误传的Windows Server 2003 IIS服务器安全实施细节

-------------------------------
转摘请保留以下信息：
BaiShi<baishi54_at_126.com>
54baishi.126.com
2007-2-20
-------------------------------

最近在做O3的安全设计，无非就是针对自己的环境对MS的安全建议进行实施。MS强化 Windows Server 2003 IIS 服务器有这样的一份流传很广的文档：《Windows Server 2003 安全性指南介绍——强化IIS服务器》

在文档中建议在安装Internet信息服务（IIS）6.0时，只安装必需的IIS组件，并对IIS子组件进行了描述，并且对何时启用它们提供了建议。对IIS子组件后台智能传输服务（BITS）服务器扩展的描述和建议是这样的：

UI中的组件名称

设置

设置逻辑

后台智能传输服务（BITS）服务器扩展

启用

BITS是一种由Windows Update和Automatic Update使用的后台文件传输机制。当使用Windows升级或自动升级自动地将服务包和热修补应用于IIS服务器时，该组件是必需的。

很生硬，有机译的嫌疑，自己改了下：

设置逻辑

BITS是Windows Update和Automatic Update所使用的后台文件传输机制。当使用Windows Update或Automatic Update在 IIS 服务器中自动应用Service Pack和hotfix，该组件是必需的。

这个Setting logic不知道是如何写出来的，我这样理解 IIS服务器启用本地自动更新（Automatic Update）必须安装后台智能传输服务（BITS）服务器扩展组件。

其实，Windows Server 2003中包含BITS 1.5，BITS 1.5支持下载和上传。上传要求安装Internet信息服务(IIS)服务器和BITS服务器扩展来作为BITS服务器；下载只需要默认安装好的BITS客户端。本地自动更新（Automatic Update）需要的是后台智能传输服务（BITS）的下载服务而不是上传服务。原文的表述欠妥。

“只有站点和应用程序所必需的那些基础IIS组件和服务应当被启用。启用不必要的组件和服务只会增加IIS服务器受攻击的表面积。”所以，IIS子组件后台智能传输服务（BITS）服务器扩展的设置建议应该是：Disabled

MS的文档《保护 Internet Information Services 6.0》中这样建议：

IIS 子组件和服务的推荐设置

子组件或服务

默认设置

Web 服务器设置

后台智能传输服务 (BITS) 服务器扩展

禁用

不更改

 

 

  在较正式的Security Guidance中的《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》表述Setting logic更为详细：Security Guidance中的《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》表述Setting logic更为详细：

Recommended IIS Subcomponents Settings

Component name in UI

Setting

Setting logic

Background Intelligent Transfer Service (BITS) server extension

Disabled

The BITS server extension allows BITS on the clients to upload files to this server in the background. If you have an application on the clients that uses BITS to upload files to this server, then enable and configure the BITS server extension; otherwise, leave it disabled. Note that Windows Update, Microsoft Update, SUS, WSUS, and Automatic Updates do not require this component to run. They require the BITS client component, which is not part of IIS.

 

 

这样的错误还出现在以下文档中：

《如何在 Windows Server 2003 中识别 IIS 6.0 组件》http://www.microsoft.com/china/technet/security/guidance/secmod131.mspx（简）

http://www.microsoft.com/taiwan/technet/security/guidance/secmod131.mspx（繁）

 

更多信息

以下提供了与本文密切相关的信息资源。

《Windows Server 2003 安全性指南介绍——强化IIS服务器》

http://www.microsoft.com/china/TechNet/security/Safeguidebook/book07.asp（中文）

 

《保护 Internet Information Services 6.0》

http://www.microsoft.com/china/technet/security/sgk/sec_IIS_6_0.mspx（中文）

 

《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》

http://download.microsoft.com/download/c/8/6/c86b1b59-0388-4945-8bd9-06f04db13136/Windows_Server_2003_Security_Guide_v2.1.zip （英文）

http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch09.mspx（英文）