Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để cài đặt và sử dụng thuật sĩ Lockdown IIS

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:325864
Chúng tôi đề nghị tất cả người dùng nâng cấp để Microsoft Internet Information Services (IIS) Phiên bản 6.0 chạy trên Microsoft Windows Server 2003. IIS 6.0 làm tăng đáng kể Web cơ sở hạ tầng bảo mật. Để biết thêm chi tiết về các chủ đề liên quan đến an ninh IIS, ghé thăm Web site sau của Microsoft:
TÓM TẮT
Bài này-by-step giải thích làm thế nào để bảo đảm máy chủ Web bằng cách sử dụng thuật sĩ Lockdown Internet Information Services (IIS). Nó cũng bao gồm các thông tin về làm thế nào để khắc phục sự cố xảy ra sau khi chạy thuật sĩ.

back to the top

Chuẩn bị để chạy thuật sĩ Lockdown IIS

Với thuật sĩ Lockdown IIS, bạn có thể vô hiệu hóa một số tính năng tùy chọn của IIS để bảo đảm máy chủ IIS của bạn chống lại cuộc tấn công. Trước khi bạn chạy thuật sĩ, đọc tệp trợ giúp để làm quen với các tùy chọn mà thuật sĩ trình bày. Để truy cập vào các tập tin trợ giúp:
  1. Tải về thuật sĩ Lockdown IIS. Để tải về thuật sĩ, ghé thăm Web site sau của Microsoft:
  2. Giải nén tập tin khoá cứng Wizard từ tập tin thực thi.
  3. Tìm thư mục đã chỉ định khi bạn trích xuất các tập tin, và sau đó nhấp đúp vào tập tin Iislockd.chm.
Lưu ý rằng thuật sĩ Lockdown cho phép bạn để vô hiệu hóa một số tính năng tùy chọn của IIS được yêu cầu cho các hoạt động chính xác của các ứng dụng khác, chẳng hạn như trao đổi và FrontPage. Nếu bạn không chọn tùy chọn chính xác khi bạn chạy thuật sĩ khoá cứng, bạn có thể phá vỡ các chức năng của các ứng dụng này. Để giảm thiểu những vấn đề, xem xét cẩn thận các bài viết cơ sở kiến thức Microsoft phù hợp để cấu hình hệ thống của bạn trước khi bạn hãy chạy thuật sĩ khoá cứng:
  • Trao đổi và Outlook Web Access (OWA):
    309508 Cấu hình IIS Lockdown và URLscan trong môi trường Exchange
  • Microsoft điện thoại di động thông tin máy chủ:
    311595 Làm thế nào để cài đặt và cấu hình Microsoft Security Tool Kit trên một máy chủ thông tin Microsoft điện thoại di động
  • Microsoft Small Business Server:
    311862 Làm thế nào để sử dụng The IIS Lockdown cụ với máy chủ doanh nghiệp nhỏ
  • Microsoft dự án, dự án Server và truy cập Web dự án:
    321357 Thông báo lỗi khi bạn xem một trang Microsoft dự án Web Access có chứa lưới
    316398 Làm thế nào để cấu hình IIS Lockdown Tool và công cụ bảo mật URLScan trên một máy tính đang chạy Microsoft Project Server hoặc Microsoft dự án trung tâm
  • Hệ phục vụ Microsoft SharePoint Portal:
    309675 IIS Lockdown công cụ ảnh hưởng đến SharePoint Portal Server
    319633 ' Script thực hiện lỗi: lỗi thực hiện INVOKE' thông báo lỗi sau khi bạn cài đặt IIS Lockdown Wizard
  • Microsoft Visual Studio.NET:
    310588 PRB: Bộ công cụ bảo mật phá vỡ ASP.NET gỡ lỗi trong Visual Studio.NET
    315904 LỖI: "ExternalException: không thể thực hiện một chương trình" thông báo lỗi khi bạn gọi WebServices từ .aspx trang
  • Microsoft FrontPage:
    317390 Thông báo "HTTP/1.1 404 đối tượng không tìm thấy" lỗi xảy ra khi một người sử dụng trang Web của bạn thực hiện một tìm kiếm
    307976 Thông báo lỗi khi bạn sử dụng FrontPage với URLScan
  • Microsoft Proxy Server:
    311675 Không thể tìm Proxy Server 2.0 trực tuyến giúp sau khi thuật sĩ Lockdown IIS được cài đặt
  • 888936 Bạn không thể cài đặt máy sử dụng tin nhắn SMS 2003 chuyên sâu
back to the top

