当 IIS 日志按默认设置存储在 IIS 服务器中时,只有服务器管理员有权访问它们。如果日志文件的文件夹或文件的所有者不在“Local Administrators”组中时,HTTP.sys — IIS 6.0 的内核模式驱动程序 — 将向 NT 事件日志发布一个错误。
该错误指出文件夹或文件的所有者不在“Local Administrators”组中,并且这个站点的日志将暂时失效,直到其所有者被添加到“Local Administrators”组中,或者现有的文件夹或文件被删除。向用户权限分配手动添加唯一的安全组
大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是,有些帐户和安全组不能被包括在模板内,因为它们的安全标识符 (SID) 对于单个的 Windows 2003 域是特定的。下面给出了必须手动配置的用户权限分配。
警告:下表包含了内置的 Administrator 帐户。注意不要将 Administrator 帐户和内置的 Administrators 安全组相混淆。如果 Administrators 安全组添加了以下任何一个拒绝访问的用户权限,您必须在本地登录以更正该错误。
此外,根据模块创建 Windows Server 2003 服务器的成员服务器基准中描述的某些建议,内置的 Administrator 账户可能已经被重命名。当添加 Administrator 账户时,请确信指定的是经过重命名的账户。
成员服务器默认值 旧客户端 企业客户端 高安全性
拒绝通过网络访问该计算机
内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
警告:所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置帐户 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。
保护众所周知帐户的安全
Windows Server 2003 具备大量的内置用户帐户,这些帐户不能删除,但可以重命名。Windows 2003 中最常见的两个帐户是 Guest 和 Administrator。
默认情况下,Guest 帐户在成员服务器和域控制器上被禁用。不应更改此设置。内置的 Administrator 帐户应被重命名,而且其描述也应被更改,以防止攻击者通过该帐户破坏远程服务器。
许多恶意代码的变种企图使用内置的管理员账户来破坏一台服务器。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 账户的安全标识 (SID) 来确定该帐户的真实姓名,从而侵占服务器。SID 是唯一能确定网络中每个用户、组、计算机帐户以及登录会话的值。改变内置帐户的 SID 是不可能的。将本地管理员帐户改变为一个特别的名称,可以方便您的操作人员监视对该帐户的攻击企图。
转 载:http://www.qqread.com/network/server/g354520.html
更多内容请看FTP服务器、双核服务器技术、服务器存储专栏专题,或进入讨论组讨论。
相关专题
- AS3中与服务器交互 (0次浏览)
- 对Exchange 2007的数据库进行脱机碎片整理 (0次浏览)
- 自摧毁邮件出现 服务器上不留痕迹 (0次浏览)
- Exchange安装因错误0x80070422失败 (0次浏览)
- Exchange 2007中如何授予邮箱的代理发送权限 (0次浏览)
- 分析刀片与机架式服务器的选择问题 (0次浏览)
- 如何增强Exchange服务器的安全性 (0次浏览)
- 微软Windows试水高端企业级服务器市场 (0次浏览)
- XML入门教程:服务器上的XML (0次浏览)
- Ubuntu用Apache2管理Subversion控制系统 (0次浏览)
