加固Windows Server 2003 IIS 服务器(2)
来源:asp之家 发布时间:2010-05-10 18:21:00
标签:windows2003,服务器,安全
事件日志设置
在本指南中定义的三种环境中,IIS 服务器的事件日志设置通过 MSBP 来配置。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在企业 IIS 服务器中统一配置正确的事件日志设置。
系统服务
为了让 IIS 向 Windows Server 2003 中添加 Web 服务器功能,则必须启用以下三种服务。增量式 IIS 组策略确保了这些服务被配置为自动启动。
注意:MSBP 禁用了几种其它的 IIS 相关服务。FTP、SMTP 和 NNTP 就是 MSBP 所禁用的一些服务。如果想要在本指南所定义的任何一种环境下的 IIS 服务器上启用这些服务,必须更改增量式 IIS 组策略。
HTTP SSL
服务名 成员服务器默认值 旧客户端 企业客户端 高安全性
HTTPFilter
手动
自动
自动
自动
HTTP SSL 服务可让 IIS 执行安全套接字层 (SSL) 功能。SSL是建立加密通信渠道的一种开放标准,以防止诸如信用卡号等关键信息被中途截获。首先,它使得在万维网上进行安全的电子金融事务成为可能,当然也可用它来实现其它 Internet 服务。
如果 HTTP SSL 服务停止,IIS 将无法执行 SSL 功能。禁用此服务将导致任何明确依赖它的服务都无法实现。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,针对 IIS 服务器的需要将“HTTP SSL”设置配置为“自动”。
IIS Admin 服务
服务名 成员服务器默认值 旧客户端 企业客户端 高安全性
IISADMIN
没有安装
自动
自动
自动
“IIS Admin 服务”允许对 IIS 组件进行管理,例如文件传输协议 (FTP)、应用程序池、Web 站点、Web 服务扩展,以及网络新闻传输协议 (NNTP) 和简单邮件传输协议 (SMTP) 的虚拟服务器。
“IIS Admin 服务”必须运行,以便让 IIS 服务器能够提供 Web、FTP、NNTP 以及 SMTP 服务。如果禁用此服务,则无法配置 IIS,并且对站点服务的请求将不会成功。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器的需要将“IIS Admin 服务”设置配置为“自动”。
万维网发布服务
服务名 成员服务器默认值 旧客户端 企业客户端 高安全性
W3SVC
没有安装
自动
自动
自动
“万维网发布服务”通过 IIS 管理单元提供网络连通性和网站管理。
“万维网发布服务”必须运行,以便让 IIS 服务器通过 IIS 管理器提供网络连通性和管理。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器的需要将“万维网发布服务”设置配置为“自动”。
其他安全设置
安装 Windows Server 2003 和 IIS 之后,默认情况下,IIS 仅传输静态 Web 内容。当 Web 站点和应用程序包含动态内容,或者需要一个或多个附加 IIS 组件时,每个附加 IIS 功能必须逐一单独启用。但是,在该过程中必须谨慎,以确保在您的环境中将每个 IIS 服务器的受攻击面降至最小。如果您的组织的 Web 站点只包含静态内容而无需其它任何 IIS 组件,这时,默认的 IIS 配置足以将您的环境中的 IIS 服务器的受攻击面降至最小。
通过 MSBP 应用的安全设置为 IIS 服务器提供大量的增强安全性。不过,还是应该考虑一些其他的注意事项和步骤。这些步骤不能通过组策略完成,而应该在所有的 IIS 服务器上手动执行。
仅安装必要的 IIS 组件
除“万维网发布服务”之外,IIS6.0 还包括其它的组件和服务,例如 FTP 和 SMTP 服务。您可以通过双击“控制面板”上的“添加/删除程序”来启动 Windows 组件向导应用程序服务器,以安装和启用 IIS 组件和服务。安装 IIS 之后,必须启用 Web 站点和应用程序所需的所有必要的 IIS 组件和服务。
