科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道给IIS Web服务器装上一把锁(2)

给IIS Web服务器装上一把锁(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文介绍如何运用IIS Lockdown 2.1的前两项功能。注意本文的说明针对 IIS Lockdown 2.1版本,以前版本的用法大不相同。

作者:51CTO.COM 2007年10月31日

关键字: IIS漏洞 IIS服务器 IIS Lockdown

  • 评论
  • 分享微博
  • 分享邮件

  三、实践应用

  IIS Lockdown的用法很简单。双击启动iislockd.exe,出现Internet Information Services Lockdown向导,按照向导的提示一步一步操作,很快就可以为Web服务器加上一把锁。首先出现的是欢迎屏幕,点击“下一步”出现最终用户许可协议屏幕,选中I Agree选项,点击“下一步”进入服务器模板选择对话框.选择一个最接近当前服务器配置的模板,本文假定使用Static Web Server(静态Web服务器)模板。选中View Template Settings选项,向导将显示出一系列有关该模板类型的对话框,如果不选中这个选项,向导将跳过这些对话框,直接进入URLScan安装过程。

  点击“下一步”,出现Internet Services对话框,如图二,这是第一个真正配置IIS加锁选项的页面。IIS Lockdown能够禁用或删除四种IIS服务:HTTP,FTP,SMTP,以及NNTP(Network News Transport Protocol,网络新闻传输协议)。怎样才能知道哪些服务才是必需的呢?除了前面选择的服务器模板类型可资参考之外,个人经验、全面地测试也同样重要。

  Internet Services对话框中的IIS服务选项有三种状态:

  ㈠ 启用:选项处于选中状态,检查框有标记,例如图二的Web services。清除检查框的标记将禁用服务。

  ㈡ 启用,但推荐禁用,例如图二的E-mail service:选项没有选中,检查框没有标记。如果保留检查框的清除状态,服务将被禁用。

  ㈢ 禁用,且不可选择,例如图二的File Transfer service:如果一个选项变灰,它的检查框也没有选中标记,则表示不允许修改该服务,可能是因为服务没有安装,也可能是因为当前选择的服务器模板需要该服务。

  如果服务器的用途不是经常改变,最好彻底删除不用的服务,这样就再也没有人会意外地激活它了。

  点击“下一步”,向导显示出Script Maps(脚本映射)对话框。脚本映射是指把特定的文件扩展名关联到ISAPI(Internet Server API)执行文件,由指定的ISAPI文件来解释该类文件的内容。例如,.asp文件类型映射到asp.dll。

  如果禁用了某种类型的脚本文件,IIS Lockdown会把脚本映射指向一个特殊的DLL,当用户试图运行该类脚本文件时这个DLL会返回“文件没有找到”的信息。要禁用某种类型的文件,只需在图三对话框中清除该类文件的检查框。

  点击“下一步”,进入最后一个IIS Lockdown的选项对话框Additional Security,如图四所示,通过这个对话框可以删除不需要的目录,禁止未经授权的用户访问文件系统。IIS安装好之后会有许多用于开发和学习的虚拟目录,正式向用户提供服务的环境不需要这些目录,IIS Lockdown将删除图四对话框中选中的虚拟目录,但仍会完好地保留这些目录包含的数据。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章