|
加固Windows Server 2003 IIS 服务器(2) |
|
![]() |
|
|
|
您查看的文章来源于http://www.oklinux.cn 欢迎进入Windows社区论坛,与200万技术人员互动交流 >>进入
Web 站点权限: 授予的权限:
读
用户可查看目录或文件的内容和属性。在默认情况下,该权限为选中状态。
写用户可更改目录或文件的内容和属性。
脚本源访问
用户可以访问源文件。如果启用“读”权限,则可以读取源文件;如果启用“写”权限,则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限,也不启用“写”权限,则此选项将不可用。
要点:启用“脚本源访问”时,用户可以查看敏感信息,例如用户名和密码。他们还可以更改 IIS 服务器上运行的源代码,从而严重影响服务器的安全性和性能。
目录浏览
用户可以查看文件列表和集合。
日志访问
每次访问 Web 站点都会创建日志条目。
索引此资源
允许使用索引服务索引资源。这样便可以对资源执行搜索。
执行
以下选项确定用户运行脚本的级别:
“无” — 不允许在服务器上运行脚本和可执行文件。
“仅限于脚本” — 仅允许在服务器上运行脚本。
“脚本和可执行文件” — 允许在服务器上运行脚本和可执行文件。
配置 IIS 日志
本指南建议在指南定义的三种环境下均启用 IIS 服务器上的 IIS 日志。
可以为每个站点或应用程序创建单独的日志。IIS 可以记录 Microsoft Windows? 操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS 日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。IIS 日志可被用来了解那些内容最受欢迎,确定信息瓶颈,或者用作协助攻击事件调查的资源。
IIS 管理器管理单元可以用来配置日志文件格式、日志计划以及将被记录的确切信息。为限制日志的大小,应当对所记录信息的内容进行仔细规划。
当 IIS 日志被启用时,IIS 使用 W3C 扩展日志文件格式来创建日常操作记录,并存储到在 IIS 管理器中为站点指定的目录中。为改善服务器性能,日志文件应当存储到系统卷以外的条带集或条带集/镜像磁盘卷上。
而且,您还可以使用完整的全局命名约定 (UNC) 路径将日志文件写到网络上以便远程共享。远程日志让管理员能够建立集中的日志文件存储和备份。但是,通过网络对日志文件进行写操作可能会对服务器性能带来负面影响。
IIS 日志可以配置为使用其它几种 ASCII 或开放数据库连接 (ODBC) 文件格式。ODBC 日志让 IIS 能够将活动信息存储到 SQL 数据库中。但是,应该注意,当启用 ODBC 日志时,IIS 将禁用内核模式缓存。因此,执行 ODBC 日志会降低服务器的总体性能。
存放数以百计的站点的 IIS 服务器通过启用集中的二进制日志来改善日志性能。集中化的二进制日志允许 IIS 服务器将所有 Web 站点的活动信息写到一个日志文件上。这样,通过减少需要逐一存储和分析的日志文件的数量,大大地提高了 IIS 日志记录过程的可管理性和可伸缩性。有关集中化二进制日志的更多信息,请参阅 Microsoft TechNet 主题“Centralized Binary Logging”,其网址为:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp(英文)。
当 IIS 日志按默认设置存储在 IIS 服务器中时,只有服务器管理员有权访问它们。如果日志文件的文件夹或文件的所有者不在“Local Administrators”组中时,HTTP.sys — IIS 6.0 的内核模式驱动程序 — 将向 NT 事件日志发布一个错误。该错误指出文件夹或文件的所有者不在“Local Administrators”组中,并且这个站点的日志将暂时失效,直到其所有者被添加到“Local Administrators”组中,或者现有的文件夹或文件被删除。
向用户权限分配手动添加唯一的安全组
大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是,有些帐户和安全组不能被包括在模板内,因为它们的安全标识符 (SID) 对于单个的 Windows 2003 域是特定的。下面给出了必须手动配置的用户权限分配。
警告:下表包含了内置的 Administrator 帐户。注意不要将 Administrator 帐户和内置的 Administrators 安全组相混淆。如果 Administrators 安全组添加了以下任何一个拒绝访问的用户权限,您必须在本地登录以更正该错误。
此外,根据模块创建 Windows Server 2003 服务器的成员服务器基准中描述的某些建议,内置的 Administrator 账户可能已经被重命名。当添加 Administrator 账户时,请确信指定的是经过重命名的账户。
成员服务器默认值 旧客户端 企业客户端 高安全性
拒绝通过网络访问该计算机
内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
警告:所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置帐户 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。
保护众所周知帐户的安全
Windows Server 2003 具备大量的内置用户帐户,这些帐户不能删除,但可以重命名。Windows 2003 中最常见的两个帐户是 Guest 和 Administrator。
默认情况下,Guest 帐户在成员服务器和域控制器上被禁用。不应更改此设置。内置的 Administrator 帐户应被重命名,而且其描述也应被更改,以防止攻击者通过该帐户破坏远程服务器。
许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识 (SID) 来确定该帐户的真实姓名,从而侵占服务器。SID 是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的 SID 是不可能的。将本地管理员帐户改变为一个特别的名称,可以方便您的操作人员监视对该帐户的攻击企图。
共2页: 上一页 1 [2] 下一页 |
上一篇:初学者必读 MySQL 数据库常见问题汇总 下一篇:Google Chrome:网上操作系统第一步
 |
相关文档 |
|
|
|
发表评论 |
|
|
|
|
