強化 Windows Server 2003 IIS服務器

概述
本模塊集中說明在您的環境中強化 IIS 服務器所需的指導和步驟。爲了向組織的公司 Intranet 中的 Web 服務器和應用程序提供全面的安全保護，應該保護每個 Microsoft Internet 信息服務 (IIS) 服務器以及在這些服務器運行的每個 Web 站點和應用程序不受可與它們連接的客戶端計算機的侵害。此外，還應該保護在這些所有 IIS 服務器上運行的 Web 站點和應用程序不受在公司 Intranet 中其他 IIS 服務器上運行的 Web 站點和應用程序的侵害。
爲了在抵制惡意用戶和***者的過程中佔據主動，默認情況下，IIS 不安裝在 Windows Server 2003 系列產品上。IIS 最初以高度安全的“鎖定”模式中安裝。例如，默認情況下，IIS 最初僅提供靜態內容。諸如 Active Server Pages (ASP)、ASP.NET、服務器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 發佈及 Microsoft FrontPage® Server Extensions 等功能僅在管理員啓用它們後才起作用。可以通過 Internet 信息服務管理器（IIS 管理器）中的 Web 服務擴展節點啓用這些功能和服務。
IIS 管理器具有圖形化的用戶界面 (GUI)，可用來方便地對 IIS 進行管理。它包括用於文件和目錄管理的資源，能夠對應用程序池進行配置，並且具有安全性、性能、以及可靠性方面的諸多特性。
本章接下來的部分詳細介紹了各種安全性強化設置，執行這些設置可增強公司 Intranet 中存放 HTML 內容的 IIS 服務器的安全性。但是，爲確保 IIS 服務器始終處於安全狀態，還應執行安全監控、檢測和響應等步驟。
審覈策略設置
在本指南定義的三種環境下，IIS 服務器的審覈策略設置通過 MSBP 來配置。有關 MSBP 的詳細信息，請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。MSBP 設置可確保所有相關的安全審覈信息都記錄在所有的 IIS 服務器上。
用戶權限分配
本指南中定義的三種環境中的 IIS 服務器的大多數用戶權限分配都是通過 MSBP 配置的。有關 MSBP 的詳細信息，請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。在下一節中闡述 MSBP 與 Incremental IIS Group Policy（增量式 IIS 組策略）之間的差別。
拒絕通過網絡訪問該計算機
表 1：設置
成員服務器默認值 舊客戶端 企業客戶端 高安全性
SUPPORT_388945a0
匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶
匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶
匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶
注意：安全模板中不包含匿名登錄、內置管理員帳戶、Support_388945a0、Guest 和所有非操作系統服務帳戶。對於組織中的每個域，這些帳戶和組擁有唯一的安全標識 (SID)。因此，必須手動添加它們。
“拒絕通過網絡訪問該計算機”設置決定了哪些用戶不能通過網絡訪問該計算機。。這些設置將拒絕大量的網絡協議，包括服務器消息塊 (SMB) 協議、網絡基本輸入/輸出系統 (NetBIOS)、通用 Internet 文件系統 (CIFS)、超文本傳輸協議 (HTTP) 和組件對象模型 (COM+)。當用戶帳戶同時適用兩種策略時，該設置將覆蓋“允許通過網絡訪問該計算機”設置。通過給其它組配置該用戶權限，您可以限制用戶在您的環境中執行委託管理任務的能力。
