Jak nainstalovat a používat Průvodce uzamčením služby IIS

Důrazně doporučujeme, aby všichni uživatelé upgradovat na Internetová informační služba (IIS) verze 6.0 se systémem Microsoft Windows Server 2003. Služba IIS 6.0 výrazně zvyšuje zabezpečení webové infrastruktury. Další informace o tématech souvisejících se zabezpečením služby IIS naleznete na následujícím webu společnosti Microsoft:

Souhrn

Tento podrobný článek popisuje zabezpečení webového serveru pomocí Průvodce uzamčením Internetová informační služba (IIS). Obsahuje také informace o řešení potíží, ke kterým dochází po spuštění průvodce.

Příprava ke spuštění Průvodce uzamčením služby IIS

Průvodce uzamčením služby IIS zakázáním několik volitelných funkcí služby IIS k zabezpečení serveru IIS před útokem. Před spuštěním průvodce, přečtěte si soubor nápovědy pro seznámení se s možnostmi, které nabízí průvodce. Chcete-li získat přístup k souboru nápovědy:
  1. Stáhněte si Průvodce uzamčením služby IIS. Chcete-li stáhnout průvodce, naleznete na následujícím webu společnosti Microsoft:
  2. Průvodce uzamčením soubory extrahujte ze spustitelného souboru.
  3. Vyhledejte složku, kterou jste zadali při extrahování souborů a potom poklepejte na soubor Iislockd.chm.
Všimněte si, že Průvodce uzamčením umožňuje zakázat určité volitelné funkce služby IIS, které jsou vyžadovány pro správnou činnost jiných aplikací, jako jsou například Exchange a aplikace FrontPage. Pokud jste nevybrali správné možnosti po spuštění Průvodce uzamčením, může přerušit funkce těchto aplikací. Chcete-li minimalizovat problémy, pečlivě prostudujte články znalostní báze Microsoft Knowledge Base, které jsou vhodné pro váš systém konfigurace před spuštění Průvodce uzamčením:
  • Exchange a Outlook Web Access (OWA):
    Konfigurace 309508 IIS Lockdown a URLscan v prostředí serveru Exchange

  • Společnost Microsoft Mobile Information Server:
    311595 jak nainstalovat a nakonfigurovat Microsoft Security Tool Kit Microsoft Mobile Information Server

  • Microsoft Small Business Server:
    311862 jak používat IIS Lockdown tool serveru Small Business Server

  • Aplikace Microsoft Project Server Microsoft Office Project a Project Web Access:
    321357 chybové zprávy při zobrazení stránky aplikace Microsoft Project Web Access, která obsahuje mřížky

    316398 jak nakonfigurovat nástroj Uzamčení služby IIS a nástroj zabezpečení URLScan v počítači se systémem Microsoft Project Server nebo Microsoft Project Central

  • Microsoft SharePoint Portal Server:
    309675 ovlivňuje nástroj Uzamčení služby IIS serveru SharePoint Portal Server

    319633 "Chyba spuštění skriptu: Chyba při provádění INVOKE" chybová zpráva po instalaci Průvodce uzamčením služby IIS

  • Microsoft Visual Studio .NET:
    310588 PRB: zabezpečení Toolkit konce ladění technologie ASP.NET v aplikaci Visual Studio .NET

    Chyba 315904 : "ExternalException: program nelze spustit" chybová zpráva při volání WebServices ze stránky ASPX

  • Aplikace Microsoft FrontPage:
    Při hledání uživatele webové stránky dojde k 317390 "HTTP/1.1 404 Objekt nebyl nalezen" chybová zpráva

    307976 chybová zpráva při použití aplikace FrontPage s URLScan

  • Microsoft Proxy Server:
    311675 nelze vyhledat Proxy Server 2.0 Online nápovědy po instalaci Průvodce uzamčením služby IIS

  • 888936 nelze nainstalovat klienta serveru SMS 2003 Advanced

Stáhněte a nainstalujte Průvodce uzamčením služby IIS

  1. Poklepejte na spustitelný soubor, který jste stáhli v Příprava ke spuštění Průvodce uzamčením služby IIS spusťte Průvodce oddílu.
  2. Na úvodní stránce přečtěte si vysvětlující text a potom klepněte na tlačítko Další.
  3. Na stránce Licenční smlouva přečtěte si licenční smlouvu, klepněte na tlačítko souhlasíma klepněte na tlačítko Další.
  4. Na stránce Vybrat šablonu serveru vyberte šablonu, která nejlépe odpovídá roli tohoto serveru a potom klepněte na tlačítko vyberte Nastavení zobrazení šablony. Na stránkách této postupujte to máte již vybrané možnosti na základě role serveru, který jste vybrali v předchozí stránku tak můžete používat všechny výchozí výběry.

