手工更新 .NET Framework 1.0 版本
确定 .NET Framework 服务包是否已安装在您的 Web 服务器上。 为此,请参阅 Microsoft 知识库文章 318785,“INFO:确定 .NET Framework 服务包是否已安装”。 | |
将 .NET Framework 的安装版本与当前服务包进行比较。 为此,使用 Microsoft 知识库文章 318836 “ INFO:如何获取最新的 .NET Framework 服务包”中列出的 .NET Framework 版本。 |
返回页首iislockdown 工具有助于自动化一些安全步骤。IISLockdown 极大地减少了 Windows 2000 Web 服务器中的漏洞。它允许您选择一个特定类型的服务器角色,然后使用自定义模板提高该特殊服务器的安全性。模板将禁用或者保护各种功能。除此之外,IISLockdown 还将安装 URLScan ISAPI 筛选器。URLScan 允许 Web 站点管理员根据管理员控制的一组规则集限制服务器能够处理的 HTTP 请求种类。通过阻塞特定的 HTTP 请求,URLScan 筛选器能够防止潜在有害的请求到达服务器,导致损坏。
在此步骤中,应该:
安装和运行 IISLockdown。 | |
安装和配置 URLScan。 |
安装和运行 IISLockdown
iislockdown 可以从 Microsoft Web 站点通过 Internet 下载,网址是:http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe。
将 IISlockd.exe 保存在本地文件夹中。IISlockd.exe 是 IISLockdown 的向导,而不是一个安装程序。您可以通过再次运行 IISlockd.exe 恢复 IISLockdown 所做的任何更改。
如果您锁定了宿主 ASP.NET 页的基于 Windows 2000 的计算机,可以在 IISLockdown 工具提示您的时候选择动态 Web 服务器模板。当您选择动态 Web 服务器时,IISLockdown 将执行以下操作:
它禁用了以下不安全的 Internet 服务:
| |||||||||||
它通过将以下文件扩展名映射到 404.dll 禁用了脚本映射:
| |||||||||||
它删除以下虚拟目录:iis Samples、 MSADC、IISHelp、Scripts 和 IISAdmin。 | |||||||||||
它限制匿名访问系统实用工具以及使用 Web 权限写入 Web 内容目录的能力。 | |||||||||||
它禁用 Web 分布式创作和版本控制 (WebDAV)。 | |||||||||||
它安装 URLScan ISAPI 筛选器。 |
注 如果您不使用传统的 ASP,就不要使用静态 Web 服务器模板。这个模板将删除 ASP.NET 页需要的基本功能,例如支持 post 命令。
日志文件
iislockdown 创建了两个报告,列出了已经应用的更改:
%windir%\system32\inetsrv\oblt-rep.log。其中包含高层次信息。 | |
%windir%\system32\inetsrv\oblt-log.log。其中包含低层次的详细信息,例如哪个程序文件配置了拒绝访问控制项 (ACE),以防止匿名 Internet 用户帐号访问它们。这个日志文件还可以用来支持 IISLockdown Undo Changes 功能。 |
Web 匿名用户和 Web 应用程序组
iislockdown 创建了 web Anonymous Users 组和 web Application 组。 web Anonymous Users 组包含 IUSR_MACHINE 帐号。web Application 组包含 IWAM_MACHINE 帐号。权限是按照这些组赋予系统工具和内容目录的,而不是直接赋予 IUSR 和 IWAM 帐号。您可以通过查看 IISLockdown 日志 %windir%\system32\inetsrv\oblt-log.log 来审查特定的权限。
404.dll
iislockdown 安装了 404.dll,您可以将不能由客户端运行的文件扩展名映射到此文件。有关更多信息,请参阅“第 12 步:脚本映射。”
URLScan
如果您安装 URLScan ISAPI 筛选器作为 IISLockdown 的一部分,URLScan 设
