我们了解了很多IIS 服务器的知识,我们要注意安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识 (SID)。因此,必须手动添加它们。 我们来看下面这个表。
IIS 服务器设置
- 成员服务器默认值 旧客户端 企业客户端 高安全性
- SUPPORT_388945a0
- 匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
- 匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
- 匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。
这些设置将拒绝大量的网络协议,包括服务器消息块 (SMB) 协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。
当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行委托管理任务的能力。
在模块创建 Windows Server 2003 服务器的成员服务器基准中,本指南建议将 Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。
但是,用于匿名访问 IIS 服务器 的 IUSR 帐户被默认为 Guests 组的成员。本指南建议从增量式 IIS 组策略中清除 Guests 组,以确保必要时可配置对 IIS 服务器的匿名访问。
因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Support_388945a0、Guest 以及所有非操作系统服务帐户。 |
