误传的Windows Server 2003 IIS服务器安全实施细节
来源:互联网 发布:网络摄像头ip不知道 编辑:程序博客网 时间:2024/06/05 08:54
-------------------------------
转摘请保留以下信息:
BaiShi<baishi54_at_126.com>
54baishi.126.com
2007-2-20
-------------------------------
转摘请保留以下信息:
BaiShi<baishi54_at_126.com>
54baishi.126.com
2007-2-20
-------------------------------
最近在做O3的安全设计,无非就是针对自己的环境对MS的安全建议进行实施。MS强化 Windows Server 2003 IIS 服务器有这样的一份流传很广的文档:《Windows Server 2003 安全性指南介绍——强化IIS服务器》
在文档中建议在安装Internet信息服务(IIS)6.0时,只安装必需的IIS组件,并对IIS子组件进行了描述,并且对何时启用它们提供了建议。对IIS子组件后台智能传输服务(BITS)服务器扩展的描述和建议是这样的:
UI中的组件名称
设置
设置逻辑
后台智能传输服务(BITS)服务器扩展
启用
BITS是一种由Windows Update和Automatic Update使用的后台文件传输机制。当使用Windows升级或自动升级自动地将服务包和热修补应用于IIS服务器时,该组件是必需的。
很生硬,有机译的嫌疑,自己改了下:
设置逻辑
BITS是Windows Update和Automatic Update所使用的后台文件传输机制。当使用Windows Update或Automatic Update在 IIS 服务器中自动应用Service Pack和hotfix,该组件是必需的。
这个Setting logic不知道是如何写出来的,我这样理解 IIS服务器启用本地自动更新(Automatic Update)必须安装后台智能传输服务(BITS)服务器扩展组件。
其实,Windows Server 2003中包含BITS 1.5,BITS 1.5支持下载和上传。上传要求安装Internet信息服务(IIS)服务器和BITS服务器扩展来作为BITS服务器;下载只需要默认安装好的BITS客户端。本地自动更新(Automatic Update)需要的是后台智能传输服务(BITS)的下载服务而不是上传服务。原文的表述欠妥。
“只有站点和应用程序所必需的那些基础IIS组件和服务应当被启用。启用不必要的组件和服务只会增加IIS服务器受攻击的表面积。”所以,IIS子组件后台智能传输服务(BITS)服务器扩展的设置建议应该是:Disabled
MS的文档《保护 Internet Information Services 6.0》中这样建议:
IIS 子组件和服务的推荐设置
子组件或服务
默认设置
Web 服务器设置
后台智能传输服务 (BITS) 服务器扩展
禁用
不更改
在较正式的Security Guidance中的《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》表述Setting logic更为详细:Security Guidance中的《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》表述Setting logic更为详细:
Recommended IIS Subcomponents Settings
Component name in UI
Setting
Setting logic
Background Intelligent Transfer Service (BITS) server extension
Disabled
The BITS server extension allows BITS on the clients to upload files to this server in the background. If you have an application on the clients that uses BITS to upload files to this server, then enable and configure the BITS server extension; otherwise, leave it disabled. Note that Windows Update, Microsoft Update, SUS, WSUS, and Automatic Updates do not require this component to run. They require the BITS client component, which is not part of IIS.
这样的错误还出现在以下文档中:
《如何在 Windows Server 2003 中识别 IIS 6.0 组件》http://www.microsoft.com/china/technet/security/guidance/secmod131.mspx(简)
http://www.microsoft.com/taiwan/technet/security/guidance/secmod131.mspx(繁)
更多信息
以下提供了与本文密切相关的信息资源。
《Windows Server 2003 安全性指南介绍——强化IIS服务器》
http://www.microsoft.com/china/TechNet/security/Safeguidebook/book07.asp(中文)
《保护 Internet Information Services 6.0》
http://www.microsoft.com/china/technet/security/sgk/sec_IIS_6_0.mspx(中文)
《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》
http://download.microsoft.com/download/c/8/6/c86b1b59-0388-4945-8bd9-06f04db13136/Windows_Server_2003_Security_Guide_v2.1.zip (英文)
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch09.mspx(英文)
- 误传的Windows Server 2003 IIS服务器安全实施细节
- Windows Server 2003 防木马、权限设置、IIS服务器安全配置整理
- 防木马、权限设置、IIS服务器安全配置整理 For Windows Server 2003
- Windows Server 2003 防木马、权限设置、IIS服务器安全配置整理
- Tomcat6.0与windows 2003 server 的IIS服务器集成
- 强化 Windows Server 2003 IIS 服务器
- 强化 Windows Server 2003 IIS 服务器
- 强化 Windows Server 2003 IIS 服务器
- Windows Server 2003 IIS建FTP服务器
- Windows server 2003 服务器 iis 配置
- Windows Server 2003网络服务器安全攻略
- Windows Server 2003网络服务器安全攻略
- windows 2003server 服务器安全设置
- Windows Server 2003 安全性指南介绍 强化IIS服务器
- windows server 2003 的IIS问题
- windows server 2003 IIS网站的配置
- windows server 2003 IIS的配置
- Windows server 8 服务器上安装IIS
- 求高手指教,我有一个会员登陆文件页面,我想在会员点登陆弹出新窗口,然后自动关闭登陆窗口,就象腾讯2007版的官方会员网站http://my.qq.com上面的那个登陆窗口一样
- 求高手指教,我有一个会员登陆文件页面,我想在会员点登陆弹出新窗口,然后自动关闭登陆窗口
- OpenCV中创建Iplimage的方法
- 新年快乐
- Bochs搭建GeekOS平台
- 误传的Windows Server 2003 IIS服务器安全实施细节
- 字符串函数
- “Hello World!”的N种写法
- [熊猫烧香]核心源码(Delphi模仿版本)
- VC++ 教程
- 假期读好书——力荐《八位大学校长》
- 深刻理解Linux进程间通信
- Solaris平台IPC及系统限制简介(一)
- 处理图像