概述
本章討論在您的環境中強化IIS服務器所需要的指導和程序。要想為組織內部網中的Web服務器和應用軟件提供全面的安全性,每一臺Microsoft® Internet Information Services (IIS)服務器以及在這些服務器上運行的每一個站點和應用軟件都應當受到保護,以免受到與之相連的客戶機的攻擊。另外,運行在IIS服務器上的這些網站和應用軟件還應當免受公司內部Intranet中運行于其它IIS服務器上的網站和應用軟件的攻擊。
為了在抵制惡意用戶和攻擊者的過程中占據主動,在安裝Microsoft Windows® Server™ 2003時,缺省情況下,Windows Server 2003家族在安裝時不會安裝IIS。IIS最初以高度安全的“鎖定”模式安裝。例如,默認情況下,IIS最初將只處理靜態內容。除非管理員啟用它們,否則諸如Active Server Pages (ASP)、ASP.NET、Server Side Includes(SSI)、WebDAV(Web Distributed Authoring and Versioning)發布、以及Microsoft FrontPage® Server Extensions等特性將無法工作。這些特性可以通過Internet Information Services Manger (IIS Manager)中的Web Service Extensions節點來啟用。
IIS Manager 具有圖形化的用戶界面(GUI),可用來方便地對IIS進行管理。它包括用于文件和目錄管理的資源,能夠對應用程序池進行配置,并且具有安全性、性能、以及可靠性方面的諸多特性。
本章接下來的部分詳細介紹了各種安全性強化設置,執行這些設置可增強公司Intranet中存放HTML內容的IIS服務器的安全性。但是,要想確保IIS服務器的徹底安全,您還應當運行安全監視、檢測和響應等程序。
審核策略設置
在本指南定義的三種環境下,IIS服務器的審核策略設置通過MSBP來配置。要了解有關MSBP的更多信息,請參看第三章“創建成員服務器基線”。MSBP設置可確保所有的相關安全性審核信息均被記錄在IIS服務器上。
用戶權限分配
在本指南所的定義的三種環境中,大多數IIS服務器的用戶權限分配通過MSBP來配置。要了解更多關于MSBP的信息,請參看第三章“創建成員服務器基線”。下面闡述MSBP與Incremental IIS Group Policy(增量式IIS組策略)之間的差別。
拒絕通過網絡訪問該計算機