概述
本模塊集中說明在您的環境中強化 IIS 服務器所需的指導和步驟。為了向組織的公司 Intranet 中的 Web 服務器和應用程序提供全面的安全保護,應該保護每個 Microsoft Internet 信息服務 (IIS) 服務器以及在這些服務器運行的每個 Web 站點和應用程序不受可與它們連接的客戶端計算機的侵害。此外,還應該保護在這些所有 IIS 服務器上運行的 Web 站點和應用程序不受在公司 Intranet 中其他 IIS 服務器上運行的 Web 站點和應用程序的侵害。
為了在抵制惡意用戶和攻擊者的過程中占據主動,默認情況下,IIS 不安裝在 Windows Server 2003 系列產品上。IIS 最初以高度安全的“鎖定”模式中安裝。例如,默認情況下,IIS 最初僅提供靜態內容。諸如 Active Server Pages (ASP)、ASP.NET、服務器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 發布及 Microsoft FrontPage? Server Extensions 等功能僅在管理員啟用它們後才起作用。可以通過 Internet 信息服務管理器(IIS 管理器)中的 Web 服務擴展節點啟用這些功能和服務。
IIS 管理器具有圖形化的用戶界面 (GUI),可用來方便地對 IIS 進行管理。它包括用於文件和目錄管理的資源,能夠對應用程序池進行配置,並且具有安全性、性能、以及可靠性方面的諸多特性。
本章接下來的部分詳細介紹了各種安全性強化設置,執行這些設置可增強公司 Intranet 中存放 HTML 內容的 IIS 服務器的安全性。但是,為確保 IIS 服務器始終處於安全狀態,還應執行安全監控、檢測和響應等步驟。
審核策略設置
在本指南定義的三種環境下,IIS 服務器的審核策略設置通過 MSBP 來配置。有關 MSBP 的詳細信息,請參閱模塊創建 Windows Server 2003 服務器的成員服務器基准。MSBP 設置可確保所有相關的安全審核信息都記錄在所有的 IIS 服務器上。
用戶權限分配
本指南中定義的三種環境中的 IIS 服務器的大多數用戶權限分配都是通過 MSBP 配置的。有關 MSBP 的詳細信息,請參閱模塊創建 Windows Server 2003 服務器的成員服務器基准。在下一節中闡述 MSBP 與 Incremental IIS Group Policy(增量式 IIS 組策略)之間的差別。
拒絕通過網絡訪問該計算機
成員服務器默認值 舊客戶端 企業客戶端 高安全性
SUPPORT_388945a0
匿名登錄;內置管理員帳戶;Support_388945a0;Guest;所有非操作系統服務帳戶
匿名登錄;內置管理員帳戶;Support_388945a0;Guest;所有非操作系統服務帳戶
匿名登錄;內置管理員帳戶;Support_388945a0;Guest;所有非操作系統服務帳戶
注意:安全模板中不包含匿名登錄、內置管理員帳戶、Support_388945a0、Guest 和所有非操作系統服務帳戶。對於組織中的每個域,這些帳戶和組擁有唯一的安全標識 (SID)。因此,必須手動添加它們。
“拒絕通過網絡訪問該計算機”設置決定了哪些用戶不能通過網絡訪問該計算機。。這些設置將拒絕大量的網絡協議,包括服務器消息塊 (SMB) 協議、網絡基本輸入/輸出系統 (NetBIOS)、通用 Internet 文件系統 (CIFS)、超文本傳輸協議 (HTTP) 和組件對象模型 (COM+)。當用戶帳戶同時適用兩種策略時,該設置將覆蓋“允許通過網絡訪問該計算機”設置。通過給其它組配置該用戶權限,您可以限制用戶在您的環境中執行委托管理任務的能力。
在模塊創建 Windows Server 2003 服務器的成員服務器基准中,本指南建議將 Guests 組包含在被分配了該權限的用戶和組列表中,以提供最大可能的安全性。但是,用於匿名訪問 IIS 的 IUSR 帳戶被默認為 Guests 組的成員。本指南建議從增量式 IIS 組策略中清除 Guests 組,以確保必要時可配置對 IIS 服務器的匿名訪問。因此,在本指南所定義的全部三種環境下,我們針對 IIS 服務器將“拒絕通過網絡訪問該計算機”設置配置為包括:匿名登錄、內置管理員、Support_388945a0、Guest 以及所有非操作系統服務帳戶。
安全選項
在本指南所的定義的三種環境中,IIS 服務器的安全選項通過 MSBP 來配置。有關 MSBP 的詳細信息,請參閱模塊創建 Windows Server 2003 服務器的成員服務器基准。MSBP設置確保了在企業IIS服務器中統一配置正確的事件日志設置。
