أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

كيفية تثبيت IIS Lockdown معالج

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية325864
نوصي بشدة لكافة المستخدمين الترقية إلى Microsoft خدمات معلومات إنترنت (IIS) 6.0 الإصدار قيد التشغيل على نظام التشغيل Windows Server 2003. IIS 6.0 على زيادة أمان البنية التحتية ويب بشكل ملحوظ. لمزيد من المعلومات حول المواضيع ذات الصلة بالأمان IIS قم بزيارة موقع Microsoft التالي على الويب:
الموجز
توضح هذه المقالة خطوة بخطوة حول كيفية تأمين ملقم ويب باستخدام معالج Lockdown خدمات معلومات إنترنت (IIS). ويتضمن أيضًا معلومات حول كيفية استكشاف المشكلات التي تحدث بعد تشغيل المعالج.

back to the top

التحضير لتشغيل معالج IIS Lockdown

باستخدام معالج Lockdown IIS يمكن تعطيل عدة ميزات اختيارية IIS لتأمين ملقم IIS ضد الهجوم. قبل تشغيل المعالج قراءة ملف التعليمات للتآلف مع الخيارات التي تقدم المعالج. للوصول إلى ملف التعليمات:
  1. تنزيل معالج IIS Lockdown. لتنزيل المعالج قم بزيارة موقع Microsoft التالي على الويب:
  2. استخراج الملفات معالج Lockdown من الملف القابل للتنفيذ.
  3. ابحث عن المجلد الذي قمت بتحديده عند استخراج الملفات ومن ثم انقر نقراً مزدوجاً فوق الملف Iislockd.chm.
لاحظ أن معالج Lockdown يسمح تعطيل بعض ميزات الاختيارية IIS مطلوبة من أجل العملية الصحيحة من التطبيقات الأخرى مثل Exchange و FrontPage. إذا لم تحدد خيارات الصحيح عند تشغيل معالج Lockdown قد قطع وظيفة هذه التطبيقات. لتقليل مشكلات بعناية مراجعة في مقالات "قاعدة المعارف لـ Microsoft المناسبة لديك نظام التكوين قبل تشغيل معالج" تأمين ":
  • Exchange و Outlook Web (OWA):
    309508IIS Lockdown URLscan التكوينات في بيئة Exchange
  • خادم معلومات الجوال Microsoft:
    311595كيفية تثبيت وتكوين أدوات أداة أمان Microsoft على خادم معلومات الجوال Microsoft
  • ملقم الأعمال الصغيرة Microsoft:
    311862كيفية استخدام أداة "تأمين IIS" مع "ملقم الأعمال الصغيرة"
  • Microsoft Project خادم Project و Project Web Access:
    321357ظهور رسائل خطأ عند عرض صفحة Microsoft Project Web Access التي تحتوي على الشبكة
    316398كيفية تكوين "أداة تأمين IIS" و "أداة الأمان URLScan" على جهاز كمبيوتر يعمل بنظام التشغيل Microsoft Project Server أو Microsoft Project المركزية
  • Microsoft SharePoint Portal Server:
    309675تؤثر "أداة تأمين IIS" SharePoint Portal Server
    319633' خطأ تنفيذ البرنامج النصي: خطأ في تنفيذ الاستدعاء ' رسالة الخطأ بعد تثبيت IIS Lockdown معالج
  • Microsoft Visual Studio .NET:
    310588PRB: تصحيح ASP.NET في Visual Studio .NET فواصل أدوات أمان
    315904BUG: "ExternalException: لا يمكن تنفيذ برنامج" ظهور رسالة خطأ عند استدعاء WebServices من صفحة .aspx
  • Microsoft FrontPage:
    317390ظهور رسالة الخطأ "HTTP/1.1 404 كائن لم يتم العثور على" عند قيام مستخدم صفحة ويب بحث
    307976ظهور رسالة خطأ عند استخدام FrontPage مع URLScan
  • الملقم الوكيل Microsoft:
    311675لا يمكن البحث Proxy Server 2.0 تعليمات إنترنت بعد تثبيت IIS Lockdown معالج
  • 888936لا يمكنك تثبيت عميل متقدم SMS 2003
back to the top

