強化 Windows Server 2003 IIS 伺服器

  • 發行項

Overview

發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日

本頁內容

本單元內容
目標
適用於
如何使用本單元
概觀
稽核原則設定
使用者權限指派
安全性選項
事件記錄設定
系統服務
其他安全性設定
總結

本單元內容

本單元專為網際網路資訊服務 (IIS,Internet Information Services) 伺服器解釋安全性範本的設定。本單元假設成員伺服器基準線已經套用於伺服器上。除了安全性範本所定義的安全性組態設定之外,您必須套用的其他安全性組態設定也在本文考量。要建立完全強化的 IIS 伺服器,則需要這些額外的設定。

此單元會解釋安裝在 Microsoft® Windows Server™ 2003 作業系統上的 IIS 預設組態。也會解釋到能運用的 IIS 功能並且提供使用建議。

回到頁首

目標

透過此單元即可:

  • 強化 IIS 伺服器。

  • 調查 IIS 伺服器適合的安全性設定。

回到頁首

適用於

本單元適用於下列產品及技術:

  • Windows Server 2003

  • IIS 6.0

回到頁首

如何使用本單元

使用本單元以了解應須套用到 Windows Server 2003 IIS 伺服器的安全性設定並強化這類型的伺服器。單元中使用角色特定安全性範本與基準線安全性範本結合。這些安全性範本是出自《Windows Server 2003 Security Guide》,您可以在下列位置取得:https://go.microsoft.com/fwlink/?LinkId=14846

若要充分瞭解此單元:

回到頁首

概觀

本單元重點在您環境中要強化的 IIS 伺服器所需的指南和程序。為提供公司內部網路中,Web 伺服器和應用程式全面的安全性,每台 Microsoft Internet Information Services (IIS) 伺服器和網站以及在這些伺服器上執行的應用程式,應對連接的用戶端電腦做防備。在每台 IIS 伺服器上執行的網站和應用程式也應對公司內部網路中其他 IIS 伺服器上執行的網站和應用程式做防備。

為了預防惡意的使用者和攻擊者,IIS 並未預設在 Windows Server 2003 家族成員的安裝項目中。IIS 初步是以高安全性的「鎖定」模式安裝。例如,IIS 最先預設僅適用於靜態內容。像是 Active Server Pages (ASP),ASP.NET,Server Side Includes (SSI),Web Distributed Authoring and Versioning (WebDAV) publishing 和 Microsoft FrontPage® Server Extensions 等功能要等管理員啟用才能執行。這些功能和服務可透過 Internet Information Services Manager (IIS Manager) 內的 Web 服務擴充節點啟用。

IIS Manager 是個圖形使用者介面 (GUI),方便您管理 IIS。包括檔案和目錄管理資源、應用程式庫設定、安全性、效能和可靠度功能。

本單元的下列章節詳細說明各式各樣強化安全性的設定,這些設定應執行以強化公司內部網路中裝載 HTML 內容的 IIS 伺服器的安全。不過,為確保 IIS 伺服器能維持在安全狀態,也應執行安全性監視、偵測和回應程序。

回到頁首

稽核原則設定

本指南定義三種環境內的 IIS 伺服器的「稽核原則」設定,是透過 MSBP 來設定。如果要取得更多有關 MSBP 的資訊,請參閱此單元,<建立 Windows Server 2003 成員伺服器的基準線>。MSBP 設定確保所有相關的安全性稽核資訊可登入到所有的 IIS 伺服器。

回到頁首

使用者權限指派

大部分本指南所定義三種環境的 IIS 伺服器的使用者權限指派,是透過 MSBP 來設定。如需關於 MSBP 的更多資訊,請參閱此單元,<建立 Windows Server 2003 成員伺服器的基準線>。下面段落內容將說明 MSBP 與「增量 IIS 群組原則」之間的差異處。

