IIS 5.1和IIS 6.0一些显著的重要区别（2）

Active Server Pages
从 IIS 6.0 开始，Microsoft Active Server Pages (ASP) 可以与 Microsoft ASP.NET 一起使用。有关配置 IIS 以运行 ASP.NET 应用程序的信息，请参阅 ASP.NET。有关 IIS 6.0 中 ASP 功能更改的信息，请参阅 ASP 中的重要更改。

ASP 挂起检测
当 IIS 网站繁忙时，可能会出现这种情况：已经产生了最大数量的 ASP 线程，而一些 ASP 线程却挂起，这会导致性能降低。IIS 6.0 能够通过回收作为 ASP ISAPI 扩展 (ASP.dll) 的特定实例宿主的工作进程来解决线程挂起问题。当 ASP 线程在 IIS 6.0 中挂起时，ASP.dll 调用 ISAPI 服务器支持函数 HSE_REQ_REPORT_UNHEALTHY，WWW 服务回收作为 ASP.dll 宿主的工作进程，并在事件日志中创建一个项目。

有关 ISAPI 服务器支持函数的详细信息，请参阅 MSDN® Online 上 ISAPI 扩展参考中的 ServerSupportFunction。

安全性
IIS 6.0 中的一个最重要的变动涉及 Web 服务器安全性。为了更好地预防恶意用户和攻击者的攻击，在默认情况下，没有将 IIS 安装在 Microsoft Windows Server 2003 家族的成员上。

要点 为了更好地预防恶意用户和攻击者的攻击，没有将 IIS 默认安装到 Microsoft® Windows® Server 2003 家族的成员上。而且，当您最初安装 IIS 时，该服务在高度安全和“锁定”的模式下安装。在默认情况下，IIS 只为静态内容提供服务 － 即，ASP、ASP.NET、服务器端包含、WebDAV 发布和 FrontPage® Server Extensions 等功能只有在启用时才工作。如果安装 IIS 之后未启用该功能，则 IIS 返回一个 404 错误。您可以为动态内容提供服务，并通过 IIS 管理器中的 Web 服务扩展节点启用这些功能。同样，如果应用程序扩展未在 IIS 中进行映射，则 IIS 返回一个 404 错误。要映射扩展，请参阅设置应用程序映射。有关如何排解 404 错误（包括 404.2 和 404.3）、与 IIS 6.0 的新安装相关的问题或从低版本的 IIS 进行升级的详细信息，请参阅疑难解答。

通过 Web 服务器证书向导和 CTL 向导，您可以同步 Web 和 NTFS 的安全设置、获得并安装服务器证书以及创建和 * 信任列表。还可以选择一个加密服务提供程序 (CSP) 以使用证书加密数据。 详细信息，请参阅使用证书向导。

IIS 6.0 中的其他安全性变动包括下列内容：

在升级版本上禁用：除非满足下列条件之一，否则在 Windows Server 2003 家族的升级版本上禁用万维网发布服务（WWW 服务）：
在开始升级过程之前，您已在 Windows 2000 Server 上运行了 IIS 锁定向导。IIS 锁定向导通过禁用不必要的功能来减少攻击面，并且它允许您确定为站点启用哪些功能。IIS Lockdown Tool 中提供了 IIS 锁定向导。
要点 如果使用 WWW 服务，则强烈建议您在升级到 Windows Server 2003 家族中的产品之前，在 Windows 2000 Server 上运行 IIS 锁定向导。IIS 锁定向导通过禁用或删除 Windows 2000 Server 安装中不需要的功能来保护计算机的安全。否则，升级后计算机上仍保留这些功能，这会使您的服务器易受攻击。

