本文將逐步告訴您,如何使用網際網路資訊服務 (IIS) 鎖定精靈保護 Web 伺服器。它也包括如何執行精靈之後,會發生的問題疑難排解的資訊。
準備執行 IIS 鎖定精靈
以 IIS 鎖定精靈中,您可以停用 IIS 來保護您的 IIS 伺服器對攻擊的幾個選擇性的功能。執行精靈之前先讀取說明檔,使自己熟悉,精靈會顯示的選項。若要存取說明檔:
- 下載 IIS 鎖定精靈。如果要下載精靈,請造訪下列 Microsoft 網站:
- 從可執行檔解壓縮鎖定精靈檔案。
- 尋找您指定解壓縮這些檔案時的資料夾,然後連按兩下 Iislockd.chm 檔案。
請注意鎖定精靈允許您停用 IIS 所需的正確操作 Exchange 及 FrontPage 等其他應用程式的某些選擇性功能。如果當您執行鎖定精靈 」 時,沒有選取正確的選項,可能會中斷這些應用程式的功能。為了減少問題,仔細檢閱微軟知識庫文件適合您系統組態
之前 您執行鎖定精靈:
- Exchange 與 Outlook Web Access (OWA):
309508?
(http://support.microsoft.com/kb/309508/
)
在 Exchange 環境中的 IIS 鎖定和 URLscan 組態
- Microsoft 行動式資訊伺服器:
311595?
(http://support.microsoft.com/kb/311595/
)
如何安裝及設定 Microsoft 行動式資訊伺服器上的 Microsoft 安全性工具套件
- Microsoft 小型商務伺服器:
311862?
(http://support.microsoft.com/kb/311862/
)
如何使用 「 IIS 鎖定工具與小型商務伺服器
- Microsoft 專案]、 [Project Server 和 [Project Web Access:
321357?
(http://support.microsoft.com/kb/321357/
)
當您檢視包含方格的 Microsoft Project Web Access 網頁時的錯誤訊息
316398?
(http://support.microsoft.com/kb/316398/
)
如何在 Microsoft Project Server 或 Microsoft Project 中執行的電腦上設定 IIS 鎖定工具和 URLScan 安全性工具
- Microsoft SharePoint 入口網站伺服器:
309675?
(http://support.microsoft.com/kb/309675/
)
IIS 鎖定工具會影響 SharePoint 入口網站伺服器
319633?
(http://support.microsoft.com/kb/319633/
)
' 編寫指令碼的執行錯誤: 執行叫用 (Invoke) 的錯誤 ' 安裝 IIS 鎖定精靈之後的錯誤訊息
- Microsoft Visual Studio.NET:
310588?
(http://support.microsoft.com/kb/310588/
)
在 Visual Studio.NET 中進行偵錯 ASP.NET PRB: 安全性工具組中斷
315904?
(http://support.microsoft.com/kb/315904/
)
注意:"ExternalException: 無法執行的程式 」 從.aspx 網頁呼叫 WebServices 時出現錯誤訊息
- Microsoft FrontPage:
317390?
(http://support.microsoft.com/kb/317390/
)
當 Web 網頁的使用者執行搜尋時,就會發生 「 HTTP/1.1 404 物件找不到 」 錯誤訊息
307976?
(http://support.microsoft.com/kb/307976/
)
當您使用 FrontPage 使用 URLScan 時,出現錯誤訊息
- Microsoft Proxy 伺服器:
311675?
(http://support.microsoft.com/kb/311675/
)
無法搜尋 Proxy 伺服器 2.0 線上說明在安裝 IIS 鎖定精靈之後
888936?
