本地机器建立的IIS服务器莫名的停止了，而且打不开，怎么解决？

KB939373漏洞补丁会导致winxp的IIS5的默认网站停止

360安全卫士7月10日发布了系统漏洞补丁(KB939373)

安全公告号:MS07-041

漏洞名称:Microsoft

Internet

Information

Services

中的漏洞可能允许远程执行代码

微软名称:KB939373

漏洞的影响:远程执行代码

最高严重等级:重要

建议:Microsoft

建议用户立即应用此更新。

漏洞描述:此重要安全更新可解决一个秘密报告的漏洞。

如果攻击者向

Windows

XP

Professional

Service

Pack

2

上

Internet

Information

Services

(IIS)

51

宿主的网页发送特制的

URL

请求，则此漏洞可能允许远程执行代码。IIS

51

不是

Windows

XP

Professional

Service

Pack

2

默认安装的一部分。成功利用此漏洞的攻击者可以完全控制受影响的系统。

解决办法：

打开“控制面板”---“添加删除程序”，将顶部的“显示更新”前打上勾，然后找到2007年7月10日的补丁，卸载。

然后再打开IIS，找到网站，点右键，启动，正常了。

首先以终极管理员身份登录服务器，并在该系统桌面中依次单击“开始”/“运行”命令，打开系统的运行对话框，在其中输入注册表编辑命令“regedit”，单击回车键后，进入到本地系统的注册表编辑窗口;在该编辑窗口的左侧显示区域，找到“HKEY_LOCAL_MACHINE”分支项目，然后用鼠标逐一展开该分支项目下面的“SYSTEMControlSet001EnumRootRDPDR”子项，在对应“RDPDR”子项上用鼠标右键单击之，从弹出的快捷菜单中执行“权限”命令,在该权限配置对话框中，选中“组或用户名称”列表框中的“everyone”帐号，然后将“everyone”帐号的访问权限配置为“允许完全控制”;倘若我们只希望指定的用户能够对该电脑系统进行远程管理操作的话，就能够在这里选中那个特定用户的帐号，并将该帐户的控制权限配置为“允许完全控制”，最后单击“确定”按钮，那样的话网络管理人员日后需要远程桌面连接该电脑系统时，就不会受到权限方面的限制了。下面，我们需要将远端工作站的远程桌面功能恢复到正常状态;在恢复该功能时，能够先打开记事本之类的文本编辑程式，然后在文本编辑窗口中输入下面的命令代码:Windows Registry Editor Version 500[HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootRDPDR000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System""HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,0,00,00,00,00"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}/0030""Mfg"="(标准设备)""Service"="rdpdr""DeviceDesc"="终端服务重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000在确认上面的命令代码输入无误后，依次执行文本编辑窗口中的“文档”/“保存”菜单命令，将上面的命令代码保存成扩展名为“reg”的文档，比方说笔者在这里将上面的代码保存为“rdpdrreg”;紧接着用鼠标双击前面创建好的“rdpdrreg”文档，当系统弹出“注册表导入成功”这样的提示信息后，就表明上面的任何命令代码都被成功执行了。接下来用鼠标右键单击远端工作站系统桌面中的“我的电脑”图标，从其后出现的快捷菜单中执行“管理”命令，打开本地电脑的管理窗口，在该窗口的左侧显示区域用鼠标逐一展开“服务和应用程式”/“服务”项目，在对应该项目的右侧显示窗格中，将“Remote Desktop Help Session Manager ”服务项目选中并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，在该界面的“服务状态”配置项处，检查一下“Remote Desktop Help Session Manager ”服务此时是否处于启动状态，要是还没有被启用的话，我们必须及时单击“启动”按钮将该服务重新启动起来。按照相同的操作步骤，我们还需要将“Telnet”服务启动起来，这样才能确保日后的远程桌面操作顺利成功。完成上面的任何配置操作后，再将远端工作站系统重新启动一下，这么一来我们日后再尝试远程桌面连接目标工作站时，就不会出现刚刚建立好连接随即又自动断开的故障现象了。

解决：

1修改webconfig中timeout的时效时间

2建议让网站使用独立的应用程序池

3iis设置Session超时时间(默认为20分钟)

4在应用程序池上打开网站对应的应用程序池属性，将web数量改为1 重启iis

5在主页里面嵌套一个框架页iframe，设置宽度高度为0在里面的加载页面里的

<head>里面加入<meta http-equiv="refresh" content="1080">这一句，意思是每隔18分钟向服务器发送一次请求。

刚好赶在Session失效之前。这样session就永不失效了

因为你系统是64位的，dll是32位的，不兼容。解决办法有两种，1把你的dll编译输出改为64位的，2 最简单的解决办法就是在iis中找到相应的应用程序池，点击高级设置，里面有个兼容32位的选项，改为true就好了（没记错的话应该在‘常规’一栏下面），我现在机器没有iis，没办法给你截图，你应该能找到地方的

