我們了解了很多IIS 服務(wù)器的知識(shí)，我們要注意安全模板中不包含匿名登錄、內(nèi)置管理員帳戶、Support_388945a0、Guest 和所有非操作系統(tǒng)服務(wù)帳戶。對(duì)于組織中的每個(gè)域，這些帳戶和組擁有唯一的安全標(biāo)識(shí) (SID)。因此，必須手動(dòng)添加它們。 我們來看下面這個(gè)表。

IIS 服務(wù)器設(shè)置

成員服務(wù)器默認(rèn)值 舊客戶端 企業(yè)客戶端 高安全性   
SUPPORT_388945a0   
匿名登錄；內(nèi)置管理員帳戶；Support_388945a0；Guest；所有非操作系統(tǒng)服務(wù)帳戶   
匿名登錄；內(nèi)置管理員帳戶；Support_388945a0；Guest；所有非操作系統(tǒng)服務(wù)帳戶   
匿名登錄；內(nèi)置管理員帳戶；Support_388945a0；Guest；所有非操作系統(tǒng)服務(wù)帳戶 

“拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)”設(shè)置決定了哪些用戶不能通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)。

這些設(shè)置將拒絕大量的網(wǎng)絡(luò)協(xié)議，包括服務(wù)器消息塊 (SMB) 協(xié)議、網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) (NetBIOS)、通用 Internet 文件系統(tǒng) (CIFS)、超文本傳輸協(xié)議 (HTTP) 和組件對(duì)象模型 (COM+)。

當(dāng)用戶帳戶同時(shí)適用兩種策略時(shí)，該設(shè)置將覆蓋“允許通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)”設(shè)置。通過給其它組配置該用戶權(quán)限，您可以限制用戶在您的環(huán)境中執(zhí)行委托管理任務(wù)的能力。

在模塊創(chuàng)建 Windows Server 2003 服務(wù)器的成員服務(wù)器基準(zhǔn)中，本指南建議將 Guests 組包含在被分配了該權(quán)限的用戶和組列表中，以提供最大可能的安全性。

但是，用于匿名訪問 IIS 服務(wù)器 的 IUSR 帳戶被默認(rèn)為 Guests 組的成員。本指南建議從增量式 IIS 組策略中清除 Guests 組，以確保必要時(shí)可配置對(duì) IIS 服務(wù)器的匿名訪問。

因此，在本指南所定義的全部三種環(huán)境下，我們針對(duì) IIS 服務(wù)器將“拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)”設(shè)置配置為包括：匿名登錄、內(nèi)置管理員、Support_388945a0、Guest 以及所有非操作系統(tǒng)服務(wù)帳戶。

【編輯推薦】

1. IIS漏洞對(duì)數(shù)據(jù)庫(kù)安全的知識(shí)分析
2. 從IIS漏洞到服務(wù)器的知識(shí)講解
3. 微軟IIS與APACHE3項(xiàng)性能做比較
4. 微軟IIS與Apache擴(kuò)展性和安全性的比較
5. 微軟IIS與Apache穩(wěn)定性等比較分析