Come installare e utilizzare lo strumento IIS Lockdown Wizard

Traduzione articoli Traduzione articoli
Identificativo articolo: 325864
╚ consigliabile che tutti gli utenti eseguire l'aggiornamento a Microsoft Internet Information Services (IIS) versione 6.0 in esecuzione su Microsoft Windows Server 2003. IIS 6.0 aumenta notevolmente la protezione dell'infrastruttura Web. Per ulteriori informazioni sugli argomenti relativi alla protezione IIS, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come proteggere un server Web utilizzando lo strumento Internet Information Services (IIS) Lockdown Wizard. Include inoltre informazioni su come risolvere i problemi che si verificano dopo aver eseguito la procedura guidata.

Preparare l'esecuzione di IIS Lockdown Wizard

Con IIS Lockdown Wizard, Ŕ possibile disattivare diverse funzionalitÓ opzionali di IIS per proteggere il server IIS da eventuali attacchi. Prima di eseguire la procedura guidata, leggere il file della Guida per acquisire familiaritÓ con le opzioni che presenta la procedura guidata. Per accedere ai file della Guida:
  1. Scaricare IIS Lockdown Wizard. Per scaricare la procedura guidata, visitare il seguente sito Web Microsoft:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC
  2. Estrarre i file di blocco guidato dal file eseguibile.
  3. Individuare la cartella specificata dopo aver estratto i file e quindi fare doppio clic sul file IISLockd.
Si noti che la procedura guidata di blocco consente di disattivare determinate funzionalitÓ facoltative di IIS sono necessari per il corretto funzionamento di altre applicazioni, ad esempio Exchange e FrontPage. Se non si seleziona le opzioni corrette quando si esegue la procedura guidata di blocco, si potrebbe compromettere la funzionalitÓ di queste applicazioni. Per ridurre al minimo i problemi, esaminare attentamente gli articoli della Microsoft Knowledge Base appropriati per il sistema configurazione prima di che eseguire la procedura guidata di blocco:
  • Exchange e Outlook Web Access (OWA):
    309508 Configurazioni di IIS Lockdown e URLscan in ambiente Exchange
  • Microsoft Mobile Information Server:
    311595 Come installare e configurare Microsoft Security Tool Kit in un database di Microsoft Mobile Information Server
  • Microsoft Small Business Server:
    311862 Come utilizzare lo strumento IIS Lockdown tool con Small Business Server
  • Microsoft Project, Project Server e Project Web Access:
    321357 Messaggi di errore quando si visualizza una pagina di Microsoft Project Web Access che contiene le griglie
    316398 Come configurare lo strumento IIS Lockdown e URLScan security tool su un computer che esegue Microsoft Project Server o Microsoft Project Central
  • Microsoft SharePoint Portal Server:
    309675 IIS Lockdown Tool influisce su SharePoint Portal Server
    319633 ' Errore di esecuzione di script: errore durante l'esecuzione di INVOKE' messaggio di errore dopo l'installazione di IIS Lockdown Wizard
  • Microsoft Visual Studio .NET:
    310588 PRB: Toolkit di protezione interrompe il debug ASP.NET in Visual Studio .NET
    315904 BUG: "ExternalException: Impossibile eseguire un programma" messaggio di errore quando si chiama servizi Web da una pagina aspx
  • Microsoft FrontPage:
    317390 Messaggio di errore "HTTP/1.1 404 oggetto non trovato" si verifica quando un utente della pagina Web esegue una ricerca
    307976 Messaggio di errore quando si utilizza FrontPage con URLScan
  • Microsoft Proxy Server:
    311675 Impossibile eseguire la ricerca Guida in linea di Proxy Server 2.0 dopo l'installazione di IIS Lockdown Wizard
  • 888936 ╚ possibile installare il Client avanzato di SMS 2003

Scaricare e installare lo strumento IIS Lockdown Wizard

  1. Fare doppio clic sul file eseguibile scaricato nel Preparare l'esecuzione di IIS Lockdown Wizard sezione per avviare la procedura guidata.
  2. Nella pagina iniziale, leggere il testo esplicativo e quindi fare clic su Avanti.
  3. Nella pagina Contratto di licenza, leggere il contratto di licenza, fare clic su I Agreee quindi fare clic su Avanti.
  4. Nella pagina Select Server Template, selezionare il modello che corrisponde maggiormente il ruolo del server e quindi fare clic per selezionare Le impostazioni del modello di visualizzazione. Le pagine che seguono questo dispone di opzioni giÓ selezionate in base al ruolo del server selezionato precedentemente nella pagina precedente, Ŕ possibile utilizzare tutte le selezioni predefinite.

    Se il server dispone di pi¨ ruoli (ad esempio, un dinamico server Web che Ŕ anche un server proxy), fare clic per selezionare l'altro (Server che non corrisponde ad alcuno dei ruoli elencati), assicurarsi di considerare con attenzione tutte le opzioni presentate nelle pagine successive, poichÚ le selezioni predefinite potrebbero non essere appropriate per il server. Dopo aver selezionato le impostazioni appropriate, fare clic su Avanti.
  5. Nella pagina Internet Services, selezionare i servizi che si desidera che il server di fornire. La maggior parte dei server richiedono il servizio Web. Se non si desidera che il server per fornire servizi di File Transfer Protocol (FTP) o trasferimento protocollo SMTP (Simple Mail) (ovvero, trasferimento o posta elettronica servizi file), Ŕ possibile fare clic per deselezionare queste opzioni. Si noti che Ŕ necessario lasciare SMTP selezionato se si esegue Exchange o Small Business Server.

    I servizi che non si seleziona in questa pagina sono impostati su disabilitato e non possono iniziare. Se si esegue la procedura guidata di blocco in IIS 5.0, Ŕ inoltre possibile fare clic per selezionare il controllo Remove unselected services, che consente di rimuovere completamente i servizi che non Ŕ stato selezionato dal sistema. Dopo aver selezionato le impostazioni appropriate, fare clic su Avanti.
  6. Nella pagina mapping di Script, fare clic per deselezionare la casella di controllo accanto a qualsiasi tipo di file o tipi di file che si desidera che il server di fornire. Se non si Ŕ certi che cosa disattivare, Ŕ possibile cercare la directory per scoprire l'esistono di tali estensioni. Si noti che la maggior parte dei server necessari pagine ASP (ASP), Ŕ necessario fare clic per deselezionare la casella di controllo a meno che non si Ŕ certi che il server non gestisce le pagine ASP. Fare clic su Avanti.
  7. Nella pagina Additional Security, selezionare la directory virtuale che si desidera rimuovere dal server. Per impostazione predefinita, queste directory virtuali vengono installate per impostazione predefinita con IIS, in modo che sono destinazioni note per gli utenti malintenzionati ed Ŕ possibile rimuovere le directory virtuali o rinominarli nei computer di produzione. Rimozione di queste directory virtuali di IIS non rimuove le directory fisiche corrispondente sul disco, in modo da non perdere i dati selezionando questa opzione.
  8. Nella pagina protezione aggiuntiva, fare clic per selezionare l'esecuzione delle utilitÓ di sistema se si desidera negare i diritti sui file eseguibili nella directory di Windows per l'account Internet guest (per impostazione predefinita, IUSR _nomecomputer>). Questa opzione deve essere selezionata nella maggior parte dei sistemi.
  9. Nella pagina protezione aggiuntiva, selezionare scrittura alle directory di contenuto se si desidera negare scrivere diritti per Internet guest account le directory che contengono Web contenuti. Assicurarsi di lasciare questa opzione deselezionata se si utilizzano le estensioni del Server di FrontPage su questo server o se il server funziona come un server proxy.
  10. Nella pagina protezione aggiuntiva, fare clic per selezionare Disattiva Web Distributed Authoring and Versioning (WebDAV) , se non si utilizza WebDAV per creare e distribuire il contenuto Web su questo server. Se questo server Ŕ in esecuzione Outlook Web Access (OWA) per Exchange 2000, assicurarsi di lasciare questa opzione deselezionata.
    Nota: se si seleziona questa opzione, i set di Lockdown Wizard i diritti sulla DLL che implementa la funzionalitÓ WebDAV (Httpext) per negare l'autorizzazione di esecuzione. Comunque potrebbe consentire a determinate richieste di WebDAV da eseguire. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
    307934 Blocco di WebDAV tramite ACL consente ancora le richieste PUT e DELETE
  11. Fare clic su Avanti.
  12. Nella pagina URLScan selezionare l'opzione per installare URLScan, se si desidera utilizzare URLScan per filtrare le richieste in ingresso in base a un insieme di regole. Se un client tenta di effettuare una richiesta non Ŕ valida in base alle regole di URLScan, IIS risponde con un errore 404 File non trovato e registra la richiesta nel file di registro di URLScan. Per impostazione predefinita, questo file si trova in % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Nota. Se si lascia WebDAV attivata nella pagina protezione aggiuntiva, ma si decide di installare URLScan, nota che blocca URLScan richieste WebDAV per impostazione predefinita. Se si desidera utilizzare WebDAV con URLScan, Ŕ necessario modificare il file URLScan. ini.
  13. Nella pagina pronto per applicare le impostazioni, controllare le modifiche che verranno apportate e quindi fare clic su Avanti.
  14. La procedura guidata di blocco viene eseguito il backup della metabase e apporta le modifiche selezionate. Al termine di questo processo, fare clic su Visualizza Report per visualizzare un report che descrive le modifiche che sono state definite. Fare clic su Avanti per continuare.