Tải về và cài đặt IIS Lockdown Wizard

  1. Bấm đúp vào tập tin thực thi mà bạn đã tải xuống trong các Chuẩn bị để chạy thuật sĩ Lockdown IIS phần để chạy thuật sĩ.
  2. Trên trang Chào mừng, đọc các văn bản giải thích, và sau đó nhấp vào Tiếp theo.
  3. Trên trang thoả thuận cấp phép, đọc các giấy phép thỏa thuận, nhấp Tôi đồng ý, sau đó bấm Tiếp theo.
  4. Trên trang chọn Server mẫu, chọn mẫu phù hợp chặt chẽ nhất với vai trò của máy chủ, và sau đó bấm vào để chọn Xem mẫu thiết đặt. Các trang đó theo đây có các tùy chọn đã được lựa chọn dựa trên vai trò của hệ phục vụ mà bạn đã chọn trước đó trong trang trước đó, do đó, bạn có thể sử dụng tất cả các lựa chọn mặc định.

    Nếu máy chủ có nhiều vai diễn (ví dụ, một máy năng động chủ Web cũng là một máy chủ proxy), bấm vào để chọn Khác (hệ phục vụ không khớp với bất kỳ của các vai trò được liệt kê), và đảm bảo rằng bạn xem xét cẩn thận tất cả các tùy chọn được trình bày trên các trang sau đây, bởi vì các lựa chọn mặc định có thể không thích hợp cho máy chủ của bạn. Khi bạn đã lựa chọn các thiết lập thích hợp, hãy nhấp vào Tiếp theo.
  5. Vào trang dịch vụ Internet, chọn dịch vụ mà bạn muốn máy chủ của bạn để cung cấp. Hầu hết các máy chủ yêu cầu dịch vụ Web. Nếu bạn không muốn máy chủ của bạn cung cấp giao thức truyền File (FTP) hoặc Simple Mail Transfer Protocol (SMTP) dịch vụ (tức là, tập tin chuyển giao hoặc thư điện tử dịch vụ), bạn có thể bấm vào Xoá các tùy chọn này. Lưu ý rằng bạn phải rời khỏi SMTP lựa chọn nếu bạn đang chạy Exchange hoặc máy chủ doanh nghiệp nhỏ.