    Pokud má server více rolí (například dynamický webovém serveru, který je také proxy server), klepněte na tlačítko vyberte jiné (Server, který neodpovídá žádné z uvedených rolí)a ujistěte se, protože výchozí výběry nemusí být vhodné pro váš server pečlivě zvážit všechny možnosti, které jsou uvedeny na následujících stránkách. Pokud jste vybrali odpovídající nastavení, klepněte na tlačítko Další.
  5. Na stránce služby vyberte služby, které chcete poskytnout serveru. Většina serverů vyžadují webové služby. Pokud nechcete, aby váš server poskytovat služby protokolu FTP (File Transfer) nebo Simple Mail Transfer Protocol (SMTP) (to znamená soubor přenos nebo e-mailové služby), můžete klepnutím zrušte zaškrtnutí těchto možností. Všimněte si, že je třeba ponechat zaškrtnuto v případě, že používáte server Exchange nebo Small Business Server SMTP.

    Služby, které vyberete na této stránce jsou nastaveny na hodnotu Zakázáno a nelze ji spustit. Pokud používáte Průvodce uzamčením služby IIS 5.0, můžete také klepnutím vyberte Odebrat nevybrané služby, služby, které jste nevybrali ze systému zcela odebere. Pokud jste vybrali odpovídající nastavení, klepněte na tlačítko Další.
  6. Na stránce mapování skriptů klepnutím zrušte zaškrtnutí políčka u každého typu souboru nebo typy souborů, které chcete poskytnout serveru. Pokud si nejste jisti, jak zakázat, můžete hledat adresáře s obsahem Chcete-li zjistit, zda existují tyto přípony názvů souborů. Všimněte si, že většina serverů vyžadují Active Server Pages (ASP), tak musí klepnutím zaškrtnutí tohoto políčka zrušte, pokud si nejste jisti, zda váš server neslouží stránek ASP. Klepněte na tlačítko Další.
  7. Na stránce další zabezpečení vyberte virtuální adresáře, které chcete odebrat z tohoto serveru. Ve výchozím nastavení jsou nainstalovány těchto virtuálních adresářů ve výchozím nastavení služby IIS, takže jsou dobře známé cíle pro útočníky a budete pravděpodobně chtít odebrat tyto virtuální adresáře nebo je přejmenovat pracovních počítačů. Odebrání těchto virtuálních adresářů služby IIS neodstraní odpovídající fyzické adresáře na disku, tak nepřijdete o žádná data výběrem této možnosti.
  8. Na stránce další zabezpečení klepněte na tlačítko odepřít práva na spustitelné soubory v adresáři systému Windows pro internetový účet guest (ve výchozím nastavení IUSR_ <název_počítače>) Chcete-li vybrat spuštění systémové nástroje . Tato možnost by měla ve většině systémů.
  9. Na stránce další zabezpečení zápisu do adresáře s obsahem zaškrtněte, pokud chcete odepřít zápis k Internetu guest účtu práv na adresáře, které obsahují webové obsahu. Ujistěte se, že ponecháte tuto možnost nevybírejte, pokud používáte rozšíření FrontPage Server Extensions na tomto serveru nebo tento server funguje jako proxy server.
  10. Na stránce další zabezpečení klepněte na tlačítko vyberte zakázat protokol WebDAV (Web Distributed Authoring and Versioning) (WebDAV) , pokud nepoužíváte protokol WebDAV vytvářet a publikovat webový obsah na tomto serveru. Pokud tento server spuštěna aplikace Outlook Web Access (OWA) pro Exchange 2000, ujistěte se, že necháte tuto volbu nevybranou.
    Poznámka: Pokud vyberete tuto možnost, chcete-li odepřít práva na knihovnu DLL, která implementuje funkci WebDAV (Httpext.dll) Průvodce uzamčením sady oprávnění spouštět. Stále to může povolit určité požadavky WebDAV spustit. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    307934 uzamčení dolů protokolu WebDAV pomocí seznamu ACL stále umožňuje požadavky PUT a DELETE