此電腦拒絕來自網路的存取

表 1:設定

成員伺服器預設值 傳統用戶端 企業用戶端 高安全性
SUPPORT_388945a0 匿名登入;內建系統管理員;Support_388945a0;Guest;所有非作業系統的服務帳戶 匿名登入;內建系統管理員;Support_388945a0;Guest;所有非作業系統的服務帳戶 匿名登入;內建系統管理員;Support_388945a0;Guest;所有非作業系統的服務帳戶
**注意:**匿名登入;內建系統管理員; Support\_388945a0;Guest;所有非作業系統的服務帳戶沒有包括在安全性範本內。這些帳戶和群組在您組織內擁有每個網域的唯一安全性識別碼 (SID)。因此,需以手動方式新增。 \[拒絕存取電腦的網路\] 設定能決定要防止什麼樣的使用者存取網路上的電腦。這個設定會拒絕許多的網路通訊協定,包括伺服器訊息區 (SMB) 基礎通訊協定、網路基本輸入/輸出系統 (NetBIOS)、通用網際網路檔案系統 (CIFS)、超文字傳輸通訊協定 (HTTP) 以及元件物件模型 Plus (COM+)。使用者帳戶受到雙方原則的影響時,這個設定會覆寫 \[從網路存取電腦\] 的設定。為其他群組設定本使用者權限,可以限制使用者在您的環境中,執行委派的系統管理工作能力。 在<[建立 Windows Server 2003 成員伺服器的基準線](https://technet.microsoft.com/zh-tw/library/b9830562-d91c-400e-baa0-3f6d7bbfe1d9(v=TechNet.10))>單元中,本指引建議您將 **Guests** 群組包含在指派此權限的使用者和群組清單中,以提供最高等級的安全性。不過依預設值,用來匿名存取 IIS 的 IUSR 帳戶是 **Guests** 群組成員。這個指南建議把 **Guest** 群組從「增量 IIS 群組原則」內移除以確保必要時可設定 IIS 伺服器的匿名存取。基於這些原因,本指南所定義三個環境中的 IIS 伺服器,\[拒絕來自網路對這台電腦存取\] 的設定,包括¡u匿名登入;內建系統管理員;Support\_388945a0;Guest;所有非作業系統的服務帳戶¡v在內。 [](#mainsection)[回到頁首](#mainsection) ### 安全性選項 本指南所定義三個環境的 IIS 伺服器安全性選項設定,是透過 MSBP 來設定。如需關於 MSBP 的更多資訊,請參閱此單元,<[建立 Windows Server 2003 成員伺服器的基準線](https://technet.microsoft.com/zh-tw/library/b9830562-d91c-400e-baa0-3f6d7bbfe1d9(v=TechNet.10))>。MSBP 設定確保所有相關的安全性選項能一致地在所有 IIS 伺服器中設定。 [](#mainsection)[回到頁首](#mainsection) ### 事件記錄設定 定義在指南中三種環境內的 IIS 伺服器事件記錄設定,是透過 MSBP 來設定如需關於 MSBP 的更多資訊,請參閱此單元,<[建立 Windows Server 2003 成員伺服器的基準線](https://technet.microsoft.com/zh-tw/library/b9830562-d91c-400e-baa0-3f6d7bbfe1d9(v=TechNet.10))>。MSBP 設定能確保適當的事件記錄設定可一致地在企業內部的所有 IIS 伺服器中設定。 [](#mainsection)[回到頁首](#mainsection) ### 系統服務 為了替 IIS 新增網路伺服器功能到 Windows Server 2003,須啟用下列三種服務。「增量 IIS 群組原則」能確保這些服務設定成自動?動。 **注意:**MSBP 會停用其他幾項 IIS 相關的服務。FTP、SMTP和 NNTP 是 MSBP 所停用的部份服務。如果這些服務的任何一項要在指南中定義的三種環境內,任何一個環境中的 IIS 伺服器上執行,必須修改「增量 IIS 群組原則」。 #### HTTP SSL **表 2:設定**