تحميل معالج IIS Lockdown وتثبيتها

  1. انقر نقراً مزدوجاً فوق الملف التنفيذي الذي قمت بتحميله في Prepare to run the IIS Lockdown Wizard المقطع إلى تشغيل المعالج.
  2. على صفحة الترحيب قراءة نص توضيحي ثم انقر فوق التالي.
  3. على الصفحة "اتفاقية الترخيص،" قراءة اتفاقية الترخيص انقر فوق أوافق ، ثم انقر فوق التالي.
  4. في الصفحة "تحديد قالب Server" ، حدد القالب الذي يطابق الدور لهذا الملقم بتصديره ثم انقر فوق لتحديد إعدادات عرض القوالب. الصفحات اتبع تلك هذا أن الخيارات المحددة بالفعل استناداً إلى دور الملقم الذي قمت بتحديده في الصفحة السابقة بحيث يمكنك استخدام كافة التحديدات الافتراضي.

    إذا كان الملقم أدوار متعددة (على سبيل المثال، حيوية ملقم ويب الذي أيضاً ملقم وكيل) ، انقر لتحديد أخرى (Server التي لا تطابق أي من الأدوار المسرودة) تأكد من مراعاة كافة الخيارات أدناه على الصفحات التالية بعناية بسبب تحديدات الافتراضية قد لا يتناسب مع الملقم. عند تحديد الإعدادات المناسبة انقر فوق التالي.
  5. في الصفحة "خدمات إنترنت" ، حدد الخدمات التي تريد الملقم لتوفير. تتطلب معظم ملقمات خدمة ويب. إذا لم تكن تريد الملقم الخاص بك لتوفير خدمات بروتوكول نقل الملفات (FTP) أو بروتوكول نقل البريد البسيط (SMTP) (أي، نقل أو البريد الإلكتروني خدمات الملفات) ، يمكنك النقر فوق إلغاء تحديد هذه الخيارات. ملاحظة يجب أن تترك SMTP المحدد في حالة تشغيل Exchange أو ملقم الأعمال الصغيرة.

    تعيين إلى تعطيل الخدمات التي لم يتم تحديد هذه الصفحة ولا يمكن بدء تشغيلها. إذا كنت تقوم بتشغيل معالج Lockdown على IIS 5.0 يمكنك النقر فوق تحديد إزالة خدمات غير محددة ، الذي يقوم بإزالة الخدمات التي لم يتم تحديد من النظام بشكل كامل. عند تحديد الإعدادات المناسبة انقر فوق التالي.
  6. في الصفحة "تعيينات البرامج النصية" ، انقر لإلغاء تحديد خانة الاختيار بجانب أي نوع ملف أو أنواع الملفات التي تريد الملقم لتوفير. إذا لم تكن متأكداً من ما لتعطيل يمكنك البحث في الدلائل المحتوى الخاص بك لمعرفة ما إذا كان يوجد ملحقات أسماء الملفات هذه. لاحظ أن معظم ملقمات تتطلب "صفحات الملقم النشطة" (.asp) ، لذا يجب النقر لإلغاء تحديد خانة الاختيار هذه ما لم تكن متأكداً من لا لخدمة الملقم صفحات ASP. انقر فوق التالي.
  7. في صفحة "أمان إضافية" ، حدد الدلائل الظاهرية التي تريد إزالتها من هذا الملقم. افتراضياً، يتم تثبيت هذه الدلائل الظاهرية بشكل افتراضي مع IIS ، لذلك الأهداف المعروفة المهاجمين قد ترغب في إزالة هذه الدلائل الظاهرية أو تسميتها على أجهزة الكمبيوتر الخاصة بالإنتاج. لا تؤدي إزالة هذه الدلائل الظاهرية من IIS إلى إزالة الدلائل الفعلية المقابل على القرص, لذا عدم فقدان أية بيانات عن طريق تحديد هذا الخيار.
  8. في صفحة "أمان إضافية" ، انقر لتحديد في تشغيل الأدوات المساعدة النظام إذا كنت تريد رفض الحقوق على الملفات القابلة للتنفيذ في دليل Windows إلى حساب الضيف (Guest) إنترنت (افتراضياً، IUSR_ <computername >). يجب تحديد هذا الخيار على معظم الأنظمة.
  9. في صفحة "أمان إضافية" ، انقر فوق تحديد الكتابة إلى الدلائل المحتوى إذا كنت تريد رفض كتابة حقوق الضيف إنترنت حساب على الدلائل التي تحتوي على موقعك على الويب المحتوى. تأكد من ترك هذا الخيار unselected إذا كنت تستخدم ملحقات ملقم FrontPage على هذا الملقم أو إذا كان هذا الملقم يعمل كـ ملقم وكيل.
  10. في صفحة "أمان إضافية" ، انقر لتحديد تعطيل ويب التأليف الموزع وتعيين الإصدار (WebDAV) إذا لم تكن تستخدم WebDAV إنشاء ونشر محتوى ويب على هذا الملقم. في حالة تشغيل هذا الملقم Access ويب Outlook "(OWA) لـ Exchange 2000, تأكد من ترك هذا الخيار unselected.
    ملاحظة: إذا حددت هذا الخيار تعيين معالج Lockdown الحقوق على DLL التي تقوم بتنفيذ وظيفة WebDAV (Httpext.dll) رفض إذن تنفيذ. هذا قد لا يزال تسمح بعض طلبات WebDAV تنفيذ. للحصول على معلومات إضافية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    307934تأمين WebDAV خلال ACL يسمح الطلبات PUT و DELETE
  11. انقر فوق التالي.
  12. في الصفحة "URLScan" ، حدد الخيار لتثبيت URLScan إذا كنت تريد استخدام URLScan تصفية الطلبات الواردة استناداً إلى مجموعة من القواعد. إذا حاول عميل طلب غير صحيح استناداً إلى القواعد URLScan ، بالرد بسبب خطأ 404 "لم يتم العثور على الملف" IIS و بتسجيل الطلب في ملف سجل URLScan. افتراضياً، يوجد هذا الملف في % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    ملاحظة إذا تركت WebDAV تمكين على صفحة "أمان إضافية" ولكنك قررت تثبيت URLScan لاحظ يمنع URLScan طلبات WebDAV بشكل افتراضي. يجب تعديل الملف Urlscan.ini إذا كنت تريد استخدام WebDAV مع URLScan.
  13. على جاهز إلى صفحة "إعدادات تطبيق" مراجعة التغييرات التي سيتم إجراؤها ثم انقر فوق التالي.
  14. معالج Lockdown إجراء نسخ احتياطي قاعدة التعريف الخاص بك ويقوم بعمل التغييرات المحددة. عند اكتمال هذه العملية, انقر فوق عرض التقرير لعرض تقرير توضح هذه المقالة التغييرات التي قام بها المعالج. انقر فوق التالي للمتابعة.

    ملاحظة يمكنك مشاهدة التقرير التثبيت بواسطة فتح %WINDIR%\System32\Inetsrv\Oblt-rep.log في المفكرة.
  15. انقر فوق "إنهاء" لإغلاق معالج Lockdown IIS.
  16. بشكل كامل اختبار كافة الوظائف من الملقم. هذه الخطوة غير هامة. إذا اكتشفت بطريق الخطأ تعطيل الوظائف المطلوبة من الملقم الخاص بك مباشرةً استرجاع التغييرات التي أجريتها معالج Lockdown ثم قم بإعادة تشغيل المعالج لتحديد خيارات الصحيح.للحصول على معلومات إضافية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    317052كيفية التراجع عن التغييرات التي أجراها IIS Lockdown معالج
back to the top

تكوين URLScan

عند تشغيل معالج IIS Lockdown يمكنك تثبيت URLScan. يعد URLScan عامل تصفية ISAPI والذي يقوم بتأمين طلبات HTTP استناداً إلى مجموعة قابلة للتكوين من القواعد. على سبيل المثال، يمكنك تكوين URLScan منع كافة طلبات معينة ملحق اسم ملف ، لحظر الأفعال HTTP معينة (مثل GET أو POST) أو حظر الطلبات التي تحتوي على الأحرف التي يتم تضمينها بشكل متكرر في هجمات على ملقمات ويب.

