如何安装和使用 IIS 锁定向导

文章翻译 文章翻译
文章编号: 325864
我们强烈建议所有运行 Microsoft Windows Server 2003 的用户将 Microsoft Internet 信息服务 (IIS) 升级到 6.0 版,因为 IIS 6.0 大大增强了 Web 基础结构的安全性。有关与 IIS 安全性相关的主题的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
展开全部 | 关闭全部

本文内容

概要

本文分步说明如何使用 Internet 信息服务 (IIS) 锁定向导保护 Web 服务器。本文还包含有关如何解决运行向导后产生的问题的信息。

运行 IIS 锁定向导的准备工作

使用 IIS 锁定向导,可以禁用 IIS 的一些可选功能,以保护 IIS 服务器免遭攻击。运行向导前,请阅读帮助文件以熟悉向导中出现的选项。访问帮助文件:
  1. 下载 IIS 锁定向导。要下载向导,请访问下面的 Microsoft 网站:
    http://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC
  2. 从可执行文件中解压缩锁定向导文件。
  3. 找到解压缩文件时指定的文件夹,然后双击 Iislockd.chm 文件。
注意,锁定向导允许您禁用 IIS 的某些功能,而这些功能是正确操作其他应用程序(如 Exchange 和 FrontPage)时必需的。如果运行锁定向导时未选择正确的选项,则可能会破坏这些应用程序的功能。为了尽可能地减少问题,请在运行锁定向导之前 仔细阅读适合您的系统配置的 Microsoft 知识库文章:
  • Exchange 和 Outlook Web Access (OWA):
    309508 Exchange 环境中的 IIS 锁定和 URLscan 配置
  • Microsoft Mobile Information Server:
    311595 XCCC:如何在 Microsoft Mobile Information Server 上安装和配置 Microsoft 安全工具包
  • Microsoft Small Business Server:
    311862 如何在 Small Business Server 上使用 IIS 锁定工具
  • Microsoft Project、Project Server 和 Project Web Access:
    321357 查看包含网格的 Microsoft Project Web Access 页面时收到“VB Script”(VB 脚本)或“Cannot Creat Business Objects”(无法创建商务对象)错误信息
    316398 如何在运行 Microsoft Project Server 2003、Microsoft Project 2000 或 Microsoft Project Central 的计算机上配置 IIS 锁定工具和 URLScan 安全工具
  • Microsoft SharePoint Portal Server:
    309675 IIS 锁定工具影响 SharePoint Portal Server
    319633 安装 IIS 锁定向导后出现“Script Execution Error:Error Executing INVOKE”(脚本执行错误:执行 INVOKE 时出错)错误信息
  • Microsoft Visual Studio .NET:
    310588 PRB:安全工具包中止 Visual Studio .NET 中的 ASP.NET 调试
    315904 BUG:从 .aspx 页面调用 WebServices 时出现“ExternalException:Cannot Execute a Program”(ExternalException:无法执行程序)错误信息
  • Microsoft FrontPage:
    317390 当网页的用户在 FrontPage 中执行搜索时出现“HTTP/1.1 404 Object Not Found”(没有找到 HTTP/1.1 404 对象)错误信息
    307976 安装 URLScan 后,使用 FrontPage 时收到错误信息
  • Microsoft Proxy Server:
    311675 安装 IIS 锁定向导后无法搜索 Proxy Server 2.0 联机帮助

下载并安装 IIS 锁定向导

  1. 双击在运行 IIS 锁定向导的准备工作 一节中下载的可执行文件以启动该向导。
  2. 阅读欢迎页中的说明文字,然后单击下一步
  3. 阅读“许可协议”页上的许可协议,单击我同意,然后单击下一步
  4. 在“选择服务器模板”页中,选择与此服务器的角色最接近的模板,然后单击以选中查看模板设置。接下来各页中的选项都是根据您此前在前一页中所选择的服务器的角色而选定的, 所以您可以使用所有默认的选择。

    如果服务器有多个角色(例如,既是动态 Web 服务器又是代理服务器),单击以选中其他(与列出的角色不匹配的服务器),并且确保仔细考虑后面的页面中出现的所有选项,因为默认的选择可能并不适合您的服务器。选择了合适的设置后,单击下一步
  5. 在“Internet 服务”页上,选择您希望服务器提供的服务。大多数服务器都要求 Web 服务。如果不希望服务器提供“文件传输协议 (FTP)”服务或“简单邮件传输协议 (SMTP)”服务(即文件传输服务或电子邮件服务),可以单击以清除这些选项。注意,如果您运行的是 Exchange 或 Small Business Server,则必须使 SMTP 保持被选中。

