JAK: Instalowanie i używanie Kreatora blokady programu IIS

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 325864 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule „krok po kroku” opisano, jak zabezpieczyć serwer sieci Web przy użyciu Kreatora blokady programu Internetowe usługi informacyjne. Zawiera on także informacje na temat rozwiązywania problemów, które występują po uruchomieniu kreatora.

Przygotowania do uruchomienia Kreatora blokady programu IIS

Za pomocą Kreatora blokady programu IIS można wyłączyć kilka opcjonalnych funkcji programu IIS, aby zabezpieczyć serwer IIS przed atakiem. Przed uruchomieniem kreatora należy przeczytać plik Pomocy, aby zapoznać się z opcjami oferowanymi przez kreatora. Aby otworzyć plik Pomocy:
  1. Pobierz Kreatora blokady programu IIS. Aby pobrać kreatora, odwiedź następującą witrynę firmy Microsoft w sieci Web:
    http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
  2. Wyodrębnij pliki Kreatora blokady z pliku wykonywalnego.Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    315522 HOW TO: Extract the URLScan Tool and Lockdown Template Files from the IIS Lockdown Tool
  3. Znajdź folder określony podczas wyodrębniania plików, a następnie kliknij dwukrotnie plik Iislockd.chm.
Należy pamiętać, że Kreator blokady umożliwia wyłączenie niektórych opcjonalnych funkcji programu IIS, które są wymagane do prawidłowego działania innych aplikacji, takich jak Exchange i FrontPage. Jeśli po uruchomieniu Kreatora blokady nie zostaną zaznaczone prawidłowe opcje, programy te mogą przestać działać. Aby zminimalizować problemy, przed uruchomieniem Kreatora blokady należy uważnie przeczytać artykuły z bazy wiedzy Microsoft Knowledge Base odpowiadające posiadanej konfiguracji systemu:
  • Exchange i Outlook Web Access (OWA):
    309508 XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment
  • Microsoft Mobile Information Server:
    311595 XCCC: How to Install and Configure Microsoft Security Tool Kit On a Microsoft Mobile Information Server
  • Microsoft Small Business Server:
    311862 How to Use The IIS Lockdown Tool with Small Business Server
  • Microsoft Project, Project Server i Project Web Access:
    321357 PSRV2002: Error Messages When You View a Microsoft Project Web Access Page That Contains Grids
    316398 PRJ2000: Configuring the IIS Lockdown Tool and URLScan Security Tool with Microsoft Project Central
  • Microsoft SharePoint Portal Server:
    309675 SPS: IIS Lockdown Tool Affects SharePoint Portal Server
    319633 SPS: 'Script Execution Error: Error Executing INVOKE' Error Message After You Install IIS Lockdown Wizard
  • Microsoft Visual Studio .NET:
    310588 PRB: Security Toolkit Breaks ASP.NET Debugging in Visual Studio .NET
    315904 BUG: 'ExternalException: Cannot Execute a Program' Error Message When You Call WebServices from .aspx Page
  • Microsoft FrontPage:
    317390 FP2002: 'HTTP/1.1 404 Object Not Found' Error Message Occurs When a User of Your Web Page Performs a Search
    307976 FP: Error Message When You Use FrontPage with URLScan
  • Microsoft Proxy Server:
    311675 Cannot Search Proxy Server 2.0 Online Help After the IIS Lockdown Wizard Is Installed

Pobieranie i instalowanie Kreatora blokady programu IIS

  1. Kliknij dwukrotnie plik wykonywalny pobrany w sekcji Przygotowania do uruchomienia Kreatora blokady programu IIS, aby uruchomić kreatora.
  2. Na stronie powitalnej przeczytaj tekst objaśnienia, a następnie kliknij przycisk Next.
  3. Na stronie License Agreement przeczytaj umowę licencyjną, kliknij przycisk I Agree, a następnie kliknij przycisk Next.
  4. Na stronie Select Server Template wybierz szablon, który najlepiej odpowiada roli tego serwera, a następnie kliknij opcję View Template Settings, aby ją zaznaczyć. Na kolejnych stronach będą już zaznaczone opcje uzależnione od roli serwera wybranego na poprzedniej stronie, dzięki czemu będzie można korzystać ze wszystkich domyślnych ustawień.

    Jeśli serwer odgrywa wiele ról (na przykład dynamiczny serwer sieci Web, który jest także serwerem proxy), kliknij opcję Other (Server that does not match any of the listed roles), aby ją zaznaczyć, a następnie upewnij się, że zostały uwzględnione wszystkie opcje przedstawione na następnych stronach, ponieważ domyślne ustawienia mogą nie być odpowiednie dla danego serwera. Po zaznaczeniu odpowiednich ustawień kliknij przycisk Next.
  5. Na stronie Internet Services wybierz usługi, które mają być oferowane przez serwer. Większość serwerów wymaga usługi sieci Web. Jeśli nie chcesz, aby serwer oferował usługi FTP (File Transfer Protocol) lub SMTP (Simple Mail Transfer Protocol), tzn. usługi transferu plików lub usługi poczty e-mail), możesz kliknąć te opcje, aby usunąć ich zaznaczenie. Zwróć uwagę, że opcja SMTP musi pozostać zaznaczona, jeśli jest uruchamiane oprogramowanie Exchange lub Small Business Server.

    Usługi zaznaczone na tej stronie są ustawiane jako Disabled i nie można ich uruchomić. Jeśli Kreator blokady jest uruchamiany w programie IIS 5.0, możesz także zaznaczyć kliknięciem opcję Remove unselected services, co spowoduje całkowite usunięcie z systemu usług, które nie zostały zaznaczone. Po wybraniu odpowiednich ustawień kliknij przycisk Next.
  6. Na stronie Script Maps usuń zaznaczenie pól wyboru obok dowolnych typów plików, które mają być obsługiwane przez serwer. Jeśli nie masz pewności, co należy wyłączyć, możesz przeszukać katalogi z zawartością, aby sprawdzić, czy istnieją te rozszerzenia nazw plików. Zwróć uwagę, że większość serwerów wymaga obsługi stron Active Server Page (.asp), dlatego musisz usunąć zaznaczenie tego pola wyboru, o ile nie masz pewności, że serwer nie obsługuje stron ASP. Kliknij przycisk Next.
  7. Na stronie Additional Security zaznacz katalogi wirtualne, które chcesz usunąć z tego serwera. Domyślnie te katalogi wirtualne są instalowane z programem IIS, dlatego stanowią dobrze znane cele ataków. Możesz je usunąć lub zmienić ich nazwy na komputerach produkcyjnych. Usunięcie tych katalogów wirtualnych z programu IIS nie powoduje usunięcia odpowiadających im katalogów fizycznych na dysku, dlatego wybierając tę opcję, nie narażasz się na utratę żadnych danych.
  8. Zaznacz kliknięciem opcję Running system utilities, jeśli chcesz odmówić uprawnień dostępu do plików wykonywalnych w katalogu systemu Windows z internetowego konta gościa (domyślnie: IUSR_nazwa_komputera). Opcja ta powinna być zaznaczona w większości systemów.
  9. Zaznacz kliknięciem opcję Writing to content directories, jeśli chcesz ograniczyć uprawnienia zapisu w katalogach, w których znajduje się zawartość sieci Web, z internetowego konta gościa. Jeśli używasz na tym serwerze rozszerzeń serwera FrontPage lub jeśli serwer działa jako serwer proxy, upewnij się, że opcja ta pozostała niezaznaczona.
  10. Zaznacz kliknięciem opcję Disable Web Distributed Authoring and Versioning (WebDAV), jeśli nie używasz protokołu WebDAV do tworzenia i wdrażania zawartości sieci Web na tym serwerze. Jeśli na tym serwerze uruchamiany jest program Outlook Web Access (OWA) dla serwera Exchange 2000, upewnij się, że ta opcja pozostała niezaznaczona.
    UWAGA: Po zaznaczeniu tej opcji Kreator blokady ustawia uprawnienia do biblioteki DLL umożliwiającej wdrożenie funkcji WebDAV (Httpext.dll) na odmowę realizacji uprawnień. Nadal można jednak wykonywać niektóre żądania WebDAV. Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    307934 Locking Down WebDAV Through ACL Still Allows PUT and DELETE Requests
  11. Kliknij przycisk Next.
  12. Na stronie URLScan zaznacz opcję instalowania narzędzia URLScan, jeśli chcesz przy użyciu tego narzędzia filtrować przychodzące żądania w oparciu o zestaw reguł. Jeśli klient próbuje skierować żądanie, które nie spełnia reguł narzędzia URLScan, program IIS odpowiada błędem 404 File Not Found i rejestruje żądanie w pliku dziennika narzędzia URLScan. Domyślnie plik ten znajduje się w katalogu %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    UWAGA: Jeśli funkcja WebDAV na stronie Additional Security pozostanie włączona, ale użytkownik zdecyduje się zainstalować narzędzie URLScan, należy pamiętać, że narzędzie URLScan domyślnie blokuje funkcję WebDAV. Aby można było używać funkcji WebDAV razem z narzędziem URLScan, należy zmodyfikować plik Urlscan.ini.
  13. Na stronie Ready to Apply Settings przejrzyj zmiany, które zostaną wprowadzone, a następnie kliknij przycisk Next.
  14. Kreator blokady utworzy kopię zapasową metabazy i wprowadzi wybrane zmiany. Po zakończeniu tego procesu kliknij przycisk View Report, aby wyświetlić raport zawierający opis zmian wprowadzonych przez kreatora. Kliknij przycisk Next, aby kontynuować.

