Come installare e utilizzare lo strumento IIS Lockdown Wizard

È consigliabile che tutti gli utenti eseguire l'aggiornamento a Microsoft Internet Information Services (IIS) versione 6.0 in esecuzione su Microsoft Windows Server 2003. IIS 6.0 in modo significativo la protezione dell'infrastruttura Web. Per ulteriori informazioni sugli argomenti relativi alla protezione IIS, visitare il seguente sito Web Microsoft:

Riepilogo

In questo articolo viene illustrato come proteggere un server Web utilizzando lo strumento Internet Information Services (IIS) Lockdown Wizard. Include inoltre informazioni su come risolvere i problemi che si verificano dopo l'esecuzione della procedura guidata.

Preparare l'esecuzione di IIS Lockdown Wizard

Con IIS Lockdown Wizard, è possibile disattivare diverse funzionalità opzionali di IIS per proteggere il server IIS da eventuali attacchi. Prima di eseguire la procedura guidata, leggere il file della Guida per acquisire familiarità con le opzioni che presenta la procedura guidata. Per accedere al file della Guida:
  1. Scaricare lo strumento IIS Lockdown Wizard. Per scaricare la procedura guidata, visitare il seguente sito Web Microsoft:
  2. Estrarre i file di blocco guidato dal file eseguibile.
  3. Individuare la cartella in cui è specificato quando è stato estratto i file e quindi fare doppio clic sul file IISLockd.
Si noti che il blocco guidato consente di disattivare determinate funzionalità facoltative di IIS necessarie per il corretto funzionamento di altre applicazioni, ad esempio Exchange e FrontPage. Se non si seleziona le opzioni corrette quando si esegue lo strumento Lockdown Wizard, si potrebbe compromettere la funzionalità di queste applicazioni. Per ridurre i problemi, esaminare attentamente gli articoli della Microsoft Knowledge Base più appropriati per il sistema configurazione prima di eseguire il blocco guidato:
  • Exchange e Outlook Web Access (OWA):
    309508 configurazioni di IIS Lockdown e URLscan in un ambiente Exchange

  • Microsoft Mobile Information Server:
    311595 come installare e configurare Microsoft Security Tool Kit in un database di Microsoft Mobile Information Server

  • Microsoft Small Business Server:
    311862 come utilizzare lo strumento IIS Lockdown con Small Business Server

  • Microsoft Project, Project Server e Project Web Access:
    321357 messaggi di errore quando si visualizza una pagina di Microsoft Project Web Access che contiene le griglie

    316398 come configurare lo strumento IIS Lockdown e URLScan security tool su un computer che esegue Microsoft Project Server o Microsoft Project Central

  • Microsoft SharePoint Portal Server:
    309675 IIS Lockdown Tool influisce su SharePoint Portal Server

    319633 ' errore di esecuzione di script: errore durante l'esecuzione di INVOKE' messaggio di errore dopo l'installazione di IIS Lockdown Wizard

  • Microsoft Visual Studio .NET:
    310588 PRB: Security Toolkit interrompe il debug ASP.NET in Visual Studio .NET

    BUG 315904 : "ExternalException: Impossibile eseguire un programma" messaggio di errore quando si chiama servizi Web da una pagina aspx

  • Microsoft FrontPage:
    317390 messaggio di errore "HTTP/1.1 404 oggetto non trovato" si verifica quando un utente della pagina Web esegue una ricerca

    307976 messaggio di errore quando si utilizza FrontPage con URLScan

  • Microsoft Proxy Server:
    311675 non può cercare Guida in linea di Proxy Server 2.0 dopo l'installazione di IIS Lockdown Wizard

  • 888936 non è possibile installare il Client avanzato di SMS 2003

Scaricare e installare IIS Lockdown Wizard

  1. Fare doppio clic sul file eseguibile scaricato in Preparazione per l'esecuzione di IIS Lockdown Wizard di sezione per avviare la procedura guidata.
  2. Nella pagina iniziale, leggere il testo esplicativo e quindi fare clic su Avanti.
  3. Nella pagina Contratto di licenza, leggere il contratto di licenza, fare clic su accettoe quindi fare clic su Avanti.
  4. Nella pagina Select Server Template, selezionare il modello che corrisponde maggiormente il ruolo del server e quindi fare clic per selezionare View Template Settings. Le pagine che seguono questo dispone di opzioni già selezionate in base al ruolo del server che è stata selezionata in precedenza nella pagina precedente, è possibile utilizzare tutte le selezioni predefinite.

