加固Windows Server 2003 IIS 服务器

核心提示： 用户权限分配本指南中定义的三种环境中的 IIS 服务器的大多数用户权限分配都是通过 MSBP 配置的，有关 MSBP 的详细信息，加固Windows Server 2003 IIS 服务器(2)，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准，在下一节中阐述

用户权限分配

本指南中定义的三种环境中的 IIS 服务器的大多数用户权限分配都是通过 MSBP 配置的。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。在下一节中阐述 MSBP 与 Incremental IIS Group Policy（增量式 IIS 组策略）之间的差别。

拒绝通过网络访问该计算机

成员服务器默认值 旧客户端 企业客户端 高安全性

SUPPORT_388945a0

匿名登录；内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

匿名登录；内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

匿名登录；内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

注意：安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和所有非操作系统服务帐户。对于组织中的每个域，这些帐户和组拥有唯一的安全标识 (SID)。因此，必须手动添加它们。

“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。。这些设置将拒绝大量的网络协议，包括服务器消息块 (SMB) 协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。当用户帐户同时适用两种策略时，该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限，您可以限制用户在您的环境中执行委托管理任务的能力。

在模块创建 Windows Server 2003 服务器的成员服务器基准中，本指南建议将 Guests 组包含在被分配了该权限的用户和组列表中，以提供最大可能的安全性。但是，用于匿名访问 IIS 的 IUSR 帐户被默认为 Guests 组的成员。本指南建议从增量式 IIS 组策略中清除 Guests 组，以确保必要时可配置对 IIS 服务器的匿名访问。因此，在本指南所定义的全部三种环境下，我们针对 IIS 服务器将“拒绝通过网络访问该计算机”设置配置为包括：匿名登录、内置管理员、Support_388945a0、Guest 以及所有非操作系统服务帐户。