查看單個文章
舊 2006-08-03, 04:30 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 給IIS Web服務器裝上一把鎖

給IIS Web服務器裝上一把鎖

為了提高IIS的安全性,微軟提供了兩個工具:IIS Lockdown和URLScan,其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能:
  1 禁用或者刪除不必要的IIS服務和元件。

  2 修改預定配置,提高系統文件和Web內容目錄
的安全性。

  3 用URLScan來過濾HTTP請求。

  本文介紹如何運用IIS Lockdown 2.1的前兩項功能。注意本文的說明針對 IIS Lockdown 2.1版本,以前版本的用法大不相同。

  一、注意事項

  IIS Lockdown會改變IIS的執行方式,因此很可能與依賴IIS某些功能的應用衝突。特別地,如果要在一個執行Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服務器上安裝IIS Lockdown和URLScan,應當加倍小心。

  微軟的兩篇文章解釋了可能遇到的困難和解決辦法:《XADM:在Exchange 2000環境中使用IIS Lockdown嚮導的已知問題和調整策略》(http://support.microsoft.com/default...《SPS:IIS Lockdown工具影響SharePoint Portal Server》(http://support.microsoft.com/default...;q309675)。

  另外,在正式應用IIS Lockdown或URLScan之前,務必搜索微軟的知識庫,收集可能出現問題的最新資料。掌握這些資料並瞭解其建議之後,再在測試服務器上安裝IIS Lockdown,全面測試Web應用需要的IIS功能是否受到影響。最後,做一次全面的系統備份,以便在系統功能受到嚴重影響時迅速恢復。

  二、安裝

  IIS Lockdown 2.1可以從http://www.microsoft.com/downloads/r...並啟動IIS Lockdown嚮導。但是,如果要用IIS Lockdown來保護多個服務器,最好按照下文的說明把它解壓縮到一個專用目錄,這樣就不必每次執行IIS Lockdown都要重新解壓縮了。

  必須注意的是,下載得到的是一個自解壓縮的執行文件,這個執行文件與壓縮包裝裡面的應用執行文件同名。因此,如果把iislockd.exe解壓縮到它本身所在的目錄,就會引起文件名稱衝突。請按照下面的安裝步驟執行,以避免可能出現的問題:
 一 將iislockd.exe下載到一個臨時目錄。
  二 打開控制台視窗,進入臨時目錄,執行命令「iislockd.exe /q /c /t:c:\IISLockdown」解開壓縮,/q要求以「安靜」模式操作,/c要求IIS Lockdown只執行提取文件的操作,和-t選項一起使用,-t選項指定了要把文件解壓縮到哪一個目錄(例如在本例中,要求把文件解壓縮到c:\IISLockdown目錄)。表一列出了iislockd.exe解壓縮得到的主要文件,注意iislockd.exe包含了URLScan的文件,但本文不準備詳細探討URLScan。

表一:IIS Lockdown 2.1主要文件
IIS Lockdown文件 說明
iislockd.exe IIS Lockdown主執行文件。
iislockd.ini 配置和選項文件。
iislockd.chm 聯機幫助。
runlockdunattended.doc 有關「無人值守」執行方式的文檔。
404.dll 「文件沒有找到」應答文件。
URLScan文件 說明
urlscan.exe URLScan安裝程式包。
urlscan.doc URLScan文檔。
urlscan*.ini 配置和選項文件。
urlscan_unattend.txt 無人值守方式安裝URLScan的配置文件。
readme.txt 針對無人值守方式執行URLScan的說明
unattend.cmd 無人值守方式安裝URLScan的命令文件。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次