史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-08-03, 04:30 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - 給IIS Web服務器裝上一把鎖

給IIS Web服務器裝上一把鎖

為了提高IIS的安全性,微軟提供了兩個工具:IIS Lockdown和URLScan,其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能:
  1 禁用或者刪除不必要的IIS服務和元件。

  2 修改預定配置,提高系統文件和Web內容目錄
的安全性。

  3 用URLScan來過濾HTTP請求。

  本文介紹如何運用IIS Lockdown 2.1的前兩項功能。注意本文的說明針對 IIS Lockdown 2.1版本,以前版本的用法大不相同。

  一、注意事項

  IIS Lockdown會改變IIS的執行方式,因此很可能與依賴IIS某些功能的應用衝突。特別地,如果要在一個執行Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服務器上安裝IIS Lockdown和URLScan,應當加倍小心。

  微軟的兩篇文章解釋了可能遇到的困難和解決辦法:《XADM:在Exchange 2000環境中使用IIS Lockdown嚮導的已知問題和調整策略》(http://support.microsoft.com/default...《SPS:IIS Lockdown工具影響SharePoint Portal Server》(http://support.microsoft.com/default...;q309675)。

  另外,在正式應用IIS Lockdown或URLScan之前,務必搜索微軟的知識庫,收集可能出現問題的最新資料。掌握這些資料並瞭解其建議之後,再在測試服務器上安裝IIS Lockdown,全面測試Web應用需要的IIS功能是否受到影響。最後,做一次全面的系統備份,以便在系統功能受到嚴重影響時迅速恢復。

  二、安裝

  IIS Lockdown 2.1可以從http://www.microsoft.com/downloads/r...並啟動IIS Lockdown嚮導。但是,如果要用IIS Lockdown來保護多個服務器,最好按照下文的說明把它解壓縮到一個專用目錄,這樣就不必每次執行IIS Lockdown都要重新解壓縮了。

  必須注意的是,下載得到的是一個自解壓縮的執行文件,這個執行文件與壓縮包裝裡面的應用執行文件同名。因此,如果把iislockd.exe解壓縮到它本身所在的目錄,就會引起文件名稱衝突。請按照下面的安裝步驟執行,以避免可能出現的問題:
 一 將iislockd.exe下載到一個臨時目錄。
  二 打開控制台視窗,進入臨時目錄,執行命令「iislockd.exe /q /c /t:c:\IISLockdown」解開壓縮,/q要求以「安靜」模式操作,/c要求IIS Lockdown只執行提取文件的操作,和-t選項一起使用,-t選項指定了要把文件解壓縮到哪一個目錄(例如在本例中,要求把文件解壓縮到c:\IISLockdown目錄)。表一列出了iislockd.exe解壓縮得到的主要文件,注意iislockd.exe包含了URLScan的文件,但本文不準備詳細探討URLScan。

表一:IIS Lockdown 2.1主要文件
IIS Lockdown文件 說明
iislockd.exe IIS Lockdown主執行文件。
iislockd.ini 配置和選項文件。
iislockd.chm 聯機幫助。
runlockdunattended.doc 有關「無人值守」執行方式的文檔。
404.dll 「文件沒有找到」應答文件。
URLScan文件 說明
urlscan.exe URLScan安裝程式包。
urlscan.doc URLScan文檔。
urlscan*.ini 配置和選項文件。
urlscan_unattend.txt 無人值守方式安裝URLScan的配置文件。
readme.txt 針對無人值守方式執行URLScan的說明
unattend.cmd 無人值守方式安裝URLScan的命令文件。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-08-03, 04:31 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

三、實踐應用

  IIS Lockdown的用法很簡單。雙擊啟動iislockd.exe,出現Internet Information Services Lockdown嚮導,按照嚮導的提示一步一步操作,很快就可以為Web服務器加上一把鎖。首先出現的是歡迎螢幕,點擊「下一步」出現最終用戶許可協議螢幕,選中I Agree選項,點擊「下一步」進入服務器模板選擇交談視窗.選擇一個最接近當前服務器配置的模板,本文假定使用Static Web Server(靜態Web服務器)模板。選中View Template Settings選項,嚮導將顯示出一系列有關該模板類型的交談視窗,如果不選中這個選項,嚮導將跳過這些交談視窗,直接進入URLScan安裝過程。
  點擊「下一步」,出現Internet Services交談視窗,如圖二,這是第一個真正配置IIS加鎖選項的網頁面。IIS Lockdown能夠禁用或刪除四種IIS服務:HTTP,FTP,SMTP,以及NNTP(Network News Transport Protocol,網路新聞傳輸協議)。怎樣才能知道哪些服務才是必需的呢?除了前面選擇的服務器模板類型可資參考之外,個人經驗、全面地測試也同樣重要。