    您未在此页面上选定的服务被设置为禁用,无法启动。如果您在 IIS 5.0 上运行锁定向导,还可以单击以选中删除未选定的服务,这将从系统中彻底删除您未选定的服务。选择了合适的设置后,单击下一步
  6. 在“脚本映射”页上,单击希望服务器提供的文件类型旁边的复选框,将其清除。如果不能确定要禁用什么,可以搜索内容目录,确定是否存在那些文件扩展名。注意,大多数服务器都要求 Active Server Pages (.asp),因此,除非您能确定服务器不提供 ASP 页,否则必须单击该复选框以将其清除。单击下一步
  7. 在“额外的安全措施”页上,选择要从此服务器中删除的虚拟目录。默认情况下,这些虚拟服务器是与 IIS 一起安装的,因此它们是攻击者熟知的攻击目标,您可能需要删除这些虚拟目录,或者在生产计算机上重命名它们。从 IIS 中删除这些虚拟目录不会删除磁盘上相应的物理目录,因此选中此选项不会丢失任何数据。
  8. 如果您希望拒绝 Internet 来宾帐户(默认为 IUSR_<computername>)对 Windows 目录中的可执行文件的权限,请在“额外的安全措施”页上,单击以选中运行系统实用工具。在大多数系统中都应该选中此选项。
  9. 如果您希望拒绝 Internet 来宾帐户在包含您的 Web 内容的目录中的写入权限,请在“额外的安全措施”页上,单击以选中写入内容目录。如果您在此服务器上使用了 FrontPage Server Extensions,或者此服务器用作代理服务器,请确保未选中此选项。
  10. 如果您未使用 WebDAV 在此服务器上创建和部署 Web 内容,请在“额外的安全措施”页上,单击以选中禁用 Web 分布式创作和版本控制 (WebDAV)。如果此服务器运行了 Outlook Web Access (OWA) for Exchange 2000,请确保未选中此选项。
    注意:如果您选中了此选项,锁定向导会将实现 WebDAV 功能的 DLL 文件 (Httpext.dll) 的权限设置为拒绝执行权限。这仍然可以允许执行某些 WebDAV 请求。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    307934 通过 ACL 锁定 WebDAV 后仍允许 PUT 和 DELETE 请求
  11. 单击下一步
  12. 在 URLScan 页上,如果您希望使用 URLScan 按一套规则筛选出传入请求,请选择安装 URLScan 的选项。如果客户端试图发出请求,而根据 URLScan 规则,该请求是无效的,IIS 将用“404 File Not Found”(404 找不到文件)错误信息回应,并将该请求记入 URLScan 日志文件。此文件的默认存储位置为 %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log。

    注意:如果在“额外的安全措施”页上启用了 WebDAV,但又决定安装 URLScan,注意 URLScan 会在默认情况下禁止 WebDAV 请求。如果希望同时使用 WebDAV 和 URLScan,必须修改 Urlscan.ini 文件。
  13. 在“准备应用设置”页上,检查将要进行的更改,然后单击下一步
  14. 锁定向导将备份元数据库并执行选定的更改。完成此过程后,单击查看报告查看说明向导所做更改的报告。单击下一步继续。

    注意:可以在记事本中打开 %WINDIR%\System32\Inetsrv\Oblt-rep.log 查看安装报告。
  15. 单击完成关闭 IIS 锁定向导。
  16. 对服务器的所有功能进行充分的测试。这一步非常重要。如果发现无意中禁用了服务器必需的功能,请立即撤消锁定向导所做的更改,然后重新运行向导以选择正确的选项。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    317052 如何撤消 IIS 锁定向导所做的更改

配置 URLScan

在运行 IIS 锁定向导时,可以安装 URLScan。URLScan 是一个 ISAPI 筛选程序,可以按照一套可配置的规则禁止 HTTP 请求。例如,可以配置 URLScan 以禁止对特定文件扩展名的请求、禁止某些特定的 HTTP 谓词(如 GET 或 POST),或者禁止包含 Web 服务器攻击中经常出现的字符的请求。

要配置 URLScan,请使用文本编辑器(如记事本)编辑 %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini 文件。此文件包含说明每个配置选项的详尽注释。完成对此 .ini 文件的编辑后,保存此文件,然后重新启动 IIS。

