深入剖析IIS 6.0(10)

在圖一中，注意“所有未知ISAPI擴展”和“所有未知CGI擴展”這兩種Web服務擴展。默認情況下，這兩種擴展是禁用的，意味著除非明確地允許一個應用在IIS 6.0上運行，否則它就不能運行。如果一個用戶請求了某個沒有啟用的文件，IIS 6.0將向用戶返回404錯誤——文件或目錄沒有找到，同時在W3SVC日志中記錄“404.2文件或目錄無法找到：鎖定策略禁止該請求”。在IIS 6.0中，404.2和其他子狀態代碼是W3SVC日志文件的一項可選功能，用來幫助排解故障、疑難（IIS 5.0和IIS 4.0中也有子狀態代碼，不過不會在日志文件中記錄，但可以將它們轉到定制的錯誤頁面，便于根據子狀態代碼執行特殊的處理）。IIS 6.0的子狀態代碼很有用，它們提供了描述問題的詳細信息，例如：403.20，禁止訪問：Passport登錄失??；403.18，禁止訪問：無法在當前應用程序池中執行請求的URL；404.3，文件或目錄無法找到：MIME映射策略禁止該請求；500.19，服務器錯誤：該文件的數據在配置數據庫中配置不正確。所有這些錯誤和其他錯誤都映射到定制的錯誤頁面，錯誤頁面不會把子狀態代碼發送給用戶，攻擊者無法獲知具體的錯誤信息。

　　另一個安全方面的改進之處是IIS 6.0允許指派一個加密服務提供者（Cryptographic Service Provider，CSP），能夠將基于硬件的安全套接字層（SSL）加速器集成到IIS 6.0，從而把加密任務從服務器的通用CPU轉移到了專門為加密操作而優化的專用設備，有利于提高性能和可靠性。

　　二、配置數據

　　在IIS 5.0和IIS 4.0中，配置數據庫采用二進制文件結構，但IIS 6.0放棄了這一做法。IIS 6.0的配置數據由兩個XML文件構成：一個是Metabase.xml，包含IIS 6.0服務器的配置信息；另一個是mbschema.xml，包含配置數據的模式定義。IIS管理器提供了一項新的功能，允許保存配置數據副本，只要右擊Web網站，然后選擇“所有任務”→“將配置保存到一個文件”，然后指定配置數據副本的文件名字和保存路徑即可。按照這種方式保存配置數據時，IIS 6.0利用系統的機器碼（Machine Key）加密配置數據的某些部分，因此，配置數據的副本只對創建該副本的機器有用。

　　不過，在“將配置保存到一個文件”對話框中，我們可以選中“用密碼對配置進行加密”選項，然后指定密碼，用密碼來保護導出的配置文件。如果提供了密碼，IIS 6.0將用密碼來替代機器碼，以后只要提供同一個密碼，就可以將配置數據導入到另一個服務器。另外，我們可以使用命令行腳本iisback.vbs（在systemroot\System32中）創建和管理遠程或本地計算機的IIS配置的備份副本，管理員可以使用此腳本工具創建其IIS配置的備份副本，從備份副本還原IIS配置以及列出和刪除備份副本。

　　有些時候，我們只要保存某個應用程序池、Web網站或虛擬目錄的配置，而不是保存全部的配置信息，這時可以按照如下步驟操作：右擊要保持配置信息的對象，選擇菜單“所有任務”→“將配置保存到一個文件”，如圖二所示，如果準備將配置數據導入到另一個服務器，必須提供加密文件的密碼。

圖二

原文轉自：http://www.kjueaiud.com