服務名稱 成員伺服器預設值 傳統用戶端 企業用戶端 高安全性
HTTPFilter 手動 自動 自動 自動
**HTTP SSL** 服務使 IIS 能執行安全通訊端階層 (SSL) 功能。SSL 是項建立安全通訊管道的開放標準,以防止諸如信用卡號碼之類的重大資訊遭到攔截。雖然設計上在其他網際網路服務上也能運作,但 SSL 主要是用來確保在全球網際網路上進行的電子金融交易的安全性。 如果 HTTP SSL 服務已停止,IIS 就不會執行 SSL 功能。停止此服務會造成所有直接依靠它的服務執行失敗。使用「群組原則」來防護和設定單獨對伺服器管理員做服務允許存取的?動模式,因此可防止該服務免於遭到未經授權或是惡意使用者的設定或操作。「群組原則」也可防止管理員不經意地停用該服務。基於這些原因,**HTTP SSL** 在本指南中定義的三種環境內的 IIS 伺服器均是設定成 \[自動\]。 #### IIS 管理服務 **表 3:設定**

服務名稱 成員伺服器預設值 傳統用戶端 企業用戶端 高安全性
IISADMIN 未安裝 自動 自動 自動
IIS 管理服務允許管理 IIS 元件,例如檔案傳輸通訊協定 (FTP)、應用程式集區、網站、Web 服務擴充和網路新聞傳輸通訊協定 (NNTP) 和簡易郵件傳輸通訊協定 (SMTP) 虛擬伺服器。 IIS 管理服務必須針對 IIS 伺服器提供 Web、FTP、NNTP 和 SMTP 功能。如果這項服務停用,IIS 便不能設定,而且所有 Web 服務的請求將無法成功。使用「群組原則」來防護和設定單獨對伺服器管理員做服務允許存取的?動模式,因此可防止該服務免於遭到未經授權或是惡意使用者的設定或操作。「群組原則」也可防止管理員不經意地停用該服務。基於這些理由,**IIS 管理服務**在本指南中定義的三種環境裡均設定為**自動**。 #### World Wide Web Publishing 服務 **表 4:設定**

