給IIS Web服務器裝上一把鎖上_Windows系統

給IIS Web服務器裝上一把鎖上

發表于：2007-06-08來源：作者：點擊數：標簽：

為了提高IIS的安全性，微軟提供了兩個工具：IIS Lockdown和URLScan，其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能： ⑴ 禁用或者刪除不必要的IIS服務和組件。 ⑵ 修改默認配置，提高系統文件和Web內容目錄的安全性。 ⑶ 用URLScan來

　　為了提高IIS的安全性，微軟提供了兩個工具：IIS Lockdown和URLScan，其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能：

　?、?禁用或者刪除不必要的IIS服務和組件。

　?、?修改默認配置，提高系統文件和Web內容目錄的安全性。

　?、?用URLScan來過濾HTTP請求。

　　本文介紹如何運用IIS Lockdown 2.1的前兩項功能。注意本文的說明針對 IIS Lockdown 2.1版本，以前版本的用法大不相同。

　　一、注意事項

　　IIS Lockdown會改變IIS的運行方式，因此很可能與依賴IIS某些功能的應用沖突。特別地，如果要在一個運行Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服務器上安裝IIS Lockdown和URLScan，應當加倍小心。

　　微軟的兩篇文章解釋了可能遇到的困難和解決辦法：《XADM：在Exchange 2000環境中使用IIS Lockdown向導的已知問題和調整策略》（http://support.microsoft.com/default.aspx?scid=kb;en-us;q309677），以及《SPS：IIS Lockdown工具影響SharePoint Portal Server》（http://support.microsoft.com/default.aspx?scid=kb;en-us;q309675）。

　　另外，在正式應用IIS Lockdown或URLScan之前，務必搜索微軟的知識庫，收集可能出現問題的最新資料。掌握這些資料并了解其建議之后，再在測試服務器上安裝IIS Lockdown，全面測試Web應用需要的IIS功能是否受到影響。最后，做一次全面的系統備份，以便在系統功能受到嚴重影響時迅速恢復。

　　二、安裝

　　IIS Lockdown 2.1可以從http://www.microsoft.com/downloads/release.asp?releaseid=33961下載。下載之后得到一個iislockd.exe，雙擊運行，把它解壓縮到一個臨時目錄并啟動IIS Lockdown向導。但是，如果要用IIS Lockdown來保護多個服務器，最好按照下文的說明把它解壓縮到一個專用目錄，這樣就不必每次運行IIS Lockdown都要重新解壓縮了。

　　必須注意的是，下載得到的是一個自解壓縮的執行文件，這個執行文件與壓縮包里面的應用執行文件同名。因此，如果把iislockd.exe解壓縮到它本身所在的目錄，就會引起文件名稱沖突。請按照下面的安裝步驟執行，以避免可能出現的問題： [page]

　?、?將iislockd.exe下載到一個臨時目錄。

　?、?打開控制臺窗口，進入臨時目錄，執行命令“iislockd.exe /q /c /t:c:\IISLockdown”解開壓縮，/q要求以“安靜”模式操作，/c要求IIS Lockdown只執行提取文件的操作，和-t選項一起使用，-t選項指定了要把文件解壓縮到哪一個目錄（例如在本例中，要求把文件解壓縮到c:\IISLockdown目錄）。表一列出了iislockd.exe解壓縮得到的主要文件，注意iislockd.exe包含了URLScan的文件，但本文不準備詳細探討URLScan。

表一：IIS Lockdown 2.1主要文件 IIS Lockdown文件說明 iislockd.exe IIS Lockdown主執行文件。 iislockd.ini 配置和選項文件。 iislockd.chm 聯機幫助。 runlockdunattended.doc 有關“無人值守”運行方式的文檔。 404.dll “文件沒有找到”應答文件。 URLScan文件說明 urlscan.exe URLScan安裝程序包。 urlscan.doc URLScan文檔。 urlscan*.ini 配置和選項文件。 urlscan_unattend.txt 無人值守方式安裝URLScan的配置文件。 readme.txt 針對無人值守方式運行URLScan的說明 unattend.cmd 無人值守方式安裝URLScan的命令文件。

　　三、實踐應用

　　IIS Lockdown的用法很簡單。雙擊啟動iislockd.exe，出現Inte.net Information Services Lockdown向導，按照向導的提示一步一步操作，很快就可以為Web服務器加上一把鎖。首先出現的是歡迎屏幕，點擊“下一步”出現最終用戶許可協議屏幕，選中I Agree選項，點擊“下一步”進入服務器模板選擇對話框，如圖一。

圖一

原文轉自：http://www.kjueaiud.com

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > Windows系統 >