在模塊創建 Windows Server 2003 服務器的成員服務器基準中，本指南建議將 Guests 組包含在被分配了該權限的用戶和組列表中，以提供最大可能的安全性。但是，用於匿名訪問 IIS 的 IUSR 帳戶被默認爲 Guests 組的成員。本指南建議從增量式 IIS 組策略中清除 Guests 組，以確保必要時可配置對 IIS 服務器的匿名訪問。因此，在本指南所定義的全部三種環境下，我們針對 IIS 服務器將“拒絕通過網絡訪問該計算機”設置配置爲包括：匿名登錄、內置管理員、Support_388945a0、Guest 以及所有非操作系統服務帳戶。
安全選項
在本指南所的定義的三種環境中，IIS 服務器的安全選項通過 MSBP 來配置。有關 MSBP 的詳細信息，請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。MSBP設置確保了在企業IIS服務器中統一配置正確的事件日誌設置。
事件日誌設置
在本指南中定義的三種環境中，IIS 服務器的事件日誌設置通過 MSBP 來配置。有關 MSBP 的詳細信息，請參閱模塊創建 Windows Server 2003 服務器的成員服務器基準。MSBP 設置確保了在企業 IIS 服務器中統一配置正確的事件日誌設置。
系統服務
爲了讓 IIS 向 Windows Server 2003 中添加 Web 服務器功能，則必須啓用以下三種服務。增量式 IIS 組策略確保了這些服務被配置爲自動啓動。
注意：MSBP 禁用了幾種其它的 IIS 相關服務。FTP、SMTP 和 NNTP 就是 MSBP 所禁用的一些服務。如果想要在本指南所定義的任何一種環境下的 IIS 服務器上啓用這些服務，必須更改增量式 IIS 組策略。
HTTP SSL
表 2：設置
服務名 成員服務器默認值 舊客戶端 企業客戶端 高安全性
HTTPFilter
手動
自動
自動
自動
HTTP SSL 服務可讓 IIS 執行安全套接字層 (SSL) 功能。SSL是建立加密通信渠道的一種開放標準，以防止諸如信用卡號等關鍵信息被中途截獲。首先，它使得在萬維網上進行安全的電子金融事務成爲可能，當然也可用它來實現其它 Internet 服務。
如果 HTTP SSL 服務停止，IIS 將無法執行 SSL 功能。禁用此服務將導致任何明確依賴它的服務都無法實現。您可以使用組策略來保護和設置服務的啓動模式，只允許服務器管理員訪問這些設置，從而防止未經授權或惡意的用戶配置或操作該服務。組策略還可以防止管理員無意中禁用該服務。因此，在本指南所定義的全部三種環境下，針對 IIS 服務器的需要將“HTTP SSL”設置配置爲“自動”。
IIS Admin 服務
表 3：設置
服務名 成員服務器默認值 舊客戶端 企業客戶端 高安全性
IISADMIN
沒有安裝
自動
自動
自動
“IIS Admin 服務”允許對 IIS 組件進行管理，例如文件傳輸協議 (FTP)、應用程序池、Web 站點、Web 服務擴展，以及網絡新聞傳輸協議 (NNTP) 和簡單郵件傳輸協議 (SMTP) 的虛擬服務器。
“IIS Admin 服務”必須運行，以便讓 IIS 服務器能夠提供 Web、FTP、NNTP 以及 SMTP 服務。如果禁用此服務，則無法配置 IIS，並且對站點服務的請求將不會成功。您可以使用組策略來保護和設置服務的啓動模式，只允許服務器管理員訪問這些設置，從而防止未經授權或惡意的用戶配置或操作該服務。組策略還可以防止管理員無意中禁用該服務。因此，在本指南所定義的全部三種環境下，我們針對 IIS 服務器的需要將“IIS Admin 服務”設置配置爲“自動”。
萬維網發佈服務
表 4：設置
服務名 成員服務器默認值 舊客戶端 企業客戶端 高安全性
W3SVC
沒有安裝
自動
自動
自動
“萬維網發佈服務”通過 IIS 管理單元提供網絡連通性和網站管理。