    Nota. ╚ possibile visualizzare il report di installazione aprendo %WINDIR%\System32\Inetsrv\Oblt-rep.log nel blocco note.
  15. Fare clic su Fine per chiudere lo strumento IIS Lockdown Wizard.
  16. Un test completo tutte le funzionalitÓ del server. Questo passaggio Ŕ molto importante. Se si scopre di avere disabilitato accidentalmente funzionalitÓ necessarie del server, annullare immediatamente le modifiche apportate dalla procedura guidata di blocco e quindi eseguire di nuovo la procedura guidata per selezionare le opzioni corrette.Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
    317052 Come annullare le modifiche apportate da IIS Lockdown Wizard

Configurare URLScan

Quando si esegue IIS Lockdown Wizard, Ŕ possibile installare URLScan. URLScan Ŕ un filtro ISAPI che blocca le richieste HTTP in base a una serie di regole configurabili. Ad esempio, Ŕ possibile configurare URLScan per bloccare tutte le richieste per una determinata estensione, per bloccare alcuni verbi HTTP (ad esempio GET o POST), o bloccare le richieste che contengono caratteri che sono spesso inclusi in attacchi sui server Web.

Per configurare URLScan, utilizzare un editor di testo come blocco note per modificare il file %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Questo file contiene una serie di commenti che illustrano ogni opzione di configurazione. Al termine della modifica del file ini, salvarlo e riavviare IIS.

Per ulteriori informazioni su come configurare URLScan, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
312376 Come configurare URLScan per consentire richieste con estensione Null in IIS
326444 Come configurare lo strumento URLScan

Risoluzione dei problemi quando si esegue IIS Lockdown Wizard

Il problema pi¨ comune dopo l'esecuzione di IIS Lockdown Wizard Ŕ messaggi imprevisti 404 File non trovato di errore quando si apre il sito bloccato. ╚ possibile ricevere questi messaggi di errore anche per i file esistenti. Ci˛ si verifica quando un client richiede un file che Ŕ stato bloccato dalla procedura guidata di blocco o URLScan. In questo caso IIS afferma che il file non esiste per motivi di sicurezza. Se un utente malintenzionato Ŕ noto che un servizio vulnerabile esiste sul server, ma viene bloccato, l'utente pu˛ ancora trovare un modo per aggirare il blocco e sfruttare la vulnerabilitÓ; Tuttavia, se l'utente ritiene che il servizio non Ŕ installato, l'utente non tenterÓ sfruttarla.

