为了提高IIS的安全性,微软提供了两 个工具:IIS Lockdown和URLScan,其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能:
⑴ 禁用或者删除不必要的IIS服务和组件。
⑵ 修改默认配置,提高系统文件和Web内容目录 的安 全性。
⑶ 用URLScan来过滤HTTP请求。
一、注意事项
IIS Lockdown会改变IIS的运行方式,因此很可能与依 赖IIS某些功能的应用冲突。特别地,如果要在一个运行 Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服务器上安装IIS Lockdown和URLScan,应当加倍小心。
微软的两篇文章解释了可能遇到的困难和解决办法:《 XADM:在Exchange 2000环境中使用IIS Lockdown向导的已知问题和调整策略》(http://support.microsoft.com/default.aspx? scid=kb;en-us;q309677),以及《SPS:IIS Lockdown工具影响SharePoint Portal Server》(http://support.microsoft.com/default.aspx? scid=kb;en-us;q309675)。
另外,在正式应用IIS Lockdown或URLScan之前,务必搜索微软的知识库,收集可能出 现问题的最新资料。掌握这些资料并了解其建议之后,再在测试服务器上安装IIS Lockdown,全面测试Web应用需要的IIS功能是否受到影响。最后,做一次全面的系统备份,以便在系统功能受到严重影响时 迅速恢复。
二、安装
IIS Lockdown 2.1可以从http://www.microsoft.com/downloads/rel ease.asp?releaseid=33961下载。下载之后得到一个 iislockd.exe,双击运行,把它解压缩到一个临时目录并启动 IIS Lockdown向导。但是,如果要用IIS Lockdown来保护多个服务 器,最好按照下文的说明把它解压缩到一个专用目录,这样就不必每次运行IIS Lockdown都要重新解压缩了。
必须注意的是,下载得到的是一个自解压缩的执行文件 ,这个执行文件与压缩包里面的应用执行文件同名。因此,如 果把iislockd.exe解压缩到它本身所在的目录,就会引起文件 名称冲突。请按照下面的安装步骤执行,以避免可能出现的问 题:
㈠ 将iislockd.exe下载到一个临 时目录。
㈡ 打开控制台窗口,进入临时目录,执行命令“iislockd.exe /q /c /t:c:IISLockdown”解开压缩,/q要求以“安静”模式操作, /c要求IIS Lockdown只执行提取文件的操作,和-t选项一起使用,-t选项 指定了要把文件解压缩到哪一个目录(例如在本例中,要求把文件解压缩到c:IISLockdown目录)。表一列出了 iislockd.exe解压缩得到的主要文件,注意iislockd.exe包含了URLScan的文件,但本文不准备详细探讨URLScan。
表一:IIS Lockdown 2.1主要文件 IIS Lockdown文件 说明
iislockd.exe IIS Lockdown主执行文件。
iislockd.ini 配置和选项文件。
iislockd.chm 联机帮助。
runlockdunattended.doc 有关“无人值守”运行方式的文 档。
404.dll “文件没有找到”应答文件。
URLScan文件 说明
urlscan.exe URLScan安装程序包 。
(责任编辑:城尘)