爆米花 2年前提问

IIS 安全设置安装时应注意的问题有哪些

一颗小胡椒 ₂ CISM-WSE CISP-PTS 官方采纳

一颗小胡椒₂ 2年前 CISM-WSE CISP-PTS

官方采纳

IIS安全设置安装时应注意以下问题：

避免安装在主域控制器上：IIS会在安装的计算机上生成匿名账户IUS_computername，并加到域用户组中，从而把域用户访问权限给了Web服务器中的每个匿名用户；
避免安装在系统分区上：如果安装在系统分区上，会使系统文件同样面临非法访问的可能；
匿名用户访问权限控制：USR_computername密码随机产生，其匿名给Web服务器带来安全问题，应尽可能取消匿名访问；
控制一般用户的访问权限：如口令使用限制、强制用户定期修改密码、封锁失败登录尝试及设定账户有效期等；
设置正确的WWW目录访问权限。

2年前

推荐文章

现代企业组织的内部威胁有很多种，从心怀不满的员工、勒索事件受害者和安全意识薄弱的用户，到那些对公司网络上敏感数据和系统拥有高级访问权限的用户，包括系统管理员、网
Andrew 2024-03-07 16:29:05

网络钓鱼(Phishing)是网络犯罪分子仿冒合法身份获得敏感信息的一种欺骗行为。30多年来钓鱼攻击招数与时俱进，从简单的通过电子邮件骗取账号密码，发展到与人工智能(AI)、深度伪造(DeepFake)相结合，通过社交媒体、移动设备、物联网设备等渠道发起更为复杂的钓鱼攻击，成为数字世界的最大威胁之一。
增强数字免疫系统的四种方法
ManageEngine卓豪 2024-03-22 10:49:47

网络威胁形势不断加速发展；仅仅注重预防事件不再是有效的方法。无论您准备得多么充分，网络安全事件都是不可避免的，拥有适当的系统以使您能够快速恢复至关重要。数字免疫系统 (DIS) 是组织在整个软件工程过程中实施的一套全面的网络安全实践和技术，以确保网络弹性和改善的用户体验 (UX)。与可以检测和消除病毒的人体免疫系统类似，DIS 使组织能够快速检测和减轻网络安全风
全球首个AI蠕虫面世：可在AI系统之间自动传播
安全侠 2024-03-05 16:48:52

研究人员开发出首个第一代生成式AI蠕虫，名为 “Morris II”，它能够自动在AI系统之间传播。
工信部印发《工业控制系统网络安全防护指南》
X0_0X 2024-02-01 16:28:05

为适应新型工业化发展形势，提高我国工业控制系统网络安全保障水平，指导工业企业开展工控安全防护工作，以高水平安全护航新型工业化高质量发展，工业和信息化部日前正式印发《工业控制系统网络安全防护指南》。《防护指南》定位于面向工业企业做好网络安全防护的指导性文件，坚持统筹发展和安全，围绕安全管理、技术防护、安全运营、责任落实四方面，提出33项指导性安全防护基线要求，推动解决走好新型工业化道路过程中工业控制
网信系统持续推进网络执法查处各类网上违法违规行为
Anna艳娜 2024-02-02 10:36:01

2023年，全国网信系统严格执行法律法规，大力查处各类网上违法违规行为，全年共约谈网站10646家，责令453家网站暂停功能或更新，下架移动应用程序259款，关停小程序119款，会同电信主管部门取消违法网站许可或备案、关闭违法网站14624家，督促相关网站平台依法依约关闭违法违规账号127878个。
防范企业内部安全威胁的7种“武器”
Andrew 2024-03-07 14:49:53

现代企业组织的内部威胁有很多种，从心怀不满的员工、勒索事件受害者和安全意识薄弱的用户，到那些对公司网络上敏感数据和系统拥有高级访问权限的用户，包括系统管理员、网络工程师甚至CISO等，都可能对企业数字化发展造成致命的威胁和损害。研究人员发现，内部威胁已经成为现代企业必须面对的重要安全挑战，很多重大网络安全事件都是由内部因素所引发。
基于Mirai的NoaBot僵尸网络利用Cryptominer瞄准Linux系统
Andrew 2024-01-12 09:33:28

又一天，又一个针对 Linux 系统的恶意软件威胁！NoaBot和Mirai之间的一个显着区别是，僵尸网络不是针对DDoS攻击，而是针对连接SSH连接的弱密码来安装加密货币挖掘软件。
黑客攻击21个省市社保、医疗系统，“爬取”公民信息获利500余万！
安全圈 2024-01-29 11:04:40

