消息队列子组件 下表简要地描述了消息队列子组件,并且对何时启用它们提供了建议。
表8.7: 消息队列子组件
“ 后台智能传输服务(BITS)
服务器扩展”对话框中的子组件如下图所示:
图8.4 后台智能传输服务(BITS)服务器扩展子组件 下表简要地描述了后台智能传输服务(BITS)
服务器扩展子组件,并且对何时启用它们提供了建议。
表8.8: 后台智能传输服务(BITS)服务器扩展子组件
网管u家u.bitsCN.com “World Wide Web服务”对话框中的子组件如下图所示:
图8.5 World Wide Web服务子组件 下表简要地描述了World Wide Web服务子组件,并且对何时启用它们提供了建议。
表8.9: World Wide Web服务子组件
仅启用必需的Web服务扩展 许多运行于
IIS服务器上的网站和应用程序具有超出静态页面范畴的扩展功能,包括生成动态内容的能力。通过
IIS服务器提供的特性来产生或扩展的任何动态内容,都是通过使用Web服务扩展来实现的。
IIS6.0 中的增强
安全特性允许用户单独启用或禁用Web服务扩展。在一次新的安装之后,
IIS服务器将只能传送静态内容。可通过
IIS Manager中的Web Service Extensions节点来启用动态内容能力。这些扩展包括ASP.NET、SSI、WebDAV、以及FrontPage Server Extensions。
网管u家u.bitscn@com
启用所有的Web服务扩展可确保与现有应用软件的最大可能的兼容性。但是,这可能带来一些
安全性风险,因为当所有的扩展被启用时,同时也启用了您的环境下
IIS服务器所不需要的功能,这样
IIS的攻击表面积就会增加。
为了尽可能减少
IIS服务器的攻击表面,在本指南所定义的三种环境下,只有必需的Web服务扩展才应该在
IIS服务器上被启用。
仅仅启用在您的
IIS服务器环境下运行的站点和应用软件所必需的Web服务扩展,通过最大限度精简
服务器的功能,可以减少每个
IIS服务器的攻击表面,从而增强了
安全性。
网管联盟bitsCN@com 下表列举了预先定义的Web服务扩展,并且提供了何时启用它们的详细指导。
表8.10: 启用Web服务扩展
在专用磁盘卷中放置内容 IIS会将默认Web站点的文件存储到<systemroot>\inetpub\wwwroot,其中<systemroot>是安装了Windows Server 2003的驱动器。
在本指南所定义的三种环境下,应该将构成Web站点和应用程序的所有文件和文件夹放置到
IIS服务器的专用磁盘卷中。将这些文件和文件夹放置到
IIS服务器的一个专用磁盘卷——不包括操作系统所在的磁盘卷——有助于防止针对目录的遍历攻击。目录遍历攻击是指攻击者对位于
IIS服务器目录结构之外的一个文件发送请求。
中国网管论坛bbs.bitsCN.com 例如,cmd.exe位于<systemroot>\System32文件夹中。攻击者可以请求访问以下位置:
..\..\Windows\system\cmd.exe,企图调用该命令。
如果站点内容位于一个单独的磁盘卷,这种类型的目录遍历攻击将无法成功,原因有二。首先,cmd.exe的权限已经作为Windows Server 2003基础结构的一部分进行了重设,从而将对它的访问限制在很有限的用户群中。其次,完成该修改之后,cmd.exe不再与站点根目录处于同一磁盘卷,而目前没有任何已知的方法可通过使用这种攻击来访问位于不同驱动器上的命令。
除了
安全性问题之外,将站点和应用软件文件和文件夹放置在一个专用的磁盘卷中使得诸如备份和恢复这样的管理操作变得更加容易。而且,将这种类型的内容放在一个分开的专用物理驱动器中有助于减少系统分区中的磁盘争用现象,并且改善磁盘的整体访问性能。
评论加载中…
