Cara menginstal dan menggunakan IIS Lockdown Wizard

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 325864
Kami sangat menyarankan bahwa semua pengguna upgrade ke Microsoft Internet Information Services (IIS) versi 6.0 berjalan pada Microsoft Windows Server 2003. IIS 6.0 secara signifikan meningkatkan keamanan infrastruktur Web. Untuk informasi lebih lanjut tentang IIS topik terkait keamanan, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/TechNet/Security/prodtech/IIS.mspx
Perbesar semua | Perkecil semua

Pada Halaman ini

Ringkasan

Artikel ini selangkah demi selangkah menjelaskan cara untuk mengamankan server Web dengan menggunakan Lockdown Wizard Internet Information Services (IIS). Ini juga mencakup informasi tentang bagaimana untuk memecahkan masalah yang terjadi setelah Anda menjalankan wizard.

Mempersiapkan untuk menjalankan IIS Lockdown Wizard

Dengan IIS Lockdown Wizard, Anda dapat menonaktifkan beberapa fitur opsional IIS untuk mengamankan server IIS Anda terhadap serangan. Sebelum Anda menjalankan wizard, baca berkas bantuan untuk membiasakan diri dengan pilihan yang menyajikan wizard. Untuk mengakses file Bantuan:
  1. Download IIS Lockdown Wizard. Untuk men-download wizard, kunjungi Web site Microsoft berikut:
    http://www.Microsoft.com/downloads/Details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC
  2. Mengekstrak file Lockdown Wizard dari file eksekusi.
  3. Menemukan folder yang Anda tentukan saat Anda diekstrak file, dan kemudian klik ganda Iislockd.chm file.
Perhatikan bahwa Lockdown Wizard memungkinkan Anda untuk menonaktifkan fitur opsional tertentu dari IIS yang diperlukan untuk pengoperasian yang benar dari aplikasi lain, seperti asing dan FrontPage. Jika Anda tidak memilih pilihan yang benar ketika Anda menjalankan Lockdown Wizard, Anda bisa pecah fungsionalitas dari aplikasi ini. Untuk meminimalkan masalah, hati-hati meninjau artikel Pangkalan Pengetahuan Microsoft yang sesuai untuk Anda sistem konfigurasi sebelum Anda menjalankan Lockdown Wizard:
  • Asing dan Outlook Web Access (OWA):
    309508 Konfigurasi IIS kuncian dan URLscan di lingkungan Exchange
  • Microsoft Mobile informasi Server:
    311595 Cara menginstal dan mengkonfigurasi Microsoft Security Tool Kit pada Microsoft Mobile informasi Server
  • Microsoft Small Business Server:
    311862 Cara menggunakan alat The IIS kuncian dengan Small Business Server:
  • Microsoft Project, Project Server dan akses Web proyek:
    321357 Pesan galat ketika Anda melihat halaman Microsoft proyek Web Access yang berisi grid
    316398 Bagaimana konfigurasi IIS Lockdown alat dan peranti penangkap keamanan URLScan pada komputer yang menjalankan Microsoft Project Server atau Microsoft proyek sentral
  • Microsoft SharePoint Portal Server:
    309675 IIS Lockdown alat mempengaruhi Server Portal SharePoint
    319633 ' Script eksekusi kesalahan: Error mengeksekusi INVOKE' pesan galat setelah Anda menginstal IIS Lockdown Wizard
  • Microsoft Visual Studio .NET:
    310588 PRB: Keamanan yang Toolkit istirahat ASP.NET debugging di Visual Studio .NET
    315904 BUG: "ExternalException: tidak bisa menjalankan program" pesan galat ketika Anda menelepon WebServices dari halaman .aspx
  • Microsoft FrontPage:
    317390 Pesan galat "HTTP/1.1 objek 404 tidak ditemukan" terjadi ketika pengguna halaman web Anda melakukan penelusuran
    307976 Pesan galat ketika Anda menggunakan FrontPage dengan URLScan
  • Microsoft Proxy Server:
    311675 Tidak dapat Cari server proksi 2.0 Online membantu setelah IIS Lockdown Wizard diinstal
  • 888936 Anda tidak dapat menginstal klien Advanced 2003 SMS

Download dan install IIS Lockdown Wizard

  1. klik ganda file eksekusi yang Anda download di Mempersiapkan untuk menjalankan IIS Lockdown Wizard Bagian untuk memulai wizard.
  2. Pada halaman selamat datang, membaca teks penjelasan, dan kemudian klik berikutnya.
  3. Pada halaman perjanjian lisensi, membaca perjanjian lisensi, klik saya setuju, dan kemudian klik berikutnya.
  4. Pada halaman Pilih Server Template, pilih template yang paling cocok peran server ini, dan kemudian klik untuk memilih Setelan Template tampilan. Halaman-halaman yang mengikuti ini memiliki pilihan yang sudah dipilih berdasarkan peran server yang Anda pilih sebelumnya dalam halaman sebelumnya, sehingga Anda dapat menggunakan semua pilihan default.

