IIS安全设计、监控与内容管理全解析
1. IIS安全设计概述
IIS(Internet Information Services)在Windows Server 2003中提供多种服务,包括Web、FTP、SMTP和NNTP服务。网站可分为公共互联网网站、企业内部网网站和企业外部网网站,不同类型的网站需要不同的安全设计。
-公共互联网网站:默认应启用匿名登录,但要确保IUSR_ComputerName账户仅属于Guests组,无写入权限,只有读取权限,并启用IIS日志记录。
-企业内部网网站:可利用现有安全架构,采用集成Windows身份验证、摘要身份验证或基本身份验证。集成Windows身份验证是首选,但需启用Kerberos。大型组织可利用Active Directory实现摘要安全。排查内部网安全漏洞时,可从IIS服务器和DC机器的事件日志入手。
-企业外部网网站:用于与业务伙伴共享信息,由于双方IT系统和平台可能不同,集成Windows身份验证或摘要身份验证较难实现,最佳身份验证技术是基本身份验证,并需实现SSL加密以保护明文凭证通信,同时启用IIS日志记录。
2. 确保IIS安装安全
IIS在Windows Server 2003安装中默认不安装(Web Server Edition除外),有三种安装方式:
- 使用“配置您的服务器向导”
- 使用控制面板中的“添加或删除”选项
- 使用无人参与安装
所有安装方法都会以“锁定”模式安装IIS,即只能访问静态Web材料,默认禁