Internet Services交談視窗中的IIS服務選項有三種狀態:

  一 啟用:選項處於選中狀態,檢查框有標記,例如圖二的Web services。清除檢查框的標記將禁用服務。

  二 啟用,但推薦禁用,例如圖二的E-mail service:選項沒有選中,檢查框沒有標記。如果保留檢查框的清除狀態,服務將被禁用。

  三 禁用,且不可選擇,例如圖二的File Transfer service:如果一個選項變灰,它的檢查框也沒有選中標記,則表示不允許修改該服務,可能是因為服務沒有安裝,也可能是因為當前選擇的服務器模板需要該服務。

  如果服務器的用途不是經常改變,最好徹底刪除不用的服務,這樣就再也沒有人會意外地啟動它了。

  點擊「下一步」,嚮導顯示出Script Maps(腳本映射)交談視窗。腳本映射是指把特定的文件延伸名關聯到ISAPI(Internet Server API)執行文件,由指定的ISAPI文件來解釋該類文件的內容。例如,.asp文件類型映射到asp.dll。

如果禁用了某種類型的腳本文件,IIS Lockdown會把腳本映射指向一個特殊的DLL,當用戶試圖執行該類腳本文件時這個DLL會返回「文件沒有找到」的訊息。要禁用某種類型的文件,只需在圖三交談視窗中清除該類文件的檢查框。
  點擊「下一步」,進入最後一個IIS Lockdown的選項交談視窗Additional Security,如圖四所示,通過這個交談視窗可以刪除不需要的目錄,禁止未經授權的用戶訪問文件系統。IIS安裝好之後會有許多用於開發和學習的虛擬目錄,正式向用戶提供服務的環境不需要這些目錄,IIS Lockdown將刪除圖四交談視窗中選中的虛擬目錄,但仍會完好地保留這些目錄包含的資料。

預定情況下,IIS會限制對Web內容目錄的匿名訪問,但還應該加上一層對系統工具(如cmd.exe)的保護,以防止未經授權的用戶在系統安全出現漏洞時訪問這些工具。如果選中圖四交談視窗中的Running system utilities (for example, Cmd.exe, Tftp.exe)檢查框,IIS Lockdown將修改\%windir%目錄及其子目錄下所有執行文件的訪問控制內容(ACE,Access Control Entry),明確地禁止本機Web匿名用戶組和Web用戶組的執行權限。如果選中Writing to content directories 檢查框,IIS Lockdown還會加強所有Web內容目錄的安全性,即設置ACE,禁止本機Web匿名用戶組和We應用組的寫入權限。

  視窗底部有一個Disable Web Distributed Authoring and Versioning(WebDAV)選項,即禁用Web分佈式創作和版本控制。WebDAV功能用來支持遠端Web內容創作和管理,如果確實不必用到該功能,那就可以選中Disable Web Distributed Authoring and Versioning檢查框。選中該選項之後,IIS Lockdown將設置httpext.dll(實現WebDAV功能的執行文件)的ACE,禁止將httpext.dll文件裝入inetinfo.exe的工作行程,從而也就禁止了WebDAV功能。

  交談視窗的「下一步」,IIS Lockdown將詢問是否要安裝URLScan,如圖五。如果要用篩選器來禁止IIS處理某些可能有惡意的URL,即經常被黑客用來攻擊系統的URL,那就可以用URLScan作為守衛IIS的前門(即篩選器)。本文不準備詳細介紹URLScan,請訪問http://www.microsoft.com/technet/tre...an的說明。

取消安裝URLScan的選項,點擊「下一步」,IIS Lockdown顯示出一系列將要執行的操作,如圖六。點擊「取消」可以放棄操作,點擊「下一步」則開始執行圖六清單中列出的「加鎖」操作。加鎖操作一旦開始,中途不能停止。

依賴於具體的修改操作,IIS Lockdown可能在\%windir%\system32\inetsrv目錄下創建幾個日誌文件和IIS元資料備份文件,如表二所示。雖然沒有人要求我們一定要保證這些IIS Lockdown日誌文件和元資料備份文件的安全,但如果要手工撤銷IIS Lockdown所做的操作,或者需要重新安裝OS,那就要用到這些文件。因此,最好把這些文件複製到另一個磁碟,或者把它們儲存到另一個服務器。

