我有一个客户端,扫描后发现它不符合 PCI 标准。我查看了一下,发现他们已设置 IIS,允许中央办公室的程序从其服务器推送/拉取信息。他们失败的许多原因似乎已在 SP(他们使用的是 SP2)或安全更新中得到修复。我将服务器完全修补到(Windows XP Pro)SP3 并包含所有可选更新。我让他们一次又一次地扫描,他们还是失败了,只少了一个漏洞,我手动更正了(服务器显示调试/错误消息)。我遇到的主要问题是,当我研究每个错误的 CVE 代码时,他们说这些错误已在 SP2 及更高版本中得到修复。我想知道我是否需要删除 IIS 并重新设置,因为我已经修补到 SP3。有什么想法吗?
答案1
评论中已经说过了,但我没有看到任何答案,所以我会在这里说:
使用真实的服务器操作系统和当前版本的 IIS。
IIS 5.0 的支持已于 2010 年 7 月 13 日结束,因此该版本中新发现的任何安全漏洞都不会得到修补。即使您应用了所有可用的修补程序,任何针对 IIS 5 开发的零日漏洞都将永远对您的系统有效,除非您升级到较新的版本。
同样,对 Windows XP 的支持也即将结束(或已经结束,取决于 Service Pack)。Microsoft 在 IIS 5 发布的同时停止发布 Service Pack 2 的更新。目前,对 Service Pack 3 的支持也即将到期(我们正在不是2014 年 4 月 8 日,众议院议长佩洛西签署了一项临时禁令(预计这次还会有更多延期)。
IIS 的最新版本是 7.5,只能作为 Server 2008 R2 的一部分运行。这些产品的支持(包括安全更新)应至少持续到 2018 年。在此之后(但最好提前一段时间),您应该再次升级到最新的 Service Pack 或较新的版本 - 以适用者为准。
资料来源:
https://en.wikipedia.org/wiki/Windows_XP#Support_lifecycle
https://en.wikipedia.org/wiki/Internet_Information_Services#Versions
http://support.microsoft.com/lifecycle/search/default.aspx