IIS 服务器拒绝通过网络访问该计算机

系统 Windows
用于匿名访问 IIS 服务器 的 IUSR 帐户被默认为 Guests 组的成员。我们建议从增量式 IIS 组策略中清除 Guests 组,以确保必要时可配置对 IIS 服务器的匿名访问。

我们了解了很多IIS 服务器的知识,我们要注意安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识 (SID)。因此,必须手动添加它们。 我们来看下面这个表。

IIS 服务器设置

  1. 成员服务器默认值 旧客户端 企业客户端 高安全性   
  2. SUPPORT_388945a0   
  3. 匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户   
  4. 匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户   
  5. 匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户 

“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。

这些设置将拒绝大量的网络协议,包括服务器消息块 (SMB) 协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。

当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行委托管理任务的能力。

在模块创建 Windows Server 2003 服务器的成员服务器基准中,本指南建议将 Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。

但是,用于匿名访问 IIS 服务器 的 IUSR 帐户被默认为 Guests 组的成员。本指南建议从增量式 IIS 组策略中清除 Guests 组,以确保必要时可配置对 IIS 服务器的匿名访问。

因此,在本指南所定义的全部三种环境下,我们针对 IIS 服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Support_388945a0、Guest 以及所有非操作系统服务帐户。

【编辑推荐】

  1. IIS漏洞对数据库安全的知识分析
  2. 从IIS漏洞到服务器的知识讲解
  3. 微软IIS与APACHE3项性能做比较
  4. 微软IIS与Apache扩展性和安全性的比较
  5. 微软IIS与Apache稳定性等比较分析
责任编辑:小霞
相关推荐

2010-05-20 11:06:01

IIS服务器

2010-05-19 15:00:37

IIS服务器

2020-10-10 07:00:00

无服务器计算容器

2010-05-13 17:43:43

IIS服务器

2010-12-28 15:39:38

2010-05-17 16:50:38

IIS服务器

2010-05-13 18:32:52

2010-05-21 11:50:54

IIS服务器

2012-11-01 10:26:45

服务器云计算

2015-08-18 09:33:56

2020-06-16 16:49:47

戴尔

2009-09-24 13:47:05

IIS安全配置web服务器访问控制

2010-05-19 10:31:07

IIS服务器

2010-12-27 14:08:12

2010-05-18 14:34:41

IIS服务器

2010-05-18 18:47:31

2010-05-18 13:37:03

IIS服务器

2010-05-20 10:31:37

IIS服务器

2012-10-11 10:48:39

戴尔超级计算机服务器

2009-09-17 13:58:31

WSUS服务器
点赞
收藏

51CTO技术栈公众号