Se viene visualizzato un messaggio di 404 errore dopo aver eseguito IIS Lockdown Wizard, attenersi alla seguente procedura per risolvere il problema:
  1. Verificare che il file che richiesto esista sul server. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
    248033 Come gli amministratori di sistema possono risolvere il messaggio di errore "HTTP 404 - File non trovato" su un server che esegue IIS
  2. Esaminare il file di registro di URLScan per vedere se URLScan blocca le richieste. Questo file si trova in %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (dove ggmmaa rappresenta la data per il registro). Se si scopre che URLScan blocca le richieste, vedere la Configurare URLScan sezione configurare URLScan in modo che consente a queste richieste.
  3. Se si richiede un file non HTML, ad esempio una pagina ASP o un lato abilitati per includere file server, verificare il mapping di applicazioni per il tipo di file in Gestione servizi Internet:
    1. Il pulsante destro del sito Web e quindi scegliere proprietÓ.
    2. Nella scheda Home Directory , fare clic su configurazione.
    3. Fare clic sulla scheda Mapping applicazioni .
    4. Selezionare la riga che corrisponde all'estensione del file che si sta tentando di accedere.
    5. Se il Percorso dell'eseguibile Ŕ impostato su % WINDIR%\System32\Inetsrv\404.dll, fare clic su Modificae quindi impostare il Percorso dell'eseguibile per il percorso dell'eseguibile per l'estensione predefinita. Se non si Ŕ certi del valore predefinito, aprire il file %WINDIR%\System32\Inetsrv\oblt-log.log, che Ŕ stato creato durante l'esecuzione della procedura guidata di blocco. Individuare la riga che inizia con SMAP , seguito dall'estensione del nome file. Questa riga contiene anche il percorso dell'eseguibile predefinito per il tipo di file.
Se hai problemi con un servizio che dipende da IIS, ad esempio Exchange o SharePoint, vedere gli articoli della Microsoft Knowledge Base elencati nella Preparare l'esecuzione di IIS Lockdown Wizard .

╚ inoltre possibile trovare tale SMTP o FTP non funzionano dopo l'esecuzione di IIS Lockdown Wizard. Ci˛ si verifica se si disattiva o rimuovere questi servizi. Disattivando i servizi, attenersi alla seguente procedura per riattivarle:
  1. Aprire il pannello di controllo.
  2. In Windows NT 4.0, aprire l'applet servizi . In Windows 2000 o Windows XP, aprire la cartella Strumenti di amministrazione e quindi aprire l'applet servizi .
  3. Fare doppio clic su pubblicazione FTP o Simple Mail Transfer Protocol (SMTP).
  4. Per il tipo di avvio, fare clic per selezionare automatico.
  5. Se si desidera che il servizio venga avviato immediatamente, fare clic su Start .
Se sono stati completamente rimossi uno o entrambi questi servizi selezionando Rimuovi servizi non necessari durante l'esecuzione di IIS Lockdown Wizard in IIS 5.0, attenersi alla seguente procedura per reinstallare i driver:
  1. Aprire il pannello di controllo.
  2. Aprire l'applet Installazione applicazioni e quindi fare clic su Installazione componenti di Windows nel riquadro sinistro.
  3. Selezionare Internet Information Services (IIS)e quindi fare clic su Dettagli.
  4. Fare clic per selezionare il servizio File Transfer Protocol (FTP) o il Servizio SMTP.
  5. Fare clic su OKe quindi fare clic su Avanti. Verranno installati i servizi selezionati. ╚ possibile che venga richiesto di inserire il CD di Windows.
  6. Assicurarsi di riapplicare il service pack pi¨ recente per Windows e gli aggiornamenti rapidi installati.
Se nessuno di questi metodi funziona, Ŕ possibile visualizzare il file di report per visualizzare tutte le modifiche apportato lo strumento IIS Lockdown Wizard. Ci˛ consente di determinare modifiche causa i problemi che si sono verificati. File di report viene salvato in % WINDIR\System32\Inetsrv\Oblt-rep.log.

Per ulteriori informazioni su come annullare le modifiche apportate IIS Lockdown Wizard, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
317052 Come annullare le modifiche apportate da IIS Lockdown Wizard

Riferimenti

Per ulteriori informazioni su IIS Lockdown Wizard e su come proteggere il server IIS, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:
310725 Come eseguire IIS Lockdown Wizard automatica in IIS
311350 Come creare un tipo di server personalizzati da utilizzare con IIS Lockdown Wizard
282060 Risorse per la protezione di Internet Information Services

ProprietÓ

Identificativo articolo: 325864 - Ultima modifica: giovedý 31 ottobre 2013 - Revisione: 6.0
Chiavi:á
kbhowtomaster kbmt KB325864 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 325864
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com