确保 Internet 信息服务 5.0 和 5.1 的安全(4)_动易Cms教程

HTR 脚本 (.htr)、Internet 打印 (.printer)
.idq、.ida： 缓冲区溢出向攻击者提供了完全控制服务器的可能性。
.htw：用户可能无意间通过浏览器或支持 HTML 的电子邮件客户端打开恶意链接。
.shtml、.shtm、.stm：ssiinc.dll 安全问题可向浏览器返回任何 Web 服务器中的攻击者指定内容。
.Idc：跨站点脚本安全问题可在错误页中提供完整的 URL，使攻击者能在服务器中随意运行脚本代码。
.htr：显示 ASP 文件的源代码。
.printer： 向攻击者提供目标 IIS 系统的远程控制台。

附加安全性
删除 Internet 打印的如下虚拟目录：
ISS Samples
MSADC
IISHelp
Scripts
IISAdmin
Printers

删除 IISAdmin Web 站点

限制匿名访问系统工具

限制匿名用户向 Web 内容目录写入

创建称为 Web Anonymous Users 和 Web Applications 的两个新本地组，将二者的“拒绝”访问控制条目 (ACE) 添加到要害工具和目录的访问控制列表 (ACL) 中。

将默认的匿名 Internet 用户帐户
IUSR_ComputerName 添加到 Web Anonymous Users 中。

将 Web 应用程序标识 IWAM_ComputerName 添加到 Web Applications 中。

禁止 WebDAV (Web Distributed Authoring and Versioning)。
安装 UrlScan ISAPI 筛选器。
　

• 验证 Web 服务器的 IIS Lockdown Tool 配置有效

1.
右键单击桌面的“我的电脑”，单击“资源治理器”，然后浏览 C:\WINNT\system32\inetsrv 目录。

2.
查找 oblt-undo.log 和 oblt-undone.log 文件。



假如没有日志文件，或虽然存在但数据和时间戳早于 oblt-log.log 文件，表示 Web 服务器的 IIS Lockdown Tool 配置已生效。

运行 IIS Lockdown Tool 之后，您可以手动重新启动文件扩展名。假如要重新运行 IIS Lockdown Tool 删除其配置，这种方法最可取。

• 运行 IIS Lockdown Tool 后手动重新映射文件扩展名

1.
单击“开始”>“程序”>“治理工具”>“Internet 服务治理器”。

2.
右键单击 Web 站点，然后单击“属性”。

3.
单击“主目录”选项卡，然后单击“配置”。

4.
查找要重新映射的文件扩展名。

5.
双击文件，然后将路径从 404.dll 更改到 C:\WINNT\system32\inetsrv\file name.dll，其中都是要重新映射的文件扩展名。例如：idq.dll。



自定义 UrlScan 配置
UrlScan 在 IIS Lockdown Tool 运行时安装。UrlScan 是一种 Internet 服务应用程序编程接口 (ISAPI) 筛选器，它可以根据一组规则来筛选或拒绝 HTTP 请求，从而使 Web 服务器远离攻击。这些规则适用于 Web 服务器驻留的所有 Web 站点。正确安装 UrlScan 之后，无论是否启动 IIS，UrlScan 都将自动运行。

您可以通过编辑 UrlScan.ini 文件来更改 UrlScan 规则。此文件必须与 UrlScan.dll 文件位于同一目录，UrlScan.dll 是运行 UrlScan 的文件。

本节提供下列分步指导来实现自定义 UrlScan 配置：

• 自定义 UrlScan 配置

• 验证新的 UrlScan 设置


要求

• 凭据：您必须以 Web 服务器 Administrators 组成员的身份登录。

• 工具：我的电脑、UrlScan.ini 文件、记事本、iisreset 命令。

• 自定义 UrlScan 配置

1.
右键单击桌面的“我的电脑”，单击“资源治理器”，然后浏览 C:\WINNT\system32\inetsrv\urlscan 目录。

2.
双击 UrlScan.ini 文件并在记事本中打开。完成相应更改，然后保存文件并关闭。

下表列出了 UrlScan.ini 文件中的各部分。

查看更多 动易Cms教程  动易Cms模板