Cara menginstal dan menggunakan Wisaya Lockdown IIS

Artikel ini selangkah demi selangkah menjelaskan cara untuk mengamankan Web server dengan menggunakan Wisaya Lockdown Internet Information Services (IIS). Ini juga mencakup informasi tentang bagaimana memecahkan masalah yang terjadi setelah Anda menjalankan wizard.

Mempersiapkan untuk menjalankan Wisaya Lockdown IIS

Dengan IIS Lockdown Wizard, Anda dapat menonaktifkan beberapa fitur opsional IIS untuk mengamankan server IIS terhadap serangan. Sebelum Anda menjalankan wizard, baca berkas Bantuan untuk membiasakan diri dengan pilihan yang menyajikan wizard. Untuk mengakses berkas Bantuan:

1. Men-download Wisaya Lockdown IIS. Untuk men-download wizard, kunjungi Web site Microsoft berikut:
   http://www.Microsoft.com/downloads/details.aspx?DisplayLang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC (http://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC)
2. Mengekstrak file Lockdown Wizard dari file eksekusi.
3. Cari folder yang Anda maksudkan ketika Anda diekstrak file, dan kemudian klik dua kali berkas Iislockd.chm.

Perhatikan bahwa Lockdown Wizard memungkinkan Anda untuk menonaktifkan fitur tertentu opsional IIS yang diperlukan untuk operasi benar aplikasi lain, seperti pertukaran dan FrontPage. Jika Anda tidak memilih pilihan yang benar ketika Anda menjalankan Wisaya Lockdown, Anda dapat memecahkan fungsionalitas aplikasi ini. Untuk meminimalkan masalah, dengan hati-hati meninjau artikel Basis Pengetahuan Microsoft yang sesuai untuk konfigurasi sistem Anda sebelum Anda menjalankan Wisaya Lockdown:

• Pertukaran dan Outlook Web Access (OWA):
  309508  (http://support.microsoft.com/kb/309508/ ) Konfigurasi IIS Lockdown dan URLscan di lingkungan Exchange
• Microsoft Mobile Information Server:
  311595  (http://support.microsoft.com/kb/311595/ ) Cara menginstal dan mengkonfigurasi Microsoft Security Tool Kit pada Microsoft Mobile Information Server
• Microsoft Small Business Server:
  311862  (http://support.microsoft.com/kb/311862/ ) Cara menggunakan alat The IIS Lockdown dengan Small Business Server
• Microsoft Project, Project Server dan proyek Web akses:
  321357  (http://support.microsoft.com/kb/321357/ ) Pesan galat ketika Anda melihat sebuah halaman Web proyek Microsoft Access yang berisi grid
  316398  (http://support.microsoft.com/kb/316398/ ) Cara mengkonfigurasi perangkat Lockdown IIS dan alat keamanan URLScan pada komputer yang menjalankan Microsoft Project Server atau Microsoft proyek pusat
• Microsoft SharePoint Portal Server:
  309675  (http://support.microsoft.com/kb/309675/ ) IIS Lockdown alat mempengaruhi SharePoint Portal Server
  319633  (http://support.microsoft.com/kb/319633/ ) ' Script pelaksanaan kesalahan: kesalahan mengeksekusi INVOKE' pesan galat setelah Anda menginstal IIS Lockdown Wizard
• Microsoft Visual Studio.NET:
  310588  (http://support.microsoft.com/kb/310588/ ) PRB: Keamanan Toolkit istirahat ASP.NET debugging di Visual Studio.NET
  315904  (http://support.microsoft.com/kb/315904/ ) BUG: "ExternalException: tidak dapat menjalankan program" pesan galat ketika Anda menelepon WebServices dari .aspx Halaman
• Microsoft FrontPage:
  317390  (http://support.microsoft.com/kb/317390/ ) Pesan galat "HTTP/1.1 objek 404 tidak ditemukan" terjadi ketika pengguna halaman Web Anda melakukan pencarian
  307976  (http://support.microsoft.com/kb/307976/ ) Pesan galat ketika Anda menggunakan FrontPage dengan URLScan
• Microsoft Proxy Server:
  311675  (http://support.microsoft.com/kb/311675/ ) Tidak Cari Proxy Server 2.0 Online membantu setelah Wisaya Lockdown IIS diinstal
• 888936  (http://support.microsoft.com/kb/888936/ ) Anda tidak dapat menginstal SMS 2003 Advanced klien

