文档介绍:IIS Web服务器安全加固环节:
  
环节
注意:
安装和配备 Windows Server 。
将<systemroot>\System32\;
系统帐号尽量少,更改默认帐户名(如arameters\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
避免ICMP重定向报文的袭击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
不支持IGMP合同
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
设立arp缓存老化时间设立
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
严禁死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
安装和配备 IIS 服务:
仅安装必要的 IIS 组件。(禁用不需要的如FTP 和 SMTP 服务)
仅启用必要的服务和 Web Service 扩展,推荐配备:
UI 中的组件名称
设立
设立逻辑
后台智能传播服务 (BITS) 服务器扩展
启用
BITS 是 Windows Updates 和“自动更新”所使用的后台文献传播机制。如果使用 Windows Updates 或“自动更新”在 IIS 服务器中自动应用 Service Pack 和热修补程序,则必须有该组件。
公用文献
启用
IIS 需要这些文献,一定要在 IIS 服务器中启用它们。
文献传播合同 (FTP) 服务
禁用
容许 IIS 服务器提供 FTP 服务。专用 IIS 服务器不需要该服务。
FrontPage Server Extensions
禁用
为管理和发布 Web 站点提供 FrontPage 支持。如果没有使用 FrontPage 扩展的 Web 站点,请在专用 IIS 服务器中禁用该组件。
Internet 信息服务管理器
启用
IIS 的管理界面。
Internet 打印
禁用
提供基于 Web 的打印机管理,容许通过 HTTP 共享打印机。专用 IIS 服务器不需要该组件。
NNTP 服务
禁用
在 Internet 中分发、查询、检索和投递 Usenet 新闻文章。专用 IIS 服务器不需要该组件。
SMTP 服务
禁用
支持传播电子邮件。专用 IIS 服务器不需要该组件。
万维网服务
启用
为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件。
万维网服务子组件
UI 中的组件名称
安装选项
设立逻辑
Active Server Page
启用
提供 ASP 支持。如果 IIS 服务器中的 Web 站点和应用程序都不使用 ASP,请禁用该组件;或使用 Web 服务扩展禁用它。
Internet 数据连接器
禁用
通过扩展名为 .idc 的文献提供动态内容支持。如果 IIS 服务器中的 Web 站点和应用程序都不涉及 .idc 扩展文献,请禁用该组件;或使用 Web 服务扩展禁用它。
远程管理 (HTML)
禁用
提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的袭击面。专用 IIS 服务器不需要该功能。
远程桌面 Web 连接
禁用
涉及了管理终端服务客户端连接的 Microsoft Ac