在我们学过的IIS 服务器网络通信图假设环境中包含启用了 Active Directory 的 DNS 服务器。如果使用独立的 DNS 服务器,则可能需要其他规则。
IPSec 策略的执行应该不会对IIS 服务器的性能有明显影响。但是,在执行这些过滤器之前必须进行测试,以核实服务器保持了必要的功能和性能。您可能还需要添加一些附加规则以支持其它应用程序。
本指南包括一个 .cmd 文件,它简化了依照指南要求为域控制器创建 IPSec 过滤器的过程。PacketFilters-IIS.cmd 文件使用 NETSH 命令创建适当的过滤器。
必须修改此 .cmd 文件,以使其包含您所在环境中域控制器的 IP 地址。脚本中包含两个占位符,用于要添加的两个域控制器。如需要,可以添加其他的域控制器。这些域控制器的 IP 地址列表应当是***的。
如果环境中有 MOM,应当在脚本中指定相应的 MOM 服务器 IP 地址。此脚本不会创建***的过滤器。因此,直到 IPSec 策略代理启动时,服务器才会得到保护。
有关构建***的过滤器或创建高级 IPSec 过滤器脚本的详细信息,请参阅模块其他成员服务器强化过程。***,此脚本被配置为不分发其创建的 IPSec 策略。IP 安全性策略管理单元可被用来检查所创建的 IPSec 过滤器,并且分发 IPSec 策略以便让其生效。
我们解释了在您的环境下,为保护 IIS 服务器的安全所应采取的强化设置。我们讨论的大多数设置通过组策略进行配置和应用。可以将能够为 MSBP 提供有益补充的组策略对象 (GPO) 链接到包含 IIS 服务器的相应组织单位 (OU),以便为这些服务器提供的服务赋予更多的安全性。
我们讨论的有些设置不能通过组策略得到应用。对于这种情况,本章介绍了有关手动配置这些设置的详细信息。此外,我们还详细介绍了创建和应用能够控制 IIS 服务器间网络通信类型的 IPSec 过滤器的具体过程。
【编辑推荐】
