你的Windows 2000 /Internet Information Server （IIS） 5.0 Web 網(wǎng)站已經(jīng)架設(shè)起來，準備開始運作時，卻發(fā)現(xiàn)它被安全漏洞所困擾著。安全性方面的漏洞當然可以彌補，但那要看你如何去應(yīng)對。如果懷有惡意的駭客還沒有找到那些看不見的裂縫，這并不意味著你可以高枕無憂。他們可能只是還沒有發(fā)現(xiàn)到你的網(wǎng)站而已。

那么，這套最先進的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)器軟件怎么可以如此的不完善呢？事實不是這樣的。原來有很多安全缺口歸因于 Microsoft 在 IIS 中所提供的功能。如果適切的注意到這些屬性，它們將允許客制化（customization）的運用，在執(zhí)行上更具彈性。但是當它們被忽略、誤解或不正確的使用時，它們就會成為受攻擊的弱點。

這些弱點所造成的影響可以是非常重大的。其中一個能使入侵者完全存取存放在網(wǎng)上的檔案文件系統(tǒng)。另一個使入侵者能夠看到 Active Server Pages（ASP）的原始碼。還有一個允許入侵者在網(wǎng)絡(luò)服務(wù)器上執(zhí)行操作系統(tǒng)命令。

也許這看起來像是 IIS 的問題，這并不意味著其它的網(wǎng)絡(luò)服務(wù)器能夠提供比 IIS 更嚴謹?shù)陌踩�性。Robichaux & Associates 安全顧問暨 Microsoft Technet 的專欄作家 Paul Robichaux 就表示，Windows 2000 系列的網(wǎng)絡(luò)服務(wù)器并不比其它服務(wù)器容易受到攻擊，幾乎所有的服務(wù)器都有各自的安全漏洞。

盛名所累成眾矢之的

Carnegie-Mellon University 的CERT Coordination Center 是一個致力于提高網(wǎng)絡(luò)安全、也是網(wǎng)上安全問題的極具指針性的一個網(wǎng)站。這個網(wǎng)站所報導(dǎo)的，是困擾著所有網(wǎng)絡(luò)服務(wù)器和相關(guān)產(chǎn)品的安全漏洞議題。

諷刺的是，知名度可能是促使 IIS 5.0 比Apache 等其它服務(wù)器更容易暴露安全漏洞的原因。看起來，IIS 作為微軟的網(wǎng)絡(luò)旗艦產(chǎn)品，它的知名度足以吸引許多駭客的注意力。

所以壞消息就是，如果你只是簡單地執(zhí)行 IIS，被駭客盯上的機率會比較大。好消息是，只要充分了解 IIS 并采取適當?shù)谋Ｗo措施，便可以有效阻止駭客的入侵。但 Robichaux 警告說，修補安全漏洞不像按下一個標有「安全的網(wǎng)站」的按鈕那么的簡單，保護你的網(wǎng)站可是需要新的技巧和工具。