"Alex Holst" skrev
> IIS. Jeg faar lidt indtrykket, at de stoler ret meget paa den,
> eftersom hver eneste installation stadigt har den koerende som
> standard.
I de sidste par måneder er MS blevet en lille smule mindre arrogant:
"Installing and Securing a New Windows® 2000 System" (der er en lignen-
de artikel om "gamle" upatchede W2K installationer)
<URL:
http://www.microsoft.com/technet/security/tools/w2knew.asp >
"Install Windows 2000 while not connected to a network. Typically this
is done using a CD. It is recommended to integrate the service pack to
create a Windows 2000 Service Pack 2 installation CD. Follow the
Service Pack Installation and Deployment Guide to create an integrated
installation and burn the installation share to a CD. The base install
of Internet Information Server (IIS) is vulnerable to security attacks
and should remain disabled or disconnected from the network until both
the Windows 2000 Service Pack 2 and the IIS Security Roll-up package
are installed.
Install Windows 2000 using an unattend.txt file with entries to disable
IIS. For more information on how to use an unattend.txt file while
installing Windows 2000, read Chapter 13 of the Deployment Planning
Guide."
Men ok, det er nok sjældent at den typiske W2K bruger kigger på
<URL:
http://microsoft.com/technet/security/ > og opdager at den slags
dokumenter findes på MSs websider.
I resten af artiklen bliver det ofte nævnt, at IIS kører som standard
og at man bør slå den fra med mindre man har sikret den efter opskrif-
ten.
Et af problemerne med ovennævnte artikel, er at det tager et stykke
tid at finde den, i alt fald hvis man er dårlig til at huske URLs (MS
gør det ikke ligefrem nemmere ved at redesigne siderne hver 14. dag og
ved at have lange grimme URLs).
IIS i XP og fremefter skulle være deaktiveret fra start (3. oktober,
passer det ikke meget godt med Gartners kritik?), hvis jeg forstår
denne del af en anden artikel:
"Microsoft Aligns Company Resources to Ensure Secure Customer Networks"
<URL:
http://www.microsoft.com/presspass/Press/2001/Oct01/10-03ImproveCNSecurityPR.asp >
"A second, longer-term phase of the program, Stay Secure, will provide
customers with the tools, technologies and resources they need to stay
secure. As part of the Stay Secure phase, Microsoft will deliver the
next version of IIS locked down by default, providing customers with an
automated tool to customize and secure IIS to meet their individual
business computing needs."
Det jeg egentlig forsøger at sige, er at det ser ud til at noget af
kritikken er ved at trænge ind. Een ting er sikkert, den tilgængelige
dokumentation på MS websider er blevet markant bedre i det sidste år.
Med venlig hilsen
Peder