加固Windows Server 2003 IIS 服务器

　　向用户权限分配手动添加唯一的安全组

　　大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是，有些帐户和安全组不能被包括在模板内，因为它们的安全标识符 (SID) 对于单个的 Windows 2003 域是特定的。下面给出了必须手动配置的用户权限分配。

　　警告：下表包含了内置的 Administrator 帐户。注意不要将 Administrator 帐户和内置的 Administrators 安全组相混淆。如果 Administrators 安全组添加了以下任何一个拒绝访问的用户权限，您必须在本地登录以更正该错误。

　　此外，根据模块创建 Windows Server 2003 服务器的成员服务器基准中描述的某些建议，内置的 Administrator 账户可能已经被重命名。当添加 Administrator 账户时，请确信指定的是经过重命名的账户。

　　表 7：手动添加的用户权限分配

　　成员服务器默认值 旧客户端 企业客户端 高安全性

　　拒绝通过网络访问该计算机

　　内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

　　内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

　　内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

　　警告：所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置帐户 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。

　　保护众所周知帐户的安全

　　Windows Server 2003 具备大量的内置用户帐户，这些帐户不能删除，但可以重命名。Windows 2003 中最常见的两个帐户是 Guest 和 Administrator。

　　默认情况下，Guest 帐户在成员服务器和域控制器上被禁用。不应更改此设置。内置的 Administrator 帐户应被重命名，而且其描述也应被更改，以防止攻击者通过该帐户破坏远程服务器。

　　许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来，进行上述重命名配置的意义已经大大降低了，因为出现了很多新的攻击工具，这些工具企图通过指定内置 Administrator 账户的安全标识 (SID) 来确定该帐户的真实姓名，从而侵占服务器。SID 是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的 SID 是不可能的。将本地管理员帐户改变为一个特别的名称，可以方便您的操作人员监视对该帐户的攻击企图。

　　要保护 IIS 服务器中众所周知帐户的安全，请执行以下步骤：

　　1. 重命名 Administrator 和 Guest 帐户，并且将每个域和服务器上的密码更改为长而复杂的值。

　　2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码，攻击者只须获得对一台成员服务器的访问权限，就能够访问所有其它具有相同帐户名和密码的服务器。

　　3. 更改默认的帐户描述，以防止帐户被轻易识别。

　　4. 将这些更改记录到一个安全的位置。

　　注意：可以通过组策略重命名内置的管理员帐户。本指南提供的任何安全性模板中都没有配置该设置，因为您必须为您的环境选择一个唯一的名字。“帐户：重命名管理员帐户”设置可用来重命名本指南所定义的三种环境中的管理员帐户。该设置是组策略的安全选项设置的一部分。

　　保护服务帐户的安全

　　除非绝对必须，否则不要让服务运行在域帐户的安全上下文中。如果服务器的物理安全受到破坏，域账户密码可以很容易通过转储本地安全性授权 (LSA) 秘文而获得。

　　用 IPSec 过滤器阻断端口

　　Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项，以便进一步减少服务器的受攻击面。

　　有关使用 IPSec 过滤器的详细信息，请参阅模块其他成员服务器强化过程。

　　下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。

　　表 8：IIS 服务器 IPSec 网络通信图

　　服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像

　　one point Client

　　所有

　　所有

　　所有

　　ME

　　MOM 服务器

　　允许

　　是

　　Terminal Services

　　TCP

　　所有

　　3389

　　所有

　　ME

　　允许

　　是

　　Domain Member

　　所有

　　所有

　　所有

　　ME

　　域控制器

　　允许

　　是

　　Domain Member

　　所有

　　所有

　　所有

　　ME

　　域控制器 2

　　允许

　　是

　　HTTP Server

　　TCP

　　所有

　　80

　　所有

　　ME

　　允许

　　是

　　HTTPS Server

　　TCP

　　所有

　　443

　　所有

　　ME

　　允许

　　是

　　All Inbound Traffic

　　所有

　　所有

　　所有

　　所有

　　ME

　　禁止

　　是