“萬維網發佈服務”必須運行，以便讓 IIS 服務器通過 IIS 管理器提供網絡連通性和管理。您可以使用組策略來保護和設置服務的啓動模式，只允許服務器管理員訪問這些設置，從而防止未經授權或惡意的用戶配置或操作該服務。組策略還可以防止管理員無意中禁用該服務。因此，在本指南所定義的全部三種環境下，我們針對 IIS 服務器的需要將“萬維網發佈服務”設置配置爲“自動”。
其他安全設置
安裝 Windows Server 2003 和 IIS 之後，默認情況下，IIS 僅傳輸靜態 Web 內容。當 Web 站點和應用程序包含動態內容，或者需要一個或多個附加 IIS 組件時，每個附加 IIS 功能必須逐一單獨啓用。但是，在該過程中必須謹慎，以確保在您的環境中將每個 IIS 服務器的受***面降至最小。如果您的組織的 Web 站點只包含靜態內容而無需其它任何 IIS 組件，這時，默認的 IIS 配置足以將您的環境中的 IIS 服務器的受***面降至最小。
通過 MSBP 應用的安全設置爲 IIS 服務器提供大量的增強安全性。不過，還是應該考慮一些其他的注意事項和步驟。這些步驟不能通過組策略完成，而應該在所有的 IIS 服務器上手動執行。
僅安裝必要的 IIS 組件
除“萬維網發佈服務”之外，IIS6.0 還包括其它的組件和服務，例如 FTP 和 SMTP 服務。您可以通過雙擊“控制面板”上的“添加/刪除程序”來啓動 Windows 組件嚮導應用程序服務器，以安裝和啓用 IIS 組件和服務。安裝 IIS 之後，必須啓用 Web 站點和應用程序所需的所有必要的 IIS 組件和服務。
您應該僅啓用 Web 站點和應用程序所需的必要 IIS 組件和服務。啓用不必要的組件和服務會增加 IIS 服務器的受***面。
有關 IIS 組件位置和建議設置的指導，請參閱如何識別 Windows Server 2003 中的 IIS 6.0 組件。
僅啓用必要的 Web 服務擴展
許多運行於 IIS 服務器上的網站和應用程序具有超出靜態頁面範疇的擴展功能，包括生成動態內容的能力。通過 IIS 服務器提供的功能來產生或擴展的任何動態內容，都是通過使用 Web 服務擴展來實現的。
IIS 6.0 中增強的安全功能允許用戶單獨啓用或禁用 Web 服務擴展。在一次新的安裝之後，IIS 服務器將只傳輸靜態內容。可通過 IIS 管理器中的 Web 服務擴展節點來啓用動態內容功能。這些擴展包括 ASP.NET、SSI、WebDAV 和 FrontPage Server Extensions。
啓用所有的 Web 服務擴展可確保與現有應用軟件的最大可能的兼容性。但是，這可能帶來一些安全性風險，因爲當所有的擴展被啓用時，同時也啓用了您的環境下 IIS 服務器所不需要的功能，這樣 IIS 的受***面就會增加。
爲了儘可能減少 IIS 服務器的受***面，在本指南所定義的三種環境下，只應該在 IIS 服務器上啓用必要的的 Web 服務擴展。
僅啓用在您的 IIS 服務器環境下運行的站點和應用軟件所必需的 Web 服務擴展，通過最大限度精簡服務器的功能，可以減少每個 IIS 服務器的受***面，從而增強了安全性。
有關 Web 服務擴展的指導，請參閱如何識別 Windows Server 2003 中的 IIS 6.0 組件。
在專用磁盤卷中放置內容
IIS 會將默認 Web 站點的文件存儲到 <systemroot>inetpubwwwroot，其中 <systemroot> 是安裝 Windows Server 2003 操作系統的驅動器。
在本指南所定義的三種環境下，應該將構成 Web 站點和應用程序的所有文件和文件夾放置到 IIS 服務器的專用磁盤卷中。將這些文件和文件夾放置到 IIS 服務器的一個專用磁盤卷 — 不包含操作系統的磁盤卷 — 有助於防止目錄遍歷***。目錄遍歷***是指***者對位於 IIS 服務器目錄結構之外的一個文件發送請求。