您应该仅启用 Web 站点和应用程序所需的必要 IIS 组件和服务。启用不必要的组件和服务会增加 IIS 服务器的受攻击面。
有关 IIS 组件位置和建议设置的指导,请参阅如何识别 Windows Server 2003 中的 IIS 6.0 组件。
仅启用必要的 Web 服务扩展
许多运行于 IIS 服务器上的网站和应用程序具有超出静态页面范畴的扩展功能,包括生成动态内容的能力。通过 IIS 服务器提供的功能来产生或扩展的任何动态内容,都是通过使用 Web 服务扩展来实现的。
IIS 6.0 中增强的安全功能允许用户单独启用或禁用 Web 服务扩展。在一次新的安装之后,IIS 服务器将只传输静态内容。可通过 IIS 管理器中的 Web 服务扩展节点来启用动态内容
0
投稿猜你喜欢
- 当互联网吵吵嚷嚷的进入2.0时代,当互联网的技术不再是那么高不可攀,当复制变成家常便饭,互联网热闹起来了myspace火了,中国冒出更多的m
- 博客的留言评论原本是为了博主与读者建立良好沟通和交流的途径,然而,黑帽SEO通过一些自动发送链接的程序,大量粘帖他们网站链接地址进行所谓的S
- 众所周知,搜索引擎搜索会显示付费结果和自然排名的结果,但这些结果是怎么样显示在大家的面前的呢?大家先回忆一下,我们是如何搜索的?“输入搜索关
- 近日,笔者将学校服务器的操作系统升级为Windows Server 2003,在Web服务器的配置过程中发现了许多与Windows 2000
- ■ 如何在您的程式使用 curses ?在您的 C 程式的档头将 <curses.h> include 进来.当您引进 curs
- 基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题,不过我个人认为自从Windows Server
- 在计算机网络日益普及的今天,计算机安全不但要求防治计算机病毒,而且要提高系统抵抗黑客非法入侵的能力,还要提高对远程数据传输的保密性,避免在传
- 每两年,SEOmoz搜索引擎营销团队都会向世界各地的SEO专家们做有关搜索引擎排名算法的调查。今年主要收到了来自美国、英国、加拿大、澳大利亚
- 在使用dedecms5.6时发现如果在内容页面调用相关文章,简单的使用dedecms arclist不能够实现,但是arclist有一个字段
- 我最近一直在阅读一些关于Google Adsense技巧的论坛和博客,我觉得有必要将这些技巧都集中整理在一个地方,同时我也写了几个我自己的诀
- 备份管理员通常采用传统的物理备份解决方案,可能会误认为VCB是对虚拟数据中心的完整解答,因此还需要为VCB做好充足的准备和调研。选购VMwa
- 从小小的文字链到全屏广告,从在网页下层弹出广告到直接在最上层弹出大幅广告,广告尺寸和方式发生了巨大的变化,不禁让我们想到未来,广告将大到什么
为了庆祝今天ID解封,特发一篇小教程,针对新手的,讲错的地方欢迎指正,下面开始教程. 在网上流传很广,坛子里也有几个人都转过,这里- 稳定使用多年的UCHOME最近经常出现问题,今天的怪事则是无论普通用户登录还是管理员登录管理,均显示登录成功,而后又自动跳转到重新登录页面。
- 一个良好的站内结构可以帮助Google快速的分析站点,尽快的摆脱沙盒。而且好的整站优化可以让页面间的权重有效的传递,是整站的排名得到提升。下
- 百度,中国搜索引擎的老大,用户最多的搜索引擎,现在排名算法即将发生改变,我们应该怎么面对了?在不知道新的算法前,我们现在可以做下面的东西为新
- 但凡是靠写东西在IT圈里混的,我们大可都归到IT写手的行列中来,具体考究一下,IT是信息技术的意思,写手嘛!就是写手啦,也没什么好解释的。I
- 目前,已在全国31个省(区/市)的省会城市和主要城市的500多个中国邮政网点和中国农业银行网点开办了西联汇款业务。下面我们列出了大家可能比较
- 现今的网络,安全越来越受到大家的重视,在构建网络安全环境时,在技术手段,管理制度等方面都逐步加强,设置防火墙,安装入侵检测系统等等。但网络安
- 在这个被Ajax技术统治的互联网时代,很多Ajax程序都会在异步读取数据的同时,显示一个正在读取或Loading的动画。今天彬Go要向大家推
