误传的Windows Server 2003 IIS服务器安全实施细节

-------------------------------
转摘请保留以下信息：
BaiShi<baishi54_at_126.com>
54baishi.126.com
2007-2-20
-------------------------------

最近在做 O3 的安全设计，无非就是针对自己的环境对 MS 的安全建议进行实施。 MS 强化 Windows Server 2003 IIS 服务器有这样的一份流传很广的文档：《 Windows Server 2003 安全性指南介绍——强化 IIS 服务器》

在文档中建议在安装 Internet 信息服务（ IIS ） 6.0 时，只安装必需的 IIS 组件，并对 IIS 子组件进行了描述，并且对何时启用它们提供了建议。对 IIS 子组件后台智能传输服务（ BITS ）服务器扩展的描述和建议是这样的：

UI 中的组件名称	设置	设置逻辑
后台智能传输服务（ BITS ） 服务器 扩展	启用	BITS 是一种由 Windows Update 和 Automatic Update 使用的后台文件传输机制。当使用 Windows 升级或自动升级自动地将服务包和热修补应用于 IIS 服务器时，该组件是必需的。

很生硬，有机译的嫌疑，自己改了下：

设置逻辑
BITS 是 Windows Update 和 Automatic Update 所使用的后台文件传输机制。当使用 Windows Update 或 Automatic Update 在 IIS 服务器中自动应用 Service Pack 和 hotfix ，该组件是必需的。

这个 Setting logic 不知道是如何写出来的，我这样理解 IIS服务器 启用本地自动更新（ Automatic Update ）必须安装后台智能传输服务（ BITS ） 服务器 扩展组件。

其实， Windows Server 2003 中包含 BITS 1.5 ， BITS 1.5 支持下载和上传。上传要求安装 Internet 信息服务 (IIS) 服务器和 BITS 服务器扩展来作为 BITS 服务器；下载只需要默认安装好的 BITS 客户端。本地自动更新（ Automatic Update ）需要的是后台智能传输服务（ BITS ）的下载服务而不是上传服务。原文的表述欠妥。

“只有站点和应用程序所必需的那些基础 IIS 组件和服务应当被启用。启用不必要的组件和服务只会增加 IIS 服务器受攻击的表面积。”所以， IIS 子组件后台智能传输服务（ BITS ）服务器扩展的设置建议应该是： Disabled

MS 的文档《保护 Internet Information Services 6.0 》中这样建议：

IIS 子组件和服务的推荐设置

子组件或服务	默认设置	Web 服务器设置
后台智能传输服务 (BITS) 服务器扩展	禁用	不更改

 

 

  在较正式的Security Guidance中的《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》表述Setting logic更为详细：Security Guidance中的《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》表述Setting logic更为详细：

Recommended IIS Subcomponents Settings

Component name in UI	Setting	Setting logic
Background Intelligent Transfer Service (BITS) server extension	Disabled	The BITS server extension allows BITS on the clients to upload files to this server in the background. If you have an application on the clients that uses BITS to upload files to this server, then enable and configure the BITS server extension; otherwise, leave it disabled. Note that Windows Update, Microsoft Update, SUS, WSUS, and Automatic Updates do not require this component to run. They require the BITS client component, which is not part of IIS.

 

 

这样的错误还出现在以下文档中：

《如何在 Windows Server 2003 中识别 IIS 6.0 组件》http://www.microsoft.com/china/technet/security/guidance/secmod131.mspx（简）

http://www.microsoft.com/taiwan/technet/security/guidance/secmod131.mspx（繁）

 

更多信息

以下提供了与本文密切相关的信息资源。

《 Windows Server 2003 安全性指南介绍——强化 IIS 服务器》

http://www.microsoft.com/china/TechNet/security/Safeguidebook/book07.asp （中文）

 

《保护 Internet Information Services 6.0 》

http://www.microsoft.com/china/technet/security/sgk/sec_IIS_6_0.mspx（中文）

 

《Windows Server 2003 Security Guide·Chapter 9: The Web Server Role》

http://download.microsoft.com/download/c/8/6/c86b1b59-0388-4945-8bd9-06f04db13136/Windows_Server_2003_Security_Guide_v2.1.zip （英文）

http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch09.mspx（英文）