概述
本章討論在您的環(huán)境中強(qiáng)化IIS服務(wù)器所需要的指導(dǎo)和程序。要想為組織內(nèi)部網(wǎng)中的Web服務(wù)器和應(yīng)用軟件提供全面的安全性,每一臺(tái)Microsoft® Internet Information Services (IIS)服務(wù)器以及在這些服務(wù)器上運(yùn)行的每一個(gè)站點(diǎn)和應(yīng)用軟件都應(yīng)當(dāng)受到保護(hù),以免受到與之相連的客戶機(jī)的攻擊。另外,運(yùn)行在IIS服務(wù)器上的這些網(wǎng)站和應(yīng)用軟件還應(yīng)當(dāng)免受公司內(nèi)部Intranet中運(yùn)行于其它IIS服務(wù)器上的網(wǎng)站和應(yīng)用軟件的攻擊。
為了在抵制惡意用戶和攻擊者的過程中占據(jù)主動(dòng),在安裝Microsoft Windows® Server™ 2003時(shí),缺省情況下,Windows Server 2003家族在安裝時(shí)不會(huì)安裝IIS。IIS最初以高度安全的“鎖定”模式安裝。例如,默認(rèn)情況下,IIS最初將只處理靜態(tài)內(nèi)容。除非管理員啟用它們,否則諸如Active Server Pages (ASP)、ASP.NET、Server Side Includes(SSI)、WebDAV(Web Distributed Authoring and Versioning)發(fā)布、以及Microsoft FrontPage® Server Extensions等特性將無法工作。這些特性可以通過Internet Information Services Manger (IIS Manager)中的Web Service Extensions節(jié)點(diǎn)來啟用。
IIS Manager 具有圖形化的用戶界面(GUI),可用來方便地對(duì)IIS進(jìn)行管理。它包括用于文件和目錄管理的資源,能夠?qū)?yīng)用程序池進(jìn)行配置,并且具有安全性、性能、以及可靠性方面的諸多特性。
本章接下來的部分詳細(xì)介紹了各種安全性強(qiáng)化設(shè)置,執(zhí)行這些設(shè)置可增強(qiáng)公司Intranet中存放HTML內(nèi)容的IIS服務(wù)器的安全性。但是,要想確保IIS服務(wù)器的徹底安全,您還應(yīng)當(dāng)運(yùn)行安全監(jiān)視、檢測(cè)和響應(yīng)等程序。
審核策略設(shè)置
在本指南定義的三種環(huán)境下,IIS服務(wù)器的審核策略設(shè)置通過MSBP來配置。要了解有關(guān)MSBP的更多信息,請(qǐng)參看第三章“創(chuàng)建成員服務(wù)器基線”。MSBP設(shè)置可確保所有的相關(guān)安全性審核信息均被記錄在IIS服務(wù)器上。
用戶權(quán)限分配
在本指南所的定義的三種環(huán)境中,大多數(shù)IIS服務(wù)器的用戶權(quán)限分配通過MSBP來配置。要了解更多關(guān)于MSBP的信息,請(qǐng)參看第三章“創(chuàng)建成員服務(wù)器基線”。下面闡述MSBP與Incremental IIS Group Policy(增量式IIS組策略)之間的差別。
拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)
