股票官网

当前位置:错新网文章中心服务器Web服务器 → Windows Server 2003 安全性指南介绍 强化IIS服务器

Windows Server 2003 安全性指南介绍 强化IIS服务器

减小字体 增大字体 作者:admin  来源:www.hack50.com  发布时间:2012-1-22 7:29:14

概述

本章讨论在您的环境中强化IIS所需要的指导和程序。要想为组织内部网中的Web和应用软件提供全面的安全性,每一台Microsoft® Internet Information Services (IIS)以及在这些上运行的每一个站点和应用软件都应当受到保护,以免受到与之相连的客户机的攻击。另外,运行在IIS上的这些网站和应用软件还应当免受公司内部Intranet中运行于其它IIS上的网站和应用软件的攻击。

股票官网WEILEZAIDIZHIEYIYONGHUHEGONGJIZHEDEGUOCHENGZHONGZHANJUZHUDONG,ZAIANZHUANGMicrosoft Windows® Server™ 2003SHI,QUESHENGQINGKUANGXIA,Windows Server 2003JIAZUZAIANZHUANGSHIBUHUIANZHUANGIIS。IISZUICHUYIGAODUANQUANDE“SUODING”MOSHIANZHUANG。LIRU,MORENQINGKUANGXIA,IISZUICHUJIANGZHICHULIJINGTAINEIRONG。CHUFEIGUANLIYUANQIYONGTAMEN,FOUZEZHURUActive Server Pages (ASP)、ASP.NET、Server Side Includes(SSI)、WebDAV(Web Distributed Authoring and Versioning)FABU、YIJIMicrosoft FrontPage® Server ExtensionsDENGTEXINGJIANGWUFAGONGZUO。ZHEIXIETEXINGKEYITONGGUOInternet Information Services Manger (IIS Manager)ZHONGDEWeb Service ExtensionsJIEDIANLAIQIYONG。

IIS Manager JUYOUTUXINGHUADEYONGHUJIEMIAN(GUI),KEYONGLAIFANGBIANDIDUIIISJINXINGGUANLI。TABAOKUOYONGYUWENJIANHEMULUGUANLIDEZIYUAN,NENGGOUDUIYINGYONGCHENGXUCHIJINXINGPEIZHI,BINGQIEJUYOUANQUANXING、XINGNENG、YIJIKEKAOXINGFANGMIANDEZHUDUOTEXING。

股票官网BENZHANGJIEXIALAIDEBUFENXIANGXIJIESHAOLEGEZHONGANQUANXINGQIANGHUASHEZHI,ZHIXINGZHEIXIESHEZHIKEZENGQIANGGONGSIIntranetZHONGCUNFANGHTMLNEIRONGDEIISDEANQUANXING。DANSHI,YAOXIANGQUEBAOIISDECHEDIANQUAN,NINHAIYINGDANGYUNXINGANQUANJIANSHI、JIANCEHEXIANGYINGDENGCHENGXU。

审核策略设置

股票官网ZAIBENZHINANDINGYIDESANZHONGHUANJINGXIA,IISDESHENHECELVESHEZHITONGGUOMSBPLAIPEIZHI。YAOLEJIEYOUGUANMSBPDEGENGDUOXINXI,QINGCANKANDISANZHANG“CHUANGJIANCHENGYUANJIXIAN”。MSBPSHEZHIKEQUEBAOSUOYOUDEXIANGGUANANQUANXINGSHENHEXINXIJUNBEIJILUZAIIISSHANG。

用户权限分配

股票官网ZAIBENZHINANSUODEDINGYIDESANZHONGHUANJINGZHONG,DADUOSHUIISDEYONGHUQUANXIANFENPEITONGGUOMSBPLAIPEIZHI。YAOLEJIEGENGDUO配资公司 MSBPDEXINXI,QINGCANKANDISANZHANG“CHUANGJIANCHENGYUANJIXIAN”。XIAMIANCHANSHUMSBPYUIncremental IIS Group Policy(ZENGLIANGSHIIISZUCELVE)ZHIJIANDECHABIE。

拒绝通过网络访问该计算机

BIAO8.1: SHEZHI

成员缺省值

旧有客户机

企业客户机

高安全性

SUPPORT_388945a0

股票官网NIMINGDENGLU;NEIZHIGUANLIYUANZHANGHU; Support_388945a0;Guest;SUOYOUFEICAOZUOXITONGFUWUZHANGHU

股票官网NIMINGDENGLU;NEIZHIGUANLIYUANZHANGHU; Support_388945a0;Guest;SUOYOUFEICAOZUOXITONGFUWUZHANGHU

NIMINGDENGLU;NEIZHIGUANLIYUANZHANGHU; Support_388945a0;Guest;SUOYOUFEICAOZUOXITONGFUWUZHANGHU

注意: 安全性模板中不包括匿名登录、内置管理员、Support_388945a0、Guest以及所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识(SID)。因此,您必须手动添加它们。

拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。该设置将拒绝很多网络协议,包括信息块(SMB)协议,网络基本输入/输出系统(NetBIOS),通用Internet文件系统(CIFS),超文本传输协议(HTTP),以及 COM+ 等。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机股票官网”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行管理员任务的能力。

在第三章“创建成员基线”中,本指南推荐将Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。但是,用于匿名访问IIS的IUSR 帐户被默认为Guest 组的成员。本指南推荐从增量式IIS组策略中清除 Guests 组,以确保必要时可配置对IIS的匿名访问。因此,在本指南所定义的全部三种环境下,我们针对IIS将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Support_388945a0Guest以及所有非操作系统服务帐户

安全选项

股票官网ZAIBENZHINANSUODEDINGYIDESANZHONGHUANJINGZHONG, IISDEANQUANXUANXIANGTONGGUOMSBPLAIPEIZHI。YAOLEJIEGENGDUO配资公司 MSBPDEXINXI,QINGCANKANDISANZHANG“CHUANGJIANCHENGYUANJIXIAN”。MSBPSHEZHIBAOZHENGLESUOYOUDEXIANGGUANANQUANXUANXIANGNENGGOUKUAIISSHIXIANTONGYIPEIZHI。

事件日志设置

ZAIBENZHINANSUODEDINGYIDESANZHONGHUANJINGZHONG,IISDESHIJIANRIZHISHEZHITONGGUOMSBPLAIPEIZHI。YAOLEJIEGENGDUO配资公司 MSBPDEXINXI,QINGCANKANDISANZHANG“CHUANGJIANCHENGYUANJIXIAN”。MSBPSHEZHIQUEBAOLEZAIQIYEIISZHONGTONGYIPEIZHIZHENGQUEDESHIJIANRIZHISHEZHI。

系统服务

股票官网WEILERANGIISXIANGMicrosoft Windows Server™ 2003 TIANJIA Web GONGNENG,BIXUQIYONGYIXIASANZHONGFUWU。ZENGLIANGSHIIISZUCELVEQUEBAOLEZHEIXIEFUWUBEIPEIZHIWEIZIDONGQIDONG。

注意:股票官网MSBP禁用了几种其它的IIS相关服务。FTP、SMTP和NNTP就是被MSBP禁用的服务的例子。如果想要在本指南所定义的任何一种环境下的IIS上启用这些服务,必须更改增量式IIS组策略。

HTTP SSL

BIAO 8.2: SHEZHI

服务名称默认的成员

旧有客户机

企业客户机

高安全性

HTTPFilter手动

ZIDONG

ZIDONG

ZIDONG

HTTP SSL”服务使得IIS能够实现安全套接字层(SSL)功能。SSL是建立加密通信渠道的一种开放标准,以防止诸如信用卡号等关键信息被中途截获。首先,它使得在World Wide Web上进行电子金融事务成为可能,当然也可用它来实现其它Internet服务。

如果HTTP SSL服务终止,IIS将无法完成SSL功能。禁用该服务将导致所有明确依赖该它的服务不能实现。您可以使用组策略来保证和设置服务的启动模式,只允许管理员访问这些设置,因此可以防止未经授权或恶意的用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS的需要将HTTP SSL设置配置为“自动”。

IIS管理服务

BIAO8.3: SHEZHI

服务名称默认的成员

旧有客户机

企业客户机

高安全性

IISADMIN未安装

ZIDONG

ZIDONG

ZIDONG

IIS管理服务股票官网”允许对IIS组件进行管理,例如文件传输协议(FTP)、应用程序池、站点、Web服务扩展,以及网络期货配资 传输协议(NNTP)和简单邮件传输协议(SMTP)的虚拟。

IIS管理服务必须运行,以便让IIS能够提供Web、FTP、NNTP以及SMTP服务。如果这些服务不可用,IIS将无法配置,并且对站点服务的请求将不会成功。您可以使用组策略来保证和设置服务的启动模式,只允许管理员对它进行单独访问,因此可防止未授权或恶意用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS的需要将“IIS管理服务”设置配置为“自动”。

World Wide Web发布服务

BIAO8.4: SHEZHI

服务名称默认的成员

旧有客户机

企业客户机

高安全性

W3SVC未安装

ZIDONG

ZIDONG

ZIDONG

World Wide Web发布服务通过IIS管理单元提供网络连通性和网站管理。

World Wide Web发布服务必须得到运行,以便让IIS通过IIS Manager提供网络连通性和管理。您可以使用组策略来保证和设置服务的启动模式,只允许管理员访问改设置,以防止未经授权或恶意用户配置或操作该服务。组策略还可防止管理员无意中禁用该服务。因此,在本指南所定义的全部三种环境下,我们针对IIS的需要将“World Wide Web发布服务”设置配置为“自动”。

