概述: IIS 6.0 SP1: 修补重要的Bugs Windows Server 2003 Service Pack 1 list of updates -->http://support.microsoft.com/?id=824721 新增功能特性: IIS 6.0 Content Revision Summary(IIS 6.0)-->http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/8a7f678b-b163-4b99-8572-ecb83ea0bcdc.mspx
Security Configuration Wizard -->Windows Server 2003 SP1中新增的可选组件 可以创建,编辑,应用或者撤回安全策略 类似与IIS Lockdown Tool 关于SCW的更多信息-->http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/default.mspx
Metabase审计: 激活后,对MetaBase(IIS配置)的修改将记录相应的安全日志 记录的信息包括修改MetaBase的日期,时间,修改前后的数值以及做出修改的相应的用户账号 分两步激活: 激活audit object access的审计策略 执行iiscnfg.vbs/enableAudit激活
如何启用Metabase审计呢?
我现在来到一台计算机名称叫做GC的服务器 它是一台全局编录服务器同时是一台IIS 6.0服务器 我已经在这台服务器上安装GPMC了 通过开始--程序--管理工具--选择组策略管理来打开它 展开森:yejunsheng.com--域--yejunsheng.com--Domain Controllers--对着Default Domain Controllers Policy这条组策略右键--选择编辑 在组策略编辑器里面展开计算机配置--Windows设置--安全设置--本地策略--按审核策略--双击审核对象访问--然后把成功和失败都沟上 按确定
通过开始--运行--输入cmd按确定来打开命令提示符 在命令提示符里面输入cd \按回车键--输入cd windows\system32按回车键--输入cscript iiscnfg.vbs /enableaudit / /r按回车键 第一个/后面不输入任何值代表激活所有的节点 如果你不想激活节点的话就直接在命令提示符里面输入cscript iiscnfg.vbs /disableaudit / /r按回车键就ok了
激活这些节点之后会发生什么变化呢? 我把一个网站的端口修改一下看看是什么样的结果 打开Internet信息服务(IIS)管理器--展开网站--对着Microsoft这个网站右键--选择属性 把TCP端口从原来的80修改成802 按确定
通过开始--运行--输入eventvwr按确定来打开事件查看器--按安全性 双击来源为IIS-METABASE这个事件--可以看到yejunsheng这个域中的管理员把
www.microsoft.com
这个网站的TCP端口从默认的80端口修改成802端口了
集中的W3C Logging: 默认情况下,IIS中每个站点有单独的logging文件。对于同一服务器上有大量站点的情况,需要同时处理多个log文件的handle,对性能和拓展性有影响 每台服务器上所有站点使用一个W3C log(默认位置: %windir%\system32\logfiles\W3SVC) Log字段: Site ID-与站点对应 所有W3C拓展字段 无UI支持,通过metabase激活: 需要重启www服务 可以通过文本阅读器阅读,而不需要特殊的Parser FTP,NNTP,SMTP不支持W3C centralized logging cscript adsutil.vbs set W3SVC/CentralW3CLoggingEnabled true
如何使用文本阅读器阅读logging文件呢?
打开命令提示符--在里面输入cd \按回车键--输入cd Inetpub\AdminScripts按回车键--输入cscript adsutil.vbs set w3svc/centralw3cloggingEnabled true按回车键 激活完成之后需要重启www服务 输入net stop w3svc & net start w3svc按回车键 此时我来访问一个网站 打开IE浏览器--在地址里面输入
http://www.microsoft.com
按回车键 看到了吧? 可以访问到这个网站的内容了-->Welcome to the Microsoft Site! 然后就可以去看这个日志了 在C:\WINDOWS\system32\LogFiles\W3SVC1162618920路径里面双击ex081005.log这个文件来打开它 在里面可以看到日期 浏览器的版本 客户端的操作系统等等 这个logging文件主要是记录功能
Kernel Mode SSL: Windows Server 2003 SP1后提供基于Kernel Mode的SSL,性能提高近20% 通过注册表激活-->HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters Key: EnableKernelSSL(DWORD) Value: 0=User Mode 1=Kernel Mode Kernel Mode SSL不支持: 客户端证书 RC2 Cipher PCT(Private Communications Technology) 1.0 服务器证书配置改变需要重新启动HTTP服务 Bulk encryption and offload 更多信息可参考"Changes to HTTP API in Windows Server 2003 SP1" -->http://www.microsoft.com/downloads/details.aspx?Familyld=A3DA3D7F-18C7-45CE-A47A-ED747DACEF34&displaylang=en
SSL Host Headers: 同服务器上多个SSL站点共享相同的IP,port和证书(仅Host Headers不同)。Windows Server 2003 SP1前不支持 注意: 配置没有图形界面支持,可通过命令行,脚本或者直接编辑metabase 每个站点都需要安装wildcard certificate,例如*.yejunsheng.com 为了避免非授权使用该证书,每个使用该证书的网站都需要配置secure bindings 语法: adsutil.vbs set W3SVC/<site identifier>/SecureBindings ":443:<host header>" 例如: adsutil.vbs set W3SVC/124325/SecureBindings ":443:www.test.com"
如何启用安全的Web服务器呢?
