WEB开发网
开发学院操作系统windows 2008 加固Windows Server 2003 IIS 服务器 阅读

加固Windows Server 2003 IIS 服务器

 2006-03-29 11:56:37 来源:WEB开发网   
核心提示: 用户权限分配本指南中定义的三种环境中的 IIS 服务器的大多数用户权限分配都是通过 MSBP 配置的,有关 MSBP 的详细信息,加固Windows Server 2003 IIS 服务器(2),请参阅模块创建 Windows Server 2003 服务器的成员服务器基准,在下一节中阐述

用户权限分配

本指南中定义的三种环境中的 IIS 服务器的大多数用户权限分配都是通过 MSBP 配置的。有关 MSBP 的详细信息,请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。在下一节中阐述 MSBP 与 Incremental IIS Group Policy(增量式 IIS 组策略)之间的差别。

拒绝通过网络访问该计算机

成员服务器默认值 旧客户端 企业客户端 高安全性

SUPPORT_388945a0

匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户

匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户

匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户

注意:安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识 (SID)。因此,必须手动添加它们。

“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。。这些设置将拒绝大量的网络协议,包括服务器消息块 (SMB) 协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行委托管理任务的能力。

在模块创建 Windows Server 2003 服务器的成员服务器基准中,本指南建议将 Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。但是,用于匿名访问 IIS 的 IUSR 帐户被默认为 Guests 组的成员。本指南建议从增量式 IIS 组策略中清除 Guests 组,以确保必要时可配置对 IIS 服务器的匿名访问。因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Support_388945a0、Guest 以及所有非操作系统服务帐户。

上一页  1 2 3 4 5 6 7  下一页

Tags:加固 Windows Server

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接