 |
How To:使用 IISLockdown.exe
本頁內容
 | 目標 |
| 適用於 |
| 如何使用本單元 |
| 摘要 |
| IISLockdown 的作用何在? |
| 安裝 IISLockdown |
| 執行 IISLockdown |
| 記錄檔 |
| 復原 IISLockdown 變更 |
| 自主式 (Unattended) 執行 |
| 潛在風險 |
目標
透過本單元即可:
| • | 使用 IISLockdown 來保障執行 ASP.NET 之 IIS Web 伺服器的安全。 |
適用於
本單元適用於下列產品及技術:
| • | Microsoft® Windows® 2000 Server |
| • | Internet Information Services |
如何使用本單元
若要充分瞭解本單元:
| • | 您必須具備管理 Internet Information Services 的相關經驗。 |
| • | 您必須在 IIS Web 伺服器上安裝 .NET Framework。 |
| • | 閱讀相關單元<How To:使用 URLScan>。本單元說明如何使用會與 IISLockdown 一併安裝的 URLScan ISAPI 篩選器。 |
摘要
利用執行 IISLockdown 工具,您可以大幅自動化保障 Web 伺服器的安全防護程序。此工具可讓您選取特定的伺服器角色類型,然後使用會停用或保護各種功能的自訂範本,來提高該伺服器的安全性。
本單元說明如何使用 IISLockdown 工具,來保障提供 ASP.NET 網頁的 Internet Information Services (IIS) 伺服器。
IISLockdown 的作用何在?
執行 IISLockdown 時,提供 ASP.NET 網頁的 Windows 2000 電腦會選取 [Dynamic Web server (有啟用 ASP)] 範本。當您使用此範本時,IIS Lockdown 便會執行下列動作:
| • | 它會停用下列 Internet 服務:
| ||||||||||
| • | 它會將下列指令碼對應到 404.dll:
| ||||||||||
| • | 它會移除下列虛擬目錄:
| ||||||||||
| • | 它會限制系統公用程式的匿名存取,以及寫入 Web 內容目錄的能力。為了這麼做,IISLockdown 會建立名為「Web 匿名使用者」與「Web 應用程式」的兩個新本機群組,然後將這些群組的拒絕存取控制項目 (ACE) 新增到重要公用程式及目錄上的存取控制清單 (ACL) 中。 接著,IISLockdown 會將預設的匿名網際網路使用者帳戶 (IUSR_MACHINE) 新增到「Web 匿名使用者」,將 IWAM_MACHINE 帳戶新增到「Web 應用程式」中。 注意 如果您建立自訂的匿名網際網路使用者帳戶,請將這些帳戶新增到「Web 匿名使用者」群組中。 | ||||||||||
| • | 它會停用 Web Distributed Authoring and Versioning (WebDAV)。 | ||||||||||
| • | 它會安裝 URLScan ISAPI 篩選器。 |
安裝 IISLockdown
若要安裝 IISLockdown,請從 Microsoft 網站下載,網址是:http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe。
您可以將其儲存到本機,或在出現提示時,按一下 [開啟] 即可直接執行。如果您儲存 IISLockd.exe,您可以執行下列命令來解壓縮有用的檔案:
iislockd.exe /q /c
這個命令會解壓縮下列檔案:
| • | IISLockd.chm。這是 IISLockdown 工具的已編譯說明檔。 |
| • | RunLockdUnattended.doc。此檔案包含 IISLockdown 自主式 (Unattended) 執行的指示。 |
| • | URLScan.exe 及關聯的檔案。這些檔案會安裝 URLScan 而不執行 IISLockdown.exe。 |
執行 IISLockdown
IISLockdown 會偵測 Microsoft .NET Framework,並採取步驟來保障 .NET Framework 檔案的安全。執行 IISLockdown 之前,請先在 Web 伺服器上安裝 .NET Framework。
IISLockd.exe 並非安裝程式。當您啟動 IISLockd.exe 時,它會執行 IIS 鎖定精靈 (IIS Lockdown Wizard)。
| • | 若要執行 IISLockdown
|
記錄檔
詳細記載 IISLockdown 所做之變更的記錄,會寫入下列位置的檔案中:\WINNT\System32\inetsrv\oblt-log.log。當您第二次執行 IISLockdown 時,IISLockdown 會根據此記錄檔來復原其所有變更。您可以使用任何文字編輯器來檢視這個記錄檔,以瞭解 IISLockdown 所做的確切變更。
復原 IISLockdown 變更
若要復原 IISLockdown 所做的變更,請再次執行 IISlockd.exe,並選擇要復原這些變更。此復原作業將還原您上次執行 IISLockdown 前所使用的系統設定。這些詳細資訊均記錄在記錄檔 \WINNT\System32\inetsrv\0blt-log 中。因此,執行 IISLockdown 之後,請務必立即測試系統。如需進行復原,請立即執行。
注意:會與 IIS Lockdown 一併安裝的 URLScan ISAPI 篩選器,不會在復原過程中移除。您可以在 [Internet 服務管理員] 的伺服器層級,使用 [ISAPI 篩選器] 索引標籤來手動移除 URLScan。
自主式 (Unattended) 執行
下列步驟源自 RunLockdUnattended.doc,當您使用 /q 和 /c 引數執行 IISLockd.exe 來解壓縮檔案時,便會產生此文件。
| • | 若要設定 IISLockdown 進行自主式 (Unattended) 執行
|
潛在風險
使用 IISLockdown 時,請留意下列潛在風險:
| • | IISLockdown 會使用「Web 匿名使用者」這個新群組來設定 NTFS 權限。在預設的狀況下,此群組包含 IUSR_MACHINE 帳戶。如果您建立新的匿名帳戶,就必須手動將這些帳戶新增到「Web 匿名使用者」群組。 |
| • | 如果您使用 Microsoft Visual Studio® .NET, 來偵錯 ASP.NET 頁,偵錯作業會停止運作。這是因為 IISLockdown 安裝了 URLScan,而 URLScan 會封鎖 DEBUG 動詞。有關如何在開發人員工作站上使用 IISLockdown 的詳細資訊,請參閱本指南的<How To:保障開發人員工作站的安全>。 |