    Se il server dispone di più ruoli (ad esempio, un dynamic Web server che funge anche da server proxy), fare clic per selezionare altri (Server che non corrispondono ai ruoli elencati), assicurarsi di considerare attentamente tutte le opzioni che vengono presentate nelle pagine seguenti, in quanto le selezioni predefinite potrebbero non essere appropriate per il server. Dopo aver selezionato le impostazioni appropriate, fare clic su Avanti.
  5. Nella pagina Internet Services, selezionare i servizi che si desidera che il server di fornire. La maggior parte dei server richiedono il servizio Web. Se si desidera il server per fornire servizi di File Transfer Protocol (FTP) o trasferimento protocollo SMTP (Simple Mail) (vale a dire file trasferimento o posta elettronica services), è possibile deselezionare queste opzioni. Si noti che è necessario lasciare selezionato se si esegue Exchange o Small Business Server SMTP.

    I servizi che non si seleziona questa pagina sono impostati su disabilitato e non possono iniziare. Se si esegue lo strumento Lockdown Wizard in IIS 5.0, è possibile anche selezionare rimuovere servizi non selezionati, che consente di rimuovere completamente i servizi che non è stato selezionato dal sistema. Dopo aver selezionato le impostazioni appropriate, fare clic su Avanti.
  6. Nella pagina mapping di Script, fare clic per deselezionare la casella di controllo accanto a qualsiasi tipo di file o tipi di file che si desidera che il server di fornire. Se non si conoscono gli elementi da disattivare, è possibile cercare la directory per scoprire l'esistono di tali estensioni di file. Si noti che la maggior parte dei server richiedono delle pagine ASP (ASP), pertanto è necessario fare clic per deselezionare la casella di controllo se non siete certi che il server non gestisce le pagine ASP. Fare clic su Avanti.
  7. Nella pagina Additional Security, selezionare la directory virtuale che si desidera rimuovere dal server. Per impostazione predefinita, queste directory virtuali vengono installate per impostazione predefinita con IIS, in modo che siano conosciute destinazioni per gli utenti malintenzionati e si consiglia di rimuovere le directory virtuali o rinominarli nei computer di produzione. La rimozione di queste directory virtuali di IIS non rimuove le corrispondente directory fisiche del disco, in modo da non perdere i dati selezionando questa opzione.
  8. Nella pagina protezione aggiuntiva, fare clic per selezionare l'esecuzione delle utilità di sistema se si desidera negare i diritti sui file eseguibili nella directory di Windows per l'account Internet guest (per impostazione predefinita IUSR _ <nomecomputer>). Questa opzione deve essere selezionata nella maggior parte dei sistemi.
  9. Nella pagina protezione aggiuntiva, fare clic per selezionare la scrittura alle directory contenuta se si desidera negare scrivere al guest Internet per account con diritti per le directory contenenti il sito Web di contenuto. Assicurarsi di lasciare questa opzione deselezionata se si utilizzano le estensioni del Server di FrontPage su questo server o se il server funziona come un server proxy.
  10. Nella pagina protezione aggiuntiva, fare clic per selezionare Disattiva Web Distributed Authoring and Versioning (WebDAV) , se non si utilizza WebDAV per creare e distribuire il contenuto Web su questo server. Se il server è in esecuzione Outlook Web Access (OWA) per Exchange 2000, assicurarsi di lasciare questa opzione deselezionata.
    Nota: se si seleziona questa opzione, i set di Lockdown Wizard i diritti per la DLL che implementa la funzionalità WebDAV (. dll) per negare l'autorizzazione di esecuzione. In tal modo comunque determinate richieste di WebDAV da eseguire. Per ulteriori informazioni, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

