修正程序、零件和工具
除了 IIS 5.0 安全清單,Microsoft 還提供很多其它有用的工具,以確保 IIS 安裝的安全性。Microsoft 維護了一個已被發現的漏洞修正程序的列表。這個列表很全面,但卻沒有區分優先級,所以你可能會安裝到一些你並不需要的修正程序。
Microsoft 也希望知道任何你所發現的安全漏洞。但該公司希望當你報告一個漏洞時,不要在 Microsoft 找到解決問題的修正程序之前對外做公開。
想要快些知道 Windows 2000 和 IIS 的其它漏洞,可以訂閱 Microsoft Security Notification Service 的電子報。要訂閱該電子報,發一封空信函(blank message)到[email protected]。更多詳情可以在這裡找到。這份電子報描述了在 Microsoft 或其它網站所發布的安全性問題。此外,Microsoft 在勾勒出如何解決某一問題的同時,它們也會提供快速處理該問題的相關應對措施。
有關服務器安全性的網站
以下的網站提供了有關服務器安全性的相關議題:
•
CarnegIE Mellon CERT Coordination Center
•
Windows IT Security
•
SANS Institute Online
•
Beyond Security/SecuriTeam
•
SecurityFocus
除了一般的信息以外,Microsoft 現在還提供了一些新工具用於保護架設在 Windows 2000 的網站。為 IIS5.0 所提供的Hot Fix Checking Tool 工具能確保你的網站得到所有最新的安全修正程序。它可以在檢測到缺少某個安全修正程序時顯示錯誤訊息,或向事件日志(event log)中寫入警告訊息。
另一個由 Microsoft 提供的便利工具是 Windows 2000 Internet Server Security Configuration Tool for Internet Information Server 5.0。透過使用單一的使用者接口,它簡化了在安全組態中注冊表設置(Registry settings)和安全策略(Security PolicIEs)的復雜程序。它使用了類似精靈的使用者接口來了解你的需求,然後替服務器做組態。
最後一個安全性工具是IIS Security Planning Tool。這個工具提供適合你所建立的服務器類型的配置選項,幫助正確進行安全性配置。可用的 IIS 安全性工具的完整列表可以在Microsoft TechNet 的網站獲得。