部署完成之后，其可能还会同时装有其他的应用服务。如FTP、SMTP等等。这些服务都带有比较大的安全隐患。如FTP本身就是被设计满足简单的读写访问。如果你在Web服务器上采取了比较严格的安全措施。但是在FTP服务上没有。则攻击者就可以先利用FTP服务器下载一些黑客的工具。然后再借助这些工具从内部发起对Web服务器的攻击。此时攻击成功率就会高许多。以上这几点虽然不怎么起眼，但是确是大家在日常工作中经常容易忽视的地方。从小处着眼，能够让你的Web服务器安全方面前进一大步。