Men-download dan menginstal IIS Lockdown Wizard

1. Klik dua kali file eksekusi yang Anda download di Mempersiapkan untuk menjalankan Wisaya Lockdown IIS bagian untuk memulai Wisaya.
2. Pada halaman Selamat datang, membaca teks penjelasan, dan kemudian klik Berikutnya.
3. Pada halaman perjanjian lisensi, bacalah, klik Saya setuju, lalu klik Berikutnya.
4. Pada halaman Pilih Server Template, pilih template yang paling cocok dengan peran server ini, dan kemudian klik untuk memilih Melihat Template pengaturan. Halaman yang mengikuti ini memiliki pilihan yang dipilih berdasarkan peran server yang Anda pilih di awal halaman sebelumnya, sehingga Anda dapat menggunakan semua pilihan default.
   
   Jika server memiliki peran ganda (misalnya, dinamis Web server yang juga proxy server), klik untuk memilih Lain (Server yang sesuai peran terdaftar), dan pastikan bahwa Anda hati-hati mempertimbangkan semua pilihan yang disajikan pada halaman-halaman berikut, karena pilihan default tidak mungkin cocok untuk server Anda. Ketika Anda telah memilih pengaturan yang sesuai, klik Berikutnya.
5. Pada halaman Internet Services, pilih layanan yang Anda ingin server Anda untuk menyediakan. Kebanyakan server memerlukan layanan Web. Jika Anda tidak ingin server Anda untuk menyediakan layanan protokol Transfer berkas (FTP) atau protokol Transfer surat sederhana (SMTP) (yaitu transfer atau e-mail layanan file), Anda dapat mengklik untuk mengosongkan pilihan ini. Perhatikan bahwa Anda harus meninggalkan dipilih Jika Anda menjalankan Exchange atau Small Business Server SMTP.
   
   Layanan yang Anda pilih pada Halaman ini ditetapkan untuk Nonaktif dan tidak dapat memulai. Jika Anda menjalankan Wisaya Lockdown pada IIS 5.0, Anda juga dapat mengklik untuk memilih Menghapus layanan menunjukan, yang benar-benar menghapus layanan yang Anda tidak memilih dari sistem Anda. Ketika Anda telah memilih pengaturan yang sesuai, klik Berikutnya.
6. Pada halaman peta Script, klik untuk mengosongkan kotak centang di sebelah setiap jenis berkas atau jenis file yang Anda inginkan server Anda untuk menyediakan. Jika Anda tidak yakin apa yang harus menonaktifkan, Anda dapat mencari direktori konten Anda untuk mengetahui jika ekstensi nama berkas tersebut ada. Perhatikan bahwa kebanyakan server memerlukan Active Server Pages (.asp), sehingga Anda harus klik untuk mengosongkan kotak centang itu kecuali Anda yakin bahwa server Anda tidak melayani halaman ASP. Klik Berikutnya.
7. Pada halaman keamanan tambahan, pilih direktori virtual yang ingin Anda hapus dari server ini. Secara default, direktori virtual ini diinstal secara default dengan IIS, sehingga mereka adalah target yang terkenal bagi penyerang dan Anda mungkin ingin menghapus direktori virtual ini atau mengubah nama mereka pada produksi komputer. Menghapus direktori virtual ini dari IIS tidak menghapus direktori fisik yang sesuai pada disk, sehingga Anda tidak kehilangan data apapun dengan memilih opsi ini.
8. Pada halaman tambahan keamanan, klik untuk memilih Menjalankan sistem utilitas Jika Anda ingin menyangkal hak-hak pada berkas yang dapat dijalankan dalam direktori Windows untuk account Tamu Internet (secara default, IUSR_computername>). Opsi ini harus dipilih pada kebanyakan sistem.
9. Pada halaman tambahan keamanan, klik untuk memilih Menulis ke direktori konten Jika Anda ingin menyangkal hak-hak menulis untuk Internet account tamu pada direktori yang berisi konten Web Anda. Pastikan bahwa Anda meninggalkan pilihan ini tidak dipilih Jika Anda menggunakan Server FrontPage Extensions pada server ini atau jika server ini berfungsi sebagai proxy server.
10. Pada halaman tambahan keamanan, klik untuk memilih Menonaktifkan Web didistribusikan Authoring dan versi (WebDAV) Jika Anda tidak menggunakan WebDAV untuk membuat dan menyebarkan konten Web di server ini. Jika server ini menjalankan Outlook Web Access (OWA) untuk Exchange 2000, pastikan bahwa Anda meninggalkan pilihan ini tidak dipilih.
    CATATAN: Jika Anda menggunakan pilihan ini, Lockdown Wizard set hak-hak pada DLL yang menerapkan fungsi WebDAV (Httpext.dll) untuk menolak izin mengeksekusi. Ini masih dapat mengizinkan permintaan WebDAV tertentu untuk mengeksekusi. Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
    307934  (http://support.microsoft.com/kb/307934/ ) Mengunci diri WebDAV melalui ACL masih memungkinkan dimasukkan dan menghapus permintaan
11. Klik Berikutnya.
12. Pada halaman URLScan, pilih pilihan untuk menginstal URLScan jika Anda ingin menggunakan URLScan untuk menyaring permintaan masuk yang didasarkan pada seperangkat aturan. Jika klien mencoba untuk membuat permintaan yang tidak sah berdasarkan aturan URLScan, IIS balasan dengan 404 File tidak ditemukan kesalahan dan log permintaan dalam URLScan log file. Secara default, berkas ini terletak di % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.
    
