拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)
表8.1: 設(shè)置
| 成員服務(wù)器缺省值 |
舊有客戶機(jī) |
企業(yè)客戶機(jī) |
高安全性 |
| SUPPORT_388945a0 |
匿名登錄;內(nèi)置管理員帳戶; Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶 |
匿名登錄;內(nèi)置管理員帳戶; Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶 |
匿名登錄;內(nèi)置管理員帳戶; Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶 |
注意: 安全性模板中不包括匿名登錄、內(nèi)置管理員、Support_388945a0、Guest以及所有非操作系統(tǒng)服務(wù)帳戶。對(duì)于組織中的每個(gè)域,這些帳戶和組擁有唯一的安全標(biāo)識(shí)(SID)。因此,您必須手動(dòng)添加它們。
“拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)”設(shè)置決定了哪些用戶不能通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)。該設(shè)置將拒絕很多網(wǎng)絡(luò)協(xié)議,包括服務(wù)器信息塊(SMB)協(xié)議,網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)(NetBIOS),通用Internet文件系統(tǒng)(CIFS),超文本傳輸協(xié)議(HTTP),以及 COM+ 等。當(dāng)用戶帳戶同時(shí)適用兩種策略時(shí),該設(shè)置將覆蓋“允許通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)”設(shè)置。通過給其它組配置該用戶權(quán)限,您可以限制用戶在您的環(huán)境中執(zhí)行管理員任務(wù)的能力。
在第三章“創(chuàng)建成員服務(wù)器基線”中,本指南推薦將Guests 組包含在被分配了該權(quán)限的用戶和組列表中,以提供最大可能的安全性。但是,用于匿名訪問IIS的IUSR 帳戶被默認(rèn)為Guest 組的成員。本指南推薦從增量式IIS組策略中清除 Guests 組,以確保必要時(shí)可配置對(duì)IIS服務(wù)器的匿名訪問。因此,在本指南所定義的全部三種環(huán)境下,我們針對(duì)IIS服務(wù)器將“拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)”設(shè)置配置為包括:匿名登錄、內(nèi)置管理員、Support_388945a0、Guest以及所有非操作系統(tǒng)服務(wù)帳戶。
安全選項(xiàng)
在本指南所的定義的三種環(huán)境中, IIS服務(wù)器的安全選項(xiàng)通過MSBP來配置。要了解更多關(guān)于MSBP的信息,請(qǐng)參看第三章“創(chuàng)建成員服務(wù)器基線”。MSBP設(shè)置保證了所有的相關(guān)安全選項(xiàng)能夠跨IIS服務(wù)器實(shí)現(xiàn)統(tǒng)一配置。
事件日志設(shè)置
在本指南所的定義的三種環(huán)境中,IIS服務(wù)器的事件日志設(shè)置通過MSBP來配置。要了解更多關(guān)于MSBP的信息,請(qǐng)參看第三章“創(chuàng)建成員服務(wù)器基線”。MSBP設(shè)置確保了在企業(yè)IIS服務(wù)器中統(tǒng)一配置正確的事件日志設(shè)置。
系統(tǒng)服務(wù)
為了讓IIS向Microsoft Windows Server™ 2003 添加 Web 服務(wù)器功能,必須啟用以下三種服務(wù)。增量式IIS組策略確保了這些服務(wù)被配置為自動(dòng)啟動(dòng)。
注意:MSBP禁用了幾種其它的IIS相關(guān)服務(wù)。FTP、SMTP和NNTP就是被MSBP禁用的服務(wù)的例子。如果想要在本指南所定義的任何一種環(huán)境下的IIS服務(wù)器上啟用這些服務(wù),必須更改增量式IIS組策略。
HTTP SSL
表 8.2: 設(shè)置
| 服務(wù)名稱 |
默認(rèn)的成員服務(wù)器 |
舊有客戶機(jī) |
企業(yè)客戶機(jī) |
高安全性 |
| HTTPFilter |
手動(dòng) |
自動(dòng) |
自動(dòng) |
自動(dòng) |
“HTTP SSL”服務(wù)使得IIS能夠?qū)崿F(xiàn)安全套接字層(SSL)功能。SSL是建立加密通信渠道的一種開放標(biāo)準(zhǔn),以防止諸如信用卡號(hào)等關(guān)鍵信息被中途截獲。首先,它使得在World Wide Web上進(jìn)行電子金融事務(wù)成為可能,當(dāng)然也可用它來實(shí)現(xiàn)其它Internet服務(wù)。
如果HTTP SSL服務(wù)終止,IIS將無法完成SSL功能。禁用該服務(wù)將導(dǎo)致所有明確依賴該它的服務(wù)不能實(shí)現(xiàn)。您可以使用組策略來保證和設(shè)置服務(wù)的啟動(dòng)模式,只允許服務(wù)器管理員訪問這些設(shè)置,因此可以防止未經(jīng)授權(quán)或惡意的用戶配置或操作該服務(wù)。組策略還可防止管理員無意中禁用該服務(wù)。因此,在本指南所定義的全部三種環(huán)境下,我們針對(duì)IIS服務(wù)器的需要將HTTP SSL設(shè)置配置為“自動(dòng)”。
IIS管理服務(wù)
表8.3: 設(shè)置
| 服務(wù)名稱 |
默認(rèn)的成員服務(wù)器 |
舊有客戶機(jī) |
企業(yè)客戶機(jī) |
高安全性 |
| IISADMIN |
未安裝 |
自動(dòng) |
自動(dòng) |
自動(dòng) |
“IIS管理服務(wù)”允許對(duì)IIS組件進(jìn)行管理,例如文件傳輸協(xié)議(FTP)、應(yīng)用程序池、站點(diǎn)、Web服務(wù)擴(kuò)展,以及網(wǎng)絡(luò)新聞傳輸協(xié)議(NNTP)和簡(jiǎn)單郵件傳輸協(xié)議(SMTP)的虛擬服務(wù)器。