服務名稱 成員伺服器預設值 傳統用戶端 企業用戶端 高安全性
W3SVC 未安裝 自動 自動 自動
\[World Wide Web Publishing 服務\] 能透過 IIS 增益集提供 Web 連線能力和網站管理。 \[World Wide Web Publishing 服務\] 須透過 IIS 管理員對 IIS 伺服器,提供 Web 連線能力和網站管理。使用「群組原則」來防護和設定單獨對伺服器管理員做服務允許存取的?動模式,因此可防止該服務免於遭到未經授權或是惡意使用者的設定或操作。「群組原則」也可防止管理員不經意地停用該服務。基於這些理由,\[World Wide Web Publishing 服務\] 設定在本指南中定義的三種環境裡均設定為\[自動\]。 [](#mainsection)[回到頁首](#mainsection) ### 其他安全性設定 安裝完 Windows Server 2003 and IIS之後,IIS 預設是僅傳輸靜態的 Web 內容。當網站和應用程式有包含動態內容,或是需要一個或多個額外的 IIS 元件時,則必須個別啟用每項額外的 IIS 功能。然而,在處理的程序中應要注意確保環境中每台 IIS 伺服器的攻擊表面能縮小到最低。如果組織中的網站是由靜態內容組成並且不需要任何其他的 IIS 元件,預設的IIS 元件能充份把環境中 IIS 伺服器的攻擊表面縮小到最低。 透過 MSBP 套用的安全性設定能替 IIS 伺服器提供絕佳的強化安全性。然而,應該考慮到幾個額外的考量和程序。這些步驟無法透過「群組原則」完成而應該以手動方式在所有的 IIS 伺服器上執行。 #### 僅安裝 IIS 的必要元件 \[除了 World Wide Web Publishing 服務外\] IIS 6.0 有包括像是 FTP 和 SMTP 服務之類的其他元件和服務。IIS 元件及服務,是使用 Windows 元件精靈應用程式伺服器來加以安裝及啟用。方法是按兩下 \[控制台\] 裡的 \[新增或移除程式\]。安裝完 IIS 後,必須啟用所有網站和應用程式需要的 IIS 元件和服務。 僅有網站和應用程式所需要的必備 IIS 元件和服務應該啟用。啟用不必要的元件和服務會擴大 IIS 伺服器的被攻擊表面。 如需 IIS 伺服器位置的指南和建議設定,請參閱<[在 Windows Server 2003 中如何識別 IIS 6.0 元件](https://technet.microsoft.com/zh-tw/library/6335e7d2-2212-4e6c-a626-e7ca8b6af5f2(v=TechNet.10))>。 #### 僅啟用必要的 Web 服務擴充 許多在 IIS 伺服器上執行的網站和應用程式已延伸的功能超過靜態頁面,包括產生動態內容的能力。任何透過 IIS 伺服器提供的功能所作用或延伸的動態內容是使用 Web 服務擴充完成。 IIS 6.0 內強化的安全性功能允許個別的 Web 服務擴充能啟用或停用。在新安裝後,IIS 伺服器傳輸的只有靜態內容。動態內容能力可透過 IIS Manager 內的 Web 服務擴充節點啟用。這些擴充包括 ASP.NET、SSI、WebDAV 和 FrontPage Server 擴充。 以既存的應用程式啟用全部的 Web 服務擴充能確保最高可能的相容度;然而因為在啟用全部的擴充時,也會造成安全性風險,所以藉由啟用對環境中 IIS 伺服器不必要的功能會擴大 IIS 伺服器的被攻擊表面。 要儘可能縮小 IIS 伺服器的攻擊表面,在指南中定義的三種環境內的 IIS 伺服器上,只啟用必要的 Web 服務擴充。 藉由把伺服器的功能降到最低,分別是僅啟用您的環境中 IIS 伺服器所需的應用程式,及網站所需的網站服務。以縮小每台 IIS 伺服器的被攻擊表面。 如需有關 Web 服務擴充的指南,請參閱[<在 Windows Server 2003 中如何識別 IIS 6.0 元件>](https://technet.microsoft.com/zh-tw/library/6335e7d2-2212-4e6c-a626-e7ca8b6af5f2(v=TechNet.10))。 #### 將內容置放在專用的磁碟區 IIS 會把檔案儲存在預設網站 <systemroot>\\inetpub\\wwwroot,<systemroot> 是 Windows Server 2003 作業系統安裝的磁碟區。 將組成網站的檔案和資料夾及應用程式,置放在本指南定義的三種環境內的 IIS 伺服器上的專用磁碟區。將這些檔案及資料夾,置放在沒有作業系統的 IIS 伺服器的專用磁碟區上,有助於避免目錄遭橫越攻擊。目錄橫越攻擊需要攻擊者對一個位在 IIS 伺服器目錄結構外的檔案傳送請求。 例如,cmd.exe 存放在 <systemroot>\\System32 資料夾。攻擊者可對下列位置要求: ..\\..\\Windows\\system\\cmd.exe 在企圖呼叫的命令提示中 如果網站內容是位在個別的磁碟區,這種型態的目錄橫越攻擊不適用這二點原因。首先,會重設 cmd.exe 的允許權限成為 Windows Server 2003 的部份基礎,更多嚴格限制使用者存取群組。其次,在變更完後,cmd.exe 和 Web 根目錄存放在不同的磁碟區,目前還無法使用這項攻擊來進行不同磁碟區的存取。 除了安全性考量,置放網站和應用程式檔案及資料夾在專用的磁碟區上,使得管理工作比較容易,例如備份和復原等工作。再者,置放這種型態的內容在個別的、專用的實體磁碟區能有助於減少在系統磁碟區上的磁碟交錯,並且改善整個磁碟區的存取效能。 #### 設定 NTFS 權限 Windows Server 2003 會檢查 NTFS 檔案系統權限以決定使用者或程序在特定檔案或資料夾中擁有的存取型態。 NTFS 權限應指派允許或拒絕存取該指南定義的三種環境中的 IIS 伺服器上的網站特定使用者。 NTFS 權限應連同 Web 權限使用,而不是取代 Web 權限。NTFS 權限只會對網站和應用程式內容授予或拒絕存取的帳戶造成影響。網站權限會影響所有存取網站或應用程式的使用者。如果網站權限和目錄或檔案的 NTFS 權限衝突,更多的限制設定會被套用。 應明確拒絕網站和應用程式的匿名帳戶存取,匿名存取應停止。匿名存取是指讓沒有驗證資格的使用者存取系統資源。匿名帳戶有把包括內建 **Guest** 帳戶、**Guests** 群組和 **IIS Anonymous** 帳戶。另外,請消除使用者寫入存取的權限,除了 IIS 管理員外。 下列表格有提供部份應套用到 IIS 伺服器上,不同檔案型態的 NTFS 權限的一些建議。不同的檔案型態應分類在個別的資料夾以簡化套用 NTFS 權限的程序。 **表 5:NTFS 權限**

