在我們學(xué)過的IIS 服務(wù)器網(wǎng)絡(luò)通信圖假設(shè)環(huán)境中包含啟用了 Active Directory 的 DNS 服務(wù)器。如果使用獨立的 DNS 服務(wù)器，則可能需要其他規(guī)則。

IPSec 策略的執(zhí)行應(yīng)該不會對IIS 服務(wù)器的性能有明顯影響。但是，在執(zhí)行這些過濾器之前必須進行測試，以核實服務(wù)器保持了必要的功能和性能。您可能還需要添加一些附加規(guī)則以支持其它應(yīng)用程序。

本指南包括一個 .cmd 文件，它簡化了依照指南要求為域控制器創(chuàng)建 IPSec 過濾器的過程。PacketFilters-IIS.cmd 文件使用 NETSH 命令創(chuàng)建適當(dāng)?shù)倪^濾器。

必須修改此 .cmd 文件，以使其包含您所在環(huán)境中域控制器的 IP 地址。腳本中包含兩個占位符，用于要添加的兩個域控制器。如需要，可以添加其他的域控制器。這些域控制器的 IP 地址列表應(yīng)當(dāng)是***的。

如果環(huán)境中有 MOM，應(yīng)當(dāng)在腳本中指定相應(yīng)的 MOM 服務(wù)器 IP 地址。此腳本不會創(chuàng)建***的過濾器。因此，直到 IPSec 策略代理啟動時，服務(wù)器才會得到保護。

有關(guān)構(gòu)建***的過濾器或創(chuàng)建高級 IPSec 過濾器腳本的詳細(xì)信息，請參閱模塊其他成員服務(wù)器強化過程。***，此腳本被配置為不分發(fā)其創(chuàng)建的 IPSec 策略。IP 安全性策略管理單元可被用來檢查所創(chuàng)建的 IPSec 過濾器，并且分發(fā) IPSec 策略以便讓其生效。

我們解釋了在您的環(huán)境下，為保護 IIS 服務(wù)器的安全所應(yīng)采取的強化設(shè)置。我們討論的大多數(shù)設(shè)置通過組策略進行配置和應(yīng)用?？梢詫⒛軌驗?MSBP 提供有益補充的組策略對象 (GPO) 鏈接到包含 IIS 服務(wù)器的相應(yīng)組織單位 (OU)，以便為這些服務(wù)器提供的服務(wù)賦予更多的安全性。

我們討論的有些設(shè)置不能通過組策略得到應(yīng)用。對于這種情況，本章介紹了有關(guān)手動配置這些設(shè)置的詳細(xì)信息。此外，我們還詳細(xì)介紹了創(chuàng)建和應(yīng)用能夠控制 IIS 服務(wù)器間網(wǎng)絡(luò)通信類型的 IPSec 過濾器的具體過程。

【編輯推薦】

1. 保護眾所周知IIS 服務(wù)器帳戶的安全
2. IIS 服務(wù)器向用戶權(quán)限分配手動添加唯一的安全組
3. IIS 服務(wù)器基礎(chǔ)知識及日志的講解
4. 啟用 IIS 服務(wù)器上的 IIS 日志的知識
5. 學(xué)習(xí)如何設(shè)置 IIS Web 站點權(quán)限