例如，cmd.exe 位於於 <systemroot>System32 文件夾中。***者可能請求訪問以下位置：
....Windowssystemcmd.exe，企圖調用命令提示
如果 Web 站點內容位於一個單獨的磁盤捲上，這種類型的目錄遍歷***將無法成功，原因有二。首先，cmd.exe 的權限已經作爲 Windows Server 2003 基礎結構的一部分進行了重設，從而將對它的訪問限制在很有限的用戶羣中。其次，完成該更改之後，cmd.exe 不再與 Web 根目錄處於同一磁盤卷，而目前沒有任何已知的方法可通過使用這種***來訪問位於不同驅動器上的命令。
除了安全性考慮之外，將站點和應用程序文件和文件夾放置在一個專用的磁盤卷中使諸如備份和恢復這樣的管理任務變得更加容易。而且，將這種類型的內容放在一個分開的專用物理驅動器中有助於減少系統分區中的磁盤爭用現象，並且改善磁盤的整體訪問性能。
設置 NTFS 權限
Windows Server 2003 將檢查 NTFS 文件系統的權限,以確定用戶或進程對特定文件或文件夾具有的訪問權限類型。
您應該分配相應的 NTFS 權限，以便在本指南定義的三種環境下，允許或拒絕特定用戶對 IIS 服務器上站點的訪問。
NTFS 訪問權限應當與 Web 訪問權限協同使用，而不是取代 Web 權限。NTFS 權限隻影響那些已經被允許或被拒絕訪問站點和應用程序內容的帳戶。Web 權限則影響所有訪問站點或應用程序的用戶。如果站點權限與 NTFS 權限在某個文件夾或目錄上發生衝突，限制性更強的設置將生效。
對於不允許匿名訪問的站點和應用程序，匿名帳戶訪問將被明確拒絕。當沒有經過身份驗證的用戶訪問系統資源時，就是匿名訪問。匿名帳戶包括內置“Guest”帳戶、“Guests”組和“IIS Anonymous”帳戶。此外，除了 IIS 管理員之外，對其它任何用戶都應該清除所有的寫權限。
下表提供了關於 NTFS 權限的一些建議，這些權限將應用於 IIS 服務器上不同的文件類型。不同的文件類型可以被組織在不同的文件夾中，以簡化應用 NTFS 權限的過程。
表 5：NTFS 權限
文件類型 建議的 NTFS 權限
CGI 文件（.exe、.dll、.cmd、.pl）
Everyone（執行）
Administrators（完全控制）
System（完全控制）
腳本文件 (.asp)
Everyone（執行）
Administrators（完全控制）
System（完全控制）
包含文件（.inc、.shtm、.shtml）
Everyone（執行）
Administrators（完全控制）
System（完全控制）
靜態內容（.txt、.gif、.jpg、.htm、.html）
Everyone（只讀）
Administrators（完全控制）
System（完全控制）
設置 IIS Web 站點權限
IIS 將檢查 Web 站點權限，以確定在 Web 站點中可能發生的操作類型，例如允許腳本源訪問或允許文件夾瀏覽。您應該爲 Web 站點分配權限，以便進一步保證 IIS 服務器上的站點在本指南定義的三種環境下的安全性。
Web 站點權限可與 NTFS 權限結合使用。它們可配置給特定的站點、文件夾和文件。與 NTFS 權限不同，Web 站點權限影響試圖訪問 IIS 服務器站點的每個人。Web 站點權限可以通過使用 IIS 管理器管理單元得到應用。
下表列舉了 IIS 6.0 支持的 Web 站點權限，並且提供了簡要描述，解釋如何爲 Web 站點分配給定的權限。
表 6：IIS 6.0 Web 站點權限
Web 站點權限： 授予的權限：
讀
用戶可查看目錄或文件的內容和屬性。在默認情況下，該權限爲選中狀態。
寫
用戶可更改目錄或文件的內容和屬性。
腳本源訪問
用戶可以訪問源文件。如果啓用“讀”權限，則可以讀取源文件；如果啓用“寫”權限，則可以更改腳本源代碼。腳本源訪問包括腳本的源代碼。如果既不啓用“讀”權限，也不啓用“寫”權限，則此選項將不可用。