表二:IIS Lockdown日誌和元資料備份文件
.log或.md0文件 說明
oblt-log.log IIS Lockdown為了提高服務器安全性而執行的一系列操作的清單。
oblt-rep.log 加鎖過程的一個簡短總結。加鎖過程結束後,點擊View Report按鈕可以看到這個文件。
oblt-undo.log IIS Lockdown為了撤銷加鎖操作而採取的一系列動作的清單。
metaback\oblt-mb.md0 IIS元資料的備份文件。
metaback\oblt-beforeundo-mb.md0 在IIS Lockdown Undo命令恢復元資料備份之前備份的IIS元資料。


  如果在正式為用戶提供服務的機器上執行IIS Lockdown,一定要安排在正常的關機維護期間進行。IIS Lockdown開始執行修改操作時會關閉Web服務,安排在正常的維護期間進行修改可以避免給用戶帶來不必要的麻煩。

  四、嘗嘗後悔藥

  只要能夠找到oblt-log.log文件,IIS Lockdown就給你後悔的機會。如果你打算讓服務器採用一種新的IIS Lockdown配置,首先必須撤銷前一次操作,然後再啟動IIS Lockdown,按照新的配置執行嚮導。如果已經在前一次加鎖操作時刪除了不必要的服務,那就必須用控制台中的新增/刪除程式功能重新安裝服務。類似地,如果已經在加鎖過程中安裝了URLScan,也要用新增/刪除程式功能刪除它。

IIS Lockdown的撤銷操作會重新啟用在加鎖操作之前備份的元資料副本。因此,加鎖操作和撤銷操作之間的所有對IIS的修改都會丟失。不過,IIS Lockdown的撤銷操作會在啟用上次備份的元資料之前另行備份當時的元資料,因此必要時可以重新執行丟失的修改操作。
  五、無人值守

  要用無人值守方式執行IIS Lockdown也很簡單。用記事本打開iislockd.ini,修改[Info]部分的兩個鍵,使之成為:

Unattended=TRUE
UnattendedServerType= <ServerType>



  ServerType的取值從ServerTypesNT4和ServerTypes鍵列出的值選擇,這兩個鍵也屬於[info]部分。IIS Lockdown 2.1不支持命令行參數,因此修改iislockd.ini是唯一實現自動加鎖的辦法。由於這一局限,如果要針對幾類不同的服務器配置使用IIS Lockdown加鎖,就會遇到一定的困難。要解決這個問題,可以按照下面的步驟操作:

  一 為每一種不同的配置創建一個專用的目錄。

  二 在每一個目錄的iislockd.ini文件中,啟用無人值守模式,並針對該配置要求設定服務器類型。

  三 針對要加鎖的服務器類型,進入適當的目錄,然後啟動IIS Lockdown執行無人值守的加鎖操作。

  iislockd.ini配置文件的[info]部分中,最後一個鍵也值得一提,它就是Undo,設置成TRUE可以撤銷前一次加鎖操作。當IIS Lockdown執行撤銷操作時,它不會再返回來按照UnattendedServerType鍵指定的服務器類型執行加鎖操作。

  六、定制服務器模板

  如果要創建自定義的服務器配置模板,並將模板加入到IIS Lockdown的配置清單中,只要修改iislockd.ini文件增加適當的訊息就可以了。請按照下面的步驟創建定制的服務器模板:

  1 用記事本打開iislockd.ini文件。

  2 檢查一下ServerTypesNT4和ServerTypes鍵中已有的模板名稱,然後加入定制模板的名稱,注意定制模板的名稱不能與已有的模板衝突。用於NT 4.0平台的模板名字加入到ServerTypesNT4鍵,其他模板名字加入到ServerTypes鍵。

  3 在iislockd.ini文件的現有模板中,選擇一個最接近定制模板配置的,將它複製到.ini文件的最後。

  4 把模板名稱(即[]括號內的單詞)修改成步驟2中指定的定制模板名稱。

  5 將Label鍵的值修改成定制模板的說明文字。

  6 根據服務器配置需要編輯其他鍵,以啟用或禁用各個IIS Lockdown修改選項。這些選項對應前文「實踐應用」部分的交談視窗選項,在此不再贅述。

  最後必須指出的是,IIS Lockdown確實能夠方便地提高Web服務器的安全性,但不意味著有了IIS Lockdown就可以高枕無憂。安全是一個不斷發展和變化的概念,唯有時刻牢記在心,才能防患於未然。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 07:14 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1