我们除非绝对必须,否则不要让IIS 服务器服务运行在域帐户的安全上下文中。如果IIS 服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性授权 (LSA) 秘文而获得。
用 IPSec 过滤器阻断端口
Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。我们推荐在高安全性环境中使用该选项,以便进一步减少IIS 服务器的受攻击面。
有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。
IIS 服务器 IPSec 网络通信图
- 服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像
- one point Client 所有 所有 所有 ME MOM 服务器 允许 是
- Terminal Services TCP 所有 3389 所有 ME 允许 是
- Domain Member 所有 所有 所有 ME 域控制器 允许 是
- Domain Member 所有 所有 所有 ME 域控制器 允许 是
- HTTP Server TCP 所有 80 所有 ME 允许 是
- HTTPS Server TCP 所有 443 所有 ME 允许 是
- All Inbound Traffic 所有 所有 所有 所有 ME 禁止 是
在实施IIS 服务器 IPSec 网络通信图所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。
【编辑推荐】
