十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
目录丢失可能是由于其它程序或者操作非正常的访问造成的,可以试试下面文中提到的这个软件,以获得更高的可靠性。
目前成都创新互联已为上千余家的企业提供了网站建设、域名、虚拟主机、网站托管维护、企业网站设计、弥渡网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
-------------------------------------------------------------------
为了提高IIS的安全性,微软提供了两个工具:IIS Lockdown和URLScan,其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能:
⑴ 禁用或者删除不必要的IIS服务和组件。
⑵ 修改默认配置,提高系统文件和Web内容目录
的安全性。
⑶ 用URLScan来过滤HTTP请求。
本文介绍如何运用IIS Lockdown 2.1的前两项功能。注意本文的说明针对 IIS Lockdown 2.1版本,以前版本的用法大不相同。
一、注意事项
IIS Lockdown会改变IIS的运行方式,因此很可能与依赖IIS某些功能的应用冲突。特别地,如果要在一个运行Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服务器上安装IIS Lockdown和URLScan,应当加倍小心。
微软的两篇文章解释了可能遇到的困难和解决办法:《XADM:在Exchange 2000环境中使用IIS Lockdown向导的已知问题和调整策略》(;en-us;q309677),以及《SPS:IIS Lockdown工具影响SharePoint Portal Server》(;en-us;q309675)。
另外,在正式应用IIS Lockdown或URLScan之前,务必搜索微软的知识库,收集可能出现问题的最新资料。掌握这些资料并了解其建议之后,再在测试服务器上安装IIS Lockdown,全面测试Web应用需要的IIS功能是否受到影响。最后,做一次全面的系统备份,以便在系统功能受到严重影响时迅速恢复。
二、安装
IIS Lockdown 2.1可以从下载。下载之后得到一个iislockd.exe,双击运行,把它解压缩到一个临时目录并启动IIS Lockdown向导。但是,如果要用IIS Lockdown来保护多个服务器,最好按照下文的说明把它解压缩到一个专用目录,这样就不必每次运行IIS Lockdown都要重新解压缩了。
必须注意的是,下载得到的是一个自解压缩的执行文件,这个执行文件与压缩包里面的应用执行文件同名。因此,如果把iislockd.exe解压缩到它本身所在的目录,就会引起文件名称冲突。请按照下面的安装步骤执行,以避免可能出现的问题:
一 将iislockd.exe下载到一个临时目录。
二 打开控制台窗口,进入临时目录,执行命令“iislockd.exe /q /c /t:c:\IISLockdown”解开压缩,/q要求以“安静”模式操作,/c要求IIS Lockdown只执行提取文件的操作,和-t选项一起使用,-t选项指定了要把文件解压缩到哪一个目录(例如在本例中,要求把文件解压缩到c:\IISLockdown目录)。表一列出了iislockd.exe解压缩得到的主要文件,注意iislockd.exe包含了URLScan的文件,但本文不准备详细探讨URLScan。
表一:IIS Lockdown 2.1主要文件
IIS Lockdown文件 说明
iislockd.exe IIS Lockdown主执行文件。
iislockd.ini 配置和选项文件。
iislockd.chm 联机帮助。
runlockdunattended.doc 有关“无人值守”运行方式的文档。
404.dll “文件没有找到”应答文件。
URLScan文件 说明
urlscan.exe URLScan安装程序包。
urlscan.doc URLScan文档。
urlscan*.ini 配置和选项文件。
urlscan_unattend.txt 无人值守方式安装URLScan的配置文件。
readme.txt 针对无人值守方式运行URLScan的说明
unattend.cmd 无人值守方式安装URLScan的命令文件。
三、实践应用
IIS Lockdown的用法很简单。双击启动iislockd.exe,出现Internet Information Services Lockdown向导,按照向导的提示一步一步操作,很快就可以为Web服务器加上一把锁。首先出现的是欢迎屏幕,点击“下一步”出现最终用户许可协议屏幕,选中I Agree选项,点击“下一步”进入服务器模板选择对话框.选择一个最接近当前服务器配置的模板,本文假定使用Static Web Server(静态Web服务器)模板。选中View Template Settings选项,向导将显示出一系列有关该模板类型的对话框,如果不选中这个选项,向导将跳过这些对话框,直接进入URLScan安装过程。
点击“下一步”,出现Internet Services对话框,如图二,这是第一个真正配置IIS加锁选项的页面。IIS Lockdown能够禁用或删除四种IIS服务:HTTP,FTP,SMTP,以及NNTP(Network News Transport Protocol,网络新闻传输协议)。怎样才能知道哪些服务才是必需的呢?除了前面选择的服务器模板类型可资参考之外,个人经验、全面地测试也同样重要。
Internet Services对话框中的IIS服务选项有三种状态:
一 启用:选项处于选中状态,检查框有标记,例如图二的Web services。清除检查框的标记将禁用服务。
二 启用,但推荐禁用,例如图二的E-mail service:选项没有选中,检查框没有标记。如果保留检查框的清除状态,服务将被禁用。
三 禁用,且不可选择,例如图二的File Transfer service:如果一个选项变灰,它的检查框也没有选中标记,则表示不允许修改该服务,可能是因为服务没有安装,也可能是因为当前选择的服务器模板需要该服务。
如果服务器的用途不是经常改变,最好彻底删除不用的服务,这样就再也没有人会意外地激活它了。
点击“下一步”,向导显示出Script Maps(脚本映射)对话框。脚本映射是指把特定的文件扩展名关联到ISAPI(Internet Server API)执行文件,由指定的ISAPI文件来解释该类文件的内容。例如,.asp文件类型映射到asp.dll。
如果禁用了某种类型的脚本文件,IIS Lockdown会把脚本映射指向一个特殊的DLL,当用户试图运行该类脚本文件时这个DLL会返回“文件没有找到”的信息。要禁用某种类型的文件,只需在图三对话框中清除该类文件的检查框。
点击“下一步”,进入最后一个IIS Lockdown的选项对话框Additional Security,如图四所示,通过这个对话框可以删除不需要的目录,禁止未经授权的用户访问文件系统。IIS安装好之后会有许多用于开发和学习的虚拟目录,正式向用户提供服务的环境不需要这些目录,IIS Lockdown将删除图四对话框中选中的虚拟目录,但仍会完好地保留这些目录包含的数据。
默认情况下,IIS会限制对Web内容目录的匿名访问,但还应该加上一层对系统工具(如cmd.exe)的保护,以防止未经授权的用户在系统安全出现漏洞时访问这些工具。如果选中图四对话框中的Running system utilities (for example, Cmd.exe, T)检查框,IIS Lockdown将修改\%windir%目录及其子目录下所有执行文件的访问控制属性(ACE,Access Control Entry),明确地禁止本地Web匿名用户组和Web用户组的运行权限。如果选中Writing to content directories 检查框,IIS Lockdown还会加强所有Web内容目录的安全性,即设置ACE,禁止本地Web匿名用户组和We应用组的写入权限。
窗口底部有一个Disable Web Distributed Authoring and Versioning(WebDAV)选项,即禁用Web分布式创作和版本控制。WebDAV功能用来支持远程Web内容创作和管理,如果确实不必用到该功能,那就可以选中Disable Web Distributed Authoring and Versioning检查框。选中该选项之后,IIS Lockdown将设置httpext.dll(实现WebDAV功能的执行文件)的ACE,禁止将httpext.dll文件装入inetinfo.exe的进程,从而也就禁止了WebDAV功能。
对话框的“下一步”,IIS Lockdown将询问是否要安装URLScan,如图五。如果要用筛选器来禁止IIS处理某些可能有恶意的URL,即经常被黑客用来攻击系统的URL,那就可以用URLScan作为守卫IIS的前门(即筛选器)。本文不准备详细介绍URLScan,请访问了解更多有关URLScan的说明。
取消安装URLScan的选项,点击“下一步”,IIS Lockdown显示出一系列将要执行的操作,如图六。点击“取消”可以放弃操作,点击“下一步”则开始执行图六清单中列出的“加锁”操作。加锁操作一旦开始,中途不能停止。
