第七卷 給IIS Web服務器裝上一把鎖
為了提高IIS的安全性,微軟提供了兩個工具:IIS Lockdown和URLScan,其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能:
⑴ 禁用或者刪除不必要的IIS服務和組件。
⑵ 修改默認配置,提高係統文件和Web內容目錄的安全性。
⑶ 用URLScan來過濾HTTP請求。
本文介紹如何運用IIS Lockdown 2.1的前兩項功能。注意本文的說明針對 IIS Lockdown 2.1版本,以前版本的用法大不相同。
一、注意事項
IIS Lockdown會改變IIS的運行方式,因此很可能與依賴IIS某些功能的應用衝突。特別地,如果要在一個運行Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服務器上安裝IIS Lockdown和URLScan,應當加倍小心。
微軟的兩篇文章解釋了可能遇到的困難和解決辦法:《XADM:在Exchange 2000環境中使用IIS Lockdown向導的已知問題和調整策略》(http://support.microsoft.com/default.aspx?scid=kb;en-us;q309677),以及《SPS:IIS Lockdown工具影響SharePoint Portal Server》(http://support.microsoft.com/default.aspx?scid=kb;en-us;q309675)。
另外,在正式應用IIS Lockdown或URLScan之前,務必搜索微軟的知識庫,收集可能出現問題的最新資料。掌握這些資料並了解其建議之後,再在測試服務器上安裝IIS Lockdown,全麵測試Web應用需要的IIS功能是否受到影響。最後,做一次全麵的係統備份,以便在係統功能受到嚴重影響時迅速恢複。
二、安裝
IIS Lockdown 2.1可以從http://www.microsoft.com/downloads/release.asp?releaseid=33961下載。下載之後得到一個iislockd.exe,雙擊運行,把它解壓縮到一個臨時目錄並啟動IIS Lockdown向導。但是,如果要用IIS Lockdown來保護多個服務器,最好按照下文的說明把它解壓縮到一個專用目錄,這樣就不必每次運行IIS Lockdown都要重新解壓縮了。
必須注意的是,下載得到的是一個自解壓縮的執行文件,這個執行文件與壓縮包裏麵的應用執行文件同名。因此,如果把iislockd.exe解壓縮到它本身所在的目錄,就會引起文件名稱衝突。請按照下麵的安裝步驟執行,以避免可能出現的問題:
㈠ 將iislockd.exe下載到一個臨時目錄。
㈡ 打開控製台窗口,進入臨時目錄,執行命令"iislockd.exe /q /c /t:c:\IISLockdown"解開壓縮,/q要求以"安靜"模式操作,/c要求IIS Lockdown隻執行提取文件的操作,和-t選項一起使用,-t選項指定了要把文件解壓縮到哪一個目錄(例如在本例中,要求把文件解壓縮到c:\IISLockdown目錄)。表一列出了iislockd.exe解壓縮得到的主要文件,注意iislockd.exe包含了URLScan的文件,但本文不準備詳細探討URLScan。
表一:IIS Lockdown 2.1主要文件
IIS Lockdown文件
說明
iislockd.exe
IIS Lockdown主執行文件。
iislockd.ini
配置和選項文件。
iislockd.chm
聯機幫助。
runlockdunattended.doc
有關"無人值守"運行方式的文檔。
404.dll
"文件沒有找到"應答文件。
URLScan文件
說明
urlscan.exe
URLScan安裝程序包。
urlscan.doc
URLScan文檔。
urlscan*.ini
配置和選項文件。
urlscan_unattend.txt
無人值守方式安裝URLScan的配置文件。
readme.txt
針對無人值守方式運行URLScan的說明
unattend.cmd
無人值守方式安裝URLScan的命令文件。
三、實踐應用
IIS Lockdown的用法很簡單。雙擊啟動iislockd.exe,出現Internet Information Services Lockdown向導,按照向導的提示一步一步操作,很快就可以為Web服務器加上一把鎖。首先出現的是歡迎屏幕,點擊"下一步"出現最終用戶許可協議屏幕,選中I Agree選項,點擊"下一步"進入服務器模板選擇對話框,如圖一。