确保 Internet 信息服务 5.0 和 5.1 的安全(2)_动易Cms教程

• 驻留一个面向 Internet 的 Web 站点。

• 专用 Web 服务器。

• 位于防火墙背后。该防火墙仅答应在 HTTP 端口 80 和 HTTPS 端口 443 传递数据。

• 答应匿名访问 Web 站点。

• 支持 HTML 和 ASP 页。

• 不支持 FTP（文件上传和下载）、SMTP（电子邮件）和 NNTP（新闻组）协议。

• 不使用 Internet Security and Acceleration Server。

• 要求治理员通过本地登录治理 Web 服务器。


除了上述要求，Web 服务器示例还要求：

• 在 Web 服务器上不配置 Microsoft 的 FrontPage® 2002 Server Extensions。

• Web 服务器上的应用程序不需要连接数据库。


返回页首
减少 Web 服务器攻击面
下面通过减少服务器的攻击面来确保 Web 服务器的安全。首先，仅启用保证 Web 服务器正常运行的必要组件、服务和端口。

本节提供的分步指导来指导您实现减少 Web 服务器攻击面的目标：

• 运行 IIS Lockdown Tool

• 自定义 UrlScan 配置


运行 IIS Lockdown Tool
借助 IIS Lockdown Tool，您可以根据 Web 服务器中应用程序的类型来选择特定的服务器任务，然后通过禁用相关功能或保护相关功能的自定义模板来提高服务器的安全性。

IIS Lockdown Tool 可使许多确保 Web 服务器安全的工作自动化。但切记，任何工具都不能替代适时安装 Service Pack 和热修补程序。

注重：建议您先阅读 IIS Lockdown Tool 附带的相关文档，然后再使用该工具。

本节提供下列分步指导来指导运行 IIS Lockdown tool：

• 安装 IIS Lockdown tool

• 确定 Web 服务器是否支持动态内容

• 确定 Web 服务器是否已运行 IIS Lockdown Tool

• 运行 IIS Lockdown Tool


要求

• 凭据：您必须以 Web 服务器 Administrators 组成员的身份登录。

• 工具：必须安装 IIS Lockdown Tool 和 Internet 服务治理器。

• 安装 IIS Lockdown Tool

1.
访问位于 http://go.microsoft.com/fwlink/?LinkId=22848 的 Microsoft下载中心下载 IIS Lockdown Tool（英文）。

2.
单击“保存”，将文件保存到本地硬盘的文件夹中。例如，C:\WINNT\system32\inetsrv。

3.
单击“开始”、“运行”，键入 cmd，再单击“确定”。

4.
在命令提示符窗口，定位到保存 IIS Lockdown Tool 的位置，键入命令：iislockd.exe/q/c

此命令将解包下列文件：

• IISLockd.chm：已编译的 IIS Lockdown Tool 帮助文件。

• RunLockdUnattended.doc：包括“无人值守”方式运行 IIS Lockdown Tool 的指导。

• UrlScan.exe 和关联文件：这些文件用于安装 UrlScan。默认情况下，这些文件解包后保存在 C:\WINNT\system32\inetsrv\urlscan。有关 UrlScan 的具体信息，请参阅本文档后面的“自定义 UrlScan 配置”。



• 确定 Web 服务器是否支持动态内容

1.
右键单击桌面的“我的电脑”，单击“资源治理器”，然后浏览存储 Web 服务器内容的目录。

2.
搜索下列文件扩展名：

　　　　
.asp
.ida
.idq

.htw
.shtml
.shtm

.stm
.idc
.htr

.cgi
.dll
.exe


假如搜索到任何内容，表示 Web 服务器支持动态内容。例如，本文档的 Web 服务器示例支持 .asp 文件，搜索结果有相应的文件扩展名。


• 确定 Web 服务器是否已运行 IIS Lockdown Tool

查看更多 动易Cms教程  动易Cms模板