默认情况下,IIS 会最大程度地提高 Web 服务器安全性,同时尽量减少 Web 服务器占用空间和自动应用程序隔离。
最小化 Web 服务器占用空间
管理员可以依赖于 IIS 来更安全地托管 Web 应用程序。 IIS 经过重新设计,现在整合了模块化体系结构,使管理员能够通过有选择地安装或删除模块来自定义其 Web 服务器。 管理员只能安装满足业务需求的功能,同时消除运行未使用的服务器功能所产生的服务器性能降低和安全风险。 管理员可以轻松地尽可能减少攻击和服务面,并缩减进程内存占用量。 默认情况下,IIS 中仅安装将 IIS 作为静态映像服务器运行所需的模块。 默认安装允许 IT 管理员从最安全的基础开始,仅根据 Web 服务器上托管的应用程序和服务的需要添加模块。
Windows Server Core 支持
若要进一步限制安全暴露,管理员可以选择使用 Windows Server 2008 的 Server Core 安装选项安装最小环境。 Server Core 省略图形服务和大多数库,以支持条带式命令行驱动系统。 Server Core 可以通过 IIS 命令行实用工具 AppCmd 在本地管理,也可以使用 WMI 进行远程管理。 由于 Server Core 具有多个角色,因此可以提高安全性并减少操作系统的占用空间。 由于在服务器上安装和运行的文件较少,因此向网络公开的攻击途径更少,所以攻击面更小。 管理员可以仅安装给定服务器所需的特定服务,使风险保持在绝对最低水平。
自动网站隔离
IIS 通过默认情况下赋予工作进程唯一的标识和沙盒配置,增强应用程序隔离,进一步降低安全风险。 IIS 包括自动应用程序池隔离,并且可以在单个服务器上对数千个网站进行沙盒配置。 这样,每个网站就可以使用自动生成的唯一标识在其自己的内存空间中运行,这有助于确保应用程序不受其他故障或在同一服务器上运行的应用程序的安全漏洞的影响。 此功能使组织能够将更多的网站合并到更少的服务器上,并增加共享主机上运行的所有网站的安全性和可靠性。