要點：啓用“腳本源訪問”時，用戶可以查看敏感信息，例如用戶名和密碼。他們還可以更改 IIS 服務器上運行的源代碼，從而嚴重影響服務器的安全性和性能。
目錄瀏覽
用戶可以查看文件列表和集合。
日誌訪問
每次訪問 Web 站點都會創建日誌條目。
索引此資源
允許使用索引服務索引資源。這樣便可以對資源執行搜索。
執行
以下選項確定用戶運行腳本的級別：
“無” — 不允許在服務器上運行腳本和可執行文件。
“僅限於腳本” — 僅允許在服務器上運行腳本。
“腳本和可執行文件” — 允許在服務器上運行腳本和可執行文件。
配置 IIS 日誌
本指南建議在指南定義的三種環境下均啓用 IIS 服務器上的 IIS 日誌。
可以爲每個站點或應用程序創建單獨的日誌。IIS 可以記錄 Microsoft Windows® 操作系統提供的事件日誌或性能監視功能所記錄信息範圍之外的信息。IIS 日誌可記錄諸如誰訪問過站點、訪客瀏覽過哪些內容、以及最後一次訪問的時間等信息。IIS 日誌可被用來了解那些內容最受歡迎，確定信息瓶頸，或者用作協助***事件調查的資源。
IIS 管理器管理單元可以用來配置日誌文件格式、日誌計劃以及將被記錄的確切信息。爲限制日誌的大小，應當對所記錄信息的內容進行仔細規劃。
當 IIS 日誌被啓用時，IIS 使用 W3C 擴展日誌文件格式來創建日常操作記錄，並存儲到在 IIS 管理器中爲站點指定的目錄中。爲改善服務器性能，日誌文件應當存儲到系統卷以外的條帶集或條帶集/鏡像磁盤捲上。
而且，您還可以使用完整的全局命名約定 (UNC) 路徑將日誌文件寫到網絡上以便遠程共享。遠程日誌讓管理員能夠建立集中的日誌文件存儲和備份。但是，通過網絡對日誌文件進行寫操作可能會對服務器性能帶來負面影響。
IIS 日誌可以配置爲使用其它幾種 ASCII 或開放數據庫連接 (ODBC) 文件格式。ODBC 日誌讓 IIS 能夠將活動信息存儲到 SQL 數據庫中。但是，應該注意，當啓用 ODBC 日誌時，IIS 將禁用內核模式緩存。因此，執行 ODBC 日誌會降低服務器的總體性能。
存放數以百計的站點的 IIS 服務器通過啓用集中的二進制日誌來改善日誌性能。集中化的二進制日誌允許 IIS 服務器將所有 Web 站點的活動信息寫到一個日誌文件上。這樣，通過減少需要逐一存儲和分析的日誌文件的數量，大大地提高了 IIS 日誌記錄過程的可管理性和可伸縮性。有關集中化二進制日誌的更多信息，請參閱 Microsoft TechNet 主題“Centralized Binary Logging”，其網址爲： http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/log_binary.asp（英文）。
當 IIS 日誌按默認設置存儲在 IIS 服務器中時，只有服務器管理員有權訪問它們。如果日誌文件的文件夾或文件的所有者不在“Local Administrators”組中時，HTTP.sys — IIS 6.0 的內核模式驅動程序 — 將向 NT 事件日誌發佈一個錯誤。該錯誤指出文件夾或文件的所有者不在“Local Administrators”組中，並且這個站點的日誌將暫時失效，直到其所有者被添加到“Local Administrators”組中，或者現有的文件夾或文件被刪除。
向用戶權限分配手動添加唯一的安全組
大多數通過 MSBP 應用的用戶權限分配都已經在本指南附帶的安全性模板中進行了適當的指定。但是，有些帳戶和安全組不能被包括在模板內，因爲它們的安全標識符 (SID) 對於單個的 Windows 2003 域是特定的。下面給出了必須手動配置的用戶權限分配。
警告：下表包含了內置的 Administrator 帳戶。注意不要將 Administrator 帳戶和內置的 Administrators 安全組相混淆。如果 Administrators 安全組添加了以下任何一個拒絕訪問的用戶權限，您必須在本地登錄以更正該錯誤。
