选择显示字体大小

加固windows server 2003 iis 服务器

概述

  本模块集中说明在您的环境中强化 iis 服务器所需的指导和步骤。为了向组织的公司 intr.net 中的 web 服务器和应用程序提供全面的安全保护,应该保护每个 microsoft inte.net 信息服务 (iis) 服务器以及在这些服务器运行的每个 web 站点和应用程序不受可与它们连接的客户端计算机的侵害。此外,还应该保护在这些所有 iis 服务器上运行的 web 站点和应用程序不受在公司 intr.net 中其他 iis 服务器上运行的 web 站点和应用程序的侵害。

  为了在抵制恶意用户和攻击者的过程中占据主动,默认情况下,iis 不安装在 windows server 2003 系列产品上。iis 最初以高度安全的“锁定”模式中安装。例如,默认情况下,iis 最初仅提供静态内容。诸如 active server pages (asp)、asp.net服务器端包括 (ssi)、web distributed authoring and versioning (webdav) 发布及 microsoft frontpage? server extensions 等功能仅在管理员启用它们后才起作用。可以通过 inte.net 信息服务管理器(iis 管理器)中的 web 服务扩展节点启用这些功能和服务。

  iis 管理器具有图形化的用户界面 (gui),可用来方便地对 iis 进行管理。它包括用于文件和目录管理的资源,能够对应用程序池进行配置,并且具有安全性、性能、以及可靠性方面的诸多特性。

  本章接下来的部分详细介绍了各种安全性强化设置,执行这些设置可增强公司 intr.net 中存放 html 内容的 iis 服务器安全性。但是,为确保 iis 服务器始终处于安全状态,还应执行安全监控、检测和响应等步骤。

  审核策略设置

  在本指南定义的三种环境下,iis 服务器的审核策略设置通过 msbp 来配置。有关 msbp 的详细信息,请参阅模块创建 windows server 2003 服务器的成员服务器基准。msbp 设置可确保所有相关的安全审核信息都记录在所有的 iis 服务器上。 

  用户权限分配

  本指南中定义的三种环境中的 iis 服务器的大多数用户权限分配都是通过 msbp 配置的。有关 msbp 的详细信息,请参阅模块创建 windows server 2003 服务器的成员服务器基准。在下一节中阐述 msbp 与 incremental iis group policy(增量式 iis 组策略)之间的差别。

拒绝通过网络访问该计算机

表 1:设置

成员服务器默认值 旧客户端 企业客户端 高安全
support_388945a0
匿名登录;内置管理员帐户;support_388945a0;guest;所有非操作系统服务帐户
匿名登录;内置管理员帐户;support_388945a0;guest;所有非操作系统服务帐户
匿名登录;内置管理员帐户;support_388945a0;guest;所有非操作系统服务帐户

  注意:安全模板中不包含匿名登录、内置管理员帐户、support_388945a0、guest 和所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识 (sid)。因此,必须手动添加它们。

  “拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。。这些设置将拒绝大量的网络协议,包括服务器消息块 (smb) 协议、网络基本输入/输出系统 .netbios)、通用 inte.net 文件系统 (cifs)、超文本传输协议 (http) 和组件对象模型 (com+)。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行委托管理任务的能力。

  在模块创建 windows server 2003 服务器的成员服务器基准中,本指南建议将 guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。但是,用于匿名访问 iis 的 iusr 帐户被默认为 guests 组的成员。本指南建议从增量式 iis 组策略中清除 guests 组,以确保必要时可配置对 iis 服务器的匿名访问。因此,在本指南所定义的全部三种环境下,我们针对 iis 服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、support_388945a0、guest 以及所有非操作系统服务帐户。

  安全选项

  在本指南所的定义的三种环境中,iis 服务器安全选项通过 msbp 来配置。有关 msbp 的详细信息,请参阅模块创建 windows server 2003 服务器的成员服务器基准。msbp设置确保了在企业iis服务器中统一配置正确的事件日志设置。

  事件日志设置

  在本指南中定义的三种环境中,iis 服务器的事件日志设置通过 msbp 来配置。有关 msbp 的详细信息,请参阅模块创建 windows server 2003 服务器的成员服务器基准。msbp 设置确保了在企业 iis 服务器中统一配置正确的事件日志设置。

  系统服务

  为了让 iis 向 windows server 2003 中添加 web 服务器功能,则必须启用以下三种服务。增量式 iis 组策略确保了这些服务被配置为自动启动。

  注意:msbp 禁用了几种其它的 iis 相关服务。ftp、smtp 和 nntp 就是 msbp 所禁用的一些服务。如果想要在本指南所定义的任何一种环境下的 iis 服务器上启用这些服务,必须更改增量式 iis 组策略。

  http ssl

表 2:设置

服务名 成员服务器默认值 旧客户端 企业客户端 高安全
httpfilter
手动
自动
自动
自动

  http ssl 服务可让 iis 执行安全套接字层 (ssl) 功能。ssl是建立加密通信渠道的一种开放标准,以防止诸如信用卡号等关键信息被中途截获。首先,它使得在万维网上进行安全的电子金融事务成为可能,当然也可用它来实现其它 inte.net 服务。

  如果 http ssl 服务停止,iis 将无法执行 ssl 功能。禁用此服务将导致任何明确依赖它的服务都无法实现。您可以使用组策略来保护和设置服务的启动模式,只允许服务器管理员访问这些设置,从而防止未经授权或恶意的用户配置或操作该服务。组策略还可以防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,针对 iis 服务器的需要将“http ssl”设置配置为“自动”。

本新闻共5


 


关键字 本文所属关键字

相关 与本文相关文章

分类 所有文章关键字导航

源码编程相关

Java   Asp   PHP   .Net   XML   C/C++   CGI   VB   Jsp   J2ee   J2se   J2me   EJB   Servlet   Tomcat   Resin   Struts   Weblogic   Eclipse   ANT   GUI   JMS   Web servise   IDEA   Webphere   Hibernate   Spring   Jboss   Applet   Swing   Socket   Javamail   Perl   Ajax   P2P   安全   模式   框架   测试   开源   游戏

SQL数据库相关

My-SQL   Ms-SQL   Access   DB2   Oracle   Sybase   SQLserver   索引   存储过程   加密   数据库   分页   视图  

手机无线相关

3G   Wap   CDMA   GRPS   GSM   IVR   彩信   短信   无线   增值业务

网页设计制作相关

HTML   CSS   网页配色   网页特效   Javascript   VBscript   Dreamweaver   Frontpage   JS   Web   网站设计

网站建设推广相关

建站经验   网站优化   网站排名   推广   Alexa

操作系统/服务器相关

Windows XP   Windows 2000   Windows 2003   Windows Me   Windows 9.x   Linux   UNIX   注册表   操作系统   服务器   应用服务器

图形图像多媒体相关

Photoshop   Fireworks   Flash   Coreldraw   Illustrator   Freehand   Photoimpact   多媒体   图形图像

标准 网站致力的规范

Valid CSS!

无不良内容,无不良广告,无恶意代码

Valid XHTML 1.0 Transitional

creativecommons