    Jika server memiliki peran ganda (misalnya, dinamis server Web yang juga proxy server), klik untuk memilih lain (yang tidak sesuai dengan salah satu peran yang terdaftar Server), dan pastikan bahwa Anda hati-hati mempertimbangkan semua pilihan yang disajikan pada halaman berikut ini, karena pilihan default mungkin tidak sesuai untuk server Anda. Ketika Anda telah memilih pengaturan yang sesuai, klik berikutnya.
  5. Pada halaman Internet Services, pilih layanan yang Anda ingin server Anda menyediakan. Kebanyakan server memerlukan Layanan Web. Jika Anda tidak ingin server Anda untuk menyediakan layanan Protokol Transfer Berkas (FTP) atau protokol Transfer Surat sederhana (SMTP) (yaitu transfer file atau e-mail layanan), Anda dapat mengklik untuk menghapus pilihan ini. Perhatikan bahwa Anda harus meninggalkan dipilih jika Anda menjalankan Exchange atau Small Business Server SMTP.

    Layanan yang tidak memilih pada Halaman ini ditetapkan untuk Penyandang Cacat dan tidak dapat memulai. Jika Anda menjalankan Lockdown Wizard pada IIS 5.0, Anda juga dapat mengklik untuk memilih menghapus titiknya Layanan, yang benar-benar menghilangkan layanan yang Anda tidak memilih dari sistem Anda. Ketika Anda telah memilih pengaturan yang sesuai, klik berikutnya.
  6. Pada halaman peta Script, klik untuk mengosongkan kotak centang di sebelah setiap jenis file atau jenis file yang Anda ingin server Anda menyediakan. Jika Anda tidak yakin apa yang harus menonaktifkan, Anda dapat Telisik direktori konten Anda untuk mengetahui jika ada ekstensi nama file tersebut. Perhatikan bahwa kebanyakan server memerlukan Active Server Pages (.asp), jadi Anda harus klik untuk mengosongkan kotak centang bahwa kecuali Anda yakin bahwa server Anda tidak melayani halaman ASP. Klik berikutnya.
  7. Pada halaman keamanan tambahan, pilih direktori maya yang akan dihapus dari server ini. secara asali, direktori maya ini diinstal secara asali dengan IIS, sehingga mereka terkenal target bagi penyerang dan Anda mungkin ingin menghapus direktori maya ini atau mengubah mereka pada komputer produksi. Menghapus direktori maya ini dari IIS tidak menghapus direktori fisik yang sesuai pada disk, sehingga Anda tidak akan kehilangan data apapun dengan memilih opsi ini.
  8. Pada halaman tambahan keamanan, klik untuk memilih menjalankan sistem utilitas jika Anda ingin menyangkal hak-hak pada file yang dapat dieksekusi dalam direktori Windows ke rekening tamu Internet (secara default, IUSR_ComputerName>). Opsi ini harus dipilih pada kebanyakan sistem.
  9. Pada halaman tambahan keamanan, klik untuk memilih menulis ke direktori konten jika Anda ingin menyangkal menulis hak untuk Tamu Internet account pada direktori yang berisi Web konten. Pastikan bahwa Anda meninggalkan pilihan ini tidak dipilih jika Anda menggunakan FrontPage Server Extension pada server ini atau jika server ini berfungsi sebagai server proksi.
  10. Pada halaman tambahan keamanan, klik untuk memilih menonaktifkan Web Distributed Authoring dan Versioning (WebDAV) jika Anda tidak menggunakan WebDAV untuk membuat dan menyebarkan konten Web di server ini. Jika server ini menjalankan Outlook Web Access (OWA) untuk Exchange 2000, pastikan bahwa Anda meninggalkan pilihan ini tidak dipilih.
    Catatan: jika Anda memilih opsi ini, Lockdown Wizard set hak DLL yang mengimplementasikan fungsionalitas WebDAV (Httpext.dll) untuk menolak izin mengeksekusi. Ini masih dapat mengizinkan permintaan WebDAV tertentu untuk mengeksekusi. Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
    307934 Mengunci diri WebDAV melalui ACL masih memungkinkan memasukkan dan permintaan hapus
  11. Klik berikutnya.
  12. Pada halaman URLScan, pilih opsi untuk menginstal URLScan jika Anda ingin menggunakan URLScan untuk menyaring permintaan masuk berdasarkan seperangkat aturan. Jika klien mencoba membuat permintaan yang tidak sah berdasarkan peraturan URLScan, IIS Balasan dengan 404 File tidak ditemukan kesalahan dan log permintaan dalam URLScan berkas log. secara asali, file ini terletak di % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Catatan Jika Anda meninggalkan WebDAV diaktifkan pada laman keamanan tambahan, tetapi Anda memutuskan untuk menginstal URLScan, catatan bahwa blok URLScan WebDAV permintaan secara asali. Anda harus memodifikasi Urlscan.ini file jika Anda ingin menggunakan WebDAV dengan URLScan.
  13. Pada siap untuk menerapkan pengaturan, meninjau perubahan yang akan dibuat, dan kemudian klik berikutnya.
  14. Lockdown Wizard punggung metabase Anda dan membuat perubahan yang dipilih. Bila proses ini selesai, klik tampilan laporan untuk melihat laporan yang menjelaskan perubahan yang telah dibuat oleh wizard. Klik berikutnya untuk melanjutkan.