    UWAGA: Raport instalacji można wyświetlić, otwierając plik %WINDIR%\System32\Inetsrv\Oblt-rep.log w Notatniku.
  15. Kliknij przycisk Finish, aby zamknąć Kreatora blokady programu IIS.
  16. Dokładnie przetestuj wszystkie funkcje serwera. Ten krok jest bardzo ważny. Jeśli stwierdzisz, że przypadkowo została wyłączona wymagana funkcja serwera, natychmiast cofnij zmiany wprowadzone przez Kreatora blokady, a następnie uruchom ponownie kreatora, aby zaznaczyć prawidłowe opcje.Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    317052 HOW TO: Undo Changes Made by the IIS Lockdown Wizard

Konfigurowanie narzędzia URLScan

Po uruchomieniu Kreatora blokady programu IIS można zainstalować narzędzie URLScan. Narzędzie URLScan jest filtrem ISAPI, który blokuje żądania HTTP w oparciu o konfigurowalny zestaw reguł. Na przykład można skonfigurować narzędzie URLScan w taki sposób, aby blokowało określone rozszerzenie nazwy pliku, określone zlecenia HTTP (takie jak GET lub POST) albo żądania zawierające znaki często stosowane podczas ataków na serwery sieci Web.

W celu skonfigurowania narzędzia URLScan należy przy użyciu edytora tekstów (np. Notatnika) przeprowadzić edycję pliku %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Plik ten zawiera obszerne komentarze objaśniające poszczególne opcje konfiguracji. Po zakończeniu edycji pliku .ini należy zapisać i uruchomić ponownie program IIS.

Aby uzyskać dodatkowe informacje na temat konfigurowania narzędzia URLScan, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
312376 JAK: Konfigurowanie filtru URLScan, tak aby zezwalał na żądania z pustym rozszerzeniem w programie IIS

Rozwiązywanie problemów powstałych po uruchomieniu Kreatora blokady programu IIS

Najczęściej występującym problemem po uruchomieniu Kreatora blokady programu IIS jest nieoczekiwane wyświetlanie komunikatów o błędzie 404 File Not Found podczas otwierania zablokowanej witryny. Komunikaty te mogą być wyświetlane nawet w przypadku plików, które istnieją. Problem ten występuje, gdy klient żąda pliku, który został zablokowany przez Kreatora blokady lub narzędzie URLScan. W takim wypadku ze względów bezpieczeństwa program IIS informuje, że plik nie istnieje. Jeśli złośliwy użytkownik wie, że narażona na atak usługa istnieje na serwerze, ale jest blokowana, nadal może znaleźć metodę obejścia blokady i wykorzystać lukę. Jednak jeśli użytkownik sądzi, że usługa nie została zainstalowana, nie będzie próbował jej wykorzystać.

Jeśli po uruchomieniu Kreatora blokady programu IIS zostanie wyświetlony komunikat o błędzie 404, w celu rozwiązania tego problemu należy wykonać następujące kroki:
  1. Sprawdź, czy żądany plik istnieje na serwerze. Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    248033 Typical Causes and Resolution of the 'HTTP 404 - File Not Found' Error Message
  2. Sprawdź plik dziennika narzędzia URLScan, aby zobaczyć, czy narzędzie URLScan blokuje żądania. Plik ten znajduje się w katalogu %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDRR.log (gdzie MMDDRR oznacza datę dziennika w formacie „miesiąc, dzień, rok”). Jeśli stwierdzisz, że narzędzie URLScan blokuje żądania, przeczytaj sekcję Konfigurowanie narzędzia URLScan, aby skonfigurować narzędzie URLScan, tak aby zezwalało na realizację tych żądań.
  3. Jeśli żądasz pliku, który nie jest plikiem HTML, takiego jak strona ASP lub plik umożliwiający obsługę strony serwera, sprawdź mapowanie aplikacji dla tego typu pliku w programie Internet Services Manager:
    1. Kliknij prawym przyciskiem myszy witrynę sieci Web, a następnie kliknij polecenie Properties.
    2. Na karcie Home Directory kliknij opcję Configuration.
    3. Kliknij kartę Apps Mappings.
    4. Kliknij wiersz odpowiadający rozszerzeniu pliku, do którego próbujesz uzyskać dostęp.
    5. Jeśli opcja Executable Path jest ustawiona jako %WINDIR%\System32\Inetsrv\404.dll, kliknij polecenie Edit, a następnie ustaw opcję Executable Path na domyślną ścieżkę programu wykonywalnego dla tego rozszerzenia pliku. Jeśli nie masz pewności co do domyślnej ścieżki, otwórz plik %WINDIR%\System32\Inetsrv\oblt-log.log, który został utworzony podczas uruchamiania Kreatora blokady. Znajdź wiersz zawierający tekst SMAP i rozszerzenie nazwy pliku. W wierszu tym znajduje się również ścieżka pliku wykonywalnego dla tego typu plików.
Jeśli występuje problem z usługą uzależnioną od programu IIS, np. Exchange lub SharePoint, należy zapoznać się z artykułami z bazy wiedzy Microsoft Knowledge Base wymienionymi w sekcji Przygotowania do uruchomienia Kreatora blokady programu IIS.