لتكوين URLScan استخدم محرر نص مثل المفكرة لتحرير الملف %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. يحتوي هذا الملف على شاملة تعليقات تشرح كل خيار التكوين. عند الانتهاء من تحرير الملف & .ini & حفظه ثم إعادة تشغيل IIS.

للحصول على معلومات إضافية حول كيفية تكوين URLScan انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
312376كيفية تكوين URLScan للسماح لطلبات بملحق Null في IIS
326444كيفية تكوين أداة URLScan
back to the top

استكشاف الأخطاء وإصلاحها بعد تشغيل معالج IIS Lockdown

المشكلة الأكثر شيوعاً بعد تشغيل معالج IIS Lockdown يتلقى غير متوقع 404 "لم يتم العثور على الملف" رسائل خطأ عند فتح الموقع لأسفل تأمين. قد تتلقى رسائل الخطأ هذه حتى عن ملفات موجودة. يحدث هذا عندما يطلب عميل ملف تم حظره بواسطة معالج Lockdown أو URLScan. في هذه الحالة، يظهر IIS الأمر عدم وجود الملف لأغراض الأمان. إذا كان يعرف لمستخدم ضار موجود على الملقم خدمة التي تكون عرضة للإصابة بهجمات الفيروسات ولكن يتم حظر ، المستخدم ما يزال يعثر على طريقة للحصول على حول الكتلة استغلال مشكلة عدم الحصانة; ومع ذلك، إذا لارتياب المستخدم لم يتم تثبيت الخدمة ، المستخدم لن يحاول استغلال عليه.

في حالة ظهور رسالة خطأ 404 بعد تشغيل معالج IIS Lockdown اتبع الخطوات التالية لاستكشاف المشكلة:
  1. تحقق من وجود الملف تطلبها على الملقم. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    248033كيف يمكن لمسؤولي النظام استكشاف "الملف - HTTP 404 لم يتم العثور على" رسالة خطأ على ملقم الذي يُشغّل IIS
  2. فحص ملف سجل URLScan لمعرفة ما إذا كان URLScan يتم حظر الطلبات. هذا الملف يقع في %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (حيث يكون MMDDYY هو تاريخ السجل). إذا اكتشفت بحظر URLScan الطلبات راجع قسم Configure URLScan لإعداد URLScan بحيث يسمح هذه الطلبات.
  3. إذا تطلبها ملف ليست بتنسيق HTML إلى صفحة ASP أو ملقم جانب تمكين تتضمن ملف، تحقق من تعيين تطبيق نوع الملف في "إدارة خدمات إنترنت":
    1. انقر بزر الماوس الأيمن فوق موقع ويب الخاص بك ومن ثم انقر فوق خصائص.
    2. ضمن علامة التبويب "الدليل الأساسي" ، انقر فوق تكوين.
    3. انقر فوق علامة التبويب تعيينات التطبيقات.
    4. انقر فوق الخط الذي يتوافق مع ملحق الملف الذي تحاول الوصول إليه.
    5. إذا تم تعيين مسار للتنفيذ إلى % WINDIR%\System32\Inetsrv\404.dll ، انقر فوق تحرير ثم قم بتعيين مسار للتنفيذ إلى المسار القابل للتنفيذ الافتراضي ذلك ملحق الملف. إذا لم تكن متأكداً من الافتراضي فتح الملف %WINDIR%\System32\Inetsrv\oblt-log.log الذي تم إنشاؤه عند تشغيل معالج Lockdown. ابحث عن سطر الذي يبدأ بـ SMAP متبوعاً ملحق اسم الملف. يحتوي هذا السطر على المسار القابل للتنفيذ الافتراضي لنوع الملف.
إذا كنت تواجه مشكلة مع خدمة تعتمد على IIS Exchange أو SharePoint ، راجع في مقالات "قاعدة المعارف لـ Microsoft المسردة في قسم Prepare to run the IIS Lockdown Wizard".