    Catatan Anda dapat melihat laporan instalasi dengan membuka %WINDIR%\System32\Inetsrv\Oblt-rep.log di Notepad.
  15. Klik Finish untuk menutup IIS Lockdown Wizard.
  16. Sepenuhnya menguji semua fungsi dari server Anda. Langkah ini sangat penting. Jika Anda menemukan bahwa Anda tidak sengaja telah menonaktifkan fungsionalitas yang diperlukan dari server Anda, segera memutar kembali perubahan yang dibuat Lockdown Wizard, dan kemudian jalankan kembali wizard untuk memilih pilihan yang benar.Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
    317052 Bagaimana untuk membatalkan perubahan yang dibuat oleh IIS Lockdown Wizard

Mengkonfigurasi URLScan

Ketika Anda menjalankan IIS Lockdown Wizard, Anda dapat menginstal URLScan. URLScan adalah suatu ISAPI filter yang menghalangi permintaan HTTP berdasarkan seperangkat aturan yang dapat dikonfigurasi. Misalnya, Anda dapat mengkonfigurasi URLScan untuk memblokir semua permintaan tertentu ekstensi nama berkas, untuk memblokir verba HTTP tertentu (seperti GET atau POST), atau untuk memblokir permintaan yang mengandung karakter yang sering termasuk dalam serangan pada server Web.

Untuk mengkonfigurasi URLScan, gunakan editor teks seperti Notepad untuk mengedit %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini file. File ini berisi komentar ekstensif yang menjelaskan setiap pilihan konfigurasi. Setelah Anda selesai mengedit .ini file, Simpan dan restart IIS.

Untuk informasi tambahan tentang cara mengkonfigurasi URLScan, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
312376 Cara mengkonfigurasi URLScan untuk memungkinkan permintaan dengan ekstensi Null di IIS
326444 Cara mengkonfigurasi alat URLScan

Mengatasi masalah setelah Anda menjalankan IIS Lockdown Wizard

Masalah yang paling umum setelah Anda menjalankan IIS Lockdown Wizard menerima tak terduga 404 File tidak ditemukan kesalahan pesan ketika Anda membuka situs terkunci-down. Anda mungkin menerima pesan galat ini bahkan untuk file yang ada. Hal ini terjadi ketika seorang klien meminta sebuah berkas yang telah diblokir oleh Lockdown Wizard atau URLScan. Dalam kasus ini, IIS mengatakan bahwa file tersebut tidak ada untuk tujuan keamanan. Jika pengguna jahat tahu bahwa layanan rentan yang ada di server tetapi diblokir, pengguna mungkin masih menemukan cara untuk berkeliling blok dan mengeksploitasi kerentanan; Namun, jika pengguna berpikir bahwa layanan tidak terinstal, pengguna tidak akan mencoba untuk mengeksploitasi.