  11. Klepněte na tlačítko Další.
  12. Na stránce URLScan vyberte možnost nainstalovat nástroj URLScan, pokud chcete pomocí nástroje URLScan odfiltrovat příchozí požadavky na základě sady pravidel. Pokud se klient pokusí vytvořit požadavek, který není platný, na základě pravidel nástroj URLScan, služba IIS odpovědi s chybou 404 Soubor nebyl nalezen a zaznamená do souboru protokolu nástroje URLScan požadavek. Ve výchozím nastavení je tento soubor umístěn ve složce % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Poznámka: Pokud ponecháte WebDAV povolen na stránce další zabezpečení, ale rozhodnete nainstalovat nástroj URLScan, Všimněte si, že blokuje nástroj URLScan požadavky WebDAV ve výchozím nastavení. Pokud chcete pomocí nástroje URLScan WebDAV, je nutné upravit soubor Urlscan.ini.
  13. Na připraven na stránku nastavení použít zkontrolujte změny, které budou provedeny a potom klepněte na tlačítko Další.
  14. Průvodce uzamčením vytvoří zálohu metabáze a provede vybrané změny. Po dokončení tohoto procesu klepněte na tlačítko Zobrazit zprávu zobrazíte zprávu, která popisuje změny provedené v průvodci. Klepněte na tlačítko Další pokračujte.

    Poznámka: Instalace sestavy zobrazíte tak, že otevřete %WINDIR%\System32\Inetsrv\Oblt-rep.log v programu Poznámkový blok.
  15. Klepněte na tlačítko Dokončit zavřete Průvodce uzamčením služby IIS.
  16. Plně otestujte všechny funkce serveru. Tento krok je velmi důležitý. Pokud zjistíte, že jste omylem zakázali požadované funkce serveru, okamžitě vrátit zpět změny provedené pomocí Průvodce uzamčením a pak znovu spusťte průvodce a vyberte správné možnosti. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    317052 jak vrátit zpět změny provedené pomocí Průvodce uzamčením služby IIS

Konfigurace nástroje URLScan

Po spuštění Průvodce uzamčením služby IIS, můžete nainstalovat nástroj URLScan. Nástroj URLScan je filtr ISAPI, který blokuje požadavky HTTP, které jsou založeny na konfigurovatelná sada pravidel. Můžete například nakonfigurovat nástroj URLScan blokovat všechny požadavky pro určitou příponu názvu souboru, blokovat určité akce protokolu HTTP (například GET nebo POST), nebo blokovat požadavky, které obsahují znaky, které jsou často obsaženy v útocích na webových serverech.

Chcete-li nakonfigurovat nástroj URLScan, pomocí textového editoru, například programu Poznámkový blok upravte soubor %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Tento soubor obsahuje rozsáhlé komentáře, které vysvětlují jednotlivé možnosti konfigurace. Po dokončení úprav souboru INI, uložte jej a restartujte službu IIS.

Další informace o konfiguraci URLScan klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

312376 jak nakonfigurovat nástroj URLScan ve službě IIS povolit požadavky s příponou Null

326444 jak nakonfigurovat nástroj URLScan

Poradce při potížích po spuštění Průvodce uzamčením služby IIS

Nejběžnější problém po spuštění Průvodce uzamčením služby IIS je příjem neočekávané 404 Soubor nebyl nalezen chybových zpráv při otevření webu uzamčené. Zobrazí tyto chybové zprávy i pro soubory, které existují. K tomu dochází, když klient požaduje soubor, který byl zablokován Průvodce Lockdown nebo URLScan. V tomto případě služba IIS říká, že soubor neexistuje pro účely zabezpečení. Pokud uživatel se zlými úmysly ví, že ohrožené služby na serveru existuje, ale je blokován, uživatel může stále najít způsob, jak získat kolem bloku a zneužít tuto chybu zabezpečení; však pokud uživatel předpokládá, že služba není nainstalována, nebude uživatel pokusit o zneužití ji.

