學習保護IIS 服務器服務帳戶的安全
作者:佚名
Internet 協議安全性 (IPSec) 過濾器可為增強服務器所需要的安全級別提供有效的方法。我們推薦在高安全性環(huán)境中使用該選項,以便進一步減少IIS 服務器的受攻擊面。
我們除非絕對必須,否則不要讓IIS 服務器服務運行在域帳戶的安全上下文中。如果IIS 服務器的物理安全受到破壞,域賬戶密碼可以很容易通過轉儲本地安全性授權 (LSA) 秘文而獲得。
用 IPSec 過濾器阻斷端口
Internet 協議安全性 (IPSec) 過濾器可為增強服務器所需要的安全級別提供有效的方法。我們推薦在高安全性環(huán)境中使用該選項,以便進一步減少IIS 服務器的受攻擊面。
有關使用 IPSec 過濾器的詳細信息,請參閱模塊其他成員服務器強化過程。
下表列出在本指南定義的高級安全性環(huán)境下可在 IIS 服務器上創(chuàng)建的所有 IPSec 過濾器。
IIS 服務器 IPSec 網絡通信圖
- 服務 協議 源端口 目標端口 源地址 目標地址 操作 鏡像
- one point Client 所有 所有 所有 ME MOM 服務器 允許 是
- Terminal Services TCP 所有 3389 所有 ME 允許 是
- Domain Member 所有 所有 所有 ME 域控制器 允許 是
- Domain Member 所有 所有 所有 ME 域控制器 允許 是
- HTTP Server TCP 所有 80 所有 ME 允許 是
- HTTPS Server TCP 所有 443 所有 ME 允許 是
- All Inbound Traffic 所有 所有 所有 所有 ME 禁止 是
在實施IIS 服務器 IPSec 網絡通信圖所列舉的規(guī)則時,應當對它們都進行鏡像處理。這樣可以確保任何進入服務器的網絡通信也可以返回到源服務器。
【編輯推薦】
責任編輯:小霞
