科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道加固Windows Server 2003 IIS 服务器

加固Windows Server 2003 IIS 服务器

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本模块集中说明在您的环境中强化 IIS 服务器所需的指导和步骤。

作者:巧巧读书 来源:巧巧读书 2008年6月5日

关键字: 网吧 网吧组网 网吧服务器架设

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

  要保护 IIS 服务器中众所周知帐户的安全,请执行以下步骤:

  1. 重命名 Administrator 和 Guest 帐户,并且将每个域和服务器上的密码更改为长而复杂的值。

  2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码,攻击者只须获得对一台成员服务器的访问权限,就能够访问所有其它具有相同帐户名和密码的服务器。

  3. 更改默认的帐户描述,以防止帐户被轻易识别。

  4. 将这些更改记录到一个安全的位置。

  注意:可以通过组策略重命名内置的管理员帐户。本指南提供的任何安全性模板中都没有配置该设置,因为您必须为您的环境选择一个唯一的名字。“帐户:重命名管理员帐户”设置可用来重命名本指南所定义的三种环境中的管理员帐户。该设置是组策略的安全选项设置的一部分。

  保护服务帐户的安全

  除非绝对必须,否则不要让服务运行在域帐户的安全上下文中。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权 (LSA) 秘文而获得。

  用 IPSec过滤器阻断端口

  Internet协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。

  有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。

  下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。

  服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像

  one point Client

  所有

  所有

  所有

  ME

  MOM 服务器

  允许

  是

  Terminal Services

  TCP

  所有

  3389

  所有

  ME

  允许

  是

  Domain Member

  所有

  所有

  所有

  ME

  域控制器

  允许

  是

  Domain Member

  所有

  所有

  所有

  ME

  域控制器 2

  允许

  是

  HTTP Server

  TCP

  所有

  80

  所有

  ME

  允许

  是

  HTTPS Server

  TCP

  所有

  443

  所有

  ME

  允许

  是

  All Inbound Traffic

  所有

  所有

  所有

  所有

  ME

  禁止

  是

  在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。

  上表介绍了服务器要想完成特定角色的功能所应该打开的基本端口。如果服务器使用静态的 IP 地址,这些端口已经足够。如果需要提供更多的功能,则可能需要打开更多的端口。打开更多的端口将使得您的环境下的 IIS服务器更容易管理,但是这可能大大降低服务器的安全性。

  由于在域成员和域控制器之间有大量的交互,尤其是 RPC 和身份验证通信,在 IIS 服务器和全部域控制器之间,您应该允许所有的通信。通信还可以被进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这将使得执行和管理

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章