Pokud po spuštění Průvodce uzamčením služby IIS se zobrazí chybová zpráva 404, odstraňte problém pomocí následujícího postupu:

  1. Ověřte, zda na serveru existuje soubor, který požadujete. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    248033 správci systému jak lze řešit "HTTP 404 – Soubor nebyl nalezen" chybová zpráva na serveru se spuštěnou službou IIS

  2. Zkontrolujte soubor protokolu nástroje URLScan zobrazíte, pokud nástroj URLScan blokuje požadavky. Tento soubor je umístěn v %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (kde MMDDRR je datum protokolu). Pokud zjistíte, že nástroj URLScan blokuje požadavky, naleznete v části Konfigurace nástroje URLScan nastavit nástroj URLScan tak umožňuje tyto požadavky.
  3. Pokud požadujete jiné HTML souboru, například stránky ASP nebo souboru povoleno zahrnout straně serveru ověřte mapování aplikace pro typ souboru ve Správci služeb sítě Internet:
    1. Klepněte pravým tlačítkem myši webový server a potom klepněte na příkaz Vlastnosti.
    2. Na kartě Domovský adresář klepněte na tlačítko Konfigurace.
    3. Klepněte na kartu Mapování aplikace .
    4. Klepněte na řádek, který odpovídá na příponu souboru, který se pokoušíte získat přístup.
    5. Pokud Cesta ke spustitelnému souboru je nastavena na % WINDIR%\System32\Inetsrv\404.dll, klepněte na tlačítko Upravita vyberte položku výchozí cestu spustitelného souboru pro tuto příponu souboru Cesta ke spustitelnému souboru . Pokud si nejste jisti ve výchozím nastavení, otevřete soubor %WINDIR%\System32\Inetsrv\oblt-log.log, který byl vytvořen, když jste spustili Průvodce uzamčením. Vyhledejte řádek začínající SMAP

      postupovat podle přípony názvu souboru. Tento řádek také obsahuje výchozí cestu spustitelného souboru pro daný typ souboru.
Pokud máte potíže se službou, která závisí na službě IIS, jako je například Exchange nebo SharePoint, naleznete v článcích znalostní báze Microsoft Knowledge Base, které jsou uvedeny v části Příprava ke spuštění Průvodce uzamčením služby IIS .

Můžete také zjistit, že FTP nebo SMTP nefungují po spuštění Průvodce uzamčením služby IIS. K tomu dochází, je-li zakázat nebo odebrat tyto služby. Pokud jste zakázali službu, znovu povolit pomocí následujícího postupu:
  1. Otevřete okno Ovládací panely.
  2. Otevřete apletu služby v systému Windows NT 4.0. V systému Windows 2000 nebo Windows XP otevřete složku nástroje pro správu a poté otevřete apletu služby .
  3. Poklepejte na položku publikování na server FTP nebo Simple Mail Transfer Protocol (SMTP).
  4. Typ spouštěníklepněte na možnost automaticky.
  5. Pokud chcete službu spustit okamžitě, klepněte na tlačítko Start .
Je-li zcela odebrat jednu nebo obě tyto služby tak, že vyberete odebrat nepotřebné služby , když jste spustili Průvodce uzamčením služby IIS ve službě IIS 5.0 je znovu nainstalovat pomocí následujícího postupu:

  1. Otevřete okno Ovládací panely.
  2. Otevřete apletu Přidat nebo odebrat programy a potom v levém podokně klepněte na tlačítko Přidat nebo odebrat součásti systému Windows .
  3. Vyberte Internetová informační služba (IIS)a potom klepněte na tlačítko Podrobnosti.
  4. Klepnutím vyberte Služba protokolu FTP (File Transfer) nebo Služba SMTP.
  5. Klepněte na tlačítko OKa potom klepněte na tlačítko Další. Vybranou službu bude nainstalována. Můžete být vyzváni k vložení disku CD-ROM systému Windows.
  6. Ujistěte se, že je znovu použít nejnovější aktualizace service pack pro systém Windows a opravy hotfix, který jste nainstalovali.
Pokud žádná z těchto metod pracuje, můžete zobrazit soubor sestavy Průvodce uzamčením služby IIS zobrazíte všechny změny provedené v nástroji. Můžete určit, co způsobilo změny nastanou problémy. Tento soubor sestavy je uložen na % WINDIR\System32\Inetsrv\Oblt-rep.log.

Další informace o tom, jak vrátit zpět změny provedené pomocí Průvodce uzamčením služby IIS klepněte na následující číslo článku databáze Microsoft Knowledge Base:

317052 jak vrátit zpět změny provedené pomocí Průvodce uzamčením služby IIS

Odkazy

Další informace o Průvodce uzamčením služby IIS a k zabezpečení serveru IIS získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

310725 jak spustit Průvodce uzamčením služby IIS ve službě IIS

311350 jak vytvořit typ vlastní server pro použití s Průvodce uzamčením služby IIS

282060 prostředky pro zabezpečení Internetová informační služba

Vlastnosti

ID článku: 325864 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor