學(xué)習(xí)過IIS 服務(wù)器的一些知識后，我們還需要了解很多的ISS 的知識。Windows Server 2003 具備大量的內(nèi)置用戶帳戶，這些帳戶不能刪除，但可以重命名。Windows 2003 中最常見的兩個帳戶是 Guest 和 Administrator。

默認(rèn)情況下，Guest 帳戶在成員服務(wù)器和域控制器上被禁用。不應(yīng)更改此設(shè)置。內(nèi)置的 Administrator 帳戶應(yīng)被重命名，而且其描述也應(yīng)被更改，以防止攻擊者通過該帳戶破壞遠(yuǎn)程服務(wù)器。

許多惡意代碼的變種企圖使用內(nèi)置的管理員賬戶來破壞一臺IIS 服務(wù)器。在近幾年來，進(jìn)行上述重命名配置的意義已經(jīng)大大降低了，因為出現(xiàn)了很多新的攻擊工具，這些工具企圖通過指定內(nèi)置 Administrator 賬戶的安全標(biāo)識 (SID) 來確定該帳戶的真實姓名，從而侵占服務(wù)器。

SID 是唯一能確定網(wǎng)絡(luò)中每個用戶、組、計算機帳戶以及登錄會話的值。改變內(nèi)置帳戶的 SID 是不可能的。將本地管理員帳戶改變?yōu)橐粋€特別的名稱，可以方便您的操作人員監(jiān)視對該帳戶的攻擊企圖。

• 要保護(hù) IIS 服務(wù)器中眾所周知帳戶的安全，請執(zhí)行以下步驟：

1. 重命名 Administrator 和 Guest 帳戶，并且將每個域和服務(wù)器上的密碼更改為長而復(fù)雜的值。

2. 在每個服務(wù)器上使用不同的名稱和密碼。如果在所有的域和服務(wù)器上使用相同的帳戶名和密碼，攻擊者只須獲得對一臺成員服務(wù)器的訪問權(quán)限，就能夠訪問所有其它具有相同帳戶名和密碼的服務(wù)器。

3. 更改默認(rèn)的帳戶描述，以防止帳戶被輕易識別。

4. 將這些更改記錄到一個安全的位置。

注意：可以通過組策略重命名內(nèi)置的管理員帳戶。本指南提供的任何安全性模板中都沒有配置該設(shè)置，因為您必須為您的環(huán)境選擇一個唯一的名字。“帳戶：重命名管理員帳戶”設(shè)置可用來重命名本指南所定義的三種環(huán)境中的管理員帳戶。該設(shè)置是組策略的安全選項設(shè)置的一部分。

如何來保護(hù)IIS 服務(wù)器的安全知識，我們就先講解到這里了。

【編輯推薦】

1. IIS 服務(wù)器在專用磁盤卷中放置內(nèi)容
2. 學(xué)習(xí)IIS 服務(wù)器中的一些安全設(shè)置知識
3. IIS 服務(wù)器向Windows Server 2003中添加Web服務(wù)器功能
4. IIS 服務(wù)器拒絕通過網(wǎng)絡(luò)訪問該計算機
5. IIS 服務(wù)器4項知識分析講解