首页 > IDC报告 > 正文

给IIS Web虚拟主机服务器装上一把锁--IIS Lockdown

为了提高IIS的安全性,微软提供了两个工具:IIS Lockdown和URLScan。 IIS 锁定2.1 包括 URLScan。 IIS Lockdown 2.1 有以下作用:

⑴ 禁用或删除不需要的 IIS 服务和组件。

⑵修改默认配置,提高系统文件和Web内容目录的安全性。

3 使用 URLScan 过滤 HTTP 请求。

本文介绍如何使用IIS Lockdown2.1的前两个功能。注意本文中的说明是针对IIS Lockdown 2.1 版本的,与之前版本的用法有很大不同。

一、Notes

IIS Lockdown 会改变 IIS 的运行方式,因此很可能与依赖 IIS 某些功能的应用程序发生冲突。特别是,如果您想在运行 Microsoft Exchange 2000 Server、Exchange Server 5.5 或 Microsoft SharePoint Portal Server 的服务器上安装 IIS Lockdown 和 URLScan,则应更加小心。

微软的两篇文章解释了可能的困难和解决方案:“XADM:在 Exchange 2000 环境中使用 IIS 锁定向导的已知问题和调整策略”(;en-us;q309677)搭建虚拟主机目录,和“SPS:IIS 锁定工具影响SharePoint Portal Server”(;en-us;q309675).

此外,在正式使用 IIS Lockdown 或 URLScan 之前,请务必搜索 Microsoft 的知识库以收集有关可能出现问题的最新信息。掌握了这些资料,理解了其建议后,在测试服务器上安装IIS Lockdown,全面测试Web应用所需的IIS功能是否受到影响。最后,进行全面的系统备份,以便在系统功能受到严重影响时快速恢复。

二、installation

IIS Lockdown 2.1 可以从这里下载。下载后,得到一个iislockd.exe,双击运行,解压到一个临时目录,启动IIS Lockdown向导。但是,如果您想使用 IIS Lockdown 来保护多个服务器,最好按照下面的说明将其解压缩到一个专用目录,这样您就不需要每次运行 IIS Lockdown 时都重新解压。/

需要注意的是,下载的文件为自解压可执行文件,与压缩包中的应用程序可执行文件同名。因此,如果将iislockd.exe解压到自己的目录下,就会造成文件名冲突。请按照以下安装步骤操作以避免可能出现的问题:

(i) 将 iislockd.exe 下载到临时目录。

搭建虚拟主机目录_个人主机搭建服务器_云主机搭建wordpress

(2) 打开控制台窗口,进入临时目录,执行命令“iislockd.exe /q /c /t:c:\IISLockdown”解压,/q需要在“安静”模式下运行,/c需要 IIS Lockdown 只执行解压文件的操作,与 -t 选项一起使用, -t 选项指定文件应该解压到的目录(例如本例中要求文件解压到c:\IISLockdown 目录)。表1列出了解压iislockd.exe得到的主要文件。请注意,iislockd.exe 包含 URLScan 文件,但本文不打算详细讨论 URLScan。

表 1:IIS 锁定 2.1 主要文件

IIS 锁定文件说明

iislockd.exe IIS Lockdown 主可执行文件。

iislockd.ini 配置和选项文件。

iislockd.chm 在线帮助。

runlockdunattended.doc 关于“无人值守”操作模式的文档。

404.dll“找不到文件”应答文件。

URLScan 文件说明

urlscan.exe URLScan 安装包。

urlscan.doc URLScan 文档。

urlscan*.ini 配置和选项文件。

云主机搭建wordpress_搭建虚拟主机目录_个人主机搭建服务器

urlscan_unattend.txt URLScan 配置文件的无人值守安装。

在无人参与模式下运行 URLScan 的 readme.txt 说明

unattend.cmd 无人值守安装 URLScan 命令文件。

三、实践申请

IIS Lockdown 的使用非常简单。双击启动iislockd.exe,出现Internet信息服务锁定向导。一步一步地按照向导的说明进行操作,您很快就可以向 Web 服务器添加锁。欢迎屏幕首先出现。单击“下一步”,将出现最终用户许可协议屏幕。选择我同意选项,点击“下一步”,进入服务器模板选择对话框。选择最接近当前服务器配置的模板。本文假设Static 是使用Web Server(静态网络服务器)模板。选择查看模板设置选项,向导将显示一系列关于模板类型的对话框。如果不选择此选项,向导将跳过这些对话框并直接进入 URLScan 安装过程。

点击“下一步”,出现Internet服务对话框,如图2所示。这是实际配置IIS锁定选项的第一个页面。 IIS Lockdown 可以禁用或删除四种 IIS 服务:HTTP、FTP、SMTP 和 NNTP(网络新闻传输协议)。我如何知道哪些服务是必要的?除了之前选择的服务器模板类型供参考,个人经验和综合测试同样重要。

Internet 服务对话框中的 IIS 服务选项具有三种状态:

(1) Enable:选中该选项,勾选复选框,如图2中的Web服务。清除复选框标记将禁用该服务。

(2) 开启,但建议关闭。例如图2中的E-mail服务:该选项未选中,复选框未标记。如果您清除该复选框,该服务将被禁用。

(iii) 已禁用且无法选择,例如图2中的文件传输服务:如果某个选项为灰色且其复选框未选中,则表示该服务不允许修改。可能是因为没有安装该服务,也可能是因为当前选择的服务器模板需要这个服务。

如果服务器的用途不经常变化,最好把不用的服务彻底删除,以免有人不小心再次激活。

单击“下一步”,向导将显示“脚本映射”对话框。脚本映射是指将特定的文件扩展名与 ISAPI(Internet Server API)可执行文件相关联,指定的 ISAPI 文件解释文件的内容。例如,.asp 文件类型映射到 asp.dll。

搭建虚拟主机目录_个人主机搭建服务器_云主机搭建wordpress

如果禁用了某种类型的脚本文件,IIS Lockdown 会将脚本映射指向一个特殊的 DLL。当用户尝试运行此类脚本文件时,此 DLL 将返回“找不到文件”消息。要禁用某种类型的文件,只需在图 3 所示的对话框中清除该类型文件的复选框即可。

点击“下一步”,进入最后一个IIS Lockdown选项对话框Additional Security,如图4所示。通过这个对话框可以删除不需要的目录,禁止未经授权的用户访问文件系统。 IIS安装好后,会有很多虚拟目录供开发学习使用。为用户提供服务的环境不需要这些目录。 IIS Lockdown 将删除在图 4 所示的对话框中选择的虚拟目录,但仍会保持这些目录不变。包含的数据。

默认情况下,IIS 会限制匿名访问 Web 内容目录,但应为系统工具(如 cmd.exe)添加一层保护,以防止未经授权的用户从系统安全漏洞中访问这些工具。如果勾选图4对话框中的运行系统实用程序(例如Cmd.exe、Tftp.exe)复选框,IIS Lockdown会修改访问控制属性(ACE,Access Control Entry),明确禁止运行权限本地Web匿名用户组和Web用户组。如果勾选写入内容目录复选框,IIS Lockdown还会加强所有Web内容目录的安全性,即设置ACE禁止本地Web匿名用户组和We应用组的写权限。

窗口底部有一个禁用 Web 分布式创作和版本控制 (WebDAV) 选项,可禁用 Web 分布式创作和版本控制。 WebDAV 功能用于支持远程 Web 内容创建和管理。如果您不需要使用此功能,您可以勾选禁用 Web 分布式创作和版本控制复选框。选择该选项后,IIS Lockdown会设置httpext.dll(实现WebDAV功能的可执行文件)的ACE,禁止将httpext.dll文件加载到inetinfo.exe进程中,从而禁止WebDAV功能。

在“下一步”对话框中,IIS Lockdown 会询问您是否要安装 URLScan,如图 5 所示。如果您要使用过滤器来禁止 IIS 处理某些潜在的恶意 URL,即经常被黑客用来攻击系统,可以使用 URLScan 作为前门(即过滤器)来守护 IIS。本文不详细介绍 URLScan,请访问了解更多 URLScan。

取消安装URLScan的选项,点击“下一步”,IIS Lockdown显示一系列要执行的操作,如图6。点击“取消”放弃操作,点击“下一步”开始“锁定” " 操作在图 6 列表中列出。锁定操作一旦开始,就不能中途停止。

根据具体的修改操作,IIS Lockdown可能会在\%windir%\system32\inetsrv目录下创建多个日志文件和IIS元数据备份文件,如表2所示。虽然没有人要求我们保证安全这些 IIS Lockdown 日志文件和元数据备份文件,如果您想手动撤消 IIS Lockdown 所做的操作,或者需要重新安装操作系统,则需要这些文件。因此,最好将这些文件复制到另一个磁盘或保存到另一个服务器。

表 2:IIS 锁定日志和元数据备份文件

.log 或 .md0 文件说明

oblt-log.log IIS Lockdown 为提高服务器安全性而执行的操作列表。

oblt-rep.log 锁定过程的简要总结。锁定过程结束后,单击“查看报告”按钮查看此文件。

oblt-undo.log IIS Lockdown 为撤消锁定操作而采取的操作列表。

搭建虚拟主机目录_云主机搭建wordpress_个人主机搭建服务器

metaback\oblt-mb.md0 IIS 元数据的备份文件。

metaback\oblt-beforeundo-mb.md0 在元数据备份被 IIS Lockdown Undo 命令恢复之前备份的 IIS 元数据。

如果在正式为用户提供服务的机器上运行IIS Lockdown,则必须在正常关机维护期间进行调度。 IIS Lockdown 将在 Web 服务开始执行修改操作时关闭它。在正常维护期内安排修改,可以避免给用户带来不必要的麻烦。

四、品味后悔药

只要你能找到oblt-log.log文件,IIS Lockdown就会给你一个后悔的机会。如果您打算为服务器使用新的 IIS Lockdown 配置,则必须先撤消之前的操作,然后启动 IIS Lockdown,并根据新配置运行向导。如果您在之前的锁定操作中删除了不需要的服务,您必须使用控制面板中的添加/删除程序功能重新安装这些服务。同样,如果您在锁定过程中安装了 URLScan,您也必须使用添加/删除程序功能将其删除。

IIS 锁定的撤消操作将重新启用锁定操作之前备份的元数据副本。因此,在锁定操作和撤消操作之间对 IIS 所做的所有更改都将丢失。但是IIS Lockdown的撤销操作会在启用上次备份的元数据之前备份当时的元数据,所以如果需要,可以重新执行丢失的修改操作。

五、无人值班

在无人看管的情况下运行 IIS Lockdown 也非常简单。用记事本打开iislockd.ini,修改[Info]部分的两个键搭建虚拟主机目录,使之:

无人值守=TRUE

无人值守服务器类型=

ServerType 的值选自 ServerTypesNT4 和 ServerTypes 键中列出的值,它们也属于 [info] 部分。 IIS Lockdown 2.1 不支持命令行参数,所以修改iislockd.ini 是实现自动锁定的唯一途径。由于这个限制,如果你想使用 IIS Lockdown 来锁定几种不同类型的服务器配置,你会遇到一定的困难。要解决此问题,您可以按照以下步骤操作:

(i) 为每个不同的配置创建一个专用目录。

云主机搭建wordpress_搭建虚拟主机目录_个人主机搭建服务器

(2)在各个目录的iislockd.ini文件中,开启无人值守模式,根据配置要求设置服务器类型。

(iii) 针对需要锁定的服务器类型,进入相应目录,然后启动IIS Lockdown进行无人值守锁定操作。

在iislockd.ini配置文件的[info]部分,最后一个键也值得一提。它是撤消。将其设置为 TRUE 以撤消先前的锁定操作。 IIS Lockdown 执行撤销操作时,不会返回根据 UnattendedServerType 键指定的服务器类型执行锁定操作。

六、自定义服务器模板

如果要创建自定义服务器配置模板,并将模板添加到 IIS Lockdown 配置列表中,只需修改 iislockd.ini 文件并添加相应信息即可。请按照以下步骤创建自定义服务器模板:

⑴用记事本打开iislockd.ini文件。

⑵ 检查ServerTypesNT4和ServerTypes键中已有的模板名称,然后添加自定义模板的名称。请注意,自定义模板的名称不能与现有模板冲突。用于NT4.0平台的模板名称添加到ServerTypesNT4键,其他模板的名称添加到ServerTypes键。

(3) 在iislockd.ini文件中已有的模板中,选择最接近自定义模板配置的模板,复制到.ini文件末尾。

⑷将模板名称([]括号内的单词)修改为步骤2中指定的自定义模板名称。

⑸ 修改Label键的值为自定义模板的描述文本。

⑹ 根据服务器配置编辑其他键,以启用或禁用每个 IIS Lockdown 修改选项。这些选项对应上面“实际应用”部分的对话框选项,这里不再赘述。

最后必须指出的是,IIS Lockdown确实可以轻松提高Web服务器的安全性,但这并不意味着您可以高枕无忧地使用IIS Lockdown。安全是一个不断发展和变化的概念。只有时刻牢记这一点,我们才能防患于未然。

【版权与免责声明】1、凡本站注明来源非"idc评述网"的所有文章均为网友转载,涉及言论、版权与本站无关。任何第三方转载使用时必须保留本站注明的文章来源,并自负法律责任。2、idc评述网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。如涉嫌侵权请联系:service@idcps.com。

相关热词搜索:搭建虚拟主机目录 个人主机搭建服务器 云主机搭建wordpress

文章点评

暂无点评

点评