-------------------------------
转摘请保留以下信息:
BaiShi<baishi54_at_126.com>
54baishi.126.com
2007-2-20
-------------------------------
转摘请保留以下信息:
BaiShi<baishi54_at_126.com>
54baishi.126.com
2007-2-20
-------------------------------
最近在做
O3
的安全设计,无非就是针对自己的环境对
MS
的安全建议进行实施。
MS
强化
Windows Server 2003 IIS
服务器有这样的一份流传很广的文档:《
Windows Server 2003
安全性指南介绍——强化
IIS
服务器》
在文档中建议在安装
Internet
信息服务(
IIS
)
6.0
时,只安装必需的
IIS
组件,并对
IIS
子组件进行了描述,并且对何时启用它们提供了建议。对
IIS
子组件后台智能传输服务(
BITS
)服务器扩展的描述和建议是这样的:
UI
中的组件名称
|
设置
|
设置逻辑
|
启用
|
BITS
是一种由
Windows Update
和
Automatic Update
使用的后台文件传输机制。当使用
Windows
升级或自动升级自动地将服务包和热修补应用于
IIS
服务器时,该组件是必需的。
|
很生硬,有机译的嫌疑,自己改了下:
设置逻辑
|
其实,
Windows Server 2003
中包含
BITS 1.5
,
BITS 1.5
支持下载和上传。上传要求安装
Internet
信息服务
(IIS)
服务器和
BITS
服务器扩展来作为
BITS
服务器;下载只需要默认安装好的
BITS
客户端。本地自动更新(
Automatic Update
)需要的是后台智能传输服务(
BITS
)的下载服务而不是上传服务。原文的表述欠妥。
“只有站点和应用程序所必需的那些基础
IIS
组件和服务应当被启用。启用不必要的组件和服务只会增加
IIS
服务器受攻击的表面积。”所以,
IIS
子组件后台智能传输服务(
BITS
)服务器扩展的设置建议应该是:
Disabled
MS
的文档《保护
Internet Information Services 6.0
》中这样建议:
IIS
子组件和服务的推荐设置
子组件或服务
|
默认设置
|
Web
服务器设置
|
后台智能传输服务
(BITS)
服务器扩展
|
禁用
|
不更改
|
在较正式的Security Guidance中的《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》表述Setting logic更为详细:Security Guidance中的《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》表述Setting logic更为详细:
Recommended IIS Subcomponents Settings
Component name in UI
|
Setting
|
Setting logic
|
Background Intelligent Transfer Service (BITS) server extension
|
Disabled
|
The BITS server extension allows BITS on the clients to upload files to this server in the background. If you have an application on the clients that uses BITS to upload files to this server, then enable and configure the BITS server extension; otherwise, leave it disabled. Note that Windows Update, Microsoft Update, SUS, WSUS, and Automatic Updates do not require this component to run. They require the BITS client component, which is not part of IIS.
|
这样的错误还出现在以下文档中:
《如何在 Windows Server 2003 中识别 IIS 6.0 组件》http://www.microsoft.com/china/technet/security/guidance/secmod131.mspx(简)
http://www.microsoft.com/taiwan/technet/security/guidance/secmod131.mspx(繁)
更多信息
以下提供了与本文密切相关的信息资源。
《
Windows Server 2003
安全性指南介绍——强化
IIS
服务器》
《保护
Internet Information Services 6.0
》
《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》