此外，根據模塊創建 Windows Server 2003 服務器的成員服務器基準中描述的某些建議，內置的 Administrator 賬戶可能已經被重命名。當添加 Administrator 賬戶時，請確信指定的是經過重命名的賬戶。
表 7：手動添加的用戶權限分配
成員服務器默認值 舊客戶端 企業客戶端 高安全性
拒絕通過網絡訪問該計算機
內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶
內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶
內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶
警告：所有非操作系統服務賬戶包括整個企業範圍內用於特定應用程序的服務賬戶。這不包括操作系統使用的內置帳戶 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。
保護衆所周知帳戶的安全
Windows Server 2003 具備大量的內置用戶帳戶，這些帳戶不能刪除，但可以重命名。Windows 2003 中最常見的兩個帳戶是 Guest 和 Administrator。
默認情況下，Guest 帳戶在成員服務器和域控制器上被禁用。不應更改此設置。內置的 Administrator 帳戶應被重命名，而且其描述也應被更改，以防止***者通過該帳戶破壞遠程服務器。
許多惡意代碼的變種企圖使用內置的管理員賬戶來破壞一臺服務器。在近幾年來，進行上述重命名配置的意義已經大大降低了，因爲出現了很多新的***工具，這些工具企圖通過指定內置 Administrator 賬戶的安全標識 (SID) 來確定該帳戶的真實姓名，從而侵佔服務器。SID 是唯一能確定網絡中每個用戶、組、計算機帳戶以及登錄會話的值。改變內置帳戶的 SID 是不可能的。將本地管理員帳戶改變爲一個特別的名稱，可以方便您的操作人員監視對該帳戶的***企圖。
• 要保護 IIS 服務器中衆所周知帳戶的安全，請執行以下步驟：
1. 重命名 Administrator 和 Guest 帳戶，並且將每個域和服務器上的密碼更改爲長而複雜的值。
2. 在每個服務器上使用不同的名稱和密碼。如果在所有的域和服務器上使用相同的帳戶名和密碼，***者只須獲得對一臺成員服務器的訪問權限，就能夠訪問所有其它具有相同帳戶名和密碼的服務器。
3. 更改默認的帳戶描述，以防止帳戶被輕易識別。
4. 將這些更改記錄到一個安全的位置。
注意：可以通過組策略重命名內置的管理員帳戶。本指南提供的任何安全性模板中都沒有配置該設置，因爲您必須爲您的環境選擇一個唯一的名字。“帳戶：重命名管理員帳戶”設置可用來重命名本指南所定義的三種環境中的管理員帳戶。該設置是組策略的安全選項設置的一部分。
保護服務帳戶的安全
除非絕對必須，否則不要讓服務運行在域帳戶的安全上下文中。如果服務器的物理安全受到破壞，域賬戶密碼可以很容易通過轉儲本地安全性授權 (LSA) 祕文而獲得。
用 IPSec 過濾器阻斷端口
Internet 協議安全性 (IPSec) 過濾器可爲增強服務器所需要的安全級別提供有效的方法。本指南推薦在指南中定義的高安全性環境中使用該選項，以便進一步減少服務器的受***面。
有關使用 IPSec 過濾器的詳細信息，請參閱模塊其他成員服務器強化過程。
下表列出在本指南定義的高級安全性環境下可在 IIS 服務器上創建的所有 IPSec 過濾器。
表 8：IIS 服務器 IPSec 網絡通信圖
服務 協議 源端口 目標端口 源地址 目標地址 操作 鏡像
one point Client
所有
所有
所有
ME
MOM 服務器
允許
是
Terminal Services
TCP
所有
3389
所有
ME
允許
是
Domain Member
所有
所有
所有
ME
域控制器