وربما تجد هذه FTP أو SMTP لا تعمل بعد تشغيل معالج IIS Lockdown. يحدث هذا في حالة تعطيل أو تقوم بإزالة هذه الخدمات. في حالة تعطيل الخدمات اتبع الخطوات التالية تمكينها:
  1. افتح لوحة التحكم.
  2. على Windows NT 4.0 فتح برنامج "الخدمات". في Windows 2000 أو Windows XP ، افتح المجلد "أدوات إدارية" ثم قم بفتح برنامج "الخدمات".
  3. انقر نقراً مزدوجاً فوق النشر FTP أو نقل البريد البسيط بروتوكول (SMTP).
  4. نوع بدء التشغيل ، انقر فوق تحديد تلقائي.
  5. انقر فوق ابدأ إذا أردت الخدمة لبدء فوراً.
إذا قمت بشكل كامل بإزالة أحد أو كل من هذه الخدمات عن طريق تحديد إزالة الخدمات غير الضرورية عندما قمت بتشغيل معالج IIS Lockdown على IIS 5.0 ، اتبع الخطوات التالية لإعادة تثبيتها:
  1. افتح لوحة التحكم.
  2. فتح برنامج "إضافة/إزالة البرامج" ثم انقر فوق إضافة/إزالة مكونات Windows في الجزء الأيمن.
  3. حدد خدمات معلومات إنترنت (IIS) ثم انقر فوق تفاصيل.
  4. انقر فوق خدمة بروتوكول نقل الملفات (FTP) أو خدمة SMTP.
  5. انقر فوق موافق ثم انقر فوق التالي. سيتم تثبيت الخدمة المحددة أو الخدمات. قد تتم مطالبتك بإدخال Windows المضغوط.
  6. تأكد من إعادة تطبيق أحدث حزمة خدمة Windows والإصلاحات التي تم تثبيتها.
إذا كان أي من هذه الطرق يعمل يمكنك عرض ملف التقرير IIS Lockdown معالج لمشاهدة كافة التغييرات التي أجريتها الأداة. يساعدك هذا في تحديد ما تغييرات تحدث المشكلات التي تواجهها. تم حفظ هذا الملف التقرير في % WINDIR\System32\Inetsrv\Oblt-rep.log.

للحصول على معلومات إضافية حول كيفية التراجع عن التغييرات التي أجريتها معالج IIS Lockdown انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
317052كيفية التراجع عن التغييرات التي أجراها IIS Lockdown معالج
back to the top
مراجع
للحصول على معلومات إضافية حول كيفية تأمين ملقم IIS "و" معالج IIS Lockdown انقر فوق أرقام المقالات التالية لعرضها في "قاعدة المعارف لـ Microsoft:
310725كيفية تشغيل معالج Lockdown IIS غير المراقب في IIS
311350كيفية إنشاء نوع ملقم مخصصة للاستخدام مع IIS Lockdown معالج
282060موارد عن تأمين "خدمات معلومات إنترنت"
back to the top
iis تأمين أداة المعالج urlscan harden مجموعة الأدوات الأمان 404

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 325864 - آخر مراجعة: 04/23/2007 18:52:41 - المراجعة: 4.7

Microsoft Internet Information Services 5.0, Microsoft Internet Information Services version 5.1, Microsoft Internet Information Server 4.0

  • kbmt kbhowtomaster KB325864 KbMtar
تعليقات
/html>html>text/JavaScript" async=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" mp;t=">