原因很多，请尝试以下操作：

1、查看网站属性——文档

看看启用默认文档中是否存在：indexasp

indexhtm

indexhtml

(最好全都有，没有可添加)

2、查看网站属性——主目录

A、本地路径是否指定正确

B、是否勾选“脚本资源访问”？

C、是否勾选“读取”？

D、执行权限：纯脚本

3、查看网站属性——目录安全性——编辑

A、是否勾选“匿名访问”？

B、用户名：IUSR_您的计算机名（不对，就点浏览选择）

C、密码不用改，勾选“允许IIS控制密码”就可以了

D、其它不用选

4、查看网站属性——网站

A、IP地址：全部未分配

或者

选择一个

B、TCP端口：80

（最好不要改，改了访问方法就不一）

5、打开控制面板——管理工具——计算机管理——本地用户和组——用户

A、看看“IUSR_您的计算机名”此用户有没有启动，必须启动（说明：有红色的×表示没有启动）

B、看看“IWAM_您的计算机名”此用户有没有启动，必须启动（说明：有红色的×表示没有启动）

C、在“IWAM_您的计算机名”该用户上按右键——设置密码（密码要记住，后面还需要用上该密码）

6、打开控制面板——管理工具——组件服务——组件服务——计算机——我的电脑——COM+应用程序

A、在“IIS

Out-Of-Process

Pooled

Applications”上按右键选择‘属性’——选择‘标识’，指定用户：IWAM_您计算机名（说明：可以点浏览查找）；输入密码，密码上面步骤的密码。再次启动该服务，启动后它会动。

B、在“IIS

In-Process

Applications”上按右键选择‘属性’——选择‘安全性’，将‘启用身份验证’勾去掉

C、

在“IIS

Utilities”上按右键选择‘属性’——选择‘安全性’，将‘启用身份验证’勾去掉。

最后，就是测试了

如果您觉得麻烦，请加

QQ：82265147

注明“IIS技术交流”，进行远程协助，手把手交流。

祝你成功!