    Các dịch vụ mà bạn không chọn trên trang này được thiết lập để Bị vô hiệu hoá và không thể khởi động. Nếu bạn đang chạy thuật sĩ khoá cứng trên IIS 5.0, bạn cũng có thể bấm để chọn Loại bỏ chọn dịch vụ, mà hoàn toàn loại bỏ các dịch vụ mà bạn không chọn từ hệ thống của bạn. Khi bạn đã lựa chọn các thiết lập thích hợp, hãy nhấp vào Tiếp theo.
  6. Trên trang kịch bản Maps, nhấp Xoá hộp kiểm bên cạnh một bất kỳ loại tập tin hoặc kiểu tập tin bạn muốn máy chủ của bạn để cung cấp. Nếu bạn không chắc chắn những gì để vô hiệu hóa, bạn có thể tìm kiếm thư mục nội dung của bạn để tìm hiểu nếu những phần mở rộng tên tập tin tồn tại. Lưu ý rằng hầu hết các máy chủ yêu cầu Active Server Pages (dẫn), do đó, bạn phải nhấp vào Xoá hộp kiểm đó trừ khi bạn chắc chắn rằng máy chủ của bạn không phục vụ cho các trang ASP. Nhấp vào Tiếp theo.
  7. Trên trang bảo mật bổ sung, chọn thư mục ảo bạn muốn loại bỏ khỏi hệ phục vụ này. Theo mặc định, những thư mục ảo được cài đặt theo mặc định với IIS, do đó, họ là mục tiêu nổi tiếng cho kẻ tấn công và bạn có thể muốn loại bỏ những thư mục ảo hoặc đổi tên chúng vào sản xuất máy tính. Loại bỏ các thư mục ảo từ IIS không loại bỏ thư mục vật lý tương ứng trên đĩa, do đó, bạn không mất bất kỳ dữ liệu bằng cách chọn tùy chọn này.
  8. Trên trang an ninh bổ sung, bấm vào để chọn Chạy tiện ích hệ thống Nếu bạn muốn từ chối quyền trên tệp thực hiện ở thư mục Windows với trương mục khách Internet (theo mặc định, IUSR_computername>). Tùy chọn này nên được chọn trên phần lớn hệ thống.
  9. Trên trang an ninh bổ sung, bấm vào để chọn Viết nội dung thư mục Nếu bạn muốn để từ chối quyền ghi vào tài khoản khách của Internet trên thư mục có chứa nội dung Web của bạn. Hãy chắc chắn rằng bạn để lại tùy chọn này unselected nếu bạn đang sử dụng phần mở rộng FrontPage máy chủ trên máy chủ này, hoặc nếu hệ phục vụ này chức năng như một máy chủ proxy.
  10. Trên trang an ninh bổ sung, bấm vào để chọn Vô hiệu hoá trang Web phân phối Authoring và Versioning (WebDAV) Nếu bạn không sử dụng WebDAV để tạo ra và triển khai các nội dung Web trên máy chủ này. Nếu máy chủ này chạy Outlook Web Access (OWA) cho Exchange 2000, hãy chắc chắn rằng bạn để lại tùy chọn này unselected.
    LƯU Ý: Nếu bạn chọn tùy chọn này, các khoá cứng Wizard tập quyền trên tệp DLL thực hiện chức năng WebDAV (Httpext.dll) để từ chối thực hiện sự cho phép. Điều này vẫn còn có thể cho phép một số yêu cầu WebDAV để thực thi. Để biết thêm thông tin, bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
    307934Khóa xuống WebDAV qua ACL vẫn cho phép yêu cầu đặt và xóa
  11. Nhấp vào Tiếp theo.
  12. Trên trang URLScan, chọn tùy chọn cài đặt URLScan nếu bạn muốn sử dụng URLScan để lọc ra các yêu cầu dựa trên một bộ quy tắc. Nếu một khách hàng cố gắng thực hiện một yêu cầu là không hợp lệ dựa trên các quy tắc URLScan, IIS trả lời với một 404 File không tìm thấy lỗi và đăng yêu cầu nhập tệp nhật ký URLScan. Theo mặc định, tập tin này nằm ở % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Chú ý Nếu bạn để lại WebDAV kích hoạt trên trang bảo mật bổ sung, nhưng bạn quyết định để cài đặt URLScan, lưu ý rằng URLScan khối WebDAV yêu cầu theo mặc định. Bạn phải sửa đổi tập tin Urlscan.ini nếu bạn muốn sử dụng WebDAV với URLScan.
  13. Trên các sẵn sàng để áp dụng thiết đặt trang, xem xét những thay đổi đó sẽ được thực hiện, và sau đó nhấp vào Tiếp theo.
  14. Thuật sĩ khoá cứng sao lưu của bạn metabase và làm cho những thay đổi được chọn. Khi quá trình này hoàn tất, hãy nhấp vào Xem báo cáo để xem một báo cáo mà miêu tả những thay đổi mà thuật sĩ đã thực hiện. Nhấp vào Tiếp theo để tiếp tục.

    Chú ý Bạn có thể xem báo cáo cài đặt bằng cách mở %WINDIR%\System32\Inetsrv\Oblt-rep.log trong Notepad.
  15. Nhấp vào Kết thúc để đóng thuật sĩ Lockdown IIS.
  16. Hoàn toàn kiểm tra tất cả các chức năng của máy chủ của bạn. Bước này là rất quan trọng. Nếu bạn phát hiện ra rằng bạn đã vô tình vô hiệu hóa chức năng yêu cầu của máy chủ của bạn, ngay lập tức quay trở lại những thay đổi mà thuật sĩ khoá cứng thực hiện, và sau đó chạy lại thuật sĩ để chọn lựa chọn đúng.Để biết thêm thông tin, bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
    317052Làm thế nào để hoàn tác các thay đổi được thực hiện bởi thuật sĩ Lockdown IIS
back to the top

