總結學習IIS 服務器的一些知識
在我們學過的IIS 服務器網絡通信圖假設環境中包含啟用了 Active Directory 的 DNS 服務器。如果使用獨立的 DNS 服務器,則可能需要其他規則。
IPSec 策略的執行應該不會對IIS 服務器的性能有明顯影響。但是,在執行這些過濾器之前必須進行測試,以核實服務器保持了必要的功能和性能。您可能還需要添加一些附加規則以支持其它應用程序。
本指南包括一個 .cmd 文件,它簡化了依照指南要求為域控制器創建 IPSec 過濾器的過程。PacketFilters-IIS.cmd 文件使用 NETSH 命令創建適當的過濾器。
必須修改此 .cmd 文件,以使其包含您所在環境中域控制器的 IP 地址。腳本中包含兩個占位符,用于要添加的兩個域控制器。如需要,可以添加其他的域控制器。這些域控制器的 IP 地址列表應當是***的。
如果環境中有 MOM,應當在腳本中指定相應的 MOM 服務器 IP 地址。此腳本不會創建***的過濾器。因此,直到 IPSec 策略代理啟動時,服務器才會得到保護。
有關構建***的過濾器或創建高級 IPSec 過濾器腳本的詳細信息,請參閱模塊其他成員服務器強化過程。***,此腳本被配置為不分發其創建的 IPSec 策略。IP 安全性策略管理單元可被用來檢查所創建的 IPSec 過濾器,并且分發 IPSec 策略以便讓其生效。
我們解釋了在您的環境下,為保護 IIS 服務器的安全所應采取的強化設置。我們討論的大多數設置通過組策略進行配置和應用。可以將能夠為 MSBP 提供有益補充的組策略對象 (GPO) 鏈接到包含 IIS 服務器的相應組織單位 (OU),以便為這些服務器提供的服務賦予更多的安全性。
我們討論的有些設置不能通過組策略得到應用。對于這種情況,本章介紹了有關手動配置這些設置的詳細信息。此外,我們還詳細介紹了創建和應用能夠控制 IIS 服務器間網絡通信類型的 IPSec 過濾器的具體過程。
【編輯推薦】