檔案型態 建議的 NTFS 權限
CGI 檔案 (.exe, .dll, .cmd, .pl) Everyone (執行)
Administrators (完整控制)
System (完整控制)
指令檔 (.asp) Everyone (執行)
Administrators (完整控制)
System (完整控制)
包括檔案 (.inc, .shtm, .shtml) Everyone (執行)
Administrators (完整控制)
System (完整控制)
靜態內容 (.txt, .gif, .jpg, .htm, .html) Everyone (執行)
Administrators (完整控制)
System (完整控制)

設定 IIS 網站權限

IIS 會檢查網站權限以決定出現在網站內的動作型態,像是允許指令碼來源存取或目錄瀏覽。網站權限應指定要更進一步防護該指南所定義三種環境內的 IIS 伺服器上的網站。

網站權限能連同 NTFS 權限使用。可為特定網站、目錄和檔案作設定。不像 NTFS 權限,網站權限會影響試圖要存取 IIS 伺服器上所執行網站的每個人。使用 IIS Manager 嵌入式管理單元可套用在網站權限。

下列表格列示出 IIS 6.0 支援的網站權限,並且提供簡短的說明以解釋何時要指派特定權限給網站。

表 6:IIS 6.0 網站權限

網站權限: 已授予的權限:
參閱 使用者可檢視目錄或檔案的內容和屬性。在預設狀況下會選取本選項。
寫入 使用者可變更目錄或檔案的內容和屬性。
指令碼來源存取 使用者可存取來源檔。如果啟用參閱,可參閱來源;如果啟用寫入,可變更指令碼來源碼。「指令碼來源存取」包括指令的來源碼。如果參閱和寫入都被停用,這個選項就不能使用。
重要事項:用「指令碼來源存取」時,使用者或許能檢視敏感資訊,像是使用者姓名和密碼。也能夠變更在 IIS 伺服器上執行的來源碼,並且能嚴重影響到伺服器的安全性和效能。
目錄瀏覽 使用者可檢視檔案清單和集合。
記錄查閱 每次拜訪網站會建立記錄檔。
索引資源 允許索引資源的索引服務。可允許在資源上執行搜尋。
執行 下列選項決定使用者的指令執行層級:
— 不允許指令碼的可執行檔在伺服器上執行。
僅限指令碼 — 允許唯有指令碼能在伺服器上執行。
指令碼和可執行檔允許指令碼和可執行檔二者能在伺服器上執行。

設定 IIS 記錄

本指南建議在定義中的三種環境內的 IIS 伺服器上,啟用 IIS 記錄功能。

每個網站或應用程式可建立個別記錄。IIS 記錄資訊是超過 Microsoft Windows® 作業系統提供的事件記錄或效能監視功能的範圍。此 IIS 記錄可包括的資訊像是誰造訪網站、造訪者檢視的內容以及最後一次檢視資訊的時間。IIS 記錄可用來評估內容普及度,識別資訊瓶頸或是用作協助調助攻擊的資源。