    Catatan Jika Anda meninggalkan WebDAV diaktifkan pada halaman tambahan keamanan tetapi Anda memutuskan untuk menginstal URLScan, perhatikan bahwa URLScan blok WebDAV permintaan secara default. Anda harus memodifikasi Urlscan.ini file jika Anda ingin menggunakan WebDAV dengan URLScan.
13. Pada siap untuk menerapkan pengaturan halaman, meninjau perubahan yang akan dibuat, dan kemudian klik Berikutnya.
14. Wisaya Lockdown punggung metabase Anda dan membuat perubahan yang dipilih. Bila proses ini selesai, klik Lihat laporan untuk melihat laporan yang menjelaskan perubahan yang telah dibuat oleh wizard. Klik Berikutnya untuk melanjutkan.
    
    Catatan Anda dapat melihat laporan instalasi dengan membuka %WINDIR%\System32\Inetsrv\Oblt-rep.log di Notepad.
15. Klik Menyelesaikan untuk menutup Wisaya Lockdown IIS.
16. Sepenuhnya menguji semua fungsi dari server Anda. Langkah ini sangat penting. Jika Anda menemukan bahwa Anda secara tidak sengaja telah menonaktifkan fungsionalitas yang diperlukan dari server Anda, segera memutar kembali perubahan yang Wisaya Lockdown buat, dan kemudian jalankan kembali untuk memilih pilihan yang benar.Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
    317052  (http://support.microsoft.com/kb/317052/ ) Bagaimana untuk membatalkan perubahan yang dibuat oleh IIS Lockdown Wizard

Mengkonfigurasi URLScan

Ketika Anda menjalankan Wisaya Lockdown IIS, Anda dapat menginstal URLScan. URLScan adalah suatu ISAPI filter yang menghalangi permintaan HTTP berdasarkan dikonfigurasi seperangkat aturan. Sebagai contoh, Anda dapat mengkonfigurasi URLScan untuk memblokir semua permintaan tertentu ekstensi nama berkas, untuk memblokir verba HTTP tertentu (seperti GET atau POST), atau untuk memblokir permintaan yang mengandung karakter yang sering termasuk dalam serangan di Web server.

Untuk mengkonfigurasi URLScan, menggunakan editor teks seperti Notepad untuk mengedit berkas %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Berkas ini berisi tafsiran yang menjelaskan setiap pilihan konfigurasi. Setelah Anda selesai mengedit berkas .ini, Simpan dan restart IIS.

Untuk informasi tambahan tentang cara mengkonfigurasi URLScan, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:

Memecahkan masalah setelah Anda menjalankan Wisaya Lockdown IIS

Masalah yang paling umum setelah Anda menjalankan Wisaya Lockdown IIS menerima tak terduga 404 File tidak ditemukan pesan galat ketika Anda membuka situs terkunci-down. Anda mungkin menerima pesan galat ini bahkan untuk file yang ada. Hal ini terjadi ketika seorang klien meminta sebuah file yang telah diblokir oleh Lockdown Wizard atau URLScan. Dalam kasus ini, IIS mengatakan bahwa file tidak ada untuk tujuan keamanan. Jika pengguna berbahaya tahu bahwa layanan rentan ada pada server tetapi diblokir, pengguna mungkin masih menemukan cara untuk berkeliling blok dan mengeksploitasi kerentanan; Namun, jika pengguna berpikir bahwa layanan ini tidak terinstal, pengguna akan berusaha untuk tidak memanfaatkan itu.

