給IIS Web服務器裝上一把鎖
為了提高IIS的安全性,微軟提供了兩個工具:IIS Lockdown和URLScan,其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能:
1 禁用或者刪除不必要的IIS服務和元件。
2 修改預定配置,提高系統文件和Web內容目錄
的安全性。
3 用URLScan來過濾HTTP請求。
本文介紹如何運用IIS Lockdown 2.1的前兩項功能。注意本文的說明針對 IIS Lockdown 2.1版本,以前版本的用法大不相同。
一、注意事項
IIS Lockdown會改變IIS的執行方式,因此很可能與依賴IIS某些功能的應用衝突。特別地,如果要在一個執行Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服務器上安裝IIS Lockdown和URLScan,應當加倍小心。
微軟的兩篇文章解釋了可能遇到的困難和解決辦法:《XADM:在Exchange 2000環境中使用IIS Lockdown嚮導的已知問題和調整策略》(
http://support.microsoft.com/default...《SPS:IIS Lockdown工具影響SharePoint Portal Server》(
http://support.microsoft.com/default...;q309675)。
另外,在正式應用IIS Lockdown或URLScan之前,務必搜索微軟的知識庫,收集可能出現問題的最新資料。掌握這些資料並瞭解其建議之後,再在測試服務器上安裝IIS Lockdown,全面測試Web應用需要的IIS功能是否受到影響。最後,做一次全面的系統備份,以便在系統功能受到嚴重影響時迅速恢復。
二、安裝
IIS Lockdown 2.1可以從
http://www.microsoft.com/downloads/r...並啟動IIS Lockdown嚮導。但是,如果要用IIS Lockdown來保護多個服務器,最好按照下文的說明把它解壓縮到一個專用目錄,這樣就不必每次執行IIS Lockdown都要重新解壓縮了。
必須注意的是,下載得到的是一個自解壓縮的執行文件,這個執行文件與壓縮包裝裡面的應用執行文件同名。因此,如果把iislockd.exe解壓縮到它本身所在的目錄,就會引起文件名稱衝突。請按照下面的安裝步驟執行,以避免可能出現的問題:
一 將iislockd.exe下載到一個臨時目錄。
二 打開控制台視窗,進入臨時目錄,執行命令「iislockd.exe /q /c /t:c:\IISLockdown」解開壓縮,/q要求以「安靜」模式操作,/c要求IIS Lockdown只執行提取文件的操作,和-t選項一起使用,-t選項指定了要把文件解壓縮到哪一個目錄(例如在本例中,要求把文件解壓縮到c:\IISLockdown目錄)。表一列出了iislockd.exe解壓縮得到的主要文件,注意iislockd.exe包含了URLScan的文件,但本文不準備詳細探討URLScan。
表一:IIS Lockdown 2.1主要文件
IIS Lockdown文件 說明
iislockd.exe IIS Lockdown主執行文件。
iislockd.ini 配置和選項文件。
iislockd.chm 聯機幫助。
runlockdunattended.doc 有關「無人值守」執行方式的文檔。
404.dll 「文件沒有找到」應答文件。
URLScan文件 說明
urlscan.exe URLScan安裝程式包。
urlscan.doc URLScan文檔。
urlscan*.ini 配置和選項文件。
urlscan_unattend.txt 無人值守方式安裝URLScan的配置文件。
readme.txt 針對無人值守方式執行URLScan的說明
unattend.cmd 無人值守方式安裝URLScan的命令文件。