Cấu hình URLScan

Khi bạn chạy thuật sĩ Lockdown IIS, bạn có thể cài đặt URLScan. URLScan là một bộ lọc ISAPI chặn yêu cầu HTTP dựa trên một bộ quy tắc cấu hình. Ví dụ, bạn có thể cấu hình URLScan để chặn tất cả các yêu cầu cho một số tập tin tên extension, chặn một số động từ HTTP (ví dụ như GET hoặc POST), hoặc để chặn yêu cầu có chứa ký tự mà thường xuyên được bao gồm trong các cuộc tấn công trên các máy chủ Web.

Để cấu hình URLScan, sử dụng một trình soạn thảo văn bản như Notepad để chỉnh sửa tập tin %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Tệp này chứa các ý kiến rộng rãi rằng giải thích mỗi tùy chọn cấu hình. Khi bạn đã kết thúc hiệu chỉnh tập tin rules.ini, lưu nó và khởi động lại IIS.

Để biết thêm chi tiết về cách cấu hình URLScan, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
312376Làm thế nào để cấu hình URLScan để cho phép yêu cầu với một phần mở rộng Null trong IIS
326444 Làm thế nào để cấu hình các công cụ URLScan
back to the top

Khắc phục sự cố sau khi chạy thuật sĩ Lockdown IIS

Vấn đề thường gặp nhất sau khi chạy thuật sĩ Lockdown IIS đang nhận được bất ngờ 404 File không tìm thấy báo lỗi khi bạn mở trang web khóa xuống. Bạn có thể nhận các thông điệp lỗi ngay cả đối với tập tin tồn tại. Điều này xảy ra khi một khách hàng yêu cầu một tệp đã bị chặn bởi Lockdown Wizard hoặc URLScan. Trong trường hợp này, IIS nói rằng các tập tin không tồn tại cho mục đích bảo mật. Nếu một người sử dụng độc hại biết rằng một dịch vụ dễ bị tổn thương tồn tại trên máy chủ nhưng đang bị chặn, người dùng vẫn có thể tìm thấy một cách để có được xung quanh khối và khai thác các lỗ hổng; Tuy nhiên, nếu người dùng nghĩ rằng dịch vụ này không được cài đặt, người dùng sẽ không cố gắng khai thác nó.

Nếu bạn nhận được một thông báo lỗi 404 sau khi chạy thuật sĩ Lockdown IIS, hãy làm theo các bước sau để khắc phục vấn đề:
  1. Kiểm chứng rằng tệp bạn đang yêu cầu tồn tại trên máy chủ. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
  2. Kiểm tra các tập tin đăng nhập URLScan để xem nếu URLScan là chặn các yêu cầu. Tệp này được đặt tại %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (trong đó MMDDYY là ngày cho các bản ghi). Nếu bạn phát hiện ra rằng URLScan đang cản trở các yêu cầu, xem các Cấu hình URLScan phần để thiết lập URLScan do đó, nó cho phép những yêu cầu này.
  3. Nếu bạn đang yêu cầu một tập tin HTML không, như là một trang ASP hoặc một máy chủ bên bao gồm cho phép tệp, xác minh lập bản đồ ứng dụng cho loại tệp trình quản lý dịch vụ Internet:
    1. Nhấp chuột phải vào trang Web của bạn, và sau đó nhấp vào Thuộc tính.
    2. Trên các Thư mục chính tab, bấm vào Cấu hình.
    3. Bấm vào các Ánh xạ Apps tab.
    4. Bấm vào dòng tương ứng với phần mở rộng của tập tin mà bạn đang truy cập.
    5. Nếu Đường dẫn tập tin thực thi là thiết lập để % WINDIR%\System32\Inetsrv\404.dll, hãy nhấp vào Chỉnh sửa, và sau đó thiết lập Đường dẫn tập tin thực thi để chạy được đường dẫn mặc định cho phần mở rộng tập tin đó. Nếu bạn không chắc chắn mặc định, mở tập tin %WINDIR%\System32\Inetsrv\oblt-log.log được tạo ra khi bạn chạy thuật sĩ Lockdown. Hãy tìm một dòng bắt đầu với SMAP sau đó là phần mở rộng tên tệp. Dòng này cũng chứa các đường dẫn tập tin thực thi mặc định cho loại tệp.
Nếu bạn gặp rắc rối với một dịch vụ mà phụ thuộc vào IIS, chẳng hạn như trao đổi hoặc SharePoint, xem các bài viết cơ sở kiến thức Microsoft được liệt kê trong các Chuẩn bị để chạy thuật sĩ Lockdown IIS keá tieáp.

