加固Windows Server 2003 IIS 服务器

概括 　　本模块会合证明在您的情况中加强 iis 效劳器所需的引导和办法。为了向构造的公司 intranet 中的 web 效劳器和运用步调供给所有的安定养护，该当养护每个 microsoft internet 消息效劳 (iis) 效劳器以及在那些效劳器运转的每个 web 站点和运用步调不受可与它们贯穿的存户端计划机的侵吞。其余，还该当养护在那些一切 iis 效劳器上运转的 web 站点和运用步调不受在公司 intranet 中其余 iis 效劳器上运转的 web 站点和运用步调的侵吞。

　　为了在制止歹意用户和报复者的进程中吞噬积极，默许情景下，iis 不安置在 windows server 2003 系列产物上。iis 首先以莫大安定的“锁定”形式中安置。比方，默许情景下，iis 首先仅供给静态实质。诸如 active server pages (asp)、asp.net、效劳器端囊括 (ssi)、web distributed authoring and versioning (webdav) 颁布及 microsoft frontpage? server extensions 等功效仅在处置员起用它们后才起效率。不妨经过 internet 消息效劳处置器（iis 处置器）中的 web 效劳扩充节点起用那些功效和效劳。

　　iis 处置器具备图形化的用户界面 (gui)，可用来简单地对 iis 举行处置。它囊括用来文献和目次处置的资源，不妨对运用步调池举行摆设，而且具备安定性、本能、以及真实性上面的诸多个性。

　　本章接下来的局部精细引见了百般安定性加强树立，实行那些树立可巩固公司 intranet 中寄存 html 实质的 iis 效劳器的安定性。然而，为保证 iis 效劳器一直居于安定状况，还应实行安定监察和控制、检验和测定和相应等办法。

　　考查战略树立

　　在本指南设置的三种情况下，iis 效劳器的考查战略树立经过 msbp 来摆设。相关 msbp 的精细消息，请参见模块创造 windows server 2003 效劳器的分子效劳器基准。msbp 树立可保证一切关系的安定考查消息都记载在一切的 iis 效劳器上。 

　　用户权力调配

　　本指南开中学设置的三种情况中的 iis 效劳器的大普遍用户权力调配都是经过 msbp 摆设的。相关 msbp 的精细消息，请参见模块创造 windows server 2003 效劳器的分子效劳器基准。鄙人一节中阐明 msbp 与 incremental iis group policy（增量式 iis 组战略）之间的分辨。

中断经过搜集考察该计划机

表 1：树立

分子效劳器默许值 旧存户端 企业存户端 高安定性 support_388945a0 隐姓埋名登录；内置处置员帐户；support_388945a0；guest；一切非操纵体例效劳帐户 隐姓埋名登录；内置处置员帐户；support_388945a0；guest；一切非操纵体例效劳帐户 隐姓埋名登录；内置处置员帐户；support_388945a0；guest；一切非操纵体例效劳帐户

　　提防：安定沙盘中不包括隐姓埋名登录、内置处置员帐户、support_388945a0、guest 和一切非操纵体例效劳帐户。对于构造中的每个域，那些帐户和组具有独一的安定标识 (sid)。所以，必需手动增添它们。

　　“中断经过搜集考察该计划机”树立确定了哪些用户不许经过搜集考察该计划机。。那些树立将中断洪量的搜集和议，囊括效劳器动静块 (smb) 和议、搜集基础输出/输入体例 (netbios)、通用 internet 文献体例 (cifs)、超文本传输和议 (http) 和组件东西模子 (com+)。当用户帐户同声实用两种战略时，该树立将掩盖“承诺经过搜集考察该计划机”树立。经过给其它组摆设该用户权力，您不妨控制用户在您的情况中实行委派处置工作的本领。

　　在模块创造 windows server 2003 效劳器的分子效劳器基准中，本指南倡导将 guests 组包括在被调配了该权力的用户和组列表中，以供给最大大概的安定性。然而，用来隐姓埋名考察 iis 的 iusr 帐户被默许为 guests 组的分子。本指南倡导从增量式 iis 组战略中废除 guests 组，以保证需要时可摆设对 iis 效劳器的隐姓埋名考察。所以，在本指南所设置的十足三种情况下，咱们对准 iis 效劳器将“中断经过搜集考察该计划机”树立摆设为囊括：隐姓埋名登录、内置处置员、support_388945a0、guest 以及一切非操纵体例效劳帐户。

　　安定选项

　　在本指南所的设置的三种情况中，iis 效劳器的安定选项经过 msbp 来摆设。相关 msbp 的精细消息，请参见模块创造 windows server 2003 效劳器的分子效劳器基准。msbp树立保证了在企业iis效劳器中一致摆设精确的事变日记树立。

　　事变日记树立

　　在本指南开中学设置的三种情况中，iis 效劳器的事变日记树立经过 msbp 来摆设。相关 msbp 的精细消息，请参见模块创造 windows server 2003 效劳器的分子效劳器基准。msbp 树立保证了在企业 iis 效劳器中一致摆设精确的事变日记树立。

　　体例效劳

　　为了让 iis 向 windows server 2003 中增添 web 效劳器功效，则必需起用以次三种效劳。增量式 iis 组战略保证了那些效劳被摆设为机动启用。

　　提防：msbp 禁止使用了几种其它的 iis 关系效劳。ftp、smtp 和 nntp 即是 msbp 所禁止使用的少许效劳。即使想要在本指南所设置的任何一种情况下的 iis 效劳器上起用那些效劳，必需变动增量式 iis 组战略。

　　http ssl

表 2：树立

效劳名 分子效劳器默许值 旧存户端 企业存户端 高安定性 httpfilter 手动 机动 机动 机动

　　http ssl 效劳可让 iis 实行安定套接字层 (ssl) 功效。ssl是创造加密通讯渠道的一种盛开规范，以提防诸如断定卡号等要害消息被半途截获。开始，它使得在万维网长进行安定的电子金融工作变成大概，固然也可用它来实行其它 internet 效劳。

　　即使 http ssl 效劳遏止，iis 将没辙实行 ssl 功效。禁止使用此效劳将引导任何精确依附它的效劳都没辙实行。您不妨运用组战略来养护和树立效劳的启用形式，只承诺效劳器处置员考察那些树立，进而提防一经受权或歹意的用户摆设或操纵该效劳。组战略还不妨提防处置员偶尔中禁止使用该效劳。所以，在本指南所设置的十足三种情况下，对准 iis 效劳器的须要将“http ssl”树立摆设为“机动”。