IIS Manager 增益集可用來設定記錄的檔案格式、記錄排程,以及要記入的切實資訊。要限制記錄的大小,仔細的規劃應包含到選取要記錄的欄位。

啟用 IIS 記錄時,IIS 會使用 W3C 延伸記錄檔案格式建立每天的活動記錄,其中是儲存在 IIS Manager 內網站的指定目錄。要改善伺服器效能,記錄應儲存在刪除的非系統或刪除的/鏡射的磁碟區。

再者,使用完整、「統一的命名慣例」(UNC) 路徑可以將記錄寫入到遠端共用。遠端記錄允許管理員設定集中記錄檔案儲存和備份。然而,將記錄檔案寫入網路可能會負面影響到伺服器的效能。

IIS 記錄可設定成使用其他幾個 ASCII 或「開放式資料庫連接」(ODBC)記錄檔案格式。ODBC 記錄能夠使 IIS 將活動資訊儲存在 SQL 資料庫。然而,應該注意的是啟用 ODBC 記錄時,IIS 會停用核心模式快取。基於這點原因,執行 ODBC 記錄可能會降低整個伺服器的效能。

主控數百個網站的 IIS 伺服器能藉由啟用集中二進位記錄改善記錄表現。集中二進位記錄能使 IIS 伺服器上的所有網站將活動資訊寫入到單一記錄檔。藉由減少需要個別儲存和分析的記錄數目可大大增進 IIS 記錄程序的管理和擴充性。如需關於集中二進位記錄的更多資訊,請參閱 Microsoft TechNet 主題<Centralized Binary Logging>,位於: https://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp.

預設的狀況是 IIS 記錄是儲存在 IIS 伺服器時,唯有伺服器管理員有權限存取。如果記錄檔案目錄或檔案擁有者沒有位在 Local Administrators 群組中,H1 TTP.sys — IIS 6.0 核心內的模式驅動程式會將錯誤公佈到「NT 事件」記錄。這個錯誤指出目錄或檔案的擁有者沒有位在 Administrators 群組,而且要直到擁有者新增到Local Administrators 群組,或者是既存的目錄或記錄檔案已刪除,才能暫緩網站的記錄。

手動將唯一的安全性群組新增至使用者權利指派

大部份經由 MSBP 套用的「使用者權利指派」,在本指引隨附的安全性範本中,都有指定適當的安全性群組。然而,有些帳戶和安全性群組無法包含在範本中,因為它們的安全性識別碼 (SID) 是個別 Windows 2003 網域特定的識別碼。下列指定必須手動設定的使用者權利指派。

**警告:**下列表格有包含 Administrator 帳戶中內建的值。注意不要混洧 Administrator 和安全性群組中內建的 Administrator。如果 Administrator 安全性群組已新增到底下任何一項拒絕存取使用者權限,將會需要在本地端登入以修正錯誤。

此外,Administrator 帳戶內建的可能會根據本單元,<建立 Windows Server 2003 成員伺服器的基準線>重新命名。當新增 Administrator 帳戶時,請確定已指定重新命名的帳戶。