IIS管理服務(wù)必須運(yùn)行,以便讓IIS服務(wù)器能夠提供Web、FTP、NNTP以及SMTP服務(wù)。如果這些服務(wù)不可用,IIS將無法配置,并且對(duì)站點(diǎn)服務(wù)的請(qǐng)求將不會(huì)成功。您可以使用組策略來保證和設(shè)置服務(wù)的啟動(dòng)模式,只允許服務(wù)器管理員對(duì)它進(jìn)行單獨(dú)訪問,因此可防止未授權(quán)或惡意用戶配置或操作該服務(wù)。組策略還可防止管理員無意中禁用該服務(wù)。因此,在本指南所定義的全部三種環(huán)境下,我們針對(duì)IIS服務(wù)器的需要將“IIS管理服務(wù)”設(shè)置配置為“自動(dòng)”。
World Wide Web發(fā)布服務(wù)
表8.4: 設(shè)置
| 服務(wù)名稱 |
默認(rèn)的成員服務(wù)器 |
舊有客戶機(jī) |
企業(yè)客戶機(jī) |
高安全性 |
| W3SVC |
未安裝 |
自動(dòng) |
自動(dòng) |
自動(dòng) |
World Wide Web發(fā)布服務(wù)通過IIS管理單元提供網(wǎng)絡(luò)連通性和網(wǎng)站管理。
World Wide Web發(fā)布服務(wù)必須得到運(yùn)行,以便讓IIS服務(wù)器通過IIS Manager提供網(wǎng)絡(luò)連通性和管理。您可以使用組策略來保證和設(shè)置服務(wù)的啟動(dòng)模式,只允許服務(wù)器管理員訪問改設(shè)置,以防止未經(jīng)授權(quán)或惡意用戶配置或操作該服務(wù)。組策略還可防止管理員無意中禁用該服務(wù)。因此,在本指南所定義的全部三種環(huán)境下,我們針對(duì)IIS服務(wù)器的需要將“World Wide Web發(fā)布服務(wù)”設(shè)置配置為“自動(dòng)”。
其它安全設(shè)置
在安裝完Windows Server 2003和IIS之后,IIS在缺省情況下只能提供靜態(tài)的網(wǎng)站內(nèi)容。如果站點(diǎn)和應(yīng)用程序包含動(dòng)態(tài)內(nèi)容,或者需要一個(gè)或多個(gè)附加IIS組件,每個(gè)附加IIS特性必須逐一單獨(dú)啟用。但是,在該過程中必須注意:您需要確保在您的環(huán)境中將每個(gè)IIS服務(wù)器的受攻擊面積降至最小。如果您的組織只包含靜態(tài)內(nèi)容而無需其它IIS組件,這時(shí),缺省的IIS配置已經(jīng)可以將您的環(huán)境中的IIS服務(wù)器的攻擊表面降至最小。
通過MSBP應(yīng)用的安全性設(shè)置為IIS服務(wù)器提供了大量的增強(qiáng)安全性。然而,您還需要考慮其它一些附加事項(xiàng)。這些步驟不能通過組策略完成,而必須在所有IIS服務(wù)器上手動(dòng)執(zhí)行。
只安裝必需的IIS組件
除了World Wide Web發(fā)布服務(wù)之外,IIS6.0還包括其它的組件和服務(wù),例如FTP和SMTP服務(wù)。您可以通過雙擊“控制面板”上的“添加/刪除程序”來啟動(dòng)Windows Components Wizard Application Server,以安裝和啟用IIS組件和服務(wù)。在安裝完IIS之后,網(wǎng)站和應(yīng)用程序所需要的全部IIS組件和服務(wù)必須得到啟用。
安裝Internet信息服務(wù)(IIS)6.0:
1. 在“控制面板”上,雙擊“添加/刪除程序”。
2. 單擊“添加/刪除Windows組件”按鈕,啟動(dòng)Windows組件向?qū)А?/P>
3. 在“組件”列表中,單擊“應(yīng)用程序服務(wù)器”,然后單擊“詳細(xì)”。
4. 在“應(yīng)用程序服務(wù)器”對(duì)話框中,在“應(yīng)用程序服務(wù)器子組件”下,單擊“Internet信息服務(wù)(IIS)”,然后單擊“詳細(xì)”。
5. 在Internet信息服務(wù)(IIS)對(duì)話框的Internet信息服務(wù)(IIS)子組件列表中,完成以下工作之一:
- 要增加其它組件,請(qǐng)選中想要安裝組件旁邊的復(fù)選框。
- 要?jiǎng)h除已安裝的組件,請(qǐng)清除想要?jiǎng)h除組件旁邊的復(fù)選框。
6. 單擊“確定”返回到Windows組件向?qū)А?/P>
7. 單擊“下一步”,然后單擊“完成”。
只有站點(diǎn)和應(yīng)用程序所必需的那些基礎(chǔ)IIS組件和服務(wù)應(yīng)當(dāng)被啟用。啟用不必要的組件和服務(wù)只會(huì)增加IIS服務(wù)器受攻擊的表面積。
下面的插圖和表格顯示了IIS組件的位置和建議設(shè)置。
“應(yīng)用程序服務(wù)器”對(duì)話框中的子組件如下圖所示:
圖8.1
應(yīng)用程序服務(wù)器子組件
下表簡(jiǎn)要描述了應(yīng)用程序服務(wù)器的子組件,并且對(duì)何時(shí)啟用它們提供了建議。
表8.5: 應(yīng)用程序服務(wù)器子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| 應(yīng)用程序服務(wù)器控制臺(tái) |
禁用 |
提供一個(gè)Microsoft 管理控制臺(tái)(MMC),以便管理所有的Web應(yīng)用程序服務(wù)器組件。該組件在專用IIS服務(wù)器中不是必需的,因?yàn)槟可以使用IIS Server Manager。 |
| ASP.NET |
禁用 |
提供了對(duì)ASP.NET應(yīng)用程序的支持。當(dāng)IIS服務(wù)器運(yùn)行ASP.NET應(yīng)用程序時(shí)啟用該組件。 |
| 啟用網(wǎng)絡(luò)COM+訪問 |
啟用 |
允許IIS服務(wù)器作為存儲(chǔ)用于分布式應(yīng)用程序的COM+ 組件的主機(jī)。該組件是FTP、BITS服務(wù)器擴(kuò)展、World Wide Web服務(wù)以及IIS Manager等所必需的。 |
| 啟用網(wǎng)絡(luò)DTC訪問 |