尽管Windows服务器凭借其特有的稳定性，赢得了众多用户的青睐；不过在该服务器中搭建IIS服务器时，IIS服务器的安全并不是无懈可击，这主要是Windows服务器中的IIS组件存在不少安全漏洞，这样一来就很容易招来各种非法攻击，尽管通过安装相关补丁能够及时修复这些安全漏洞，但无奈新漏洞又会层出不穷地出现。为了让IIS服务器变得无懈可击，本文特意为各位准备了以下安全防范招法，相信在这些招法的“保驾护航”下，你的IIS服务器的安全性能一定得到进一步增强。 1、及时删除无效映射 在默认状态下，IIS服务器会自动创建好十几种应用程序的映射关系，可事实上，许多Web网站仅仅用到asp这个应用程序映射，其他应用程序映射几乎没有任何作用；如果你将这些用不着的无效映射保留在IIS服务器中的话，它们可能会给服务器带来安全威胁，因为不少应用程序映射都存在安全漏洞，这些漏洞往往很容易被黑客或非法攻击者利用。为此，笔者建议各位仅将Web网站使用到的几个应用程序映射保留下来，而其他用不着的映射必须及时删除，哪怕以后需要用时再重新添加一次也可以。在删除无效应用程序映射时，你可以按照下面的步骤来操作： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“主目录”标签； 在接着出现的对应标签页面中，单击“配置”按钮，进入到应用程序映射配置界面；从该界面中，你将看到IIS服务器已经自动创建好十几种应用程序的映射关系了；此时你可以选中某个暂时用不到的应用程序的映射项目，然后单击“删除”按钮，就能把当前选中的映射项目删除掉了。你也可以接着Ctrl、Shift键来同时选中多个无效的应用程序映射项目，然后再单击“删除”按钮，这样就能一次性删除多个无效程序映射项目了。当然，要是你的确需要某个应用程序映射项目时，就必须在系统中安装对应该映射的系统修补补丁，同时打开对应映射项目的编辑窗口，并将该窗口中的“检查文件是否存在”复选项选中；如此一来，日后IIS服务器一旦接受到对应文件请求时，就会自动先检查对应文件是否存在，要是文件的确存在的话，IIS才会去调用映射中事先定义好的动态链接库来解析目标文件。 2、取消匿名访问功能 要是允许任何人随意访问IIS服务器的话，那么服务器遭受攻击的可能性就会大大增加；要想尽可能地降低被攻击的风险，对服务器进行限制访问就成为了必然需求。目前限制用户访问最常用的一种方式，就是对用户的身份进行验证，但无奈IIS服务器在默认状态下，会允许匿名访问的；因此在对用户进行身份验证之前，你必须先取消IIS服务器的匿名访问功能： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“目录安全性”标签；在对应标签页面的“匿名访问和验证控制”设置项处，单击“编辑”按钮，在弹出的设置窗口中，取消“匿名访问”选项的选中状态；接着再选中“集成Windows验证”复选项，再单击一下“确定”按钮就可以了。 3、进行SSL加密验证 大家知道在缺省状态下，SSL服务器是通过http协议以普通明文的方式来传输信息的，黑客或非法攻击者只要通过专业的嗅探器，就能轻易截取传输的帐号或密码，这样就容易给IIS服务器自身带来安全危险。为了阻止黑客或非法攻击者轻易窃取重要的隐私信息，你可以采用下面的方法来对IIS服务器进行SSL加密验证，以便对在IIS服务器中传输的信息进行加密： 要想对IIS服务器进行SSL加密，你首先需要在Windows 2003服务器系统中安装证书服务，而在默认状态下该服务是没有被安装的。在安装证书服务时，你可以依次单击“开始”/“设置”/“控制面板”命令，在其后出现的控制面板窗口中，双击“添加/删除程序”图标，然后单击“添加/删除Windows组件”标签，并在对应的标签页面中，选中“证书服务”选项，单击“下一步”按钮，在接着出现的向导设置窗口中，选中“独立根CA”选项，继续单击“下一步”按钮后，正确设置好CA服务器的名称信息以及使用期限，最后再为证书数据库以及相关日志文件指定好保存路径，就可以完成对证书服务的安装操作了。 接着我们需要对安装在SSL服务器中的目标网站，创建一个请求证书文件。在创建请求证书文件时，必须依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“目录安全性”标签； 在对应标签页面的“安全通信”设置项处，单击一下“服务器证书”按钮，在接着打开的证书创建向导窗口中，单击“下一步”按钮，在随后弹出的设置窗口中，选中“创建一个新证书”选项，继续单击“下一步”按钮，然后将“现在准备请求，但稍候发送”项目选中；当向导窗口出现命名和安全设置提示时，你必须要为新证书正确输入证书名称，同时设置好加密密钥的位长，默认位长为512位；继续单击“下一步”按钮，然后按照提示设置好证书的组织单位、公用名称等信息，再设置好请求证书的保存路径，最后单击“完成”按钮就可以了。 完成上面的设置后，你还需要将前面创建好的请求证书文件提交给IIS网站的证书服务器。在将请求证书文件提交给IIS网站的证书服务器时，首先需要将Windows系统目录“system32”下的“CertSrv”子目录，直接复制到目标网站的根目录下；然后在服务器系统中打开IE浏览器窗口，并在其地址栏中输入“/CertSrv/defaultasp”URL地址（其中“”为目标网站的网址），在接着出现的证书服务欢迎界面中，单击一下“申请一个证书”链接，并在其后的页面中将证书申请类型设置为“高级证书申请”；接下来在高级证书申请页面中，单击“使用base64编码……”链接，然后把前面创建好的证书请求文件，直接复制到此处的“保存的申请”文本框中，再单击“提交”按钮就能完成证书请求文件的提交任务了。 一旦将请求证书文件提交给证书服务器后，你还需要进行颁发证书操作，才能使证书有效。