微软为了进一步表明其对安全的关注，重新编写了互联网信息服务（IIS）7.0版本，该版本最早出现在Windows Server 2008的初始版本中。在它成功的基础上，微软推出了IIS 7.5，这是世界第二大流行Web服务器的最新版本。

　　目前为止，IIS 7.5已经发布一年有余，它与Windows Server 2008 R2和Windows 7一起公开发布。但是，虽然我曾希望看到现在有更多的用户安装IIS 7.5，但就目前来看，这种情况还未发生。不过，我已经对几个安装了IIS 7.5的设备进行了安全评估，并得到了积极的结果。

　　就Windows 7和Server 2008 R2而言，IIS 7.5的攻击面更少，微软采取的“机器外的安全措施”也取得了较好的效果。但是IIS 7.5并不是没有缺陷的。最好的情况下，在你下一次进行规则遵从审计前你还有几步工作需要完成。而最坏的情况下，它可能让你的Web服务器受损，可能包括以下内容：

• ASP.NET调试开启，这可能无意间将敏感的配置信息泄露给用户。
• FrontPage插件开启，这可以通过枚举的方法泄露配置信息。
• IIS没有host报头，这将泄露服务器内部IP地址，如下所示的HTTP响应：

HTTP/1.1 301 Moved Permanently
Content-Type: text/html; charset=UTF-8
Location: http://172.16.1.10/site/
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Tue, 15 Nov 2010 10:51:43 GMT
Connection: close
Content-Length: 154
<head><title>Document Moved</title></head>
<body><h1>Object Moved</h1>This document may be found
<a HREF="http://172.16.1.10/site/">here</a></body>

　　虽然这些漏洞不会直接将系统暴露在外，但是它们可以让攻击者对网络有机可乘。

　　更重要的是，这些漏洞涉及到了ASP堆栈消耗/FastCGI request报头缓冲区溢出(MS10-065)和IIS验证内存溢出(MS10-040)，它们都可能使得安装了IIS 7.5的系统受到直接的攻击。针对MS10-065漏洞已经有现成的利用程序，只需找出存在该漏洞的系统某台机器，黑客就能轻松控制该机器。一旦发生这种情况，攻击者就能完全控制并自由操作系统。

　　回顾IIS过去存在的问题，Oracle填充漏洞曾导致了一些严重的安全事件，更不用说密码强度较弱的问题、输入验证问题等特殊应用程序漏洞。

　　总之，IIS 7.5在合理范围内是可靠、稳定、安全。然而，如果你放松警惕，新的服务器级别漏洞和应用程序缺陷将会出现，并可能被攻击者利用来对付你。你可以按照微软的Windows Server 2008 R2安全基准或者其它一些你认为重要的标准来强化IIS 7.5的安全性，并坚持为系统打补丁，定期测试你的网络环境，并在需要时做必要的调整。虽然这不会保证100%的安全，但会和你的安全期望相当接近。