深入剖析IIS 6.0(10)

领测软件测试网 在图一中，注意“所有未知ISAPI扩展”和“所有未知CGI扩展”这两种Web服务扩展。默认情况下，这两种扩展是禁用的，意味着除非明确地允许一个应用在IIS 6.0上运行，否则它就不能运行。如果一个用户请求了某个没有启用的文件，IIS 6.0将向用户返回404错误——文件或目录没有找到，同时在W3SVC日志中记录“404.2文件或目录无法找到：锁定策略禁止该请求”。在IIS 6.0中，404.2和其他子状态代码是W3SVC日志文件的一项可选功能，用来帮助排解故障、疑难（IIS 5.0和IIS 4.0中也有子状态代码，不过不会在日志文件中记录，但可以将它们转到定制的错误页面，便于根据子状态代码执行特殊的处理）。IIS 6.0的子状态代码很有用，它们提供了描述问题的详细信息，例如：403.20，禁止访问：Passport登录失败；403.18，禁止访问：无法在当前应用程序池中执行请求的URL；404.3，文件或目录无法找到：MIME映射策略禁止该请求；500.19，服务器错误：该文件的数据在配置数据库中配置不正确。所有这些错误和其他错误都映射到定制的错误页面，错误页面不会把子状态代码发送给用户，攻击者无法获知具体的错误信息。

　　另一个安全方面的改进之处是IIS 6.0允许指派一个加密服务提供者（Cryptographic Service Provider，CSP），能够将基于硬件的安全套接字层（SSL）加速器集成到IIS 6.0，从而把加密任务从服务器的通用CPU转移到了专门为加密操作而优化的专用设备，有利于提高性能和可靠性。

　　二、配置数据

　　在IIS 5.0和IIS 4.0中，配置数据库采用二进制文件结构，但IIS 6.0放弃了这一做法。IIS 6.0的配置数据由两个XML文件构成：一个是Metabase.xml，包含IIS 6.0服务器的配置信息；另一个是mbschema.xml，包含配置数据的模式定义。IIS管理器提供了一项新的功能，允许保存配置数据副本，只要右击Web网站，然后选择“所有任务”→“将配置保存到一个文件”，然后指定配置数据副本的文件名字和保存路径即可。按照这种方式保存配置数据时，IIS 6.0利用系统的机器码（Machine Key）加密配置数据的某些部分，因此，配置数据的副本只对创建该副本的机器有用。

　　不过，在“将配置保存到一个文件”对话框中，我们可以选中“用密码对配置进行加密”选项，然后指定密码，用密码来保护导出的配置文件。如果提供了密码，IIS 6.0将用密码来替代机器码，以后只要提供同一个密码，就可以将配置数据导入到另一个服务器。另外，我们可以使用命令行脚本iisback.vbs（在systemroot\System32中）创建和管理远程或本地计算机的IIS配置的备份副本，管理员可以使用此脚本工具创建其IIS配置的备份副本，从备份副本还原IIS配置以及列出和删除备份副本。

　　有些时候，我们只要保存某个应用程序池、Web网站或虚拟目录的配置，而不是保存全部的配置信息，这时可以按照如下步骤操作：右击要保持配置信息的对象，选择菜单“所有任务”→“将配置保存到一个文件”，如图二所示，如果准备将配置数据导入到另一个服务器，必须提供加密文件的密码。

图二

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/