在颁发证书时，你可以依次单击“开始”/“设置”/“控制面板”命令，在弹出的控制面板窗口中，找到“证书颁发机构”图标，然后用鼠标双击该图标；在接着打开的设置窗口中，将鼠标定位到“挂起的申请”选项上，然后用鼠标右键单击前面申请的证书，在其后弹出的右键菜单中依次单击“所有任务”/“颁发”命令； 等到颁发操作完毕后，再双击刚刚颁发成功的证书，并在证书设置窗口中单击“详细信息”标签，然后在对应标签页面中单击一下“复制到文件”按钮，打开一个文件导出向导界面，根据向导提示设置好导出文件的名称以及保存路径，最后单击一下“完成”按钮。 颁发完服务器证书之后，IIS服务器还没有把SSL加密功能启动起来，你还需要在Internet服务管理器控制台中，对IIS服务器进行进一步配置。在配置时，你必须重新进入到目标网站的“目录安全性”标签页面，再次单击该页面中的“服务器证书”按钮，在随后打开的设置窗口中，将“处理挂起的请求……”项目选中，接着按照向导提示设置好服务器证书文件的存放路径，同时启用SSL默认的“443”端口，再单击“完成”按钮；然后重新返回到“目录安全性”标签页面，单击“安全通信”设置项处的“编辑”按钮，在其后打开的编辑设置窗口中，将“要求安全通信”选项选中，最后单击一下“确定”按钮，这样IIS服务器的SSL加密功能就被正式启用了。日后你想访问目标网站“”时，就必须在IE地址栏中输入“https://”才可以浏览到网站内容，而且你在该网站中提交的任何信息都是被加密之后才传输的，因此网站信息的安全性就会得到大大增强。 4、巧用日志寻找安全隐患 任何对IIS服务器的访问，都会在服务器中留下访问记录，黑客或非法攻击者的访问同样也会在日志文件中留下痕迹；因此，要是我们能活用日志文件，就能及时知道黑客是否对IIS服务器进行了攻击，并且还能知道什么时候进行了攻击；一旦发现有攻击记录时，必须及时采用安全应对措施来阻止黑客的继续攻击。考虑到IIS服务器的日志记录，在默认状态下保存在Windows系统的“system32\logfiles”文件夹中，许多黑客很容易从这里找到原始日志文件，并对该日志文件进行修改，从而抹除其攻击痕迹，这样我们就无法从日志文件中知道IIS服务器是否存在安全隐患。为了阻止黑客随意更改日志记录文件，你可以按照如下步骤来修改日志文件的保存路径： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“Web站点”标签；在对应的标签页面中，将“启用日志记录”选项选中，同时单击一下“属性”按钮，在随后出现的属性设置框中，你将看到IIS服务器的日志文件默认存放位置为“%Windir%\System32\Logfiles”；此时你可以单击“浏览”按钮，在接着出现的文件夹选择对话框中，选择一个藏匿较深的子文件夹，作为IIS服务器日志文件新的存放位置。此外，为了能让日志文件及时记录黑客攻击行为，你最好在“新日志时间间隔”设置项处，选中“每天”选项；然后在“扩充的属性”标签页面中，你必须指定IIS服务器到底记录哪方面的内容；最后为了防止黑客随意改动日志文件，你还需要返回到系统资源管理器窗口，修改一下目标日志文件的属性，让日志文件只有本地管理员才有权限访问。完成上面的设置后，IIS服务器的日志文件就能发挥应有作用，并能帮助你及时查找到服务器中存在的安全隐患了。 5、限定特定区域主机的来访 要是安装在IIS服务器中的防火墙，总提示你有来自特定区域的某些上网主机，在不断尝试着攻击你的服务器时，你完全可以将这些“可疑”主机全部封杀，以阻止它们对服务器的继续攻击。在封杀这些“可疑”主机时，你可以按照如下步骤来进行： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“目录安全性”标签； 在对应的标签页面中，单击“IP地址及域名限制”设置项处的“编辑”按钮，在弹出的设置窗口中，你可以选中“授权访问”选项，然后在“以下所列除外”列表处单击“添加”按钮，在其后弹出的“拒绝访问”设置框中，你可以将“一组计算机”选中，接着输入该组区域中的任何一台计算机的IP地址，同时在“子网掩码”处输入该区域的子网掩码，这样你就能将来自“可疑”区域的全部主机都封杀掉了。 要是你只想对单台可疑计算机进行“封杀”的话，那么你可以选中“一台计算机”选项，同时在“IP地址”文本框中直接输入需要封杀的计算机IP地址，最后单击“确定”按钮返回到图7所示的设置窗口中；倘若还想限制其他单台计算机对IIS服务器的访问时，你可以继续单击“添加”按钮，然后继续输入需要限制的计算机IP地址，这样所有出现在“以下所列除外”框中的目标计算机，都没有访问IIS服务器的权限了，而其他计算机都能正常访问IIS服务器。 6、巧用内容分级确保访问安全 要是在IIS服务器中发布的网站信息，你不想让所有访问者都能看到的话，那么你可以对发布的网站内容进行分级设置，以便阻止受限用户随意查看目标站点的内容。巧用内容分级功能，你可以轻松限制哪些网站内容可以被授权访问，哪些内容又不能被用户随意访问。要对目标网站进行内容分级的话，可以按照下面的步骤来进行： 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的Internet信息服务控制台窗口中，用鼠标右键单击目标Web网站，从弹出的快捷菜单中执行“属性”命令，在其后出现的Web站点属性设置窗口中，单击“HTTP头”标签； 在对应的标签页面中，你可以单击“内容分级”设置项处的“编辑分级”按钮，在其后打开的编辑设置窗口中，单击“分级”标签，然后在标签页面中，将“此资源启用分级”复选框选中；下面，在“类别”设置项处，选中一种合适的类别名称，这样对应类别的分级滑块将会自动显示出来，此时你只要移动该滑块，就能改变当前类别的分级级别；完成好上面的设置操作后，再单击一下“确定”按钮，这样就能把前面的设置保存好了，以后浏览者在访问指定类别内容时，就会受到一定的限制了。