我的一个客户想在他的服务器上运行一个非常简单的网站(静态 HTML 页面,没有动态内容,没有 Javascript,没有 ASP 等)。
该网站不会处理数千次点击量或任何其他情况 - 最多每天处理几十次点击量。如果情况开始改变,他会请专业人士介入。:-)
他使用的是最新版的 Win 2003,服务包已更新,现在上面有 IIS 6。我对 IIS 几乎一无所知。我已经为他安装并运行了它,但在配置他的路由器以将传入的网络流量引导到服务器之前,我只想检查我是否已采取所有明显、合理的措施来尽可能地保护网站安全。
鉴于该网站实际上只有六个静态 HTML 文件,有什么“现成的”功能可以关闭吗?我还应该使用 IIS6 吗(尽管我知道您无法在 Windows 2003 上运行 IIS7)?
非常感谢您的任何建议!
答案1
跑过安全配置向导这是 2003 SP1 引入的 - 它将有助于配置和关闭服务器本身不需要的服务和协议。请记住,如果您不小心将其锁定过多,它具有回滚功能,因此不必担心运行它...
这是一个非常好的与 Jesper M Johansson 进行网络直播,讨论如何使用 SCW以及一些关于如何使用 Windows 和安全的内容。它有点旧了,但大多数内容(包括 SCW 配置)仍然有效,但显然是针对 Server 2003 的。
旧工具 Urlscan 和 IIS Lockdown 基本上不再需要,因为 IIS6 默认使用锁定设置,并且大多数(如果不是全部)urlscan 设置都是内置的。
Microsofts 安全 IIS6 指南- 如果您先通过 SCW,这里的一些设置似乎已经涵盖 - 但本指南应该可以帮助您完成其余配置。
您说得对,无法在 Windows 2003 上运行 IIS7 - IIS 版本基本上与其附带的操作系统版本绑定,因此您必须升级到 Windows Server 2008 或更高版本。