其它安全设置

在安装完Windows Server 2003和IIS之后,IIS在缺省情况下只能提供静态的网站股票官网内容。如果站点和应用程序包含动态内容,或者需要一个或多个附加IIS组件,每个附加IIS特性必须逐一单独启用。但是,在该过程中必须注意:您需要确保在您的环境中将每个IIS的受攻击面积降至最小。如果您的组织只包含静态内容而无需其它IIS组件,这时,缺省的IIS配置已经可以将您的环境中的IIS的攻击表面降至最小。

股票官网TONGGUOMSBPYINGYONGDEANQUANXINGSHEZHIWEIIISTIGONGLEDALIANGDEZENGQIANGANQUANXING。RANER,NINHAIXUYAOKAOLVQITAYIXIEFUJIASHIXIANG。ZHEIXIEBUZHOUBUNENGTONGGUOZUCELVEWANCHENG,ERBIXUZAISUOYOUIISSHANGSHOUDONGZHIXING。

只安装必需的IIS组件

除了World Wide Web发布服务之外,IIS6.0还包括其它的组件和服务,例如FTP和SMTP服务。您可以通过双击“控制面板”上的“添加/删除程序”来启动Windows Components Wizard Application Server,以安装和启用IIS组件和服务。在安装完IIS之后,网站和应用程序所需要的全部IIS组件和服务必须得到启用。

安装Internet信息服务(IIS)6.0:

1.   在“控制面板”上,双击“添加/删除程序”。

2.   单击“添加/删除Windows组件股票官网”按钮,启动Windows组件向导。

3.   在“组件”列表中,单击“应用程序”,然后单击“详细”。

4.   在“应用程序”对话框中,在“应用程序子组件”下,单击“Internet信息服务(IIS”,然后单击“详细”。

5. ZAIInternetXINXIFUWU(IIS)DUIHUAKUANGDEInternetXINXIFUWU(IIS)ZIZUJIANLIEBIAOZHONG,WANCHENGYIXIAGONGZUOZHIYI:

  •   要增加其它组件,请选中想要安装组件旁边的复选框。
  •   要删除已安装的组件,请清除想要删除组件旁边的复选框。

6. 单击“确定”返回到Windows组件向导。

7. 单击“下一步”,然后单击“完成”。

ZHIYOUZHANDIANHEYINGYONGCHENGXUSUOBIXUDENEIXIEJICHUIISZUJIANHEFUWUYINGDANGBEIQIYONG。QIYONGBUBIYAODEZUJIANHEFUWUZHIHUIZENGJIAIISSHOUGONGJIDEBIAOMIANJI。

股票官网XIAMIANDECHATUHEBIAOGEXIANSHILEIISZUJIANDEWEIZHIHEJIANYISHEZHI。

应用程序股票官网”对话框中的子组件如下图所示:

TU8.1

YINGYONGCHENGXUZIZUJIAN

股票官网XIABIAOJIANYAOMIAOSHULEYINGYONGCHENGXUDEZIZUJIAN,BINGQIEDUIHESHIQIYONGTAMENTIGONGLEJIANYI。

BIAO8.5: YINGYONGCHENGXUZIZUJIAN

UI中的组件名称设置设置逻辑
应用程序控制台禁用提供一个Microsoft 管理控制台(MMC),以便管理所有的Web应用程序组件。该组件在专用IIS中不是必需的,因为您还可以使用IIS Server Manager。
ASP.NET禁用提供了对ASP.NET应用程序的支持。当IIS运行ASP.NET应用程序时启用该组件。
启用网络COM+访问启用允许IIS作为存储用于分布式应用程序的COM+ 组件的主机。该组件是FTP、BITS扩展、World Wide Web服务以及IIS Manager等所必需的。
启用网络DTC访问禁用允许IIS作为存储通过分布式事务协调器(Distributed Transaction Coordinator,DTC)来参与网络事务的应用软件的主机。除非运行于IIS的应用软件需要,否则应该禁用该组件。
Internet信息服务(IIS)启用提供基本的Web和FTP服务。该组件是专用IIS所必需的。
消息队列禁用注意:如果该组件未启用,则所有的子组件将禁用。

Internet信息服务(IIS”对话框中的子组件如下图所示:


本文引用网址:

在下列搜索引擎中搜索“Windows Server 2003 安全性指南介绍 强化IIS服务器”的相关信息:

谷歌搜索 百度搜索 雅虎搜索 搜狗搜索 搜搜搜索 必应搜索 有道搜索
你可能还喜欢以下文章
  • 1王婷不雅视频 王婷全裸艳照 王...
  • 2
  • 3
  • 4
  • 5
  • 1说说"电视棒"为什么卖得这么火...
  • 2如何搭建第一个网站?做网站有...
  • 3
  • 4pr值迅速升高的简单方法
  • 5
  • 1中国女大学生的淫靡生活
  • 2
  • 3嫩白少妇与猛男户外疯狂车震遭...
  • 4
  • 5
  • 1
  • 2常见的DDoS黑客攻击技术方法
  • 3
  • 4
  • 5
    • ·上一篇文章:
    • ·下一篇文章:

    赞助商广告

    热门文章导读

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12

    图片文章导读

    股票官网相关的文章阅览

    本类最新分享