“在这起案件中，网络黑客共攻击了涉及全国21个省市的社保、医疗等共计29个行业的51个系统。”近日，记者在四川省成都市新都区检察院了解到，该院办理了一起利用技术手段非法窃取公民个人信息案，并于2023年5月对犯罪嫌疑人王某等10人提起公诉。近日，法院以侵犯公民个人信息罪判处王某等人有期徒刑三年至十个月不等。
跟弱口令说“拜拜”
尚思卓越 2024-01-10 15:46:58

导读：自去年开始，北京市公安局网安部门致力于强化网络秩序的整顿工作，积极开展网络安全检查，对于那些未能履行网络安全保护义务的单位，依法进行了处罚。数据泄漏频发2023年6月，昌平网安部门检查发现，昌平某生物技术有限公司存在数据泄漏的情况，其委托的另一软件公司研发的“基因外显子数据分析系统”，包含公民信息、技术等信息，涉及泄漏数据总量高达20GB。经过检查，该软件公司在开发互联网测试阶段，未对重要数
8种常见又危险的特权攻击路径分析
Andrew 2024-02-26 17:48:47

对于各类数字化应用系统而言，都需要依靠访问权限来限制用户和设备对系统进行设置和应用。因此，访问权限是一个非常重要的安全特性，它们决定了用户可以与应用系统及其相关资源进行交互的程度。而那些具有广泛系统控制能力的管理员账号或根权限账号，则被称为特权访问账号。随着网络威胁态势的不断发展，企业的特权账号正在成为攻击者的重点攻击目标。
【虹科干货】工业发展不可忽视的安全问题——OT网络安全
虹科网络安全 2024-03-05 17:30:16

文章速览：OT网络安全挑战OT网络安全解决方案DataLocker全面的安全方法主动威胁检测和响应在数字化时代，工业运营技术（OT）的网络安全比以往任何时候都更加重要。DataLocker，作为OT网络安全的守护者，提供了全面的加密和数据管理解决方案，确保关键基础设施免受网络威胁。一、OT网络安全挑战运营技术(OT)是现代关键基础设施的基石，OT的核心包括监控和控制物理过程的硬件和软件
新的Linux恶意软件“Spinning YARN”攻击Docker和其他关键应用程序
安全侠 2024-03-07 11:26:49

Linux用户请注意：“Spinning YARN”恶意软件活动针对的是在Apache Hadoop YARN、Docker、Confluence和Redis上运行的配置错误的服务器。
SSL证书验证失败怎么办？常见SSL证书验证失败原因及解决办法
RacentYY 2024-03-04 14:37:35

网站与其访问者建立信任的主要方式就是通过签发SSL证书，因为SSL证书是由受信任的证书颁发机构（CA）在验证某个网站真实性和可信任性之后才颁发的。但是，网站部署SSL证书后，偶尔会出现SSL证书验证失败而导致错误，从而影响访问者对网站的访问。那么SSL证书验证失败怎么办？我们收集整理了几种常见的SSL证书验证失败原因以及解决办法，仅供大家参考。常见的SSL证书验证失败原因1、SSL证书不可信导致S
Web应用防火墙的使用效率问题与替代性技术的深入讨论
FreeBuf 2024-03-01 10:34:11

对于安全社区来说，Web应用防火墙（WAF）似乎一直以来都是一个大家默认都要使用的东西，而且几乎也没有人会反对使用Web应用防火墙。在这篇文章中，我们将给大家提供一个新的视角去看待WAF，并会对Web应用防火墙的使用效率问题与替代性技术进行深入探讨。
独家授权！广东盈世获网易邮箱反垃圾服务的独家授权，邮件反垃圾更全面
Coremail邮件安全 2024-03-15 16:16:35

近日，广东盈世计算机科技有限公司（以下简称“Coremail”）成功获得了网易（杭州）网络有限公司（以下简称“网易”）授予的网易邮箱反垃圾服务独家使用权。这一授权使得Coremail能够在邮件安全产品上运用网易邮箱反垃圾服务，进一步强化其反垃圾能力，邮件反垃圾更全面。凭借24年的反垃圾反钓鱼技术沉淀，Coremail邮件安全致力于提供一站式邮件安全解决方案，为用户提供安全、可靠的安全解决方案。而网