Po uruchomieniu Kreatora blokady programu IIS można również stwierdzić, że nie działa usługa FTP lub SMTP. Problem ten występuje, jeśli usługi te zostały wyłączone lub usunięte. Jeśli usługi zostały wyłączone, w celu ich ponownego włączenia należy wykonać następujące kroki:
  1. Otwórz Panel sterowania.
  2. W systemie Windows NT 4.0 otwórz aplet Usługi. W systemie Windows 2000 lub Windows XP otwórz folder Narzędzia administracyjne, a następnie otwórz aplet Usługi.
  3. Kliknij dwukrotnie opcję FTP Publishing lub Simple Mail Transfer Protocol (SMTP).
  4. W przypadku ustawienia Typ uruchomienia kliknij opcję Automatyczny, aby ją zaznaczyć.
  5. Kliknij przycisk Uruchom, jeśli chcesz od razu uruchomić usługę.
Jeśli podczas uruchamiania Kreatora blokady programu IIS jedna lub obie te usługi zostały usunięte w wyniku zaznaczenia opcji Remove unneeded services, w celu ich ponownego zainstalowania należy wykonać następujące kroki:
  1. Otwórz Panel sterowania.
  2. Otwórz aplet Dodaj/Usuń programy, a następnie w lewym okienku kliknij przycisk Dodaj/Usuń składniki systemu Windows.
  3. Zaznacz program Internet Information Services (IIS), a następnie kliknij przycisk Szczegóły.
  4. Kliknij opcję File Transfer Protocol (FTP) Service lub SMTP Service, aby ją zaznaczyć.
  5. Kliknij przycisk OK, a następnie kliknij przycisk Dalej. Wybrana usługa (lub usługi) zostanie zainstalowana. Może pojawić się monit o włożenie dysku CD-ROM z systemem Windows.
  6. Upewnij się, że został ponownie zastosowany najnowszy dodatek Service Pack dla systemu Windows oraz wszystkie poprawki, które były zainstalowane.
Jeśli żadna z tych metod nie działa, można wyświetlić plik raportu Kreatora blokady programu IIS, aby sprawdzić wszystkie zmiany wprowadzone przez narzędzie. Może to ułatwić określenie, jakie zmiany są przyczyną występującego problemu. Plik raportu jest zapisany w katalogu %WINDIR\System32\Inetsrv\Oblt-rep.log.

Aby uzyskać dodatkowe informacje na temat cofania zmian wprowadzonych przez Kreatora blokady programu IIS, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
317052 HOW TO: Undo Changes Made by the IIS Lockdown Wizard

Materiały referencyjne

Aby uzyskać dodatkowe informacje na temat Kreatora blokady programu IIS oraz sposobu zabezpieczania serwera IIS, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
310725 JAK: Uruchamianie Kreatora blokady programu IIS w trybie nienadzorowanym w programie IIS
311350 JAK: Tworzenie niestandardowego typu serwera w celu używania z kreatorem blokady programu IIS
282060 Resources for Securing Internet Information Services

Właściwości

Numer ID artykułu: 325864 - Ostatnia weryfikacja: 31 sierpnia 2006 - Weryfikacja: 4.0
Informacje zawarte w tym artykule dotyczą:
  • Internetowe usługi informacyjne Microsoft 5.0
  • Internetowe usługi informacyjne Microsoft 5.1
  • Microsoft Internet Information Server 4.0
Słowa kluczowe: 
kbhowto kbhowtomaster KB325864

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com