允許
是
Domain Member
所有
所有
所有
ME
域控制器 2
允許
是
HTTP Server
TCP
所有
80
所有
ME
允許
是
HTTPS Server
TCP
所有
443
所有
ME
允許
是
All Inbound Traffic
所有
所有
所有
所有
ME
禁止
是
在實施上表所列舉的規則時，應當對它們都進行鏡像處理。這樣可以確保任何進入服務器的網絡通信也可以返回到源服務器。
上表介紹了服務器要想完成特定角色的功能所應該打開的基本端口。如果服務器使用靜態的 IP 地址，這些端口已經足夠。如果需要提供更多的功能，則可能需要打開更多的端口。打開更多的端口將使得您的環境下的 IIS 服務器更容易管理，但是這可能大大降低服務器的安全性。
由於在域成員和域控制器之間有大量的交互，尤其是 RPC 和身份驗證通信，在 IIS 服務器和全部域控制器之間，您應該允許所有的通信。通信還可以被進一步限制，但是大多數環境都需要爲有效保護服務器而創建更多的過濾器。這將使得執行和管理 IPSec 策略非常困難。您應該爲每一個將與 IIS 服務器進行交互的域控制器創建類似的規則。爲了提高 IIS 服務器的可靠性和可用性，您需要爲環境中的所有域控制器添加更多規則。
正如上表所示，如果環境中運行了 Microsoft 操作管理器 (MOM)，那麼在執行 IPSec 過濾器的服務器和 MOM 服務器之間，應該允許傳輸所有的網絡通信。這是必須的，因爲在 MOM 服務器和 OnePoint 客戶端（向 MOM 控制檯提供報告的客戶端應用程序）之間存在大量的交互過程。其它管理軟件可能也具有類似的需求。如果需要更高級別的安全性，則可以配置 OnePoint 客戶端的過濾操作，從而協調 IPSec 和 MOM 服務器。
該 IPSec 策略將有效地阻止通過任意一個高端口的通信，因此它不允許遠程過程調用 (RPC) 通信。這可能會使得服務器的管理非常困難。由於已經關閉了許多端口，您可以啓用終端服務。這樣一來，管理員便可以執行遠程管理。
上面的網絡通信圖假設環境中包含啓用了 Active Directory 的 DNS 服務器。如果使用獨立的 DNS 服務器，則可能需要其他規則。
IPSec 策略的執行應該不會對服務器的性能有明顯影響。但是，在執行這些過濾器之前必須進行測試，以覈實服務器保持了必要的功能和性能。您可能還需要添加一些附加規則以支持其它應用程序。
本指南包括一個 .cmd 文件，它簡化了依照指南要求爲域控制器創建 IPSec 過濾器的過程。PacketFilters-IIS.cmd 文件使用 NETSH 命令創建適當的過濾器。必須修改此 .cmd 文件，以使其包含您所在環境中域控制器的 IP 地址。腳本中包含兩個佔位符，用於要添加的兩個域控制器。如需要，可以添加其他的域控制器。這些域控制器的 IP 地址列表應當是最新的。
如果環境中有 MOM，應當在腳本中指定相應的 MOM 服務器 IP 地址。此腳本不會創建永久的過濾器。因此，直到 IPSec 策略代理啓動時，服務器纔會得到保護。有關構建永久的過濾器或創建高級 IPSec 過濾器腳本的詳細信息，請參閱模塊其他成員服務器強化過程。最後，此腳本被配置爲不分發其創建的 IPSec 策略。IP 安全性策略管理單元可被用來檢查所創建的 IPSec 過濾器，並且分發 IPSec 策略以便讓其生效。
小結
本章解釋了在本指南指定的三種環境下，爲保護 IIS 服務器的安全所應採取的強化設置。我們討論的大多數設置通過組策略進行配置和應用。可以將能夠爲 MSBP 提供有益補充的組策略對象 (GPO) 鏈接到包含 IIS 服務器的相應組織單位 (OU)，以便爲這些服務器提供的服務賦予更多的安全性。
本章討論的有些設置不能通過組策略得到應用。對於這種情況，本章介紹了有關手動配置這些設置的詳細信息。此外，我們還詳細介紹了創建和應用能夠控制 IIS 服務器間網絡通信類型的 IPSec 過濾器的具體過程