Jika Anda menerima pesan galat 404 setelah Anda menjalankan IIS Lockdown Wizard, ikuti langkah-langkah untuk memecahkan masalah:
  1. Memverifikasi bahwa file yang Anda meminta ada di server. Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
    248033 Bagaimana sistem administrator dapat mengatasi "HTTP 404 - File tidak ditemukan" kesalahan pesan di server yang menjalankan IIS
  2. Memeriksa berkas log URLScan untuk melihat jika URLScan menghalangi permintaan. File ini terletak di %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (di mana MMDDYY adalah tanggal log). Jika Anda menemukan bahwa URLScan yang menghalangi permintaan, lihat Mengkonfigurasi URLScan Bagian untuk mendirikan URLScan sehingga ini memungkinkan permintaan ini.
  3. Jika Anda meminta sebuah file non-HTML, seperti halaman ASP atau server sisi termasuk-diaktifkan file, memverifikasi aplikasi pemetaan untuk jenis file tersebut di Internet Services Manager:
    1. Klik kanan-atas situs web Anda, dan kemudian klik properti.
    2. Pada tab Home Directory , klik konfigurasi.
    3. Klik tab Aplikasi pemetaan .
    4. Klik baris yang sesuai dengan ekstensi file yang Anda mencoba untuk mengakses.
    5. Jika Executable Path disetel ke % WINDIR%\System32\Inetsrv\404.dll, klik Edit, dan kemudian menetapkan Executable jalan ke default path eksekusi untuk ekstensi file itu. Jika Anda tidak yakin dari default, buka file %WINDIR%\System32\Inetsrv\oblt-log.log, yang diciptakan ketika Anda menjalankan Lockdown Wizard. Telisik baris yang dimulai dengan SMAP diikuti oleh ekstensi nama berkas. Baris ini juga berisi default path eksekusi untuk tipe file itu.
Jika Anda memiliki masalah dengan layanan yang tergantung pada IIS, seperti asing atau SharePoint, lihat artikel Pangkalan Pengetahuan Microsoft yang tercantum dalam Mempersiapkan untuk menjalankan IIS Lockdown Wizard Bagian.

Anda juga dapat menemukan bahwa FTP atau SMTP tidak bekerja setelah Anda menjalankan IIS Lockdown Wizard. Hal ini terjadi jika Anda menonaktifkan atau menghapus layanan ini. Jika Anda menonaktifkan layanan, ikuti langkah berikut untuk mengaktifkan kembali mereka:
  1. Buka Control Panel.
  2. Windows NT 4.0, buka Layanan applet. Pada Windows 2000 atau Windows XP, buka folder Administrative Tools, dan kemudian membuka Layanan applet.
  3. klik ganda penerbitan FTP atau Simple Mail Transfer Protocol (SMTP).
  4. Untuk Startup type, klik untuk memilih otomatis.
  5. Klik mulai jika Anda ingin layanan untuk memulai segera.
Jika Anda benar-benar menghapus salah satu atau kedua layanan ini dengan memilih menghapus unneeded Layanan ketika Anda menjalankan IIS Lockdown Wizard pada IIS 5.0, ikuti langkah-langkah untuk menginstal ulang mereka:
  1. Buka Control Panel.
  2. Buka applet Add/Remove Programs, dan kemudian klik Add/Remove Windows Components dalam pane kiri.
  3. Pilih Internet Information Services (IIS), dan kemudian klik rincian.
  4. Klik untuk memilih Protokol Transfer Berkas (FTP) Layanan atau Layanan SMTP.
  5. Klik OK, dan kemudian klik berikutnya. Layanan yang dipilih atau layanan akan diinstal. Anda mungkin diminta untuk memasukkan CD-ROM Windows Anda.
  6. Pastikan bahwa Anda permohonan kembali Service Pack Windows terbaru dan perbaikan yang telah Anda instal.
Jika tak satu pun dari metode ini bekerja, Anda dapat melihat file laporan IIS Lockdown Wizard untuk melihat semua perubahan yang dibuat alat. Ini dapat membantu Anda menentukan apa yang menyebabkan perubahan masalah yang Anda mengalami. File laporan ini disimpan pada % WINDIR\System32\Inetsrv\Oblt-rep.log.

Untuk informasi tambahan tentang bagaimana untuk membatalkan perubahan yang dibuat IIS Lockdown Wizard, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
317052 Bagaimana untuk membatalkan perubahan yang dibuat oleh IIS Lockdown Wizard

Referensi

Untuk informasi tambahan tentang IIS Lockdown Wizard dan bagaimana mengamankan IIS server, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
310725 Bagaimana menjalankan Lockdown Wizard IIS tanpa pengawasan di IIS
311350 Cara membuat jenis server kustom untuk digunakan dengan IIS Lockdown Wizard
282060 Sumber daya untuk mengamankan Internet Information Services

Properti

ID Artikel: 325864 - Kajian Terakhir: 08 Februari 2014 - Revisi: 3.0
Kata kunci: 
kbhowtomaster kbmt KB325864 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 325864

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com