Jak nainstalovat a používat Průvodce uzamčením služby IIS

Překlady článku Překlady článku
ID článku: 325864
Důrazně doporučujeme, aby všichni uživatelé upgradovat na (IIS) verze 6.0 se systémem Microsoft Windows Server 2003. Služba IIS 6.0 výrazně zvyšuje zabezpečení webové infrastruktury. Další informace o tématech souvisejících se zabezpečením služby IIS naleznete na webu společnosti Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek vysvětluje, jak zabezpečení webového serveru pomocí Průvodce uzamčením služby IIS (Internetová informační služba). Obsahuje také informace o řešení potíží, ke kterým dojde po spuštění průvodce.

Příprava ke spuštění Průvodce uzamčením služby IIS

Průvodce uzamčením služby IIS zakázáním několik volitelných funkcí služby IIS k zabezpečení serveru IIS před útokem. Před spuštěním průvodce, přečtěte si soubor nápovědy a seznamte se s možnostmi, které nabízí průvodce. Přístup k souboru nápovědy:
  1. Stažení Průvodce uzamčením služby IIS. Chcete-li stáhnout průvodce, navštivte následující Web společnosti Microsoft:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyId=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC
  2. Extrahujte soubory Průvodce uzamčením ze spustitelného souboru.
  3. Vyhledejte složku, kterou jste zadali při extrahování souborů a potom poklepejte na soubor Iislockd.chm.
Všimněte si, že Průvodce uzamčením umožňuje zakázat určité volitelné funkce služby IIS, které jsou nutné pro správné fungování ostatních aplikací, jako jsou například Exchange a aplikace FrontPage. Pokud vyberete správné možnosti při spuštění Průvodce uzamčením, může narušit funkčnost těchto aplikací. Chcete-li minimalizovat problémy, pečlivě prostudujte články znalostní báze Microsoft Knowledge Base, které jsou vhodné pro konfiguraci systému před spuštění Průvodce uzamčením:
  • Exchange a aplikace Outlook Web Access (OWA):
    309508 Konfigurace služby IIS Lockdown a URLscan v prostředí serveru Exchange
  • Microsoft Mobile Information Server:
    311595 Jak nainstalovat a nakonfigurovat na Microsoft Mobile Information Server Microsoft Security Tool Kit
  • Microsoft Small Business Server:
    311862 Jak používat IIS Lockdown tool serveru Small Business Server
  • Aplikace Microsoft Project Server Microsoft Office Project a Project Web Access:
    321357 Chybové zprávy při zobrazení stránky Microsoft Project Web Access, která obsahuje mřížky
    316398 Jak nakonfigurovat nástroj IIS Lockdown a URLScan zabezpečení v počítači se systémem Microsoft Project Server nebo aplikace Microsoft Project Central
  • Microsoft SharePoint Portal Server:
    309675 Nástroj Uzamčení služby IIS má vliv na serveru SharePoint Portal Server
    319633 ' Skript chyba spuštění: Chyba při provádění VYVOLAT "chybová zpráva po instalaci Průvodce uzamčením služby IIS
  • Microsoft Visual Studio.NET:
    310588 PRB: Security Toolkit konce ASP.ČISTÁ ladění v aplikaci Visual Studio.NET
    315904 Chyba: "ExternalException: nelze spustit program" chybová zpráva při volání WebServices ze stránky ASPX
  • Aplikace Microsoft FrontPage:
    317390 Webové stránky uživatel provede hledání dojde k chybové zprávy "HTTP/1.1 404 Objekt nebyl nalezen."
    307976 Chybová zpráva při použití aplikace FrontPage URLScan
  • Microsoft Proxy Server:
    311675 Nelze nalézt server Proxy Server 2.0 Online nápověda po instalaci Průvodce uzamčením služby IIS
  • 888936 Nelze nainstalovat klienta serveru SMS 2003 Advanced

Stáhněte a nainstalujte Průvodce uzamčením služby IIS

  1. Poklepáním na spustitelný soubor, který jste stáhli v Příprava ke spuštění Průvodce uzamčením služby IIS části spuštění průvodce.
  2. Na úvodní stránce Přečtěte si vysvětlující text a klepněte na tlačítko Další.
  3. Přečtěte si licenční smlouvu, klepněte na stránce Licenční smlouva Souhlasíma klepněte na tlačítko Další.
  4. Na stránce Vybrat šablonu serveru vyberte šablonu, která nejlépe odpovídá roli tohoto serveru a potom na přepínač Zobrazení nastavení šablony. Na stránkách postupujte, že to máte již vybrané možnosti na základě role serveru, který jste vybrali dříve v předchozí stránky, tak můžete použít všechny výchozí výběry.