Jika Anda menerima pesan kesalahan 404 setelah Anda menjalankan Wisaya Lockdown IIS, ikuti langkah-langkah untuk memecahkan masalah:

1. Memverifikasi bahwa file yang Anda meminta ada di server. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
   248033  (http://support.microsoft.com/kb/248033/ ) Bagaimana administrator sistem dapat mengatasi masalah "HTTP 404 - File tidak ditemukan" kesalahan pesan di server yang menjalankan IIS
2. Memeriksa file log URLScan untuk melihat jika URLScan yang menghalangi permintaan. File ini terletak di %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (di mana MMDDYY adalah tanggal log). Jika Anda menemukan bahwa URLScan yang menghalangi permintaan, melihat Mengkonfigurasi URLScan bagian untuk mengatur URLScan jadi ini memungkinkan permintaan ini.
3. Jika Anda meminta sebuah file non HTML, seperti halaman ASP atau sisi berkemampuan menyertakan file server, memverifikasi aplikasi pemetaan untuk jenis berkas di Internet Services Manager:
   1. Klik kanan situs Web Anda, dan kemudian klik Properti.
   2. Pada Direktori Home tab, klik Konfigurasi.
   3. Klik Aplikasi pemetaan tab.
   4. Klik baris yang sesuai dengan ekstensi file yang Anda coba mengaksesnya.
   5. Jika Jalan eksekusi adalah diatur % WINDIR%\System32\Inetsrv\404.dll, klik Mengedit, dan kemudian menetapkan Jalan eksekusi untuk default path eksekusi untuk ekstensi file itu. Jika Anda tidak yakin dari default, buka file %WINDIR%\System32\Inetsrv\oblt-log.log, yang diciptakan ketika Anda menjalankan Wisaya Lockdown. Mencari baris yang dimulai dengan SMAP diikuti dengan ekstensi nama berkas. Baris ini juga berisi default path eksekusi untuk jenis berkas tersebut.

Jika Anda memiliki masalah dengan layanan yang tergantung pada IIS, seperti pertukaran atau SharePoint, lihat artikel Basis Pengetahuan Microsoft yang tercantum dalam Mempersiapkan untuk menjalankan Wisaya Lockdown IIS bagian.

Anda mungkin juga menemukan bahwa FTP atau SMTP tidak bekerja setelah Anda menjalankan Wisaya Lockdown IIS. Hal ini terjadi jika Anda menonaktifkan atau menghapus layanan ini. Jika Anda menonaktifkan layanan, ikuti langkah-langkah ini untuk mengaktifkan kembali mereka:

1. Buka Control Panel.
2. Pada Windows NT 4.0, membuka Layanan applet. Pada Windows 2000 atau Windows XP, buka folder Administrative Tools, dan kemudian buka Layanan applet.
3. Klik dua kali Penerbitan FTP atau Simple Mail Transfer Protocol (SMTP).
4. Untuk Jenis Startup, klik untuk memilih Otomatis.
5. Klik Mulai Jika Anda ingin layanan untuk memulai segera.

Jika Anda benar-benar menghapus salah satu atau kedua layanan ini dengan memilih Menghapus unneeded layanan Ketika Anda menjalankan Wisaya Lockdown IIS pada IIS 5.0, ikuti langkah berikut untuk menginstal ulang mereka:

1. Buka Control Panel.
2. Membuka Add/Remove Programs applet, dan kemudian klik Menambahkan/menghapus komponen Windows dalam pane kiri.
3. Pilih Layanan Informasi Internet (IIS), lalu klik Rincian.
4. Klik untuk memilih Layanan Protokol Transfer Berkas (FTP) atau Layanan SMTP.
5. Klik Oke, lalu klik Berikutnya. Layanan yang dipilih atau layanan akan diinstal. Anda mungkin diminta untuk memasukkan Windows Anda CD-ROM.
6. Pastikan bahwa Anda permohonan kembali paket layanan Windows dan perbaikan terbaru yang telah Anda instal.

Jika tak satu pun dari metode ini bekerja, Anda dapat melihat file laporan IIS Lockdown Wizard untuk melihat semua perubahan yang dibuat alat. Ini dapat membantu Anda menentukan apa yang menyebabkan perubahan masalah yang Anda alami. File laporan ini disimpan pada % WINDIR\System32\Inetsrv\Oblt-rep.log.

Untuk informasi tambahan tentang cara untuk membatalkan perubahan yang dibuat Wisaya Lockdown IIS, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:

Untuk informasi tambahan mengenai Wisaya Lockdown IIS dan cara untuk mengamankan IIS server, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: