• 駐留一個(gè)面向 Internet 的 Web 站點(diǎn)。

• 專用 Web 服務(wù)器。

• 位于防火墻背后。該防火墻僅答應(yīng)在 HTTP 端口 80 和 HTTPS 端口 443 傳遞數(shù)據(jù)。

• 答應(yīng)匿名訪問(wèn) Web 站點(diǎn)。

• 支持 HTML 和 ASP 頁(yè)。

• 不支持 FTP（文件上傳和下載）、SMTP（電子郵件）和 NNTP（新聞組）協(xié)議。

• 不使用 Internet Security and Acceleration Server。

• 要求治理員通過(guò)本地登錄治理 Web 服務(wù)器。


除了上述要求，Web 服務(wù)器示例還要求：

• 在 Web 服務(wù)器上不配置 Microsoft 的 FrontPage® 2002 Server Extensions。

• Web 服務(wù)器上的應(yīng)用程序不需要連接數(shù)據(jù)庫(kù)。


返回頁(yè)首
減少 Web 服務(wù)器攻擊面
下面通過(guò)減少服務(wù)器的攻擊面來(lái)確保 Web 服務(wù)器的安全。首先，僅啟用保證 Web 服務(wù)器正常運(yùn)行的必要組件、服務(wù)和端口。

本節(jié)提供的分步指導(dǎo)來(lái)指導(dǎo)您實(shí)現(xiàn)減少 Web 服務(wù)器攻擊面的目標(biāo)：

• 運(yùn)行 IIS Lockdown Tool

• 自定義 UrlScan 配置


運(yùn)行 IIS Lockdown Tool
借助 IIS Lockdown Tool，您可以根據(jù) Web 服務(wù)器中應(yīng)用程序的類型來(lái)選擇特定的服務(wù)器任務(wù)，然后通過(guò)禁用相關(guān)功能或保護(hù)相關(guān)功能的自定義模板來(lái)提高服務(wù)器的安全性。

IIS Lockdown Tool 可使許多確保 Web 服務(wù)器安全的工作自動(dòng)化。但切記，任何工具都不能替代適時(shí)安裝 Service Pack 和熱修補(bǔ)程序。

注重：建議您先閱讀 IIS Lockdown Tool 附帶的相關(guān)文檔，然后再使用該工具。

本節(jié)提供下列分步指導(dǎo)來(lái)指導(dǎo)運(yùn)行 IIS Lockdown tool：

• 安裝 IIS Lockdown tool

• 確定 Web 服務(wù)器是否支持動(dòng)態(tài)內(nèi)容

• 確定 Web 服務(wù)器是否已運(yùn)行 IIS Lockdown Tool

• 運(yùn)行 IIS Lockdown Tool


要求

• 憑據(jù)：您必須以 Web 服務(wù)器 Administrators 組成員的身份登錄。

• 工具：必須安裝 IIS Lockdown Tool 和 Internet 服務(wù)治理器。

• 安裝 IIS Lockdown Tool

1.
訪問(wèn)位于 http://go.microsoft.com/fwlink/?LinkId=22848 的 Microsoft下載中心下載 IIS Lockdown Tool（英文）。

2.
單擊“保存”，將文件保存到本地硬盤(pán)的文件夾中。例如，C:\WINNT\system32\inetsrv。

3.
單擊“開(kāi)始”、“運(yùn)行”，鍵入 cmd，再單擊“確定”。

4.
在命令提示符窗口，定位到保存 IIS Lockdown Tool 的位置，鍵入命令：iislockd.exe/q/c

此命令將解包下列文件：

• IISLockd.chm：已編譯的 IIS Lockdown Tool 幫助文件。

• RunLockdUnattended.doc：包括“無(wú)人值守”方式運(yùn)行 IIS Lockdown Tool 的指導(dǎo)。

• UrlScan.exe 和關(guān)聯(lián)文件：這些文件用于安裝 UrlScan。默認(rèn)情況下，這些文件解包后保存在 C:\WINNT\system32\inetsrv\urlscan。有關(guān) UrlScan 的具體信息，請(qǐng)參閱本文檔后面的“自定義 UrlScan 配置”。



• 確定 Web 服務(wù)器是否支持動(dòng)態(tài)內(nèi)容

1.
右鍵單擊桌面的“我的電腦”，單擊“資源治理器”，然后瀏覽存儲(chǔ) Web 服務(wù)器內(nèi)容的目錄。

2.
搜索下列文件擴(kuò)展名：

　　　　
.asp
.ida
.idq

.htw
.shtml
.shtm

.stm
.idc
.htr

.cgi
.dll
.exe


假如搜索到任何內(nèi)容，表示 Web 服務(wù)器支持動(dòng)態(tài)內(nèi)容。例如，本文檔的 Web 服務(wù)器示例支持 .asp 文件，搜索結(jié)果有相應(yīng)的文件擴(kuò)展名。


• 確定 Web 服務(wù)器是否已運(yùn)行 IIS Lockdown Tool

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板