加固Windows Server 2003 IIS 服务器
来源:asp之家 发布时间:2010-05-10 18:21:00
概述
本模块集中说明在您的环境中强化 IIS 服务器所需的指导和步骤。为了向组织的公司 Intranet 中的 Web 服务器和应用程序提供全面的安全保护,应该保护每个 Microsoft Internet 信息服务 (IIS) 服务器以及在这些服务器运行的每个 Web 站点和应用程序不受可与它们连接的客户端计算机的侵害。此外,还应该保护在这些所有 IIS 服务器上运行的 Web 站点和应用程序不受在公司 Intranet 中其他 IIS 服务器上运行的 Web 站点和应用程序的侵害。
为了在抵制恶意用户和攻击者的过程中占据主动,默认情况下,IIS 不安装在 Windows Server 2003 系列产品上。IIS 最初以高度安全的“锁定”模式中安装。例如,默认情况下,IIS 最初仅提供静态内容。诸如 Active Server Pages (ASP)、ASP.NET、服务器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 发布及 Microsoft FrontPage? Server Extensions 等功能仅在管理员启用它们后才起作用。可以通过 Internet 信息服务管理器(IIS 管理器)中的 Web 服务扩展节点启用这些功能和服务。
IIS 管理器具有图形化的用户界面 (GUI),可用来方便地对 IIS 进行管理。它包括用于文件和目录管理的资源,能够对应用程序池进行配置,并且具有安全性、性能、以及可靠性方面的诸多特性。
本章接下来的部分详细介绍了各种安全性强化设置,执行这些设置可增强公司 Intranet 中存放 HTML 内容的 IIS 服务器的安全性。但是,为确保 IIS 服务器始终处于安全状态,还应执行安全监控、检测和响应等步骤。
审核策略设置
在本指南定义的三种环境下,IIS 服务器的审核策略设置通过 MSBP 来配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置可确保所有相关的安全审核信息都记录在所有的 IIS 服务器上。
用户权限分配
本指南中定义的三种环境中的 IIS 服务器的大多数用户权限分配都是通过 MSBP 配置的。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。在下一节中阐述 MSBP 与 Incremental IIS Group Policy(增量式 IIS 组策略)之间的差别。
拒绝通过网络访问该计算机
成员服务器默认值 旧客户端 企业客户端 高安全性
SUPPORT_388945a0
匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
注意:安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识 (SID)。因此,必须手动添加它们。
“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。。这些设置将拒绝大量的网络协议,包括服务器消息块 (SMB) 协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行委托管理任务的能力。
在模块创建 Windows Server 2003 服务器的成员服务器基准中,本指南建议将 Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。但是,用于匿名访问 IIS 的 IUSR 帐户被默认为 Guests 组的成员。本指南建议从增量式 IIS 组策略中清除 Guests 组,以确保必要时可配置对 IIS 服务器的匿名访问。因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Support_388945a0、Guest 以及所有非操作系统服务帐户。
安全选项
在本指南所的定义的三种环境中,IIS 服务器的安全选项通过 MSBP 来配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP设置确保了在企业IIS服务器中统一配置正确的事件日志设置。
0
投稿猜你喜欢
- 只要你动作够快,一元钱就可以将原价数千元的笔记本电脑、液晶电视抱回家。 9月25日至30日,淘宝“一元秒杀&rd
- 12月21日消息,据国外媒体报道,微软将推迟发布Visual Studio 2010和.NETFramework4等软件以便有更多的时间解决
- 如何选择CMS?这里打个问号,说明这篇文章不是来解决问题的,是来发问的。建站难不?难,细数一下,首先要学会这些东西。1、域名选择;2、空间选
- #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotte
- 一.错误表现 IIS5的HTTP 500内部服务器错误是我们经常碰到的错误之一,它的主要错误表现就是ASP程序不能浏览但HTM静态网页不受影
首先下载VMware安装包:双击安装:点击:“uninstall”安装,这个过程需要一些时间点击“Next”选择典型或者自定义安装这里我选择- 个人网站,通常意义上说是以个人的名义,单个人或几个人小作坊做的网站,也从另外的诠释上泛指草根网站。个人网站不缺创意,不缺流量,不缺技术,不缺
- 1.为自己的主题创建方便定制的选项面板如果你有留意收费主题的发展趋势,你会发现带有一个方便用户个性化的选项面板已经是收费主题的标配。其实为主
- 情人节到了,你的网站准备好了吗?情人节在即,可相爱的那个人却远在外地。想在节日里给她送上新鲜漂亮的花儿,该怎么办?昨日,记者浏览国内几家购物
- 国内DNS系统被攻击;国家工业和信息化部:近日断网祸起“暴风影音” ;暴风影音否认,有人认为是某DNS服务商遭攻击造成,网民对中国互联网安全
- 晨报讯(记者 张黎明)2.164×0.4567 ,当你在百度输入这个相乘的要求,第一个结果将是乘积0.9882988。这还只是其中一个聪明的
- 某商店正在压榨它的网络系统的最后生命。尽管那台很老的服务器几乎难以满足商店运营的需要,但经营者甚至连更换UPS中的电池都不愿意,事实上电池每
- 最近,有做博客营销的网友问:“怎样才能使自己的博客旺起来,使其人气旺、浏览量和点评量高。”其实这一问
- 由于本人做网吧维护的,本来和做网站没什么关系,随着业务量的增加。客户的数量也多了起来。关系处的久了。有些客户就给我提了一些意见,当然是和他们
- 要想学好SEO,那么我们就先从最基的搜索引擎语法学起,以下整理百度、雅虎、google三大搜索引擎的搜索高级语法及应用。百度搜索高级语法 1
- 前言线程?为什么有了进程还需要线程呢,他们有什么区别?使用线程有什么优势呢?还有多线程编程的一些细节问题,如线程之间怎样同步、互斥,这些东西
- 一抬头,又是窗外朦朦,不知多少人家,此时梦中。多少草根站长,此时挑灯夜战。回首间,已埋在Admin5近两年。虽然钱赚的不多,但是阅历增加无数
- Vim编码的详细介绍Vim和所有的流行文本编辑器一样,Vim 可以很好的编辑各种字符编码的文件,这当然包括 UCS-2、UTF-8 等流行的
- 我就在想是否tag对搜索优化有没有影响?先来看看tag的介绍,标签是英文tag的中文翻译,又叫“自由分类”、“分众分类”,是用户根据自己对事
- 对于rsync配置,在google上可以找到很多资料,以下只是一些必要的配置和使用说明,仅供参考,请根据您的实际情况修改。如图所示,需要在同
