我們除非絕對必須，否則不要讓IIS 服務(wù)器服務(wù)運(yùn)行在域帳戶的安全上下文中。如果IIS 服務(wù)器的物理安全受到破壞，域賬戶密碼可以很容易通過轉(zhuǎn)儲本地安全性授權(quán) (LSA) 秘文而獲得。

用 IPSec 過濾器阻斷端口

Internet 協(xié)議安全性 (IPSec) 過濾器可為增強(qiáng)服務(wù)器所需要的安全級別提供有效的方法。我們推薦在高安全性環(huán)境中使用該選項(xiàng)，以便進(jìn)一步減少IIS 服務(wù)器的受攻擊面。

有關(guān)使用 IPSec 過濾器的詳細(xì)信息，請參閱模塊其他成員服務(wù)器強(qiáng)化過程。

下表列出在本指南定義的高級安全性環(huán)境下可在 IIS 服務(wù)器上創(chuàng)建的所有 IPSec 過濾器。

IIS 服務(wù)器 IPSec 網(wǎng)絡(luò)通信圖

服務(wù) 協(xié)議 源端口 目標(biāo)端口 源地址 目標(biāo)地址 操作 鏡像   
one point Client 所有 所有 所有 ME MOM 服務(wù)器 允許 是   
 
Terminal Services TCP 所有 3389 所有 ME 允許 是   
 
Domain Member 所有 所有 所有 ME 域控制器 允許 是   
 
Domain Member 所有 所有 所有 ME 域控制器  允許 是   
 
HTTP Server TCP 所有 80 所有 ME 允許 是   
 
HTTPS Server TCP 所有 443 所有 ME 允許 是   
 
All Inbound Traffic 所有 所有 所有 所有 ME 禁止 是  

 在實(shí)施IIS 服務(wù)器 IPSec 網(wǎng)絡(luò)通信圖所列舉的規(guī)則時，應(yīng)當(dāng)對它們都進(jìn)行鏡像處理。這樣可以確保任何進(jìn)入服務(wù)器的網(wǎng)絡(luò)通信也可以返回到源服務(wù)器。

【編輯推薦】

1. 保護(hù)眾所周知IIS 服務(wù)器帳戶的安全
2. IIS 服務(wù)器向用戶權(quán)限分配手動添加唯一的安全組
3. IIS 服務(wù)器基礎(chǔ)知識及日志的講解
4. 啟用 IIS 服務(wù)器上的 IIS 日志的知識
5. 學(xué)習(xí)如何設(shè)置 IIS Web 站點(diǎn)權(quán)限