禁用 |
允許IIS服務(wù)器作為存儲(chǔ)通過分布式事務(wù)協(xié)調(diào)器(Distributed Transaction Coordinator,DTC)來參與網(wǎng)絡(luò)事務(wù)的應(yīng)用軟件的主機(jī)。除非運(yùn)行于IIS服務(wù)器的應(yīng)用軟件需要,否則應(yīng)該禁用該組件。 |
| Internet信息服務(wù)(IIS) |
啟用 |
提供基本的Web和FTP服務(wù)。該組件是專用IIS服務(wù)器所必需的。 |
| 消息隊(duì)列 |
禁用 |
注意:如果該組件未啟用,則所有的子組件將禁用。 |
“Internet信息服務(wù)(IIS)”對(duì)話框中的子組件如下圖所示:
圖8.2
IIS子組件
下表簡(jiǎn)要地描述了IIS子組件,并且對(duì)何時(shí)啟用它們提供了建議。
表8.6: IIS子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| 后臺(tái)智能傳輸服務(wù)(BITS)服務(wù)器擴(kuò)展 |
啟用 |
BITS是一種由Windows Update和Automatic Update使用的后臺(tái)文件傳輸機(jī)制。當(dāng)使用Windows升級(jí)或自動(dòng)升級(jí)自動(dòng)地將服務(wù)包和熱修補(bǔ)應(yīng)用于IIS服務(wù)器時(shí),該組件是必需的。 |
| 公共文件 |
啟用 |
IIS需要這些文件,而且它們?cè)贗IS服務(wù)器中應(yīng)當(dāng)總是被啟用的。 |
| 文件傳輸協(xié)議(FTP)服務(wù) |
禁用 |
使得IIS服務(wù)器能夠提供FTP服務(wù)。該服務(wù)不是專用的IIS服務(wù)器所必需的。 |
| FrontPage 2002服務(wù)器擴(kuò)展 |
禁用 |
為管理和發(fā)布網(wǎng)站提供FrontPage支持。當(dāng)沒有網(wǎng)站使用FrontPage擴(kuò)展時(shí),請(qǐng)禁用本組件。 |
| Internet 信息服務(wù)管理器 |
啟用 |
IIS的管理界面。 |
| Internet打印 |
禁用 |
提供基于Web的打印機(jī)管理,并且使得打印機(jī)能夠通過HTTP得到共享。該組件不是專用的IIS服務(wù)器所必需的。 |
| NNTP服務(wù) |
禁用 |
在Internet上分發(fā)、查詢、獲得以及發(fā)表Usenet新聞文章。該組件不是專用的IIS服務(wù)器所必需的。 |
| SMTP服務(wù) |
禁用 |
支持電子郵件的傳輸。該組件非專用IIS服務(wù)器所必須。 |
| World Wide Web 服務(wù) |
啟用 |
提供Web服務(wù),向客戶提供靜態(tài)和動(dòng)態(tài)內(nèi)容。該組件是專用的IIS服務(wù)器所必需的。 |
“消息隊(duì)列”對(duì)話框中的子組件如下圖所示:
圖8.3
消息隊(duì)列子組件
下表簡(jiǎn)要地描述了消息隊(duì)列子組件,并且對(duì)何時(shí)啟用它們提供了建議。
表8.7: 消息隊(duì)列子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| Active Directory集成 |
禁用 |
當(dāng)IIS服務(wù)器屬于一個(gè)域時(shí),提供與Microsoft Active Directory® 的集成。當(dāng)運(yùn)行于IIS 的站點(diǎn)和應(yīng)用軟件使用了Microsoft 消息隊(duì)列(MSMQ)時(shí),該組件是必須啟用的組件。 |
| 公共文件 |
禁用 |
MSMQ所必需的組件。當(dāng)運(yùn)行于IIS服務(wù)器的站點(diǎn)和應(yīng)用軟件使用了MSMQ時(shí),該組件是必須啟用的組件。 |
| 下級(jí)客戶支持 |
禁用 |
為下游客戶提供對(duì)Active Directory的訪問以及站點(diǎn)識(shí)別。當(dāng)運(yùn)行于IIS服務(wù)器的站點(diǎn)和應(yīng)用軟件使用了MSMQ時(shí),該組件是必需的。 |
| MSMQ HTTP支持 |
禁用 |
提供了HTTP傳輸中收發(fā)消息的服務(wù)。當(dāng)運(yùn)行于IIS服務(wù)器的站點(diǎn)和應(yīng)用軟件使用了MSMQ時(shí),該組件是必需的。 |
| 路由支持 |
禁用 |
為MSMQ提供存儲(chǔ)轉(zhuǎn)發(fā)消息以及高效路由服務(wù)。當(dāng)運(yùn)行于IIS服務(wù)器的站點(diǎn)和應(yīng)用軟件使用了MSMQ時(shí),該組件是必需的。 |
“ 后臺(tái)智能傳輸服務(wù)(BITS)服務(wù)器擴(kuò)展”對(duì)話框中的子組件如下圖所示:
圖8.4
后臺(tái)智能傳輸服務(wù)(BITS)服務(wù)器擴(kuò)展子組件
下表簡(jiǎn)要地描述了后臺(tái)智能傳輸服務(wù)(BITS)服務(wù)器擴(kuò)展子組件,并且對(duì)何時(shí)啟用它們提供了建議。
表8.8: 后臺(tái)智能傳輸服務(wù)(BITS)服務(wù)器擴(kuò)展子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| BITS管理控制臺(tái)管理單元 |
啟用 |
為管理BITS安裝一個(gè)MMC 管理單元。當(dāng)Internet服務(wù)器應(yīng)用程序編程接口(ISAPI)的BITS服務(wù)器擴(kuò)展被啟用時(shí),應(yīng)啟用該組件。 |
| BITS服務(wù)器擴(kuò)展ISAPI |
啟用 |
安裝BITS ISAPI,以便讓IIS服務(wù)器能夠使用BITS傳輸數(shù)據(jù)。當(dāng)使用Windows Update或Automatic Update自動(dòng)地將服務(wù)包和熱修補(bǔ)應(yīng)用于IIS服務(wù)器時(shí),該組件是必需的。如果Windows Update或Automatic 未被使用時(shí),應(yīng)禁用該組件。 |
“World Wide Web服務(wù)”對(duì)話框中的子組件如下圖所示:
圖8.5
World Wide Web服務(wù)子組件
下表簡(jiǎn)要地描述了World Wide Web服務(wù)子組件,并且對(duì)何時(shí)啟用它們提供了建議。
表8.9: World Wide Web服務(wù)子組件
| UI中的組件名稱 |
設(shè)置 |
設(shè)置邏輯 |
| Active Server Pages |
禁用 |
提供了對(duì)ASP的支持。當(dāng)IIS服務(wù)器中沒有站點(diǎn)或應(yīng)用軟件使用ASP時(shí),請(qǐng)禁用該組件,或者利用Web服務(wù)擴(kuò)展禁用它。要了解更多信息,請(qǐng)參看本章“僅啟用必需的Web服務(wù)擴(kuò)展”部分。 |
| Internet數(shù)據(jù)連接器 |
禁用 |
支持以.idc為擴(kuò)展名的文件所提供的動(dòng)態(tài)內(nèi)容。當(dāng)IIS服務(wù)器上沒有運(yùn)行使用該Web服務(wù)擴(kuò)展的站點(diǎn)或應(yīng)用軟件時(shí),請(qǐng)禁用該組件,或者用Web服務(wù)擴(kuò)展禁用它。要了解更多信息,請(qǐng)參看本章“僅啟用必需的Web服務(wù)擴(kuò)展”部分。 |
(繼續(xù))
| 遠(yuǎn)程管理(HTML) |
禁用 |
為管理IIS提供一個(gè)HTML界面。使用IIS Manager 可以提供更方便的管理,并且減少IIS服務(wù)器的攻擊表面。該特性在專用的IIS服務(wù)器中不是必需的。 |
| 遠(yuǎn)程桌面Web連接 |
禁用 |
包括Microsoft ActiveX® 控件和示例頁(yè)面,以便存儲(chǔ)終端服務(wù)客戶連接。使用IIS Manager 提供了更方便的管理,并且減少IIS服務(wù)器的攻擊表面。該特性在專用IIS服務(wù)器中不是必需的。 |
| 服務(wù)器端包含 |
禁用 |
提供了對(duì).shtm、.shtml和 .stm文件的支持。當(dāng)運(yùn)行于IIS服務(wù)器上的站點(diǎn)或應(yīng)用軟件沒有使用包含該擴(kuò)展名的文件時(shí),請(qǐng)禁用該組件。 |
| WebDAV |
禁用 |
WebDAV 擴(kuò)展了HTTP/1.1協(xié)議,以允許客戶發(fā)布、鎖定和管理網(wǎng)站中的資源。請(qǐng)?jiān)趯S玫腎IS服務(wù)器中禁用該功能,或者用Web服務(wù)擴(kuò)展禁用它。要了解更多信息,請(qǐng)參看本章“僅啟用必需的Web服務(wù)擴(kuò)展”部分。 |
| World Wide Web服務(wù) |
啟用 |
提供Web服務(wù),向客戶提供靜態(tài)或動(dòng)態(tài)內(nèi)容,該組件在專用IIS服務(wù)器中是必需的。 |
僅啟用必需的Web服務(wù)擴(kuò)展
許多運(yùn)行于IIS服務(wù)器上的網(wǎng)站和應(yīng)用程序具有超出靜態(tài)頁(yè)面范疇的擴(kuò)展功能,包括生成動(dòng)態(tài)內(nèi)容的能力。通過IIS服務(wù)器提供的特性來產(chǎn)生或擴(kuò)展的任何動(dòng)態(tài)內(nèi)容,都是通過使用Web服務(wù)擴(kuò)展來實(shí)現(xiàn)的。
IIS6.0 中的增強(qiáng)安全特性允許用戶單獨(dú)啟用或禁用Web服務(wù)擴(kuò)展。在一次新的安裝之后,IIS服務(wù)器將只能傳送靜態(tài)內(nèi)容。可通過IIS Manager中的Web Service Extensions節(jié)點(diǎn)來啟用動(dòng)態(tài)內(nèi)容能力。這些擴(kuò)展包括ASP.NET、SSI、WebDAV、以及FrontPage Server Extensions。
啟用所有的Web服務(wù)擴(kuò)展可確保與現(xiàn)有應(yīng)用軟件的最大可能的兼容性。但是,這可能帶來一些安全性風(fēng)險(xiǎn),因?yàn)楫?dāng)所有的擴(kuò)展被啟用時(shí),同時(shí)也啟用了您的環(huán)境下IIS服務(wù)器所不需要的功能,這樣IIS的攻擊表面積就會(huì)增加。
為了盡可能減少IIS服務(wù)器的攻擊表面,在本指南所定義的三種環(huán)境下,只有必需的Web服務(wù)擴(kuò)展才應(yīng)該在IIS服務(wù)器上被啟用。
僅僅啟用在您的IIS服務(wù)器環(huán)境下運(yùn)行的站點(diǎn)和應(yīng)用軟件所必需的Web服務(wù)擴(kuò)展,通過最大限度精簡(jiǎn)服務(wù)器的功能,可以減少每個(gè)IIS服務(wù)器的攻擊表面,從而增強(qiáng)了安全性。
下表列舉了預(yù)先定義的Web服務(wù)擴(kuò)展,并且提供了何時(shí)啟用它們的詳細(xì)指導(dǎo)。
表8.10: 啟用Web服務(wù)擴(kuò)展
| Web服務(wù)擴(kuò)展 |
啟用時(shí)機(jī) |
| Active Server Pages |
一個(gè)或多個(gè)運(yùn)行于IIS服務(wù)器上的站點(diǎn)或應(yīng)用軟件包含ASP內(nèi)容。 |
| ASP.NET v1.1.4322 |
一個(gè)或多個(gè)運(yùn)行于IIS服務(wù)器上的站點(diǎn)或應(yīng)用軟件包含ASP.NET內(nèi)容。 |
| FrontPage服務(wù)器擴(kuò)展2002 |
一個(gè)或多個(gè)運(yùn)行于IIS服務(wù)器上的站點(diǎn)或應(yīng)用軟件使用了FrontPage Extensions。 |
| Internet數(shù)據(jù)連接器(IDC) |
一個(gè)或多個(gè)運(yùn)行于IIS服務(wù)器上的站點(diǎn)或應(yīng)用軟件使用IDC來顯示數(shù)據(jù)庫(kù)信息(該內(nèi)容包含.idc和.idx文件) |
| 服務(wù)器端包含(SSI) |
一個(gè)或多個(gè)運(yùn)行于IIS服務(wù)器上的站點(diǎn)或應(yīng)用軟件使用SSI命令來指導(dǎo)IIS服務(wù)器向不同的網(wǎng)頁(yè)中插入可復(fù)用的內(nèi)容(例如,導(dǎo)航條、頁(yè)頭或頁(yè)腳) |
