安全性最佳操作
一般性的最佳操作
- 使用最少的凭据进行登录。请使用不属于 Administrators 组的帐户登录到计算机上,然后使用运行方式命令以管理员的身份运行 IIS 管理器。
- 减少攻击面。禁用所有不需要的服务,其中包括 FTP、NNTP 或 SMTP 等 IIS 服务。如果某项功能或服务没有启动,那么就不需要对它进行保护。
- 不要下载或运行来自不可信来源的程序。这些程序可能包含以多种方式破坏安全性的指令,其中包括窃取、拒绝服务和数据破坏。
- 使用最新的病毒扫描程序。通常,病毒扫描程序通过扫描先前已确定病毒的已知组件的签名来确定被感染的文件。扫描程序将这些病毒签名保存到签名文件中,而该文件通常存储在本地硬盘中。因为会经常出现新的病毒,所以应该经常更新该文件,这样病毒扫描程序就可以方便地找出当前的所有病毒。
- 使用所有软件的最新修补程序。软件修补程序提供了对已知安全问题的解决方法。请定期访问软件提供商网站,看网站中是否有机构中所使用软件的新增修补程序。
- IIS 6.0 中的新进程模型包括进程回收,它意味着管理员可以方便地安装大多数 IIS 修补程序和最新的工作进程 DLL,而不会造成任何服务中断。
- 自动更新 1.0 版给客户提供了三个选项:当有新的修补程序时通知客户,下载修补程序并通知该程序已下载以及在指定的时间进行安装。详细信息,
请参阅 Windows 帮助中的 Windows 自动更新。
- 使用 NTFS。NTFS 文件系统比 FAT 或 FAT32 文件系统更安全。
- 给资源指派高强度的 NTFS 权限。
- 慎用域控制器。如果将域控制器用作应用程序服务器,则要注意,如果域控制器的安全功能已被破坏,则整个域的安全功能即被破坏。
IIS 最佳操作
- 限制 IUSR_computername 帐户的写入访问控制。这将有助于限制匿名用户访问您的计算机。
- 将可执行文件存储在单独目录中。这样可便于为管理员指派访问权限和审核。
- 为所有匿名用户帐户创建一个组。可以根据此组成员身份来拒绝对资源的访问权限。
- 拒绝匿名用户对 Windows 目录和子目录中所有可执行文件的执行权限。
- 如果远程管理 IIS,则使用 IP 地址限制。详细信息,请参阅使用 IP 地址限制保护站点。
- 尽可能指派最具限制性的权限。例如,如果网站仅用于查看信息,则只需指派“读取”权限。如果目录或站点包含应用程序,则指派“纯脚本”权限而不是“脚本和可执行文件”权限。详细信息,请参阅使用网站权限保护站点。
- 不要指派“写入”和“脚本资源访问”或“脚本和可执行文件”权限。使用该组合时需特别谨慎。它允许用户将潜在有害的可执行文件上载到您的服务器并运行这些文件。详细信息,请参阅使用网站权限保护站点。
相关主题
- 有关 Windows Server 2003 家族安全性最佳操作的信息,
请参阅 Windows 帮助中的安全性最佳操作。
© 1997-2003 Microsoft Corporation。保留所有权利。