我們了解了很多IIS 服務器的知識，我們要注意安全模板中不包含匿名登錄、內置管理員帳戶、Support_388945a0、Guest 和所有非操作系統服務帳戶。對于組織中的每個域，這些帳戶和組擁有唯一的安全標識 (SID)。因此，必須手動添加它們。 我們來看下面這個表。

IIS 服務器設置

成員服務器默認值 舊客戶端 企業客戶端 高安全性   
SUPPORT_388945a0   
匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶   
匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶   
匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶 

“拒絕通過網絡訪問該計算機”設置決定了哪些用戶不能通過網絡訪問該計算機。

這些設置將拒絕大量的網絡協議，包括服務器消息塊 (SMB) 協議、網絡基本輸入/輸出系統 (NetBIOS)、通用 Internet 文件系統 (CIFS)、超文本傳輸協議 (HTTP) 和組件對象模型 (COM+)。

當用戶帳戶同時適用兩種策略時，該設置將覆蓋“允許通過網絡訪問該計算機”設置。通過給其它組配置該用戶權限，您可以限制用戶在您的環境中執行委托管理任務的能力。

在模塊創建 Windows Server 2003 服務器的成員服務器基準中，本指南建議將 Guests 組包含在被分配了該權限的用戶和組列表中，以提供最大可能的安全性。

但是，用于匿名訪問 IIS 服務器 的 IUSR 帳戶被默認為 Guests 組的成員。本指南建議從增量式 IIS 組策略中清除 Guests 組，以確保必要時可配置對 IIS 服務器的匿名訪問。

因此，在本指南所定義的全部三種環境下，我們針對 IIS 服務器將“拒絕通過網絡訪問該計算機”設置配置為包括：匿名登錄、內置管理員、Support_388945a0、Guest 以及所有非操作系統服務帳戶。

【編輯推薦】

1. IIS漏洞對數據庫安全的知識分析
2. 從IIS漏洞到服務器的知識講解
3. 微軟IIS與APACHE3項性能做比較
4. 微軟IIS與Apache擴展性和安全性的比較
5. 微軟IIS與Apache穩定性等比較分析