| Web Distributed Authoring and Versioning(WebDav) |
WebDAV是客戶在IIS服務(wù)器上透明地發(fā)布和管理站點(diǎn)資源所必需的。 |
在專用磁盤卷中放置內(nèi)容
IIS會(huì)將默認(rèn)Web站點(diǎn)的文件存儲(chǔ)到<systemroot>\inetpub\wwwroot,其中<systemroot>是安裝了Windows Server 2003的驅(qū)動(dòng)器。
在本指南所定義的三種環(huán)境下,應(yīng)該將構(gòu)成Web站點(diǎn)和應(yīng)用程序的所有文件和文件夾放置到IIS服務(wù)器的專用磁盤卷中。將這些文件和文件夾放置到IIS服務(wù)器的一個(gè)專用磁盤卷——不包括操作系統(tǒng)所在的磁盤卷——有助于防止針對(duì)目錄的遍歷攻擊。目錄遍歷攻擊是指攻擊者對(duì)位于IIS服務(wù)器目錄結(jié)構(gòu)之外的一個(gè)文件發(fā)送請(qǐng)求。
例如,cmd.exe位于<systemroot>\System32文件夾中。攻擊者可以請(qǐng)求訪問以下位置:
..\..\Windows\system\cmd.exe,企圖調(diào)用該命令。
如果站點(diǎn)內(nèi)容位于一個(gè)單獨(dú)的磁盤卷,這種類型的目錄遍歷攻擊將無法成功,原因有二。首先,cmd.exe的權(quán)限已經(jīng)作為Windows Server 2003基礎(chǔ)結(jié)構(gòu)的一部分進(jìn)行了重設(shè),從而將對(duì)它的訪問限制在很有限的用戶群中。其次,完成該修改之后,cmd.exe不再與站點(diǎn)根目錄處于同一磁盤卷,而目前沒有任何已知的方法可通過使用這種攻擊來訪問位于不同驅(qū)動(dòng)器上的命令。
除了安全性問題之外,將站點(diǎn)和應(yīng)用軟件文件和文件夾放置在一個(gè)專用的磁盤卷中使得諸如備份和恢復(fù)這樣的管理操作變得更加容易。而且,將這種類型的內(nèi)容放在一個(gè)分開的專用物理驅(qū)動(dòng)器中有助于減少系統(tǒng)分區(qū)中的磁盤爭(zhēng)用現(xiàn)象,并且改善磁盤的整體訪問性能。
設(shè)置NTFS訪問權(quán)限
Windows Server 2003檢查NTFS文件系統(tǒng)權(quán)限,以決定用戶或進(jìn)程對(duì)特定文件或文件夾的訪問類型。
您應(yīng)該分配相應(yīng)的NTFS權(quán)限,以便在本指南定義的三種環(huán)境下,允許或拒絕特定用戶對(duì)IIS服務(wù)器上站點(diǎn)的訪問。
NTFS訪問權(quán)限應(yīng)當(dāng)與Web訪問權(quán)限協(xié)同使用,而不是取代Web權(quán)限。NTFS權(quán)限只影響那些已經(jīng)被允許或被拒絕訪問站點(diǎn)和應(yīng)用程序內(nèi)容的帳戶。Web權(quán)限則影響所有訪問站點(diǎn)或應(yīng)用程序的用戶。如果站點(diǎn)權(quán)限與NTFS權(quán)限在某個(gè)文件夾或目錄上發(fā)生沖突,限制性更強(qiáng)的設(shè)置將生效。
對(duì)于不允許匿名訪問的站點(diǎn)和應(yīng)用程序,匿名帳戶訪問將被明確拒絕。當(dāng)沒有經(jīng)過身份驗(yàn)證的用戶訪問系統(tǒng)資源時(shí),就是所謂的匿名訪問。匿名帳戶包括內(nèi)置的Guest 帳戶,Guests 組,以及IIS Anonymous 帳戶。此外,除了IIS管理員之外,對(duì)其它任何用戶都應(yīng)該清除所有的寫權(quán)限。
下表提供了關(guān)于NTFS權(quán)限的一些建議,這些權(quán)限將應(yīng)用在IIS服務(wù)器上不同的文件類型之上。不同的文件類型可以被組織在不同的文件夾中,以簡(jiǎn)化應(yīng)用NTFS權(quán)限的過程 。
表8.11: NTFS 權(quán)限
| 文件類型 |
推薦的NTFS權(quán)限 |
| CGI文件(.exe, .dll, .cmd, .pl) |
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制) |
| 腳本文件(.asp) |
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制) |
| 包含文件(.inc, .shtm, .shtml) |
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制) |
| 靜態(tài)內(nèi)容(.txt, .gif, .jpg, .htm, .html) |
Everyone(只讀)
Administrators(完全控制)
System(完全控制) |
設(shè)置 IIS 站點(diǎn)權(quán)限
IIS 檢查站點(diǎn)許可權(quán)限,以確定能夠在站點(diǎn)上執(zhí)行的操作類型,例如允許訪問腳本源代碼或允許瀏覽文件夾。您應(yīng)該為站點(diǎn)分配權(quán)限,以便進(jìn)一步保證IIS服務(wù)器上的站點(diǎn)在本指南定義的三種環(huán)境下的安全性。
站點(diǎn)許可權(quán)限可以與NTFS權(quán)限協(xié)同使用。它們可配置給特定的站點(diǎn)、文件夾和文件。與NTFS權(quán)限不同,站點(diǎn)權(quán)限影響試圖訪問IIS服務(wù)器站點(diǎn)的每個(gè)人。站點(diǎn)許可權(quán)限可以通過使用IIS Manager管理單元得到應(yīng)用。
下表列舉了IIS6.0支持的站點(diǎn)權(quán)限,并且提供了簡(jiǎn)要描述,解釋如何為站點(diǎn)分配給定的許可權(quán)限。
表8.12: IIS 6.0站點(diǎn)權(quán)限
| 站點(diǎn)許可: |
授予的許可 |
| 讀(Read) |
用戶可查看文件夾或文件的屬性。該許可缺省為選中狀態(tài)。 |
| 寫(Write) |
用戶可改變文件夾或文件的屬性。 |
| 腳本源代碼訪問 |