有关如何配置 URLScan 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
312376 如何配置 URLScan 以在 IIS 中允许使用空扩展名的请求
326444 如何配置 URLScan 工具

解决运行 IIS 锁定向导后出现的问题

运行 IIS 锁定向导后最常出现的问题是,打开锁定的站点时,收到意外的“404 File Not Found”错误信息。即使文件存在,也可能会收到这些错误信息。发生这种情况是因为客户机请求的文件已被锁定向导或 URLScan 禁止。在这种情况下,出于安全考虑,IIS 会提示文件不存在。如果某个恶意的用户知道服务器上有易受攻击但已被禁止的服务,该用户仍然可能找到某种方法避开禁止以利用此漏洞;但是,如果该用户认为该服务没有安装,就不会试图利用此漏洞了。

如果在运行 IIS 锁定向导后收到 404 错误信息,请按照以下步骤解决此问题:
  1. 验证服务器上是否存在您所请求的文件。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    248033 IIS 服务器返回“HTTP 404 - File Not Found”(HTTP 404 - 找不到文件)错误的常见原因
  2. 检查 URLScan 的日志文件,查看 URLScan 是否禁止这些请求。此文件位于 %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log(其中 MMDDYY 是创建日志的日期)。如果发现 URLScan 禁止这些请求,请参见配置 URLScan 一节,设置 URLScan 以使其允许这些请求。
  3. 如果请求的是非 HTML 文件(如 ASP 页或服务器端包括文件),请在“Internet 服务管理器”中验证该文件类型的应用程序映射:
    1. 右键单击您的网站,然后单击属性
    2. 主目录选项卡上,单击配置
    3. 单击应用程序映射选项卡。
    4. 单击与您试图访问的文件的扩展名对应的行。
    5. 如果可执行文件路径设置为 %WINDIR%\System32\Inetsrv\404.dll,单击编辑,然后将可执行文件路径设置为该文件扩展名的默认可执行文件路径 。如果不能确定默认路径,请打开运行锁定向导时创建的 %WINDIR%\System32\Inetsrv\oblt-log.log 文件。查找以 SMAP 开头、后接该文件扩展名的行。此行还包含该文件类型的默认可执行文件路径。
如果依赖于 IIS 的服务(如 Exchange 或 SharePoint)有问题,请参见运行 IIS 锁定向导的准备工作 一节中列出的 Microsoft 知识库文章。

您可能还会发现,在运行了 IIS 锁定向导后,FTP 或 SMTP 失效了。出现这种情况是因为您禁用或删除了这些服务。如果您禁用了这些服务,请按照以下步骤重新启用这些服务:
  1. 打开“控制面板”。
  2. 在 Windows NT 4.0 中,打开服务小程序。在 Windows 2000 或 Windows XP 中,打开“管理工具”文件夹,然后打开服务小程序。
  3. 双击 FTP PublishingSimple Mail Transfer Protocol (SMTP)
  4. 对于启动类型,单击以选中自动
  5. 如果希望该服务立即启动,单击启动
如果在 IIS 5.0 上运行锁定向导时已通过选择删除不需要的服务彻底删除了这些服务,请按照以下步骤重新安装这些服务:
  1. 打开“控制面板”。
  2. 打开“添加/删除程序”小程序,然后单击左窗格中的添加/删除 Windows 组件
  3. 选择 Internet 信息服务 (IIS),然后单击详细信息
  4. 单击以选中 File Transfer Protocol (FTP) ServiceSMTP Service
  5. 单击确定,然后单击下一步。系统将安装选定的服务。可能会提示您插入 Windows CD-ROM。
  6. 请务必重新应用已安装的最新 Windows Service Pack 和所有的修复程序。
如果这些方法都不起作用,您可以查看 IIS 锁定向导报告文件,检查该工具做出的所有更改。这有助于您确定是什么样的更改导致您遇到这些问题。此报告文件保存在 %WINDIR\System32\Inetsrv\Oblt-rep.log。

有关如何撤消 IIS 锁定向导所做更改的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
317052 如何撤消 IIS 锁定向导所做的更改

参考

有关 IIS 锁定向导以及如何保护 IIS 服务器安全的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
310725 如何在 IIS 中无人值守地运行 IIS 锁定向导
311350 如何创建用于 IIS 锁定向导的自定义服务器类型
282060 用于保护 Internet 信息服务安全的资源

属性

文章编号: 325864 - 最后修改: 2012年6月27日 - 修订: 5.0
关键字:?
kbhowtomaster KB325864
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com