全球逾51.1万台停止更新的微软IIS服务器暴露在互联网上

过时系统构成重大攻击面

2026年3月23日，Shadowserver基金会在例行网络扫描中发现超过51.1万台已终止支持（EOL）的微软Internet Information Services（IIS）服务器仍保持互联网连接。这些过时系统形成了巨大的攻击面，由于不再接收标准安全更新，给全球组织机构带来严重安全风险。

攻击者持续扫描互联网寻找未打补丁的基础设施，利用已知漏洞部署恶意软件或建立入侵企业网络的初始通道。

51.1万台IIS服务器现状分析

Shadowserver共享的数据揭示了全球互联网基础设施的严峻现状：在51.1万台暴露的EOL实例中，超过22.7万台已完全超出微软扩展安全更新（ESU）计划覆盖范围。这意味着近半数服务器处于完全终止支持（EOS）状态，即使付费也无法获得关键安全补丁。

从地域分布看，中国和美国集中了最大数量的过时IIS实例。为协助安全团队追踪风险资产，Shadowserver已在其每日发布的"脆弱HTTP报告"中将相关服务器标记为'eol-iis'和'eos-iis'两类。

终端支持设备的安全隐患

运行EOL/EOS网络服务器会显著增加机构遭受网络攻击的风险。当软件生命周期结束时，厂商将正式停止对其安全漏洞的监控。若旧版IIS出现0Day漏洞，微软不会发布公开补丁。威胁分子深谙此道，正积极开发自动化工具专门针对这些遗留系统。

美国网络安全和基础设施安全局（CISA）多次警告终端支持设备带来的严重风险。暴露的Web服务器往往成为勒索软件运营者和APT（高级持续性威胁）组织理想的攻击跳板。攻击者一旦入侵面向外网的IIS服务器，就能横向渗透内网、窃取敏感数据或在基础设施中部署恶意负载。

风险缓解措施

机构必须优先识别并加固其互联网暴露面，建议安全团队采取以下关键措施：

• 审计外部网络资产，定位所有运行旧版IIS的服务器
• 查阅Shadowserver脆弱HTTP报告，识别与本机构相关的暴露IP
• 将EOL服务器升级至受支持的Windows Server和IIS现代版本
• 若无法立即迁移，为系统注册微软扩展安全更新计划
• 通过强效Web应用防火墙隔离遗留系统，仅允许必要IP地址访问