Bạn cũng có thể thấy rằng FTP hoặc SMTP không làm việc sau khi chạy thuật sĩ Lockdown IIS. Điều này xảy ra nếu bạn nên vô hiệu hoá hoặc hủy bỏ các dịch vụ này. Nếu bạn vô hiệu hoá các dịch vụ, hãy làm theo các bước sau để tái kích hoạt chúng:
  1. Mở Control Panel.
  2. Trên Windows NT 4.0, mở các Dịch vụ tiểu dụng. Trên Windows 2000 hoặc Windows XP, mở thư mục công cụ quản trị, và sau đó mở các Dịch vụ tiểu dụng.
  3. Bấm đúp FTP Publishing hoặc SMTP (SMTP).
  4. Cho Loại khởi động, nhấn vào đây để chọn Tự động.
  5. Nhấp vào Bắt đầu Nếu bạn muốn các dịch vụ để bắt đầu ngay lập tức.
Nếu bạn hoàn toàn loại bỏ một hoặc cả hai các dịch vụ này bằng cách chọn Loại bỏ dịch vụ không cần thiết khi bạn chạy thuật sĩ Lockdown IIS vào IIS 5.0, hãy làm theo các bước sau để cài đặt lại chúng:
  1. Mở Control Panel.
  2. Mở tiểu dụng thêm/loại bỏ chương trình, và sau đó nhấp vào Thêm/loại bỏ cấu phần Windows trong ngăn bên trái.
  3. Chọn Internet Information Services (IIS), sau đó bấm Thông tin chi tiết.
  4. Bấm để chọn Dịch vụ tập tin chuyển giao thức (FTP) hoặc Dịch vụ SMTP.
  5. Nhấp vào Ok, sau đó bấm Tiếp theo. Các dịch vụ được chọn hoặc dịch vụ sẽ được cài đặt. Bạn có thể được nhắc để chèn Windows của bạn đĩa CD-ROM.
  6. Hãy chắc chắn rằng bạn nộp đơn xin lại Windows service pack mới nhất và bất kỳ hotfix mà bạn đã cài đặt.
Nếu không có những phương pháp này hoạt động, bạn có thể xem tập tin báo cáo IIS Lockdown Wizard để xem tất cả thay đổi công cụ thực hiện. Điều này có thể giúp bạn xác định những gì thay đổi gây ra những vấn đề mà bạn đang gặp phải. Tập tin báo cáo này sẽ được lưu ở % WINDIR\System32\Inetsrv\Oblt-rep.log.

Để biết thêm chi tiết về làm thế nào để hoàn tác những thay đổi mà thuật sĩ Lockdown IIS thực hiện, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
317052Làm thế nào để hoàn tác các thay đổi được thực hiện bởi thuật sĩ Lockdown IIS
back to the top
THAM KHẢO
Để thêm thông tin về thuật sĩ Lockdown IIS và làm thế nào để bảo đảm máy chủ IIS của bạn, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
310725Làm thế nào để chạy IIS Lockdown thuật sĩ không giám sát trong IIS
311350 Làm thế nào để tạo ra một loại hệ phục vụ tuỳ chỉnh để sử dụng với thuật sĩ Lockdown IIS
282060 Tài nguyên cho bảo vệ Internet Information Services
back to the top
IIS khoá cứng cụ thuật sĩ urlscan cứng lại 404 bộ công cụ bảo mật

Warning: This article has been translated automatically

Thuộc tính

ID Bài viết: 325864 - Xem lại Lần cuối: 08/28/2011 08:52:00 - Bản sửa đổi: 2.0

  • kbhowtomaster kbmt KB325864 KbMtvi
Phản hồi
//c1.microsoft.com/c.gif?">