概述
本模組集中說明在您的環境中強化 IIS 伺服器所需的指導和步驟。為了向組織的公司 Intranet 中的 Web 服務器和應用程式提供全面的安全保護,應該保護每個 Microsoft Internet 資訊服務 (IIS) 伺服器以及在這些伺服器啟動並執行每個 Web 網站和應用程式不受可與它們串連的用戶端電腦的侵害。此外,還應該保護在這些所有 IIS 伺服器上啟動並執行 Web 網站和應用程式不受在公司 Intranet 中其他 IIS 伺服器上啟動並執行 Web 網站和應用程式的侵害。
為了在抵制惡意使用者和攻擊者的過程中佔據主動,預設情況下,IIS 不安裝在 Windows Server 2003 系列產品上。IIS 最初以高度安全的“鎖定”模式中安裝。例如,預設情況下,IIS 最初僅提供靜態內容。諸如 Active Server Pages (ASP)、ASP.NET、伺服器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 發布及 Microsoft FrontPage? Server Extensions 等功能僅在管理員啟用它們後才起作用。可以通過 Internet 資訊服務管理器(IIS 管理器)中的 Web 服務擴充節點啟用這些功能和服務。
IIS 管理器具有圖形化的使用者介面 (GUI),可用來方便地對 IIS 進行管理。它包括用於檔案和目錄管理的資源,能夠對應用程式集區進行配置,並且具有安全性、效能、以及可靠性方面的諸多特性。
本章接下來的部分詳細介紹了各種安全性強化設定,執行這些設定可增強公司 Intranet 中存放 HTML 內容的 IIS 伺服器的安全性。但是,為確保 IIS 伺服器始終處於安全狀態,還應執行安全監控、檢測和響應等步驟。
稽核原則設定
在本指南定義的三種環境下,IIS 伺服器的稽核原則設定通過 MSBP 來配置。有關 MSBP 的詳細資料,請參閱模組建立 Windows Server 2003 伺服器的成員伺服器基準。MSBP 設定可確保所有相關的安全性稽核資訊都記錄在所有的 IIS 伺服器上。