恢复 IISLockdown 的更改
要恢复 IISLockdown 执行的更改,可以再次运行 IISLockd.exe。这不会删除 URLScan ISAPI 筛选器。有关更多信息,请参阅下一主题中的“删除 URLScan”。
更多信息
有关 IISLockdown 工具的更多信息,请参阅以下文章:
有关运行 IISLockdown 的更多信息,请参阅本指导“如何……”部分中的“如何使用 IISLockdown.exe”。 | |
有关 IISLockdown 的疑难解答信息,请参阅Microsoft 知识库文章 325864,“如何:安装和使用 IIS Lockdown 向导”。(在运行 IISLockdown 后最常见的问题是接受不希望出现的“404 File Not Found”错误消息。) | |
有关自动化 IISLockdown 的信息,请参阅Microsoft 知识库文章 310725,“如何:运行 IIS 中无人参与的 IIS Lockdown 向导”。 |
安装和配置 URLScan
urlscan 是在您运行 IISLockdown 时安装的,虽然可以分别下载和安装。
不运行 IISLockdown 而安装 URLScan
1. | 从 http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe 下载 IISlockd.exe。 |
2. | 运行以下命令提取 URLScan 设置: iislockd.exe /q /c |
urlscan 将阻塞包含不安全字符的请求(例如,用来利用漏洞的字符,例如用于目录遍历的“..”)。URLScan 将在 %windir%\system32\inetsrv\urlscan 目录中记录包含这些字符的请求。
使用 .ini 文件 %windir%\system32\inetsrv\urlscan\urlscan.ini 中的设置配置 URLScan。
除了阻塞恶意的请求,您还可以使用 URLScan 在请求到达 ASP.NET 之前保护您的服务器免受拒绝服务攻击。为此,在 URLScan.ini 文件中的 maxallowedcontentlength、maxurl 和 maxquerystring 参数里设置限制。有关更多信息,请参阅本指导“如何……”部分中的“如何使用 URLScan”。
恢复 URLScan 更改
不存在删除 URLScan 的自动化操作。如果使用 URLScan 出现问题,可以从 IIS 中删除,或者通过日志记录拒绝的请求来分析问题。为此,在 URLScan .ini 文件中使用选项 rejectresponseurl=/~*。
有关如何删除 ISAPI 筛选器的更多信息,请参阅本单元后面的“第 13 步:ISAPI 筛选器”。
更多信息
有关 URLScan 工具的更多信息,请参阅以下文章:
有关运行 URLScan 的信息,请参阅本指导“如何……”部分中的“如何使用 URLScan”。 | |
有关 URLScan 配置和 URLScan.ini 文件设置的信息,请参阅 Microsoft 知识库文章 326444,“如何:配置 URLScan 工具”。 |
返回页首不会对客户端进行身份验证的服务、使用不安全协议的服务,或者以过多特权运行的服务都存在风险。如果您不需要它们,就不要运行它们。通过禁用不必要的服务,能够快速和容易地减小受攻击面。还减少了维护方面的开销(修补程序、服务帐号,等等。)
如果您运行了一个服务,应该确保它是安全的和并且可维护。为此,可以使用最低特权帐号运行服务,通过应用修补程序使服务保持最新。
在此步骤中,应该:
禁用不必要的服务。 | |
禁用 FTP、SMTP 和 NNTP,除非需要它们。 | |
禁用 ASP.NET 状态服务,除非需要。 |
禁用不必要的服务
windows 服务很容易被攻击者利用其特权和功能以获取访问本地和远程系统资源的权限。作为一种防范措施,应该禁用系统和应用程序不需要的 Windows 服务。您可以通过使用位于管理工具程序组的服务 MMC 管理单元来禁用 Windows 服务。
注 在禁用服务之前,应该确保首先在测试或者模拟测试环境中进行了测试。
在大多数情况下,以下默认的 Windows 服务在 Web 服务器上都不需要:Alerter、Browser、Messenger、Netlogon(仅域控制器必需),简单 TCP/IP 服务 和 Spooler。
telnet 服务是
