Статейка про прикольная, только правильно было бы назвать её "Настройка безопасности IIS про помощи сценариев WMI" Группове политики там сбоку-припеку - средства запуска сценария.
Кроме того, интересно, кто будет выставлять машину-член домена во внешнюю сеть. Хотя в принципе можно, если домен специализированный - "внешнепубликационный".
И интересно, как мелкософт собирается DMZ строить для поддержки клиентов AD с помощью своих продуктов (читать ISA server)?
У майкрософта есть утилита BaseLine Security Analyzer ... которая выполняет анализ сервера на все возможные уязвимости ... и неправильности ... и по пунктам даёт рекомендации по устранению ... но те кто в танке или в линуксе или плохо, с трудом или вобще не читают по-английски, конечно, могут ... пользоваться скриптами от сохи ... тем более, что уже есть утилита ... которая так и называется LockDown у того же майкрософта. Бред, полный бред дилетанты. Вы ещё хексом реестр правьте.
MBSA ищет только очень, очень "базовые ошибки". Он так и называется - "Анализатор основных элементов защиты Microsoft®". Это не я. Это российское представительство MS так перевело.
Если Russ Cooper - основатель и редактор ntbugtraq для тебя, это "соха", то как ты себя называешь... Видимо супермегагуруотец.
IIS Lockdown утилита несомненно полезная, но дело в том, что настройки её применяются однократно (при её запуске) и со временем могут "расползаться".
А здесь, при каждой перезагрузке системы они заново накатываются, что не может не радовать.
Кста, действие скрипта примерно равно действию IIS Lockdown. И на то он и скрипт, что бы можно было подправить до себя (расслабить\закрутить гайки).
так что... вылезать из танка... и читать матчасть... по-английски...
... Угу ... расскажи мне расскажи ... как локальные политики расползались ... куды они расползались ? Качать базовую защиту рекомендую ... а потом чтобы гурусына не слушать сразу качать отсюда матчасть ... http://www.nsa.gov/snac/index.html порты аписеком закрывать ... и ставить нортон корпорэйт эдишен в почтовик ... и проблем ... не будет никаких ... Баг трак твой ... лажа ... сломай попробуй ... http://www.authorizenet.com/ Работают под виндёй работали и будут работать ... 5-10 тыс транзакций ... в минуту на пике делают.
Забрав взад все сертификации ушел на nsa читать руководства о локальных бейсиковых политиках в IISlockdown и md5 в фильтрах IPSec... Пока не найду - не вернусь....
По пунктам а) как может разползтись политика ??? ты эту политику в глаза видел ??? ... политика сама по себе не существует ... она только под задачи ... если на бэсике(имеется ввиду бэйсик секурити полиси) будешь рулить доменом ... тогда тебе и будет домен разползающийся, но не политика, не вводи людей в заблуждение. б) если для тебя анб не авторитет, ну что ж у богов свои привычки. в) Игрушка ??? а я всем рекомендую этой игрушкой серваки проверить. Ну моё такое мнение. г) Фильтры айписек лажа ... конечно лажа ... ты наверное и мд5 ломаешь за пару сек. см примечание про богов. д) Сеть строить ? ... да проблем нет вобще никаких только деньги нужны. е) Если ты понимаешь как запустить сервис в виндах, который рубит каждые пять сек активность на портах вне списка разрешённых, максимум что тебе может грозить это дос.