加固Windows Server 2003 IIS 服务器

　　1. 重命名 Administrator 和 Guest 帐户，并且将每个域和服务器上的密码更改为长而复杂的值。

　　2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码，攻击者只须获得对一台成员服务器的访问权限，就能够访问所有其它具有相同帐户名和密码的服务器。

　　3. 更改默认的帐户描述，以防止帐户被轻易识别。

　　4. 将这些更改记录到一个安全的位置。

　　注意：可以通过组策略重命名内置的管理员帐户。本指南提供的任何安全性模板中都没有配置该设置，因为您必须为您的环境选择一个唯一的名字。“帐户：重命名管理员帐户”设置可用来重命名本指南所定义的三种环境中的管理员帐户。该设置是组策略的安全选项设置的一部分。

　　保护服务帐户的安全

　　除非绝对必须，否则不要让服务运行在域帐户的安全上下文中。如果服务器的物理安全受到破坏，域账户密码可以很容易通过转储本地安全性授权 (LSA) 秘文而获得。

　　用 IPSec过滤器阻断端口

　　Internet协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项，以便进一步减少服务器的受攻击面。

　　有关使用 IPSec 过滤器的详细信息，请参阅模块其他成员服务器强化过程。

　　下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。

　　服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像

　　one point Client

　　所有

　　所有

　　所有

　　ME

　　MOM 服务器

　　允许

　　是

　　Terminal Services

　　TCP

　　所有

　　3389

　　所有

　　ME

　　允许

　　是

　　Domain Member

　　所有

　　所有

　　所有

　　ME

　　域控制器

　　允许

　　是

　　Domain Member

　　所有

　　所有

　　所有

　　ME

　　域控制器 2

　　允许

　　是

　　HTTP Server

　　TCP

　　所有

　　80

　　所有

　　ME

　　允许

　　是

　　HTTPS Server

　　TCP

　　所有

　　443

　　所有

　　ME

　　允许

　　是

　　All Inbound Traffic

　　所有

　　所有

　　所有

　　所有

　　ME

　　禁止

　　是

　　在实施上表所列举的规则时，应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。

　　上表介绍了服务器要想完成特定角色的功能所应该打开的基本端口。如果服务器使用静态的 IP 地址，这些端口已经足够。如果需要提供更多的功能，则可能需要打开更多的端口。打开更多的端口将使得您的环境下的 IIS服务器更容易管理，但是这可能大大降低服务器的安全性。

　　由于在域成员和域控制器之间有大量的交互，尤其是 RPC 和身份验证通信，在 IIS 服务器和全部域控制器之间，您应该允许所有的通信。通信还可以被进一步限制，但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这将使得执行和管理