表 7:手動新增的使用者權利指派

成員伺服器預設值 傳統用戶端 企業用戶端 高安全性
此電腦拒絕來自網路的存取 內建的系統管理員;Support_388945a0;Guest;所有的非作業系統服務帳戶 內建的系統管理員;Support_388945a0;Guest;所有的非作業系統服務帳戶 內建的系統管理員;Support_388945a0;Guest;所有的非作業系統服務帳戶
**警告:**所有的非作業系統服務帳戶包括用在企業內部特定應用程式的服務帳戶。並沒有包含本地端系統、本地端服務或網路服務帳戶是內建在作業系統使用的帳戶中。 #### 保護眾所皆知帳戶 Windows Server 2003 已內建一些無法刪除、但可以重新命名的使用者帳戶。在 Windows Server 2003 中最為知名的兩個內建帳戶就是 **Guest** 與 **Administrator**。 在網頁伺服器和網域控制站**Guest**帳號的預設值是停用的。 您不應該變更這項設定。內建的 **Administrator** 則應該重新命名、並改變說明,以協助防止攻擊者使用眾所皆知的帳戶來滲透遠端伺服器。 許多惡意程式碼的變種在第一次嘗試滲透伺服器時,就是使用此內建系統管理員帳戶。因為現在發行的攻擊工具會指定內建 Administrator 的安全性識別元 (SID) 來判斷其真正名稱、向伺服器發動攻擊行動,所以最近這幾年來,這項設定變更的效果已經降低許多。安全性識別碼 (SID) 值是唯一的,可用來識別網路中的每個使用者、群組、電腦帳戶與登入工作階段。這個內建帳戶的 SID 是無法變更的。將本機系統管理員帳戶重新更名成唯一名稱,可以讓作業群組更容易監控此帳戶所遭受的企圖攻擊行為。 - **保護 IIS 伺服器的知名帳戶:** 1. 為每個網域和伺服器的 **Administrator** 與 **Guest** 帳戶重新更名,並將其密碼變更為長的複雜值。 2. 每個伺服器上使用不同的名稱及密碼。如果所有網域及伺服器上都使用相同的帳戶名稱與密碼,攻擊者在取得一個成員伺服器的存取權限後,就可以使用相同帳戶名稱與密碼來存取所有其他伺服器。 3. 將帳戶說明變更成不同於預設值的說明,以協助防止帳戶易於識破。 4. 將這些變更記錄在安全位置。 **注意:**內建的系統管理員帳戶可透過「群組原則」重新命名。本指南中所提供的安全性範本並未設定這項設定,因為您應該選擇您環境的唯一名稱。 **帳戶:重新命名系統管理員帳戶** 設定可設定在本指南定義的三個環境中,重新命名系統管理員帳戶。此設定屬於「群組原則」中的「安全性設定選項」。 #### 保護服務帳戶 除非絕對必要,否則不設定在網域帳戶的安全性內容下執行服務。如果伺服器實體已遭滲透,網域帳戶密碼就會很容易透過傾卸本機安全性授權 (LSA,Local Security Authority) 機密而洩漏出去。 #### 使用 IPSec 篩選器封鎖連接埠 「網際網路通訊協定安全性」(IPSec) 篩選器提供有效方法,可強化伺服器所需要的安全性層級。本指南建議,在本指南內定義的高安全性環境可以採用此指示,進一步減少伺服器的攻擊表面區域。 如需關於使用 IPSec 篩選器的更多資訊,請參閱<[其他的成員伺服器強化程序](https://www.microsoft.com/taiwan/technet/security/guidance/secmod58.mspx)>單元。 下列表格列出全部的 IPSec 篩選器可建立在該指南定義的「高安全性」環境中的 IIS 伺服器。 **表 8:IIS 伺服器 IPSec 網路流量圖**