注册表项 RetainW3SVCStatus 已添加到注册表中 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC 的下面。在 RetainW3SVCStatus 下，您可以添加任何值，然后给它赋予一个 DWORD 值。例如，您可以创建注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\RetainW3SVCStatus\do_not_disable，并且 DWORD 值为 1。
对于无人参与的安装，“DisableWebServiceOnUpgrade = false”项存在于无人参与的安装脚本中。
通过组策略禁用 IIS：通过使用 Windows Server 2003 家族成员，域管理员可以禁止用户在其计算机上安装 IIS。
以具有低级访问权限的帐户运行：IIS 工作进程在访问权限极少的用户上下文中运行。这大大减少了潜在攻击的影响。
提高 ASP 的安全性：所有的 ASP 内置功能总是以具有极少访问权限的帐户 IUSR_computername 运行。
运行可执行文件的限制：为了运行系统文件夹中的大多数可执行文件（如 cmd.exe），您必须是 Administrators 组、LocalSystem、Interactive 或 Service 帐户的成员。该限制限制了对 Administrators 的远程访问，因此匿名用户无法运行可执行文件。
修补程序管理：对于修补程序管理，管理员可在不中断服务的情况下安装最新的安全修补程序。
已知的扩展：IIS 只为对具有已知文件扩展名的文件的请求提供服务。如果请求内容的文件扩展名未映射到已知的扩展，则服务器拒绝请求。
内容的写保护：在默认情况下，拒绝匿名用户（以 IUSR_computername 帐户运行）对 Web 内容进行写入访问。
超时和限制：在 IIS 6.0 中，默认设置是安全而主动的，这样可最大限度地减少因以前太宽松的超时和限制而造成的攻击。
上载数据限制：管理员可以限制能上载到服务器的数据。

缓冲区溢出保护：工作进程会检测缓冲区溢出,并在检测到时退出程序。
文件验证：IIS 在将请求发送到请求处理程序（ISAPI 扩展）之前会验证请求的内容是否存在。
索引资源：该权限现在会在默认情况下启用。
脚本资源访问：该权限允许访问 ASP 页脚本和其他脚本的“源代码”，它是新增功能，且在默认情况下被禁用。它可在选择了“读取”或“写入”权限时可用。
子验证：在新安装的 IIS 6.0 中，在默认情况下不再启用。有关详细信息，请参阅 匿名身份验证中的“使用子验证”部分。

UNC 身份验证：在此版本的 IIS 中，UNC 身份验证方法检查是否有用户凭据。详细信息，请参阅 UNC 身份验证。
新策略：“禁止安装 IIS”策略已经添加到 Windows Server 2003 产品家族中。该策略允许域管理员控制可以在域中哪些计算机上安装 IIS。详细信息， 请参阅 Windows 帮助中的组策略。
Fortezza：已取消了对该功能的支持。
性能
为了限制分配给 ASP 页的内存量，IIS 已经将 AspScriptFileCacheSize 的默认值设置为 250 个 ASP 页，并将 AspScriptEngineCacheMax 的默认值设置为 125 个脚本引擎。在具有一组大量经常请求的 ASP 页的站点上，可以将 ASPScriptFileCacheSize 设置得更高一些。因为 ASP 页的编译比从缓存中检索页要慢很多，所以这会改善性能。在只具有少量经常请求的 ASP 页的站点上，可通过将该数字设置得小一些来节省内存。

IIS 工具组件
Windows NT Server 的协作数据对象 (CDONTS)：CDONTS 已从 Windows Server 2003 家族中删除。如果 Web 应用程序使用 CDONTS，则可以将它们转换为 Microsoft 协作数据对象 (CDO)。CDONTS 中的大多数方法在 CDO 中都有相匹配的方法，但是名称可能不同。有关平台软件开发工具包 (PSDK) 中 CDO 的参考资料，请参阅 MSDN Online 上的 Overview of CDO。
未安装 IIS 工具组件：Ad Rotator、Browser Capabilities、Content Linker、Content Rotator、Counters、Logging Utility、My Info、Page Counter、Status 和工具不随 IIS 6.0 一起安装。但是，如果您的 Web 服务器是从低版本的 IIS 升级的，则这些工具组件不会被删除。您可以从 IIS 6.0 资源工具包中获取工具组件 DLL 文件的副本。
64 位 Windows Server 2003 家族上的 IIS
在 64 位 Windows Server 2003 家族的操作系统上，IIS 作为 64 位应用程序运行。这意味着不能从 64 位 Windows Server 2003 家族的操作系统上的 IIS 调用 32 位应用程序。例如，Jet 数据库引擎将不能转换为 64 位应用程序，因此，不能使用 ActiveX® 数据对象 (ADO) 从 ASP 页打开 Microsoft Access 数据库。但是，仍可以使用 ADO 访问其他驱动程序，如 SQL 和 Exchange。