概述

　　本模块集中说明在您的环境中强化 IIS 服务器所需的指导和步骤。为了向组织的公司 Intranet 中的 Web 服务器和应用程序提供全面的安全保护，应该保护每个 Microsoft Internet 信息服务 (IIS) 服务器以及在这些服务器运行的每个 Web 站点和应用程序不受可与它们连接的客户端计算机的侵害。此外，还应该保护在这些所有 IIS 服务器上运行的 Web 站点和应用程序不受在公司 Intranet 中其他 IIS 服务器上运行的 Web 站点和应用程序的侵害。

　　为了在抵制恶意用户和攻击者的过程中占据主动，默认情况下，IIS 不安装在 Windows Server 2003 系列产品上。IIS 最初以高度安全的“锁定”模式中安装。例如，默认情况下，IIS 最初仅提供静态内容。诸如 Active Server Pages (ASP)、ASP.NET、服务器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 发布及 Microsoft FrontPage? Server Extensions 等功能仅在管理员启用它们后才起作用。可以通过 Internet 信息服务管理器（IIS 管理器）中的 Web 服务扩展节点启用这些功能和服务。

　　IIS 管理器具有图形化的用户界面 (GUI)，可用来方便地对 IIS 进行管理。它包括用于文件和目录管理的资源，能够对应用程序池进行配置，并且具有安全性、性能、以及可靠性方面的诸多特性。

　　本章接下来的部分详细介绍了各种安全性强化设置，执行这些设置可增强公司 Intranet 中存放 HTML 内容的 IIS 服务器的安全性。但是，为确保 IIS 服务器始终处于安全状态，还应执行安全监控、检测和响应等步骤。

　　审核策略设置

　　在本指南定义的三种环境下，IIS 服务器的审核策略设置通过 MSBP 来配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置可确保所有相关的安全审核信息都记录在所有的 IIS 服务器上。