给IIS Web服务器装上一把锁(4)

作者佚名技术来源服务器技术浏览发布时间 2012-07-06

如果禁用了某种类型的脚本文件，IIS Lockdown会把脚本映射指向一个特殊的DLL，当用户试图运行该类脚本文件时这个DLL会返回“文件没有找到”的信息。要禁用某种类型的文件，只需在图三对话框中清除该类文件的检查框。　　点击“下一步”，进入最后一个IIS Lockdown的选项对话框Additional Security，如图四所示，通过这个对话框可以删除不需要的目录，禁止未经授权的用户访问文件系统。IIS安装好之后会有许多用于开发和学习的虚拟目录，正式向用户提供服务的环境不需要这些目录，IIS Lockdown将删除图四对话框中选中的虚拟目录，但仍会完好地保留这些目录包含的数据。

图四　　默认情况下，IIS会限制对Web内容目录的匿名访问，但还应该加上一层对系统工具（如cmd.exe）的保护，以防止未经授权的用户在系统安全出现漏洞时访问这些工具。如果选中图四对话框中的Running system utilities (for example, Cmd.exe, Tftp.exe)检查框，IIS Lockdown将修改\%windir%目录及其子目录下所有执行文件的访问控制属性（ACE，Access Control Entry），明确地禁止本地Web匿名用户组和Web用户组的运行权限。如果选中Writing to content Directories 检查框，IIS Lockdown还会加强所有Web内容目录的安全性，即设置ACE，禁止本地Web匿名用户组和We应用组的写入权限。　　图四窗口底部有一个Disable Web Distributed Authoring and Versioning（WebDAV）选项，即禁用Web分布式创作和版本控制。WebDAV功能用来支持远程Web内容创作和管理，如果确实不必用到该功能，那就可以选中Disable Web Distributed Authoring and Versioning检查框。选中该选项之后，IIS Lockdown将设置httpext.dll（实现WebDAV功能的执行文件）的ACE，禁止将httpext.dll文件装入inetinfo.exe的进程，从而也就禁止了WebDAV功能。　　点击图四对话框的“下一步”，IIS Lockdown将询问是否要安装URLScan，如图五。如果要用筛选器来禁止IIS处理某些可能有恶意的URL，即经常被黑客用来攻击系统的URL，那就可以用URLScan作为守卫IIS的前门（即筛选器）。本文不准备详细介绍URLScan，请访问http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有关URLScan的说明。

图五关键词：IIS

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

分享到：更多

你可能对下面的文章感兴趣

上一篇: 浅析Apache中SSI和CGI的设定方法(1)下一篇: 深入剖析IIS 6.0(1)

关于给IIS Web服务器装上一把锁(4)的所有评论

随机推荐