    307934 il blocco di WebDAV tramite ACL consente ancora le richieste PUT e DELETE

  11. Fare clic su Avanti.
  12. Nella pagina URLScan, selezionare l'opzione per installare URLScan, se si desidera utilizzare URLScan per filtrare le richieste in arrivo basate su un set di regole. Se un client tenta di effettuare una richiesta che non è valida in base alle regole di URLScan, IIS risponde con un errore 404 File non trovato e registra la richiesta nel file di registro di URLScan. Per impostazione predefinita, questo file si trova in % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Nota: Se si lascia attivata nella pagina Additional Security WebDAV, ma si decide di installare URLScan, nota che blocca URLScan richieste WebDAV per impostazione predefinita. Se si desidera utilizzare WebDAV con URLScan, è necessario modificare il file URLScan. ini.
  13. Nella pagina pronto per applicare le impostazioni, controllare le modifiche che verranno apportate e quindi fare clic su Avanti.
  14. Il blocco guidato esegue il backup della metabase e apporta le modifiche selezionate. Al termine di questo processo, fare clic su Visualizza Report per visualizzare un report che descrive le modifiche che ha apportato la procedura guidata. Fare clic su Avanti per continuare.

    Nota: È possibile visualizzare il report di installazione aprendo %WINDIR%\System32\Inetsrv\Oblt-rep.log nel blocco note.
  15. Fare clic su Fine per chiudere lo strumento IIS Lockdown Wizard.
  16. Test completo di tutte le funzionalità del server. Questo passaggio è molto importante. Se si scopre di avere disabilitato accidentalmente funzionalità necessarie del server, ripristinare immediatamente le modifiche apportate al Lockdown Wizard e quindi eseguire di nuovo la procedura guidata per selezionare le opzioni corrette. Per ulteriori informazioni, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

    317052 come annullare le modifiche apportate da IIS Lockdown Wizard

Configurare URLScan

Quando si esegue IIS Lockdown Wizard, è possibile installare URLScan. URLScan è un filtro ISAPI che blocca le richieste HTTP in un set configurabile di regole di base. Ad esempio, è possibile configurare URLScan per bloccare tutte le richieste per una determinata estensione, per bloccare alcuni verbi HTTP (ad esempio GET o POST), o bloccare le richieste che contengono caratteri che sono spesso inclusi attacchi sui server Web.

Per configurare URLScan, utilizzare un editor di testo come blocco note per modificare il file %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Questo file contiene una serie di commenti che descrivono ciascuna opzione di configurazione. Al termine della modifica del file ini, salvarlo e riavviare IIS.

Per ulteriori informazioni su come configurare URLScan, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

312376 come configurare URLScan per consentire richieste con estensione Null in IIS

326444 come configurare lo strumento URLScan

Risoluzione dei problemi quando si esegue IIS Lockdown Wizard

Il problema più comune dopo l'esecuzione di IIS Lockdown Wizard riceve 404 File non trovato errore messaggi imprevisti quando si apre il sito bloccato. Si possono ricevere questi messaggi di errore anche per i file esistenti. Ciò si verifica quando un client richiede un file che è stato bloccato per la creazione guidata Lockdown o URLScan. In questo caso, IIS afferma che il file non esiste per motivi di sicurezza. Se un utente malintenzionato sa che un servizio vulnerabile esiste sul server, ma è stato bloccato, l'utente può comunque trovare un modo per aggirare il blocco e sfruttare la vulnerabilità; Tuttavia, se l'utente ritiene che il servizio non è installato, l'utente non tenterà di sfruttarlo.

Se viene visualizzato un messaggio di 404 errore dopo aver eseguito IIS Lockdown Wizard, attenersi alla seguente procedura per risolvere il problema:

  1. Verificare che il file che richiesto esista sul server. Per ulteriori informazioni, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

    248033 come gli amministratori di sistema possono risolvere un "HTTP 404 - File non trovato" messaggio di errore su un server che esegue IIS

  2. Esaminare il file di registro di URLScan per vedere se URLScan blocca le richieste. Questo file si trova in %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (dove ggmmaa rappresenta la data per il registro). Se si scopre che URLScan blocca le richieste, vedere la sezione di Configurazione URLScan per configurare URLScan in modo che consente a tali richieste.
  3. Se si richiede un file non HTML, ad esempio una pagina ASP o un server abilitato includere file, verificare il mapping di applicazioni per il tipo di file in Gestione servizi Internet:
    1. Destro del mouse sul sito Web e quindi scegliere proprietà.
    2. Nella scheda Home Directory , fare clic su configurazione.
    3. Fare clic sulla scheda Mapping applicazioni .
    4. Fare clic sulla riga che corrisponde all'estensione del file che si sta tentando di accedere.
    5. Se Il percorso file eseguibile è impostato su % WINDIR%\System32\Inetsrv\404.dll, fare clic su Modificae quindi impostare Il percorso file eseguibile per il percorso dell'eseguibile per l'estensione predefinita. Se non siete sicuri del valore predefinito, aprire il file %WINDIR%\System32\Inetsrv\oblt-log.log, che è stato creato durante l'esecuzione della procedura guidata di blocco. Individuare la riga che inizia con SMAP

      seguito dall'estensione nome file. Questa riga contiene anche il percorso dell'eseguibile predefinito per quel tipo di file.
Se hai problemi con un servizio che dipende da IIS, ad esempio Exchange o SharePoint, vedere gli articoli della Microsoft Knowledge Base elencati nella sezione Preparazione per eseguire IIS Lockdown Wizard .

È inoltre possibile trovare tale FTP o SMTP non funzionano dopo l'esecuzione di IIS Lockdown Wizard. Ciò si verifica se si disattiva o rimuovere questi servizi. Se è disabilitato, i servizi, eseguire la procedura per riattivarle:
  1. Aprire il pannello di controllo.
  2. In Windows NT 4.0, aprire l'applet servizi . In Windows 2000 o Windows XP, aprire la cartella Strumenti di amministrazione e quindi aprire l'applet servizi .
  3. Fare doppio clic su pubblicazione FTP o Simple Mail Transfer Protocol (SMTP).
  4. Per tipo di avvio, fare clic per selezionare automatico.
  5. Se si desidera avviare immediatamente il servizio, fare clic su Start .
Se uno o entrambi questi servizi sono completamente rimossi selezionando Rimuovi servizi non necessari durante l'esecuzione di IIS Lockdown Wizard in IIS 5.0, attenersi alla seguente procedura per reinstallare i driver:

  1. Aprire il pannello di controllo.
  2. Aprire l'applet Installazione applicazioni e quindi fare clic su Installazione componenti di Windows nel riquadro di sinistra.
  3. Selezionare Internet Information Services (IIS)e quindi fare clic su Dettagli.
  4. Fare clic per selezionare il servizio File Transfer Protocol (FTP) o Il servizio SMTP.
  5. Fare clic su OKe quindi fare clic su Avanti. Installa i servizi selezionati. Può essere richiesto di inserire il CD di Windows.
  6. Assicurarsi che si riapplica il service pack più recente di Windows e gli aggiornamenti rapidi installati.
Se nessuno di questi metodi funziona, è possibile visualizzare il file di report per visualizzare tutte le modifiche apportate con lo strumento IIS Lockdown Wizard. Ciò consente di determinare quali modifiche ha causato i problemi che si sono verificati. Questo report viene salvato in % WINDIR\System32\Inetsrv\Oblt-rep.log.

Per ulteriori informazioni su come annullare le modifiche apportate IIS Lockdown Wizard, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

317052 come annullare le modifiche apportate da IIS Lockdown Wizard

Riferimenti

Per ulteriori informazioni su IIS Lockdown Wizard e su come proteggere il server IIS, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base riportato di seguito:

310725 come eseguire IIS Lockdown Wizard automatica in IIS

Come creare un tipo di server personalizzati per l'utilizzo con IIS Lockdown Wizard 311350

282060 risorse per la protezione di Internet Information Services

Proprietà

ID articolo: 325864 - Ultima revisione: 30 gen 2017 - Revisione: 1

Feedback