用戶可以訪問源文件。如果讀(Read)權(quán)限被啟用,則可以讀取源文件;如果寫(Write)權(quán)限被啟用,則可以改變腳本源代碼。“腳本源訪問”允許用戶查看腳本的源代碼。如果讀和寫都未啟用,這些選項(xiàng)將不可用。重要:當(dāng)“腳本源代碼訪問”被啟用時(shí),用戶將可以查看敏感信息,例如用戶名和密碼。他們還可以改變運(yùn)行于IIS服務(wù)器上的源代碼,從而嚴(yán)重影響服務(wù)器的安全和性能。 |
| 目錄瀏覽 |
用戶可查看文件列表和集合。 |
| 日志訪問 |
每次訪問網(wǎng)站都創(chuàng)建一個(gè)日志項(xiàng)目。 |
| 索引該資源 |
允許索引服務(wù),以索引資源。這允許用戶對(duì)資源進(jìn)行搜索。 |
| 執(zhí)行 |
下面的選項(xiàng)確定用戶運(yùn)行腳本的級(jí)別:
- None(無) —不允許在服務(wù)器上執(zhí)行腳本和可執(zhí)行程序。
- Scripts only(僅腳本) — 只允許在服務(wù)器上執(zhí)行腳本。
- Scripts and Executables(腳本和可執(zhí)行文件) —允許在服務(wù)器上執(zhí)行腳本和可執(zhí)行文件。
|
配置IIS日志
本指南建議在指南定義的三種環(huán)境下均啟用IIS服務(wù)器上的IIS日志。
可以為每個(gè)站點(diǎn)或應(yīng)用程序創(chuàng)建單獨(dú)的日志。IIS可以記錄Microsoft Windows提供的事件日志或性能監(jiān)視特性所記錄信息范圍之外的信息。IIS日志可記錄諸如誰訪問過站點(diǎn),訪客瀏覽過哪些內(nèi)容、以及最后一次訪問的時(shí)間等信息。IIS日志可被用來了解那些內(nèi)容最受歡迎,確定信息瓶頸,或者幫助用戶對(duì)攻擊事件展開調(diào)查。
IIS Manager管理單元可以用來配置日志文件格式、日志日程,以及將被記錄的確切信息。為限制日志的大小,應(yīng)當(dāng)對(duì)所記錄信息的內(nèi)容進(jìn)行仔細(xì)規(guī)劃。
當(dāng)IIS日志被啟用時(shí),IIS使用W3C擴(kuò)展日志文件格式(W3C Extended Log File Format)來創(chuàng)建日常操作記錄,并存儲(chǔ)到在IIS Manager 中為站點(diǎn)指定的目錄中。為改善服務(wù)器性能,日志文件應(yīng)當(dāng)存儲(chǔ)到系統(tǒng)卷以外的條帶集或條帶集/鏡像磁盤卷上。
而且,您還可以使用 UNC 路徑將日志文件寫到網(wǎng)絡(luò)上以便遠(yuǎn)程共享。遠(yuǎn)程日志使得管理員能夠建立集中的日志文件存儲(chǔ)和備份。但是,通過網(wǎng)絡(luò)讀寫日志文件可能會(huì)對(duì)服務(wù)器性能帶來負(fù)面影響。
IIS日志可以配置為使用其它幾種 ASCII 或開放數(shù)據(jù)庫(kù)連接(ODBC)文件格式。ODBC日志使得IIS能夠?qū)⒉僮餍畔⒋鎯?chǔ)到SQL數(shù)據(jù)庫(kù)中。但是,必須指出的是,當(dāng)ODBC日志被啟用時(shí),IIS禁用了內(nèi)核模式緩存。因此,執(zhí)行ODBC日志會(huì)降低服務(wù)器的總體性能。
包括了數(shù)以百計(jì)站點(diǎn)的 IIS 服務(wù)器可通過啟用集中的二進(jìn)制日志來改善日志性能。集中化的二進(jìn)制日志允許IIS服務(wù)器將所有站點(diǎn)的活動(dòng)信息寫到一個(gè)日志文件上。這樣,通過減少需要逐一存儲(chǔ)和分析的日志文件的數(shù)量,大大地提高了IIS日志記錄過程的可管理性和可測(cè)量性。要了解關(guān)于集中二進(jìn)制日志的更多信息,請(qǐng)參看Microsoft TechNet主題“集中化的二進(jìn)制日志記錄”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server
/log_binary.asp
當(dāng)IIS日志按缺省設(shè)置存儲(chǔ)在IIS服務(wù)器中時(shí),只有管理員有權(quán)訪問它們。如果日志文件的文件夾或文件的所有者不在 Local Administrators 組中時(shí),HTTP.sys —— IIS 6.0的內(nèi)核模式驅(qū)動(dòng)程序——將向NT事件日志發(fā)布一個(gè)錯(cuò)誤。該錯(cuò)誤指出文件夾或文件的所有者不在Local Administrators 組中,并且這個(gè)站點(diǎn)的日志將暫時(shí)失效,直到其所有者被添加到Local Administrators 組中,或者現(xiàn)有的文件夾或文件被刪除。
向用戶權(quán)限分配手動(dòng)增加唯一的安全組
大多數(shù)通過DCBP應(yīng)用的用戶權(quán)限分配都已經(jīng)在本指南附帶的安全性模板中進(jìn)行了適當(dāng)?shù)闹付ā5牵行⿴艉桶踩M不能被包括在模板內(nèi),因?yàn)樗鼈兊陌踩珮?biāo)識(shí)對(duì)于單個(gè)的Windows 2003域是特定的。下面給出了必須手動(dòng)配置的用戶權(quán)限分配。
警告:下表包含了內(nèi)置的Administrator帳戶。注意不要將Administrator帳戶和內(nèi)置的Administrators安全組相混淆。如果Administrators安全組添加了以下任何一個(gè)拒絕訪問的用戶權(quán)限,您必須在本地登錄并且更正該錯(cuò)誤。
此外,根據(jù)第三章“創(chuàng)建成員服務(wù)器基線”,內(nèi)置的Administrator賬戶可能已經(jīng)被重命名。當(dāng)添加Administrator賬戶時(shí),請(qǐng)確信添加的是經(jīng)過了重命名的賬戶。
表 8.13:手動(dòng)添加用戶權(quán)限分配
| 默認(rèn)的成員服務(wù)器 |
舊有客戶機(jī) |
企業(yè)客戶機(jī) |
高安全性 |
| 拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī) |
Administrator; Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶 |
Administrator; Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶 |
Administrator; Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶 |
警告:所有非操作系統(tǒng)服務(wù)賬戶包括整個(gè)企業(yè)范圍內(nèi)用于特定應(yīng)用程序的服務(wù)賬戶。這不包括操作系統(tǒng)使用的內(nèi)置帳戶——本地系統(tǒng),本地服務(wù)或網(wǎng)絡(luò)服務(wù)帳戶。
保護(hù)眾所周知帳戶的安全
Windows Server 2003有很多內(nèi)置的帳戶,它們不能被刪除,但可以重命名。Windows 2003中最常見的兩個(gè)帳戶是Guest 和 Administrator。
在成員服務(wù)器和域控制器中,Guest帳戶缺省時(shí)被禁用。不應(yīng)改變?cè)撛O(shè)置。內(nèi)置的Administrator帳戶應(yīng)被重命名,而且其描述也應(yīng)被更改,以防止攻擊者通過該帳戶破壞遠(yuǎn)程服務(wù)器。
許多惡意代碼的變種企圖使用內(nèi)置的管理員賬戶來破壞一臺(tái)服務(wù)器。在近幾年來,進(jìn)行上述重命名配置的意義已經(jīng)大大降低了,因?yàn)槌霈F(xiàn)了很多新的攻擊工具,這些工具企圖通過指定內(nèi)置 Administrator 賬戶的安全標(biāo)識(shí)(SID)來確定該帳戶的真實(shí)姓名,從而侵占服務(wù)器。SID是唯一能確定網(wǎng)絡(luò)中每個(gè)用戶、組、計(jì)算機(jī)帳戶以及登錄會(huì)話的值。改變內(nèi)置帳戶的SID是不可能的。將本地管理員帳戶改變?yōu)橐粋(gè)特別的名稱,可以方便您的操作人員監(jiān)視對(duì)該帳戶的攻擊企圖。
保護(hù)IIS服務(wù)器中眾所周知帳戶的安全:
1. 重命名Administrator和Guest帳戶,并且將每個(gè)域和服務(wù)器上的密碼更改為長(zhǎng)而復(fù)雜的值。
2. 在每個(gè)服務(wù)器上使用不同的名稱和密碼。如果在所有的域和服務(wù)器上使用相同的帳戶名和密碼,攻擊者只須獲得對(duì)一臺(tái)成員服務(wù)器的訪問,就能夠訪問所有其它具有相同帳戶名和密碼的服務(wù)器。
3. 修改缺省的帳戶描述,以防止帳戶被輕易識(shí)別。
4. 將這些變化記錄一個(gè)安全的位置。
注意:內(nèi)置的管理員帳戶可通過組策略重命名。本指南提供的任何安全性模板中都沒有配置該設(shè)置,因?yàn)槟仨殲槟沫h(huán)境選擇一個(gè)獨(dú)一無二的名字。在本指南定義的三種環(huán)境下,“帳戶:重命名管理員帳戶” 設(shè)置可用來重命名管理員帳戶。該設(shè)置是組策略的安全選項(xiàng)設(shè)置的一部分。
保護(hù)服務(wù)帳戶的安全
除非絕對(duì)必須,否則不要讓服務(wù)運(yùn)行在域帳戶的安全上下文中。如果服務(wù)器的物理安全受到破壞,域賬戶密碼可以很容易通過轉(zhuǎn)儲(chǔ)本地安全性授權(quán)(LSA)秘文而獲得。
用IPSec過濾器阻斷端口
Internet 協(xié)議安全性(IPSec)過濾器可為增強(qiáng)服務(wù)器所需要的安全級(jí)別提供有效的方法。本指南推薦在指南中定義的高安全性環(huán)境中使用該選項(xiàng),以便進(jìn)一步減少服務(wù)器的攻擊表面。
要了解關(guān)于IPSec過濾器使用的更多信息,請(qǐng)參看“威脅與對(duì)策:Windows Server 2003和Windows XP中的安全性設(shè)置 ”的第11章 “其它成員服務(wù)器的強(qiáng)化程序” ,。
下表列舉了在本指南定義的高級(jí)安全性環(huán)境下,可在IIS服務(wù)器上創(chuàng)建的IPSec過濾器。
表8.14: IIS服務(wù)器IPSec網(wǎng)絡(luò)流量圖
| 服務(wù)器 |
協(xié)議 |
源端口 |
目的端口 |
源地址 |
目的地址 |
動(dòng)作 |
Mirror鏡像 |
| 單點(diǎn)客戶 |
所有 |
所有 |
所有 |
ME |
MOM服務(wù)器 |
允許 |
是 |
| 終端服務(wù) |
TCP |
所有 |
3389 |
所有 |
ME |
允許 |
是 |
| 域成員 |
所有 |
所有 |
所有 |
ME |
域控制器 |
允許 |
是 |
| 域成員 |
所有 |
所有 |
所有 |
ME |
域控制器 2 |
允許 |
是 |
| HTTP 服務(wù)器 |
TCP |
所有 |
80 |
ANY |
ME |
允許 |
是 |
| HTTPS 服務(wù)器 |
TCP |
所有 |
443 |
所有 |
ME |
允許 |
是 |
| 所有進(jìn)入的通信 |
所有 |
所有 |
所有 |
所有 |
ME |
阻止 |
是 |
在實(shí)施上表所列舉的規(guī)則時(shí),應(yīng)當(dāng)對(duì)其進(jìn)行鏡像處理。這樣可以保證任何進(jìn)入服務(wù)器的網(wǎng)絡(luò)流量也可以返回到源服務(wù)器。
上表介紹了服務(wù)器要想完成特定角色的功能所應(yīng)該打開的基本端口。如果服務(wù)器使用靜態(tài)的IP地址,這些端口已經(jīng)足夠。如果需要提供更多的功能,則可能需要打開更多的端口。打開更多的端口將使得您的環(huán)境下的IIS服務(wù)器更容易管理,但是這可能大大降低服務(wù)器的安全性。
由于在域成員和域控制器之間有大量的交互,尤其是RPC和身份驗(yàn)證通信,在IIS服務(wù)器和全部域控制器之間,您應(yīng)該允許所有的通信。通信還可以被進(jìn)一步限制,但是大多數(shù)環(huán)境都需要為有效保護(hù)服務(wù)器而創(chuàng)建更多的過濾器。這將使得執(zhí)行和管理IPSec策略非常困難。您應(yīng)該為每一個(gè)將與IIS服務(wù)器進(jìn)行交互的域控制器創(chuàng)建類似的規(guī)則。為了提高IIS服務(wù)器的可靠性和可用性,您需要為環(huán)境中的所有域控制器添加更多規(guī)則。
正如上表所示,如果環(huán)境中運(yùn)行了Microsoft Operations Manager(MOM),那么在執(zhí)行IPSec過濾器的服務(wù)器和MOM服務(wù)器之間,應(yīng)該允許傳輸所有的網(wǎng)絡(luò)通信。這是必須的,因?yàn)樵贛OM服務(wù)器和OnePoint 客戶端——向MOM控制臺(tái)提供報(bào)告的客戶應(yīng)用程序——之間存在大量的交互過程。其它管理軟件可能也具有類似的需求。如果希望獲得更高級(jí)別的安全性,可將OnePoint 客戶端的過濾動(dòng)作配置就IPSec與MOM服務(wù)器進(jìn)行協(xié)商。
該IPSec策略將有效地阻止通過任意一個(gè)高端口的通信,因此它不允許遠(yuǎn)程過程調(diào)用(RPC)通信。這可能使得服務(wù)器的管理很困難。由于已經(jīng)關(guān)閉了許多端口,您可以啟用終端服務(wù)。以便管理員可以進(jìn)行遠(yuǎn)程管理。
上面的網(wǎng)絡(luò)通信圖假設(shè)環(huán)境中包含啟用了Active Directory的DNS服務(wù)器。如果使用獨(dú)立的DNS服務(wù)器,可能還需要建立更多規(guī)則。
IPSec策略的執(zhí)行將不會(huì)對(duì)服務(wù)器的性能帶來明顯影響。但是,在執(zhí)行這些過濾器之前必須進(jìn)行測(cè)試,以核實(shí)服務(wù)器保持了必要的功能和性能。您可能還需要添加一些附加規(guī)則以支持其它應(yīng)用程序。
本指南包括一個(gè).cmd文件,它簡(jiǎn)化了依照指南要求為域控制器創(chuàng)建IPSec過濾器的過程。PacketFilters-IIS.cmd文件使用NETSH命令來創(chuàng)建適當(dāng)?shù)倪^濾器。應(yīng)當(dāng)修改該.cmd文件,在其中包含您所在環(huán)境中域控制器的IP地址。腳本中包含兩個(gè)占位符,這是為將被增加的兩個(gè)域控制器IP地址預(yù)留的。如果需要,還可以添加其它更多的域控制器。這些域控制器的IP地址列表應(yīng)當(dāng)是最新的。
如果環(huán)境中有MOM,應(yīng)當(dāng)在腳本中指定相應(yīng)的MOM服務(wù)器 IP 地址。該腳本不創(chuàng)建永久的過濾器。因此,直到IPSec Policy Agent啟動(dòng)時(shí),服務(wù)器才會(huì)得到保護(hù)。要了解關(guān)于建立永久過濾器或創(chuàng)建更高級(jí)IPSec過濾器腳本的信息,請(qǐng)參看本指南姐妹篇“ 威脅與對(duì)策:Windows Server 2003和Windows XP中的安全性設(shè)置 ”的第11章“其它成員服務(wù)器的強(qiáng)化程序”。最后,該腳本不會(huì)分發(fā)其創(chuàng)建的IPSec策略。IP安全性策略管理單元可被用來檢查所創(chuàng)建的IPSec過濾器,并且分發(fā)IPSec策略以便讓其生效。
總結(jié)
本章解釋了在本指南指定的三種環(huán)境下,為保護(hù)IIS服務(wù)器的安全所應(yīng)采取的強(qiáng)化設(shè)置。我們討論的大多數(shù)設(shè)置通過組策略進(jìn)行配置和應(yīng)用。可以將能夠?yàn)镸SBP提供有益補(bǔ)充的組策略對(duì)象(GPO)鏈接到包含IIS服務(wù)器的相應(yīng)組織單位(OU),以便為這些服務(wù)器提供的服務(wù)賦予更多的安全性。
本章討論的有些設(shè)置不能通過組策略得到應(yīng)用。對(duì)于這種情況,本章介紹了有關(guān)手動(dòng)配置這些設(shè)置的詳細(xì)信息。此外,我們還詳細(xì)介紹了創(chuàng)建和應(yīng)用能夠控制IIS服務(wù)器間網(wǎng)絡(luò)通信類型的IPSec過濾器的具體過程。
更多信息
以下提供了與Windows Server 2003環(huán)境下的IIS服務(wù)器密切相關(guān)的最新信息資源。
有關(guān)在IIS 5.0中啟用日志的信息,請(qǐng)參看“教學(xué):在IIS 5.0中啟用日志”: http://support.microsoft.com/default.aspx?scid=313437.
有關(guān)本主題的更多信息,請(qǐng)參看“啟用日志”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_enablelogging.asp.
有關(guān)日志站點(diǎn)行為的信息,請(qǐng)參看“記錄站點(diǎn)操作”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_aboutlogging.asp
有關(guān)擴(kuò)展日志的信息,請(qǐng)參看“定制W3C擴(kuò)展日志”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_customw3c.asp
有關(guān)集中化二進(jìn)制日志的信息,請(qǐng)參看“集中化的二進(jìn)制日志”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_binary.asp
有關(guān)遠(yuǎn)程日志的信息,請(qǐng)參看“遠(yuǎn)程日志記錄”:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
log_remote.asp.
有關(guān)安全日志(審核)的創(chuàng)建、查看以及理解的更多信息,請(qǐng)?jiān)L問安全性方面的Microsoft TechNet站點(diǎn):http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/
sec_security.asp.
有關(guān)IIS6.0 的其它信息,請(qǐng)?jiān)L問技術(shù)站點(diǎn):http://www.microsoft.com/technet/prodtechnol/windowsnetserver/proddocs/server/
iiswelcome.asp.
有關(guān)IPSec過濾的更多信息,請(qǐng)參看“教學(xué):使用Windows 2000中的IPSec IP過濾器列表”: http://support.microsoft.com/default.aspx?scid=313190.
