加固Windows Server 2003 IIS 服务器

　　在实施上表所列举的规则时，应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。

　　上表介绍了服务器要想完成特定角色的功能所应该打开的基本端口。如果服务器使用静态的 IP 地址，这些端口已经足够。如果需要提供更多的功能，则可能需要打开更多的端口。打开更多的端口将使得您的环境下的 IIS 服务器更容易管理，但是这可能大大降低服务器的安全性。

　　由于在域成员和域控制器之间有大量的交互，尤其是 RPC 和身份验证通信，在 IIS 服务器和全部域控制器之间，您应该允许所有的通信。通信还可以被进一步限制，但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这将使得执行和管理 IPSec 策略非常困难。您应该为每一个将与 IIS 服务器进行交互的域控制器创建类似的规则。为了提高 IIS 服务器的可靠性和可用性，您需要为环境中的所有域控制器添加更多规则。

　　正如上表所示，如果环境中运行了 Microsoft 操作管理器 (MOM)，那么在执行 IPSec 过滤器的服务器和 MOM 服务器之间，应该允许传输所有的网络通信。这是必须的，因为在 MOM 服务器和 OnePoint 客户端（向 MOM 控制台提供报告的客户端应用程序）之间存在大量的交互过程。其它管理软件可能也具有类似的需求。如果需要更高级别的安全性，则可以配置 OnePoint 客户端的过滤操作，从而协调 IPSec 和 MOM 服务器。

　　该IPSec 策略将有效地阻止通过任意一个高端口的通信，因此它不允许远程过程调用 (RPC) 通信。这可能会使得服务器的管理非常困难。由于已经关闭了许多端口，您可以启用终端服务。这样一来，管理员便可以执行远程管理。

　　上面的网络通信图假设环境中包含启用了 Active Directory 的 DNS 服务器。如果使用独立的 DNS 服务器，则可能需要其他规则。

　　IPSec 策略的执行应该不会对服务器的性能有明显影响。但是，在执行这些过滤器之前必须进行测试，以核实服务器保持了必要的功能和性能。您可能还需要添加一些附加规则以支持其它应用程序。

　　本指南包括一个 .cmd 文件，它简化了依照指南要求为域控制器创建 IPSec 过滤器的过程。PacketFilters-IIS.cmd 文件使用 NETSH 命令创建适当的过滤器。必须修改此 .cmd 文件，以使其包含您所在环境中域控制器的 IP 地址。脚本中包含两个占位符，用于要添加的两个域控制器。如需要，可以添加其他的域控制器。这些域控制器的 IP 地址列表应当是最新的。

　　如果环境中有 MOM，应当在脚本中指定相应的 MOM 服务器 IP 地址。此脚本不会创建永久的过滤器。因此，直到 IPSec 策略代理启动时，服务器才会得到保护。有关构建永久的过滤器或创建高级 IPSec 过滤器脚本的详细信息，请参阅模块其他成员服务器强化过程。最后，此脚本被配置为不分发其创建的 IPSec 策略。IP 安全性策略管理单元可被用来检查所创建的 IPSec 过滤器，并且分发 IPSec 策略以便让其生效。

　　小结

　　本章解释了在本指南指定的三种环境下，为保护 IIS 服务器的安全所应采取的强化设置。我们讨论的大多数设置通过组策略进行配置和应用。可以将能够为 MSBP 提供有益补充的组策略对象 (GPO) 链接到包含 IIS 服务器的相应组织单位 (OU)，以便为这些服务器提供的服务赋予更多的安全性。

　　本章讨论的有些设置不能通过组策略得到应用。对于这种情况，本章介绍了有关手动配置这些设置的详细信息。此外，我们还详细介绍了创建和应用能够控制 IIS 服务器间网络通信类型的 IPSec 过滤器的具体过程。

　　更多信息

　　以下提供了与 Windows Server 2003 环境下的 IIS 服务器密切相关的最新信息资源。

　　有关此主题的详细信息，请参阅“Enable Logging”，其网址为：http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_enablelogging.asp（英文）。

　　有关记录站点活动的信息，请参阅“Logging Site Activity”，其网址为：http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_aboutlogging.asp（英文）。

　　有关扩展日志的信息，请参阅“Customizing W3C Extended Logging”，其网址为：http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_customw3c.asp（英文）。

　　有关集中化二进制日志的信息，请参阅“Centralized Binary Logging”，其网址为：http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp（英文）。

　　有关远程日志的信息，请参阅“Remote Logging”，其网址为：http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_remote.asp（英文）。

　　有关生成、查看或了解安全日志（审计）的信息，请访问安全性方面的 Microsoft TechNet 站点：http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/sec_security.asp（英文）。

　　有关 IIS 6.0 的其他信息，请访问 TechNet： www.microsoft.com/iis（英文）。

　　有关 IPSec 过滤操作的详细信息，请参阅“How To:Use IPSec IP Filter Lists in Windows 2000”，其网址为：http://support.microsoft.com/default.aspx?scid=313190（英文）。