IIS Lockdown的用法很简单。为了保护IIS服务器的安全,我们来一起学习下IIS Lockdown的知识吧。默认情况下,IIS会限制对Web内容目录的匿名访问,但还应该加上一层对系统工具(如cmd.exe)的保护,以防止未经授权的用户在系统安全出现漏洞时访问这些工具。
如果选中对话框中的Running system utilities (for example, Cmd.exe, Tftp.exe)检查框,IIS Lockdown将修改\%windir%目录及其子目录下所有执行文件的访问控制属性(ACE,Access Control Entry),明确地禁止本地Web匿名用户组和Web用户组的运行权限。
如果选中Writing to content directories 检查框,IIS Lockdown还会加强所有Web内容目录的安全性,即设置ACE,禁止本地Web匿名用户组和We应用组的写入权限。
窗口底部有一个Disable Web Distributed Authoring and Versioning(WebDAV)选项,即禁用Web分布式创作和版本控制。WebDAV功能用来支持远程Web内容创作和管理,如果确实不必用到该功能,那就可以选中Disable Web Distributed Authoring and Versioning检查框。
选中该选项之后,IIS Lockdown将设置httpext.dll(实现WebDAV功能的执行文件)的ACE,禁止将httpext.dll文件装入inetinfo.exe的进程,从而也就禁止了WebDAV功能。
对话框的“下一步”,IIS Lockdown将询问是否要安装URLScan,如图五。如果要用筛选器来禁止IIS处理某些可能有恶意的URL,即经常被黑客用来攻击系统的URL,那就可以用URLScan作为守卫IIS的前门(即筛选器)。
本文不准备详细介绍URLScan,请访问http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有关URLScan的说明。
取消安装URLScan的选项,点击“下一步”,IIS Lockdown显示出一系列将要执行的操作。点击“取消”可以放弃操作,点击“下一步”则开始执行清单中列出的“加锁”操作。加锁操作一旦开始,中途不能停止。
依赖于具体的修改操作,IIS Lockdown可能在\%windir%\system32\inetsrv目录下创建几个日志文件和IIS元数据备份文件,如表二所示。
虽然没有人要求我们一定要保证这些IIS Lockdown日志文件和元数据备份文件的安全,但如果要手工撤销IIS Lockdown所做的操作,或者需要重新安装OS,那就要用到这些文件。因此,最好把这些文件复制到另一个磁盘,或者把它们保存到另一个服务器。
表二:IIS Lockdown日志和元数据备份文件
- .log或.md0文件 说明
- oblt-log.log IIS Lockdown为了提高服务器安全性而执行的一系列操作的清单。
- oblt-rep.log 加锁过程的一个简短总结。加锁过程结束后,点击View Report按钮可以看到这个文件。
- oblt-undo.log IIS Lockdown为了撤销加锁操作而采取的一系列动作的清单。
- metaback\oblt-mb.md0 IIS元数据的备份文件。
- metaback\oblt-beforeundo-mb.md0 在IIS Lockdown Undo命令恢复元数据备份之前备份的IIS元数据。
如果在正式为用户提供服务的机器上运行IIS Lockdown,一定要安排在正常的关机维护期间进行。IIS Lockdown开始执行修改操作时会关闭Web服务,安排在正常的维护期间进行修改可以避免给用户带来不必要的麻烦。
【编辑推荐】
