HTR 腳本 (.htr)、Internet 打印 (.printer)
.idq、.ida： 緩沖區(qū)溢出向攻擊者提供了完全控制服務(wù)器的可能性。
.htw：用戶可能無意間通過瀏覽器或支持 HTML 的電子郵件客戶端打開惡意鏈接。
.shtml、.shtm、.stm：ssiinc.dll 安全問題可向?yàn)g覽器返回任何 Web 服務(wù)器中的攻擊者指定內(nèi)容。
.Idc：跨站點(diǎn)腳本安全問題可在錯(cuò)誤頁中提供完整的 URL，使攻擊者能在服務(wù)器中隨意運(yùn)行腳本代碼。
.htr：顯示 ASP 文件的源代碼。
.printer： 向攻擊者提供目標(biāo) IIS 系統(tǒng)的遠(yuǎn)程控制臺(tái)。

附加安全性
刪除 Internet 打印的如下虛擬目錄：
ISS Samples
MSADC
IISHelp
Scripts
IISAdmin
Printers

刪除 IISAdmin Web 站點(diǎn)

限制匿名訪問系統(tǒng)工具

限制匿名用戶向 Web 內(nèi)容目錄寫入

創(chuàng)建稱為 Web Anonymous Users 和 Web Applications 的兩個(gè)新本地組，將二者的“拒絕”訪問控制條目 (ACE) 添加到要害工具和目錄的訪問控制列表 (ACL) 中。

將默認(rèn)的匿名 Internet 用戶帳戶
IUSR_ComputerName 添加到 Web Anonymous Users 中。

將 Web 應(yīng)用程序標(biāo)識(shí) IWAM_ComputerName 添加到 Web Applications 中。

禁止 WebDAV (Web Distributed Authoring and Versioning)。
安裝 UrlScan ISAPI 篩選器。
　

• 驗(yàn)證 Web 服務(wù)器的 IIS Lockdown Tool 配置有效

1.
右鍵單擊桌面的“我的電腦”，單擊“資源治理器”，然后瀏覽 C:\WINNT\system32\inetsrv 目錄。

2.
查找 oblt-undo.log 和 oblt-undone.log 文件。



假如沒有日志文件，或雖然存在但數(shù)據(jù)和時(shí)間戳早于 oblt-log.log 文件，表示 Web 服務(wù)器的 IIS Lockdown Tool 配置已生效。

運(yùn)行 IIS Lockdown Tool 之后，您可以手動(dòng)重新啟動(dòng)文件擴(kuò)展名。假如要重新運(yùn)行 IIS Lockdown Tool 刪除其配置，這種方法最可取。

• 運(yùn)行 IIS Lockdown Tool 后手動(dòng)重新映射文件擴(kuò)展名

1.
單擊“開始”>“程序”>“治理工具”>“Internet 服務(wù)治理器”。

2.
右鍵單擊 Web 站點(diǎn)，然后單擊“屬性”。

3.
單擊“主目錄”選項(xiàng)卡，然后單擊“配置”。

4.
查找要重新映射的文件擴(kuò)展名。

5.
雙擊文件，然后將路徑從 404.dll 更改到 C:\WINNT\system32\inetsrv\file name.dll，其中都是要重新映射的文件擴(kuò)展名。例如：idq.dll。



自定義 UrlScan 配置
UrlScan 在 IIS Lockdown Tool 運(yùn)行時(shí)安裝。UrlScan 是一種 Internet 服務(wù)應(yīng)用程序編程接口 (ISAPI) 篩選器，它可以根據(jù)一組規(guī)則來篩選或拒絕 HTTP 請(qǐng)求，從而使 Web 服務(wù)器遠(yuǎn)離攻擊。這些規(guī)則適用于 Web 服務(wù)器駐留的所有 Web 站點(diǎn)。正確安裝 UrlScan 之后，無論是否啟動(dòng) IIS，UrlScan 都將自動(dòng)運(yùn)行。

您可以通過編輯 UrlScan.ini 文件來更改 UrlScan 規(guī)則。此文件必須與 UrlScan.dll 文件位于同一目錄，UrlScan.dll 是運(yùn)行 UrlScan 的文件。

本節(jié)提供下列分步指導(dǎo)來實(shí)現(xiàn)自定義 UrlScan 配置：

• 自定義 UrlScan 配置

• 驗(yàn)證新的 UrlScan 設(shè)置


要求

• 憑據(jù)：您必須以 Web 服務(wù)器 Administrators 組成員的身份登錄。

• 工具：我的電腦、UrlScan.ini 文件、記事本、iisreset 命令。

• 自定義 UrlScan 配置

1.
右鍵單擊桌面的“我的電腦”，單擊“資源治理器”，然后瀏覽 C:\WINNT\system32\inetsrv\urlscan 目錄。

2.
雙擊 UrlScan.ini 文件并在記事本中打開。完成相應(yīng)更改，然后保存文件并關(guān)閉。

下表列出了 UrlScan.ini 文件中的各部分。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板