    Pokud má server více rolí (například dynamický webový server, je také proxy server), vyberte klepnutím Ostatní (Server, který neodpovídá žádné z uvedených rolí)a ujistěte se, protože výchozí výběry nemusí být vhodné pro váš server pečlivě zvážit všechny možnosti, které jsou uvedeny na následujících stránkách. Pokud jste vybrali příslušné nastavení, klepněte na tlačítko Další.
  5. Na stránce služby sítě Internet vyberte služby, které chcete poskytnout serveru. Většina serverů vyžadují webové služby. Pokud nechcete, aby server File Transfer Protocol (FTP) nebo protokolu SMTP (Simple Mail Transfer Protocol) služeb (tedy soubor přenos nebo e-mailové služby), můžete tyto možnosti zrušte klepnutím. Všimněte si, že je třeba ponechat zaškrtnuto v případě, že používáte Exchange nebo Small Business Server SMTP.

    Služby, které vyberete na této stránce jsou nastaveny na Zakázáno a nelze ji spustit. Pokud používáte Průvodce uzamčením ve službě IIS 5.0, můžete také klepnout na výběr Odebrat nevybrané služby, který zcela odstraní služby, které jste nevybrali ze systému. Pokud jste vybrali příslušné nastavení, klepněte na tlačítko Další.
  6. Na stránce mapování skriptů klepnutím zrušte zaškrtnutí políčka vedle typů souborů, které chcete poskytnout serveru ani typ souboru. Pokud si nejste jisti, jak zakázat, můžete prohledávat adresáře s obsahem zjistit, pokud existují tyto přípony názvů souborů. Všimněte si, že většina serverů vyžadují Active Server Pages (ASP), tak musíte klepnout a zrušte zaškrtnutí tohoto políčka, pokud si nejste jisti, že váš server neslouží stránek ASP. Klepněte na tlačítko Další.
  7. Na stránce další zabezpečení vyberte virtuální adresáře, které chcete odebrat z tohoto serveru. Standardně jsou nainstalovány těchto virtuálních adresářů ve výchozím nastavení služby IIS, takže jsou dobře známé cíle pro útočníky a chtít odebrat tyto virtuální adresáře nebo přejmenovat pracovních počítačů. Odebrání těchto virtuálních adresářů služby IIS odebrat odpovídající fyzické adresáře na disku, tak ztrátě dat při výběru této možnosti.
  8. Na stránce další zabezpečení klepněte na tlačítko Vybrat Spuštění nástroje systému Chcete-li odepřít práva na spustitelné soubory v adresáři systému Windows pro internetový účet guest (ve výchozím nastavení IUSR_název_počítače>). Tato možnost musí být vybrána u většiny systémů.
  9. Na stránce další zabezpečení klepněte na tlačítko Vybrat Při zápisu do adresáře s obsahem Chcete-li odepřít oprávnění k zápisu do internetový účet hosta do adresářů, které obsahují webového obsahu. Ujistěte se, že ponecháte tuto možnost nevybírejte, pokud používáte rozšíření FrontPage Server Extensions na tomto serveru nebo tento server funguje jako proxy server.
  10. Na stránce další zabezpečení klepněte na tlačítko Vybrat Zakázat protokol WebDAV (Web Distributed Authoring and Versioning) (WebDAV) Pokud nepoužíváte protokol WebDAV vytvářet a publikovat webový obsah na tomto serveru. Tento server spuštěna aplikace Outlook Web Access (OWA) pro server Exchange 2000, ujistěte se, že necháte tuto volbu nevybranou.
    POZNÁMKA:Pokud vyberete tuto možnost, oprávnění spouštět Průvodce uzamčením sady odepřít práva na knihovny DLL, která implementuje funkci WebDAV (Httpext.dll). Stále to může povolit určité požadavky WebDAV spustit. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    307934Uzamčení protokolu WebDAV pomocí seznamu ACL stále umožňuje požadavky PUT a DELETE
  11. Klepněte na tlačítko Další.
  12. Na stránce URLScan vyberte možnost nainstalovat nástroj URLScan, pokud chcete pomocí nástroje URLScan odfiltrovat příchozí požadavky na základě sady pravidel. Pokud se klient pokusí vytvořit požadavek, který není platný, založený na pravidlech URLScan, služba IIS odpovědi s chybou 404 Soubor nebyl nalezen a zaznamená do souboru protokolu nástroje URLScan. Ve výchozím nastavení tento soubor je umístěn ve složce % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Poznámka: Pokud ponecháte WebDAV povolen na stránce další zabezpečení, ale rozhodnete nainstalovat nástroj URLScan, nezapomeňte blokující URLScan požadavky WebDAV ve výchozím nastavení. Chcete-li pomocí nástroje URLScan WebDAV, musíte upravit soubor Urlscan.ini.
  13. Na připraven k použití nastavení stránky zkontrolujte změny, které budou provedeny a klepněte na tlačítko Další.
  14. Průvodce uzamčením zálohu metabáze a vybrané změny. Po dokončení tohoto procesu, klepněte na tlačítko Zobrazit zprávu Zobrazit sestavu, která popisuje změny provedené průvodci. Klepněte na tlačítko Další pokračujte.

