在能够保护 Web 服务器之前,您需要知道在安装 IIS和 .NET Framework 后 Windows 2000 服务器上有哪些组件。本部分解释了将安装哪些组件。
IIS 将安装什么组件?
iis 安装了大量服务、帐号、文件夹和 Web 站点。IIS 安装的一些组件可能并不是 Web 应用程序所使用的,而且如果服务器上有这些服务,它们会使服务器容易遭到攻击。表 1 列出了在 Windows 2000 服务器上选择所有组件完全安装 IIS 时,所创建的服务、帐号和文件夹。
| 表 1 IIS 安装默认值 | ||
| 项 | 详细信息 | 默认值 |
服务 | IIS 管理服务(用于 Web 和 FTP 服务的管理) | 安装 |
帐号和组 | IUSR_MACHINE(匿名 Internet 用户) | 添加到 Guest 组 |
文件夹 | %windir%\system32\inetsrv(IIS 程序文件) | |
Web 站点 | 默认的 Web 站点 — 端口 80:%SystemDrive%\inetpub\wwwroot | 允许匿名访问 |
.NET Framework 安装了什么?
当您在宿主 IIS 的服务器上安装 .NET Framework 时,.NET Framework 将注册 ASP.NET。作为此过程的一部分,将创建一个名为 ASPNET 的本地、最低特权帐号。它运行 ASP.NET 辅助进程 (aspnet_wp.exe) 和会话状态服务 (aspnet_state.exe),可以用来管理用户会话状态。
注 在运行 Windows 2000 和 IIS 5.0 的服务器计算机上,所有 ASP.NET Web 应用程序都运行在一个 ASP.NET 辅助进程的实例中,并且应用程序域提供了隔离。在 Windows Server 2003 上,IIS 6.0 通过使用应用程序池提供了进程级隔离。
表 2 显示了 .NET Framework 1.1 版本默认安装创建的服务、帐号和文件夹。
| 表 2 .NET Framework 安装默认值 | ||
| 项 | 详细信息 | 默认值 |
服务 | ASP.NET 状态服务:提供对进程外 ASP.NET 会话状态的支持 | 手工启动 |
帐号和组 | ASPNET用于运行 ASP.NET 辅助进程 (Aspnet_wp.exe) 和会话状态服务 (Aspnet_state.exe) 的帐号。 | 添加到 users 组 |
文件夹 | %windir%\Microsoft.NET\Framework\{version} | |
ISAPI 扩展 | Aspnet_isapi.dll:处理对 ASP.NET 文件类型的请求。将请求转发到 ASP.NET 辅助进程 (Aspnet_wp.exe)。 | |
ISAPI 筛选器 | Aspnet_filter.dll:仅用来支持无 cookie 会话状态。运行在 Inetinfo.exe (IIS) 进程中。 | |
应用程序映射 | ASAX, ASCX, ASHX, ASPX, AXD, VDISCO, REM, SOAP, CONFIG, CS, CSPROJ, VB, vbPROJ, WEBINFO, LICX, RESX, RESOURCES | \WINNT\Microsoft.NET\Framework\{version} Aspnet_isapi.dll |
返回页首默认情况下,windows 2000 Server 设置将安装 IIS。但是,不推荐在安装操作系统过程中安装 IIS,应该以后在已经更新和修补基础操作系统之后再安装它。在安装 IIS 之后,必须重新应用 IIS 修补程序,并加固 IIS 配置,以确保它受到完全保护。只有这时,将服务器连接到网络才是安全的。
IIS 安装推荐
如果您安装和配置一个新的 Web 服务器,请遵循如下所述的过程。
要构建一个新的 Web 服务器
1. | 安装 Windows 2000 Server,但是不要在操作系统安装过程中安装 IIS。 | ||||||||||||
2. | 对操作系统应用最新的服务包和修补程序。(如果您需要配置多个服务器,请参阅本部分后面“在基本安装中包含服务包”。) | ||||||||||||
3. | 分别通过在控制面板中使用 add/remove Programs 安装 IIS。 如果您不需要以下服务,在安装 IIS 时不要安装它们:
|
.NET Framework 安装推荐
不