我来到IIS服务器这边 我已经在这台服务器上安装IIS 6.0 Resource Kit工具了 打开命令提示符--在里面输入cd \按回车键--输入cd windows\system32按回车键--输入iisweb /query按回车键 可以看到我已经创建二个网站了 第一个网站的主机头名叫做
www.microsoft.com
它的ID(标识符)是1162618920 第二个网站的主机头名叫做
www.intel.com
它的ID(标识符)是1235185738
我现在使用IIS 6.0 Resource Kit工具来对
www.microsoft.com
这个网站进行自动生成一个证书 打开命令提示符--在里面输入cd \按回车键--输入cd pro*按回车键--输入cd IIS R*按回车键--输入cd selfssl按回车键--输入selfssl /T /S:1162618920 /N:cn=*.yejunsheng.com按回车键--输入Y按回车键 此时还需要去对Microsoft这个网站做一个安全绑定才行 输入cd \按回车键--输入cd inetpub\adminscripts按回车键--输入cscript adsutil.vbs set w3svc/1162618920/securebindings ":443:www.microsoft.com"按回车键 注意: 1162618920是M
icrosoft
这个网站的ID(标识符)
我现在来到一台计算机名称叫做internet的客户端 打开IE浏览器--在地址里面输入
https://www.microsoft.com
按回车键 看到了吗? 我现在是使用https这种方式访问Microsoft这个网站的 可以访问到网站的内容了-->Welcome to the Microsoft Site! 表明现在已经成功启用安全的Web服务器了
刚才只是对Microsoft这个网站启用安全的Web连接 如何在启用安全Web服务器的基础上对Intel这个网站启用安全站点连接呢?
打开Internet信息服务(IIS)管理器--展开网站--对着Intel这个网站右键--选择属性 在Intel属性里面按目录安全性--按服务器证书--接着下一步
在选择此网站使用的方法里面选择分配现有证书 接着下一步
选中刚才申请的*.yejunsheng.com这个证书 接着下一步
在此网站应该使用的SSL端口里面保留默认值(443) 接着下一步
这是最后一步了 按完成
此时还需要对Intel这个网站做一个安全绑定才行 在命令提示符的C:\Inetpub\AdminScripts这个路径下输入cscript adsutil.vbs set w3svc/1235185738/securebindings ":443:www.intel.com"按回车键 注意:1235185738是Intel这个网站的ID(标识符)
www.intel.com
是Intel这个网站的主机头名
我来到一台计算机名称叫做internet的客户端测试一下 打开IE浏览器--在地址里面输入
https://www.intel.com
按回车键 看到了吧? 我现在是使用https这种方式访问的 可以访问到Intel这个网站的内容了-->Welcome to the intel site! 表明已经成功对Intel这个网站启用安全的站点连接了
其他新增特性: 64-bit/WoW64 Support-->让32位应用运行在x64上 增强的HTTP错误日志 Tracing的增强
参考资源: Changes to HTTP API in Windows Server 2003 SP1-->http://www.microsoft.com/downloads/details.aspx?Familyld=A3DA3D7F-18C7-45CE-A47A-ED747DACEF34&displaylang=en Configuring SSL Host Headers(IIS 6.0)-->http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/596b9108-b1a7-494d-885d-f8941b07554c.mspx Security Configuration Wizard-->http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/default.mspx Troubleshooting IIS 6.0 with Tracing-->http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/f4535a1e-09da-4347-86ee-f51aef0dabbe.mspx
转载于:https://blog.51cto.com/yejunsheng/160976