    Poznámka: Instalace sestavy můžete zobrazit otevřením %WINDIR%\System32\Inetsrv\Oblt-rep.log v programu Poznámkový blok.
  15. Klepněte na tlačítko Dokončit zavřete Průvodce uzamčením služby IIS.
  16. Plně otestujte všechny funkce serveru. Tento krok je velmi důležité. Pokud zjistíte, že jste zakázali omylem požadované funkce serveru, okamžitě vrátit zpět změny provedené pomocí Průvodce uzamčením a znovu spusťte průvodce vyberte správné možnosti.Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    317052Jak vrátit zpět změny provedené pomocí Průvodce uzamčením služby IIS

Konfigurace nástroje URLScan

Když spustíte Průvodce uzamčením služby IIS, můžete nainstalovat nástroj URLScan. Nástroj URLScan je filtr ISAPI, který blokuje požadavky HTTP na základě konfigurovatelného sadu pravidel. Můžete například nakonfigurovat nástroj URLScan blokovat všechny požadavky pro určitou příponu, blokování určitých akcí protokolu HTTP (například GET nebo POST) a blokovat požadavky, které obsahují znaky, které jsou často obsaženy v útoky na webových serverech.

Chcete-li nakonfigurovat nástroj URLScan, pomocí textového editoru, například programu Poznámkový blok upravte soubor %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Tento soubor obsahuje rozsáhlé komentáře, které vysvětlují jednotlivé možnosti konfigurace. Po dokončení úprav souboru INI, uložte jej a restartujte službu IIS.

Další informace o způsobu konfigurace nástroje URLScan klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
312376Konfigurace nástroje URLScan ve službě IIS povolit požadavky s příponou Null
326444 Jak nakonfigurovat nástroj URLScan

Poradce při potížích po spuštění Průvodce uzamčením služby IIS

Nejběžnější problém po spuštění Průvodce uzamčením služby IIS je příjem neočekávané 404 Soubor nebyl nalezen chybových zpráv při otevření webu zamknuté. Zobrazí tyto chybové zprávy i pro soubory, které existují. K tomu dochází, pokud klient požaduje soubor, který byl zablokován Průvodce uzamčením nebo URLScan. V tomto případě služba IIS říká, že soubor neexistuje pro účely zabezpečení. Pokud uživatel se zlými úmysly ví, že ohrožené služby na serveru existuje, ale je blokován, uživatel stále najít způsob, jak získat kolem bloku a zneužít; však v případě, že uživatel rodinnému, že služba není nainstalována, uživatele nedojde k jeho zneužití.

Po spuštění Průvodce uzamčením služby IIS, zobrazí se chybová zpráva 404, řešení potíží pomocí následujícího postupu:
  1. Ověřte, že požadujete soubor na serveru existuje. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    248033Jak mohou správci systému řešit "HTTP 404 – Soubor nebyl nalezen" chybová zpráva na serveru se spuštěnou službou IIS
  2. Zkontrolujte soubor protokolu nástroje URLScan zobrazíte, pokud nástroj URLScan blokuje požadavky. Tento soubor je umístěn v %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (kde MMDDYY je datum protokolu). Pokud zjistíte, že nástroj URLScan blokuje požadavky, naleznete Konfigurace nástroje URLScan části nastavit nástroj URLScan tak umožňuje, aby tyto požadavky.
  3. Pokud požadujete než HTML souboru, například stránky ASP nebo souboru zahrnout povoleno straně serveru ověřte mapování aplikace pro typ souboru ve Správci služeb sítě Internet:
    1. Klepněte pravým tlačítkem myši na webový server a klepněte na tlačítko Vlastnosti.
    2. V Domovský adresář karta, klepněte na tlačítko Konfigurace.
    3. Klepněte Mapování aplikace na kartě.
    4. Klepněte na řádek, který odpovídá příponu souboru, který se pokoušíte získat přístup.
    5. Pokud Cesta ke spustitelnému souboru je nastavena na % WINDIR%\System32\Inetsrv\404.dll, klepněte na tlačítko Upravita pak nastavte Cesta ke spustitelnému souboru k výchozí cesta ke spustitelnému souboru pro tuto příponu souboru. Pokud si nejste jisti, výchozí, otevřete soubor %WINDIR%\System32\Inetsrv\oblt-log.log, který byl vytvořen, když jste spustili Průvodce uzamčením. Vyhledejte řádek začínající SMAP Následuje příponu názvu souboru. Tento řádek obsahuje také výchozí cestu spustitelného souboru pro daný typ souboru.
Pokud máte potíže se službou, která závisí na službě IIS, jako jsou například Exchange nebo SharePoint, naleznete v článcích znalostní báze Microsoft Knowledge Base, které jsou uvedeny v Příprava ke spuštění Průvodce uzamčením služby IIS sekce.

Také je možné že FTP nebo SMTP nefungují po spuštění Průvodce uzamčením služby IIS. K tomu dojde, je-li zakázat nebo odebrat tyto služby. Pokud jste zakázali službu, je znovu povolit pomocí následujícího postupu:
  1. Otevřete Ovládací panely.
  2. V systému Windows NT 4.0, spusťte Služby aplet. V systému Windows 2000 nebo Windows XP, otevřete složku nástroje pro správu a potom otevřete Služby aplet.
  3. Poklepejte na položku Publikování na server FTP nebo Simple Mail Transfer Protocol (SMTP).
  4. Pro Typ spouštění, zaškrtněte políčko Automatické.
  5. Klepněte na tlačítko Spustit Pokud chcete službu spustit okamžitě.
Je-li zcela odebrat jednu nebo obě tyto služby výběrem Odebrání nepotřebných služeb Pokud jste spustili Průvodce uzamčením služby IIS ve službě IIS 5.0, je znovu nainstalovat pomocí následujícího postupu:
  1. Otevřete Ovládací panely.
  2. Otevřete apletu Přidat nebo odebrat programy a potom klepněte na tlačítko Přidat nebo odebrat součásti systému Windows v levém podokně.
  3. Vybrat Internetová informační služba (IIS)a klepněte na tlačítko Podrobnosti.
  4. Klepnutím vyberte Služba protokolu FTP přenos souborů nebo Služba SMTP.
  5. Klepněte na tlačítko OKa klepněte na tlačítko Další. Vybranou službu bude nainstalována. Můžete být vyzváni k vložení disku systému Windows disk CD-ROM.
  6. Přesvědčte se, zda je znovu nainstalovat nejnovější aktualizaci service pack pro systém Windows a opravy hotfix, které jste nainstalovali.
Pokud žádná z těchto metod pracuje, můžete zobrazit zobrazte všechny změny, které nástroj soubor sestavy Průvodce uzamčením služby IIS. Můžete určit, co způsobilo změny nastanou problémy. Tento soubor sestavy je uložen na % WINDIR\System32\Inetsrv\Oblt-rep.log.

Další informace o tom, jak vrátit zpět změny provedené pomocí Průvodce uzamčením služby IIS klepněte na následující číslo článku databáze Microsoft Knowledge Base:
317052Jak vrátit zpět změny provedené pomocí Průvodce uzamčením služby IIS

Odkazy

Další informace o Průvodce uzamčením služby IIS a k zabezpečení serveru IIS klepněte na tlačítko naleznete v následujících článcích znalostní báze společnosti Microsoft:
310725Jak spustit Průvodce uzamčením služby IIS ve službě IIS
311350 Jak vytvořit typ vlastní server pro použití s Průvodce uzamčením služby IIS
282060 Prostředky pro zabezpečení Internetová informační služba

Vlastnosti

ID článku: 325864 - Poslední aktualizace: 19. května 2011 - Revize: 6.0
Klíčová slova: 
kbhowtomaster kbmt KB325864 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:325864

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com