(http://support.microsoft.com/kb/888936/
)
您無法安裝 SMS 2003 進階用戶端
下載並安裝 IIS 鎖定精靈
- 按兩下您下載中 Prepare to run the IIS Lockdown Wizard 的可執行檔區段以啟動精靈。
- 在 [歡迎使用] 頁面上閱讀解釋文字,再按一下 [下一步]。
- 在授權合約] 頁面上閱讀的授權合約請按一下 [我同意,然後按一下 [下一步]。
- 在 [選取伺服器範本] 頁面上選取最接近的此伺服器角色範本],然後再按一下以選取 [檢視範本設定。頁面這有選項已選取該依照基礎伺服器因此您可以使用所有預設選項稍早在前一頁中選取的角色。
如果伺服器有多個角色的 (比方說動態網頁伺服器也是 Proxy 伺服器),按一下以選取 其他 (伺服器,不符合任何列出的角色),並請確定您仔細考慮下列頁面中顯示的所有選項,因為預設選項可能不適用於您的伺服器。當您選取適當的設定,請按一下 [下一步]。 - 在 [網際網路服務] 頁面上選取 [您想要提供您伺服器的服務]。大部份的伺服器需要 Web 服務。如果您不要您的伺服器提供檔案傳輸通訊協定 (FTP) 或簡易郵件傳送通訊協定 (SMTP) 服務 (也就是檔案傳輸或電子郵件服務) 您可以按一下以清除這些選項。請注意,您必須保留選取如果您正在執行 Exchange 或小型商務伺服器的 SMTP。
您沒有選取此頁面的服務設定為 [已停用,而且無法啟動。如果您在 IIS 5.0 上執行鎖定精靈,也可以按一下選取 [移除未選取的服務,可完全移除從您的系統未選取的服務。當您選取適當的設定,請按一下 [下一步]。 - 在 [指令碼對應] 頁面按一下以清除任何檔案類型或您想要提供您伺服器的檔案類型旁邊的核取方塊。如果您不確定要停用什麼,您可以搜尋以找出如果這些副檔名存在您內容目錄。注意大部份的伺服器需要動態伺服器網頁 (.asp),因此您必須按一下以清除該核取方塊,除非您確定您的伺服器不會做 ASP 網頁。按一下 [下一步]。
- 從 「 其他安全性 」 頁面選取 [您想要從這個伺服器移除此虛擬目錄]。根據預設值,這些虛擬目錄被安裝 IIS 的預設,因此它們是已知的攻擊者的目標,並可能會想要移除這些虛擬目錄或重新命名它們在生產電腦上。從 IIS 移除這些虛擬目錄不會移除對應的實體目錄在磁碟上因此請勿遺失任何資料,藉由選取此選項。
- 在 「 其他安全 」 頁上按一下以選取 [執行系統公用程式],如果您想要拒絕 Windows 目錄中的可執行檔案的權限,才能網際網路來賓帳戶 (預設 IUSR_ <computername >)。應選取此選項,在大多數的系統上。
- 在 [其他的安全性] 頁面上按一下以選取 手寫內容目錄,如果您想要拒絕寫入權限,才能網際網路來賓帳戶在包含您的網站的目錄上內容。請確定您保留未選取,如果您在這台伺服器上使用 FrontPage 伺服器擴充程式,或此伺服器作為 Proxy 伺服器這個選項。
- 在 [其他的安全性] 頁面上按一下 [以選取 停用 Web 分散式撰寫及版本處理 (WebDAV),如果您不使用 WebDAV 來建立並部署在這台伺服器上的網頁內容]。如果此伺服器所執行的 Outlook Web Access (OWA) 的 Exchange 2000 確定您保留未選取此選項。
注意: 如果您選取這個選項,鎖定精靈集實作 WebDAV 功能 (Httpext.dll) 的 DLL 上權限拒絕執行權限。這樣仍然可能會允許執行一些 WebDAV 要求。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]: 307934?
(http://support.microsoft.com/kb/307934/
)
鎖定透過 ACL 的 WebDAV 仍允許 PUT 和 DELETE 要求
- 按一下 [下一步]。
- URLScan] 頁面上選取 [要安裝 URLScan,如果您想要使用 URLScan 來篩選出根據一組規則的傳入要求] 選項。如果用戶端嘗試進行不是有效根據 URLScan 規則的要求,IIS 回覆 404 找不到檔案錯誤,並在 URLScan 記錄檔中記錄要求。預設情況下,這個檔案位於 %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log。
附註如果您離開 WebDAV 啟用其他安全性] 頁面上,但您決定要安裝 URLScan 注意 URLScan 封鎖 WebDAV 要求根據預設值。如果您想要與 URLScan 使用 WebDAV,就必須修改 Urlscan.ini 檔案。 - 在套用的設定] 頁面 [準備上, 檢視然後再按一下 [下一步] 會進行的變更。
- 鎖定精靈會備份您的中繼庫,然後選取的變更。當此程序完成時,按一下 [檢視報告],以查看說明精靈所做的變更的報告。按 [下一步] 以繼續。
附註您可以藉由在 「 記事本 」 開啟 %WINDIR%\System32\Inetsrv\Oblt-rep.log 看到安裝報表。 - 按一下 [完成] 關閉 IIS 鎖定精靈]。
- 完整測試您的伺服器的所有功能。這個步驟是非常重要的。如果您發現您有停意外用必要的功能,您的伺服器,立即復原所做的鎖定精靈的變更,然後重新執行精靈,以選取正確的選項。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
317052?
(http://support.microsoft.com/kb/317052/
)
如何復原 IIS 鎖定精靈所做的變更
設定 URLScan
當您執行 IIS 鎖定精靈時,您可以安裝 URLScan。URLScan 是封鎖根據可設定組的規則的 HTTP 要求的 ISAPI 篩選器。比方說,您可以設定 URLScan 封鎖所有要求的某些檔案的副檔名,都封鎖特定的 HTTP 動詞命令 (例如,GET 或 POST),或都封鎖包含經常包含在 Web 伺服器上的攻擊的字元的要求。
若要進行 URLScan 使用 [文字編輯器如 「 記事本 」 來編輯 %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini 檔案。這個檔案包含廣泛的註解,說明每個組態選項。當您完成編輯.ini 檔案時,儲存它,並重新啟動 IIS。
如需有關如何設定 URLScan 的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
312376?
(http://support.microsoft.com/kb/312376/
)
如何設定以允許 URLScan 要求在 IIS 中副檔名為 Null
326444?
(http://support.microsoft.com/kb/326444/
)
如何設定 URLScan 工具
執行 IIS 鎖定精靈後疑難排解問題
當您開啟鎖定的網站時,最常見的問題在執行 IIS 鎖定精靈之後收到未預期 404 的找不到檔案錯誤訊息。您可能會收到這些錯誤訊息,甚至的存在的檔案。當用戶端要求由鎖定精靈或 URLScan 已被封鎖的檔案時,就會發生這個問題。在這種情況下 IIS 說該檔案不存在基於安全性考量。如果惡意使用者知道有弱點的服務存在於伺服器上,但已被封鎖,使用者仍可能會發現利用這個方法來解決區塊,利用這項弱點 ; 不過,如果使用者認為該服務未安裝,使用者將不會嘗試利用它。
如果執行 IIS 鎖定精靈後,您會收到 404 錯誤訊息,請依照下列步驟執行來解決此問題:
- 請確認您要求的檔案存在伺服器上。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
248033?
(http://support.microsoft.com/kb/248033/
)
系統管理員可以如何疑難排解 「 HTTP 404-檔案找不到 」 在執行 IIS 的伺服器上的錯誤訊息
- 檢查 URLScan 記錄檔,查看是否 URLScan 會封鎖要求。這個檔案是位於 %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (MMDDYY 是記錄檔的日期)。如果您發現 URLScan 會封鎖要求,請參閱 < Configure URLScan > 一節,若要設定 URLScan,因此它允許這些要求。
- 如果您正要求一個非 HTML] 檔案的如 ASP 網頁或伺服器端包括啟用檔案,請確認 [Internet 服務管理員] 中的檔案類型的應用程式對應:
- 您網站上按一下滑鼠右鍵,然後按一下 [內容]。
- 在 [主目錄] 索引標籤上按一下 [設定]。
- 按一下 [應用程式對應] 索引標籤。
- 按一下對應到您嘗試存取的檔案的副檔名的線條。
- 如果 可執行檔的路徑 設為 %WINDIR%\System32\Inetsrv\404.dll,按一下 [編輯,然後將 可執行檔的路徑 設為預設值可執行檔路徑的該檔案的副檔名。如果您不確定的預設開啟 [當您執行鎖定精靈時,就會被建立的該 %WINDIR%\System32\Inetsrv\oblt-log.log] 檔案]。尋找 SMAP 後面跟著檔案名稱副檔名的開頭的行。這一行也包含預設可執行檔路徑,該檔案類型。
如果有問題的服務,取決於例如 Exchange 或 SharePoint 的 IIS 請參閱
Prepare to run the IIS Lockdown Wizard 一節中列出 [Microsoft 知識庫文件]。
您也可能會發現該 FTP 或 SMTP 執行 IIS 鎖定精靈之後無法運作。如果您停用或移除這些服務,就會發生這個問題。如果您已停用服務請依照下列步驟執行以重新啟用它們:
- 開啟 [控制台]。
- 在 Windows NT 4.0 上開啟 [服務] 小程式。在 Windows 2000 或 Windows XP 上, 開啟系統管理工具] 資料夾,然後再開啟 [服務] 小程式。
- 按兩下 FTP 發行] 或 [簡易郵件傳送通訊協定 (SMTP)。
- 啟動類型,按一下以選取 [自動]。
- 如果您想要立即啟動服務,請按一下 [開始]。
如果您
移除不必要的服務 時,選取您在 IIS 5.0 上執行 IIS 鎖定精靈完全移除一或多個這些服務,請依照下列步驟重新安裝它們:
- 開啟 [控制台]。
- 開啟 [新增/移除程式] 小程式,然後按一下 [在左窗格中的 [新增/移除 Windows 元件]。
- 選取 [網際網路資訊服務 (IIS),然後按一下 [詳細資料。
- 按一下以選取 [檔案傳輸通訊協定 (FTP) 服務 」 或 「 SMTP 服務。
- 按一下 [確定],然後再按一下 [下一步]。將會安裝選取的服務。您可能會提示您插入您的 Windows 光碟片。
- 請確定您重新套用最新的 Windows Service Pack 以及您已安裝任何 Hotfix。
如果這些方法,沒有任何可以運作,您可以檢視 IIS 鎖定精靈報表檔案,查看工具所做的所有變更。這可幫助您判斷哪些變更造成您所遇到的問題。此報告檔案會儲存在 %WINDIR\System32\Inetsrv\Oblt-rep.log。
如需有關如何復原 IIS 鎖定精靈,所做按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項的變更的詳細資訊:
317052?
(http://support.microsoft.com/kb/317052/
)
如何復原 IIS 鎖定精靈所做的變更
如其他有關 IIS 鎖定精靈,以及如何保護您的 IIS 伺服器,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
310725?
(http://support.microsoft.com/kb/310725/
)
如何執行 IIS 鎖定精靈自動在 IIS 中
311350?
(http://support.microsoft.com/kb/311350/
)
如何建立自訂伺服器型別用於具有 IIS 鎖定精靈
282060?
(http://support.microsoft.com/kb/282060/
)
保護網際網路資訊服務的資源
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
機器翻譯
回此頁最上方