服務 通訊協定 來源連結埠 目的地連接埠 來源位址 目的地位址 動作 鏡像
單點用戶端 任何 任何 任何 本人 MOM 伺服器 允許
終端機服務 TCP 任何 3389 任何 本人 允許
網域成員 任何 任何 任何 本人 網域控制站 允許
網域成員 任何 任何 任何 本人 網域控制器 2 允許
HTTP 伺服器 TCP 任何 80 任何 本人 允許
HTTPS 伺服器 TCP 任何 443 任何 本人 允許
所有輸入的流量 任何 任何 任何 任何 本人 封鎖
上面表格中所列出的所有規則在實作時應該進行鏡像處理。這樣可確保任何傳入到伺服器的網路資料傳輸,都將允許傳回到原始伺服器。 上面表格顯示了伺服器應該要開啟的基本連結埠,如此才能夠執行其特定角色的功能。伺服器設定為靜態 IP 位址時,這些連接埠數量已經足夠。若要提供其他功能,就需要開啟其他的連接埠。開?額外的連接埠將會使環境中的 IIS 伺服器較容易管理,可是卻可能會大大降低這些伺服器的安全性。 因為網域成員和網域控制器之間的大量互動,尤其是 RPC 和 驗證流量,IIS 伺服器和所有網域控制器之間可允許所有的通訊。您也可以更進一步地限制資料傳輸,但是大多數環境會要求建立許多個額外的篩選器,以便運用這些篩選器來有效保護伺服器。這將使得 IPSec 原則的實作與管理變得相當困難。IIS 伺服器會互動的每台網域控制器應該要建立類似的規則。為了要增加 IIS 伺服器的可靠度和可用度,會時常包括新增環境內網域控制器的規則。 如前所述,如果環境中實作 Microsoft Operations Manager (MOM),實作 IPSec 篩選器與 MOM 伺服器的伺服器之間就必須允許進行所有的網路資料傳輸。因為 MOM 伺服器與 OnePoint 用戶端向 MOM 主控台報告的用戶端應用程式之間有大量互動,所以這是必要的。其他管理套件可能也有類似要求。當需要更高層級的安全性時,OnePoint 用戶端的篩選行動可以設定成協商 IPSec 與 MOM 伺服器。 這項 IPSec 原則可以有效地封鎖透過隨機高安全性連接埠的資料傳輸,這樣一來,就可以禁止遠端程序呼叫 (RPC) 資料傳輸。這樣將使得伺服器管理更添困難。因為這麼多連接埠遭到有效關閉,此時就需要啟用「終端機服務」。如此一來,系統管理員就可以執行遠端系統管理。 以上的網路流量對照,假設環境中包含使用 Active Directory 的 DNS 伺服器。如果有使用獨立 DNS 伺服器,就必須套用其他規則。 IPSec 原則實作應該不會對伺服器效能造成明顯的影響。但是這些篩選器在實作之前,應該先執行測試,以便確認伺服器的必要功能和效能有維持正常運作。您也可能需要加入其他規則,以便支援其他的應用程式。 隨同該指南包含的 .cmd 檔案能簡化 IIS 伺服器規定的 IPSec 篩選器的建立。**PacketFilters-IIS.cmd** 檔案使用 NETSH 命令建立適合的篩選器。這個 .cmd 檔案必須先修改成包含環境中網域控制站的 IP 位址。指令碼中包含了將加入兩個網域控制站的置放點。如有必要也可增加其他網域控制器。這份網域控制站的IP 位址清單必須保持最新狀態。 如果環境中有 MOM,指令碼中也必須指定適當 MOM 伺服器的 IP 位址。本指令碼不建立永續性篩選器。所以,必須啟動 IPSec 原則代理程式,伺服器才會受到保護。如需關於建立持續篩選器、或建立更進階 IPSec 篩選器指令碼的更多資訊,請參閱<[其他的成員伺服器強化程序](https://www.microsoft.com/taiwan/technet/security/guidance/secmod58.mspx)>單元。最後,本指令碼設定為不指派自己建立的 IPSec 原則。「IP 安全性原則管理」嵌入式管理單元可以用來檢驗已建立的 IPSec 篩選器,並指派 IPSec 原則讓它生效。 [](#mainsection)[回到頁首](#mainsection) ### 總結 本單元解釋該指南定義的三種環境內用來保護 IIS 伺服器的伺服器強化設定。大部份提及的設定都是使用「群組原則」進行設定與套用。設計成補充 MSBP 的「群組原則物件」(GPO) 可連結到包含有 IIS 伺服器的適當組織單位 (OU),其目的能夠根據這些伺服器提供的服務以提供額外的安全性。 這裡提及的設定中,有少數無法使用「群組原則」來進行套用。在這些情況中,則可以使用手動設定來設定這些設定。也有提供細節針對建立和套用 IPSec 篩選器來控制能和 IIS 伺服器通訊的網路流量型態。 #### 其他資訊 下列資訊來源是 Windows Server 2003 公開發行當時,執行 Windows Server 2003 電腦的環境和 IIS 伺服器有著密切相關的最新主題。 如需關於這個主題的更多資訊,,請參閱下列《Enable Logging》(英文)連結: