要保护 IIS 服务器中众所周知帐户的安全,请执行以下步骤:
1. 重命名 Administrator 和 Guest 帐户,并且将每个域和服务器上的密码更改为长而复杂的值。
2. 在每个服务器上使用不同的名称和密码。如果在所有的域和服务器上使用相同的帐户名和密码,攻击者只须获得对一台成员服务器的访问权限,就能够访问所有其它具有相同帐户名和密码的服务器。
3. 更改默认的帐户描述,以防止帐户被轻易识别。
4. 将这些更改记录到一个安全的位置。
注意:可以通过组策略重命名内置的管理员帐户。本指南提供的任何安全性模板中都没有配置该设置,因为您必须为您的环境选择一个唯一的名字。“帐户:重命名管理员帐户”设置可用来重命名本指南所定义的三种环境中的管理员帐户。该设置是组策略的安全选项设置的一部分。
保护服务帐户的安全
除非绝对必须,否则不要让服务运行在域帐户的安全上下文中。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权 (LSA) 秘文而获得。
用 IPSec 过滤器阻断端口
Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。
有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。
服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像
one point Client
所有
所有
所有
ME
MOM 服务器
允许
是
Terminal Services
TCP
所有
3389
所有
ME
允许
是
Domain Member
所有
所有
所有
ME
域控制器
允许
是
Domain Member
所有
所有
所有
ME
域控制器 2
允许
是
HTTP Server
TCP
所有
80
所有
ME
允许
是
HTTPS Server
TCP
所有
443
所有
ME
允许
是
All Inbound Traffic
所有
所有
所有
所有
ME
禁止
是
在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。
本文:http://www.qqread.com/network/server/g354520.html
更多内容请看FTP服务器、双核服务器技术、服务器存储专栏专题,或进入讨论组讨论。
相关专题
- AS3中与服务器交互 (0次浏览)
- 对Exchange 2007的数据库进行脱机碎片整理 (0次浏览)
- 自摧毁邮件出现 服务器上不留痕迹 (0次浏览)
- Exchange安装因错误0x80070422失败 (0次浏览)
- Exchange 2007中如何授予邮箱的代理发送权限 (0次浏览)
- 分析刀片与机架式服务器的选择问题 (0次浏览)
- 如何增强Exchange服务器的安全性 (0次浏览)
- 微软Windows试水高端企业级服务器市场 (0次浏览)
- XML入门教程:服务器上的XML (0次浏览)
- Ubuntu用Apache2管理Subversion控制系统 (0次浏览)
