确保 Internet 信息服务 5.0 和 5.1 的安全(5)_动易Cms教程

UrlScan.ini 文件中的各部分

部分 说明
[Options]
一般 UrlScan 选项例如，目录遍历攻击已攫取了包含多个句点 (".") 的项目路径名称。假如您的某些目录名称包含多个句点，您必须在 UrlScan.ini 中设置 AllowDotInPath=1。UrlScan 拒绝的字符包括逗号 (,) 和英镑标记 (#)。

[AllowVerbs] 和 [DenyVerbs]
UrlScan 答应的动词（包括知名的 HTTP 方法，如 GET 和 POST）。

[DenyHeaders]
HTTP 请求中不答应的 HTTP 标题。假如 HTTP 请求包含禁用标题，则 UrlScan 拒绝该请求。

[AllowExtensions] 和 [DenyExtensions]
UrlScan 答应的文件扩张名（例如，.exe、.dll、.cgi）。

[DenyURLSequences]
HTTP 请求不答应的字符串。UrlScan 拒绝包含此节中列出的字符串的 HTTP 请求。


3.
打开命令提示符，键入 iisreset，回收 IIS 并接受 UrlScan.ini 文件的更改。



验证新的设置

验证本地计算机是否应用了正确的 UrlScan 安全设置。

• 验证 UrlScan 配置

1.
右键单击桌面的“我的电脑”，单击“资源治理器”，然后浏览 C:\WINNT\system32\inetsrv\urlscan 目录。

2.
要查看更改记录，双击 UrlScandate.log 文件并在记事本中打开。



停用不必要的协议
停用不必要的协议可以减少受攻击的可能性。

本节提供了下列分步指导来帮助您停用不必要的协议：

• 停用基于 Internet 连接的 SMB 协议

• 停用 TCP/IP 服务中的 NetBIOS 协议


停用 SMB 和 NetBIOS 协议
主机枚举 (host enumeration) 攻击可通过扫描网络来确定潜在目标的 IP 地址。为了降低主机枚举成功攻击您 Web 服务器中面向 Internet 的端口的可能性，请停用除传输控制协议 (TCP) 以外的其他所有网络协议。Web 服务器的网络适配器不需要服务器信息块 (SMB) 和 NetBIOS。

注重：一旦停用 SMB 和 NetBIOS，服务器将无法实现文件服务器或打印服务器的功能，您不能浏览任何网络，也无法远程控制 Web 服务器。假如服务器是要求治理员在本地登录的专用 Web 服务器，这些限制不影响服务器的运行。

SMB 使用下列端口：

• TCP 端口 139

• TCP 和 UDP 端口 445（SMB Direct Host）


NetBIOS 使用下列端口：

• TCP 和用户数据报协议 (UDP) 端口 137（NetBIOS 名称服务）

• TCP 和 UDP 端口 138（NetBIOS 数据报服务）

• TCP 和 UDP 端口 139（NetBIOS 会话服务）


仅停用 NetBIOS 无法完全阻止 SMB 通信，因为假如没有标准的 NetBIOS 端口，SMB 便使用 TCP 端口 445，即众所周知的 SMB Direct Host。您必须分别停用 NetBIOS 和 SMB。

要求

• 凭据：您必须以 Web 服务器 Administrators 组成员的身份登录。

• 工具：我的电脑、系统工具、设备治理器。

• 停用面向 Internet 连接的 SMB 协议

1.
单击“开始”，单击“设置”，然后单击“网络和拔号连接”。

2.
右键单击面向 Internet 的连接，然后单击“属性”。

3.
清除“Microsoft 网络客户端”复选框。

4.
清除“Microsoft 网络的文件和打印机共享”复选框，然后单击“确定”。


• 停用 TCP/IP 服务中的 NetBIOS 协议

1.
右键单击桌面的“我的电脑”，然后单击”治理”。

2.
展开“系统工具”，然后选择“设备治理器”。

3.
右键单击“设备治理器”，单击“查看”，然后单击“显示隐藏的设备”。

4.
展开“非即插即用驱动程序”。

查看更多 动易Cms教程  动易Cms模板