⑴ 禁用或者删除不必要的IIS服务和组件。
⑵ 修改默认配置,提高系统文件和Web内容目录的安全性。
⑶ 用URLScan来过滤HTTP请求。
本文介绍如何运用IIS Lockdown 2.1的前两项功能。注意本文的说明针对 IIS Lockdown 2.1版本,以前版本的用法大不相同。
一、注意事项
IIS Lockdown会改变IIS的运行方式,因此很可能与依赖IIS某些功能的应用冲突。特别地,如果要在一个运行Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服务器上安装IIS Lockdown和URLScan,应当加倍小心。
微软的两篇文章解释了可能遇到的困难和解决办法:《XADM:在Exchange 2000环境中使用IIS Lockdown向导的已知问题和调整策略》(http://support.microsoft.com/default.ASPx?scid=kb;en-us;q309677),以及《SPS:IIS Lockdown工具影响SharePoint Portal Server》(http://support.microsoft.com/default.ASPx?scid=kb;en-us;q309675)。
另外,在正式应用IIS Lockdown或URLScan之前,务必搜索微软的知识库,收集可能出现问题的最新资料。掌握这些资料并了解其建议之后,再在测试服务器上安装IIS Lockdown,全面测试Web应用需要的IIS功能是否受到影响。最后,做一次全面的系统备份,以便在系统功能受到严重影响时迅速恢复。
二、安装
IIS Lockdown 2.1可以从http://www.microsoft.com/downloads/release.ASP?releaseid=33961下载。下载之后得到一个iislockd.exe,双击运行,把它解压缩到一个临时目录并启动IIS Lockdown向导。但是,如果要用IIS Lockdown来保护多个服务器,最好按照下文的说明把它解压缩到一个专用目录,这样就不必每次运行IIS Lockdown都要重新解压缩了。
必须注意的是,下载得到的是一个自解压缩的执行文件,这个执行文件与压缩包里面的应用执行文件同名。因此,如果把iislockd.exe解压缩到它本身所在的目录,就会引起文件名称冲突。请按照下面的安装步骤执行,以避免可能出现的问题: [page]
㈠ 将iislockd.exe下载到一个临时目录。 ㈡ 打开控制台窗口,进入临时目录,执行命令“iislockd.exe /q /c /t:c:/IISLockdown”解开压缩,/q要求以“安静”模式操作,/c要求IIS Lockdown只执行提取文件的操作,和-t选项一起使用,-t选项指定了要把文件解压缩到哪一个目录(例如在本例中,要求把文件解压缩到c:/IISLockdown目录)。表一列出了iislockd.exe解压缩得到的主要文件,注意iislockd.exe包含了URLScan的文件,但本文不准备详细探讨URLScan。
三、实践应用 IIS Lockdown的用法很简单。双击启动iislockd.exe,出现Internet Information Services Lockdown向导,按照向导的提示一步一步操作,很快就可以为Web服务器加上一把锁。首先出现的是欢迎屏幕,点击“下一步”出现最终用户许可协议屏幕,选中I Agree选项,点击“下一步”进入服务器模板选择对话框. |