加固Windows Server 2003 IIS 服务器

　　其他安全设置

　　安装 Windows Server 2003和 IIS之后，默认情况下，IIS 仅传输静态 Web 内容。当 Web 站点和应用程序包含动态内容，或者需要一个或多个附加 IIS 组件时，每个附加 IIS 功能必须逐一单独启用。

　　但是，在该过程中必须谨慎，以确保在您的环境中将每个 IIS 服务器的受攻击面降至最小。如果您的组织的 Web 站点只包含静态内容而无需其它任何 IIS 组件，这时，默认的 IIS 配置足以将您的环境中的 IIS 服务器的受攻击面降至最小。

　　通过 MSBP 应用的安全设置为 IIS 服务器提供大量的增强安全性。不过，还是应该考虑一些其他的注意事项和步骤。这些步骤不能通过组策略完成，而应该在所有的 IIS 服务器上手动执行。

　　仅安装必要的 IIS 组件

　　除“万维网发布服务”之外，IIS6.0 还包括其它的组件和服务，例如 FTP和 SMTP 服务。您可以通过双击“控制面板”上的“添加/删除程序”来启动 Windows 组件向导应用程序服务器，以安装和启用 IIS 组件和服务。安装 IIS 之后，必须启用 Web 站点和应用程序所需的所有必要的 IIS 组件和服务。

　　您应该仅启用 Web 站点和应用程序所需的必要 IIS 组件和服务。启用不必要的组件和服务会增加 IIS 服务器的受攻击面。

　　有关 IIS 组件位置和建议设置的指导，请参阅如何识别 Windows Server 2003 中的 IIS 6.0 组件。

　　仅启用必要的 Web 服务扩展

　　许多运行于 IIS 服务器上的网站和应用程序具有超出静态页面范畴的扩展功能，包括生成动态内容的能力。通过 IIS 服务器提供的功能来产生或扩展的任何动态内容，都是通过使用 Web 服务扩展来实现的。

　　IIS 6.0 中增强的安全功能允许用户单独启用或禁用 Web 服务扩展。在一次新的安装之后，IIS 服务器将只传输静态内容。可通过 IIS 管理器中的 Web 服务扩展节点来启用动态内容　　Web 站点权限： 授予的权限：

　　读

　　用户可查看目录或文件的内容和属性。在默认情况下，该权限为选中状态。

　　写用户可更改目录或文件的内容和属性。

　　脚本源访问

　　用户可以访问源文件。如果启用“读”权限，则可以读取源文件；如果启用“写”权限，则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限，也不启用“写”权限，则此选项将不可用。

　　要点：启用“脚本源访问”时，用户可以查看敏感信息，例如用户名和密码。他们还可以更改 IIS 服务器上运行的源代码，从而严重影响服务器的安全性和性能。

　　允许使用索引服务索引资源。这样便可以对资源执行搜索。

　　执行

　　以下选项确定用户运行脚本的级别：

　　“无” — 不允许在服务器上运行脚本和可执行文件。

　　“仅限于脚本” — 仅允许在服务器上运行脚本。

　　“脚本和可执行文件” — 允许在服务器上运行脚本和可执行文件。

　　配置IIS日志

　　本指南建议在指南定义的三种环境下均启用 IIS 服务器上的 IIS 日志。

　　可以为每个站点或应用程序创建单独的日志。IIS 可以记录 MicrosoftWindows? 操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS 日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。IIS 日志可被用来了解那些内容最受欢迎，确定信息瓶颈，或者用作协助攻击事件调查的资源。

　　IIS 管理器管理单元可以用来配置日志文件格式、日志计划以及将被记录的确切信息。为限制日志的大小，应当对所记录信息的内容进行仔细规划。

　　当 IIS 日志被启用时，IIS 使用 W3C 扩展日志文件格式来创建日常操作记录，并存储到在 IIS 管理器中为站点指定的目录中。为改善服务器性能，日志文件应当存储到系统卷以外的条带集或条带集/镜像磁盘卷上。

　　而且，您还可以使用完整的全局命名约定 (UNC) 路径将日志文件写到网络上以便远程共享。远程日志让管理员能够建立集中的日志文件存储和备份。但是，通过网络对日志文件进行写操作可能会对服务器性能带来负面影响。

　　IIS 日志可以配置为使用其它几种 ASCII 或开放数据库连接(ODBC) 文件格式。ODBC 日志让 IIS 能够将活动信息存储到 SQL 数据库中。但是，应该注意，当启用 ODBC 日志时，IIS 将禁用内核模式缓存。因此，执行 ODBC 日志会降低服务器的总体性能。

　　存放数以百计的站点的 IIS 服务器通过启用集中的二进制日志来改善日志性能。集中化的二进制日志允许 IIS 服务器将所有 Web 站点的活动信息写到一个日志文件上。这样，通过减少需要逐一存储和分析的日志文件的数量，大大地提高了 IIS 日志记录过程的可管理性和可伸缩性。有关集中化二进制日志的更多信息，请参阅 Microsoft TechNet 主题“Centralized Binary Logging”，其网址为：http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp（英文）。

　　当 IIS日志按默认设置存储在 IIS 服务器中时，只有服务器管理员有权访问它们。如果日志文件的文件夹或文件的所有者不在“Local Administrators”组中时，HTTP.sys — IIS 6.0 的内核模式驱动程序 — 将向 NT 事件日志发布一个错误。

　　该错误指出文件夹或文件的所有者不在“Local Administrators”组中，并且这个站点的日志将暂时失效，直到其所有者被添加到“Local Administrators”组中，或者现有的文件夹或文件被删除。

　　向用户权限分配手动添加唯一的安全组

　　大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是，有些帐户和安全组不能被包括在模板内，因为它们的安全标识符 (SID) 对于单个的 Windows2003 域是特定的。下面给出了必须手动配置的用户权限分配。

　　警告：下表包含了内置的 Administrator 帐户。注意不要将 Administrator 帐户和内置的 Administrators 安全组相混淆。如果 Administrators 安全组添加了以下任何一个拒绝访问的用户权限，您必须在本地登录以更正该错误。

　　此外，根据模块创建 Windows Server 2003服务器的成员服务器基准中描述的某些建议，内置的 Administrator 账户可能已经被重命名。当添加 Administrator 账户时，请确信指定的是经过重命名的账户。

　　成员服务器默认值 旧客户端 企业客户端 高安全性

　　拒绝通过网络访问该计算机

　　内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

　　内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

　　内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

　　警告：所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置帐户 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。

　　保护众所周知帐户的安全

　　Windows Server 2003 具备大量的内置用户帐户，这些帐户不能删除，但可以重命名。Windows 2003 中最常见的两个帐户是 Guest 和 Administrator。

　　默认情况下，Guest 帐户在成员服务器和域控制器上被禁用。不应更改此设置。内置的 Administrator 帐户应被重命名，而且其描述也应被更改，以防止攻击者通过该帐户破坏远程服务器。

　　许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 账户的安全标识 (SID) 来确定该帐户的真实姓名，从而侵占服务器。SID 是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的 SID 是不可能的。将本地管理员帐户改变为一个特别的名称，可以方便您的操作人员监视对该帐户的攻击企图。