依赖于具体的修改操作,IIS Lockdown可能在\%windir%\system32\inetsrv目录下创建几个日志文件和IIS元数据备份文件,如表二所示。虽然没有人要求我们一定要保证这些IIS Lockdown日志文件和元数据备份文件的安全,但如果要手工撤销IIS Lockdown所做的操作,或者需要重新安装OS,那就要用到这些文件。因此,最好把这些文件复制到另一个磁盘,或者把它们保存到另一个服务器。
表二:IIS Lockdown日志和元数据备份文件
.log或.md0文件 说明
oblt-log.log IIS Lockdown为了提高服务器安全性而执行的一系列操作的清单。
oblt-rep.log 加锁过程的一个简短总结。加锁过程结束后,点击View Report按钮可以看到这个文件。
oblt-undo.log IIS Lockdown为了撤销加锁操作而采取的一系列动作的清单。
metaback\oblt-mb.md0 IIS元数据的备份文件。
metaback\oblt-beforeundo-mb.md0 在IIS Lockdown Undo命令恢复元数据备份之前备份的IIS元数据。
如果在正式为用户提供服务的机器上运行IIS Lockdown,一定要安排在正常的关机维护期间进行。IIS Lockdown开始执行修改操作时会关闭Web服务,安排在正常的维护期间进行修改可以避免给用户带来不必要的麻烦。
四、尝尝后悔药
只要能够找到oblt-log.log文件,IIS Lockdown就给你后悔的机会。如果你打算让服务器采用一种新的IIS Lockdown配置,首先必须撤销前一次操作,然后再启动IIS Lockdown,按照新的配置运行向导。如果已经在前一次加锁操作时删除了不必要的服务,那就必须用控制面板中的添加/删除程序功能重新安装服务。类似地,如果已经在加锁过程中安装了URLScan,也要用添加/删除程序功能删除它。
IIS Lockdown的撤销操作会重新启用在加锁操作之前备份的元数据副本。因此,加锁操作和撤销操作之间的所有对IIS的修改都会丢失。不过,IIS Lockdown的撤销操作会在启用上次备份的元数据之前另行备份当时的元数据,因此必要时可以重新执行丢失的修改操作。
五、无人值守
要用无人值守方式运行IIS Lockdown也很简单。用记事本打开iislockd.ini,修改[Info]部分的两个键,使之成为:
Unattended=TRUE
UnattendedServerType= ServerType
ServerType的取值从ServerTypesNT4和ServerTypes键列出的值选择,这两个键也属于[info]部分。IIS Lockdown 2.1不支持命令行参数,因此修改iislockd.ini是唯一实现自动加锁的办法。由于这一局限,如果要针对几类不同的服务器配置使用IIS Lockdown加锁,就会遇到一定的困难。要解决这个问题,可以按照下面的步骤操作:
一 为每一种不同的配置创建一个专用的目录。
二 在每一个目录的iislockd.ini文件中,启用无人值守模式,并针对该配置要求设定服务器类型。
三 针对要加锁的服务器类型,进入适当的目录,然后启动IIS Lockdown执行无人值守的加锁操作。
iislockd.ini配置文件的[info]部分中,最后一个键也值得一提,它就是Undo,设置成TRUE可以撤销前一次加锁操作。当IIS Lockdown执行撤销操作时,它不会再返回来按照UnattendedServerType键指定的服务器类型执行加锁操作。
六、定制服务器模板
如果要创建自定义的服务器配置模板,并将模板加入到IIS Lockdown的配置清单中,只要修改iislockd.ini文件增加适当的信息就可以了。请按照下面的步骤创建定制的服务器模板:
⑴ 用记事本打开iislockd.ini文件。
⑵ 检查一下ServerTypesNT4和ServerTypes键中已有的模板名称,然后加入定制模板的名称,注意定制模板的名称不能与已有的模板冲突。用于NT 4.0平台的模板名字加入到ServerTypesNT4键,其他模板名字加入到ServerTypes键。
⑶ 在iislockd.ini文件的现有模板中,选择一个最接近定制模板配置的,将它复制到.ini文件的最后。
⑷ 把模板名称(即[]括号内的单词)修改成步骤2中指定的定制模板名称。
⑸ 将Label键的值修改成定制模板的说明文字。
⑹ 根据服务器配置需要编辑其他键,以启用或禁用各个IIS Lockdown修改选项。这些选项对应前文“实践应用”部分的对话框选项,在此不再赘述。
最后必须指出的是,IIS Lockdown确实能够方便地提高Web服务器的安全性,但不意味着有了IIS Lockdown就可以高枕无忧。安全是一个不断发展和变化的概念,唯有时刻牢记在心,才能防患于未然。
APMServ用这个软件,不用配置,直接可以建立asp php环境
或者采用下面的办法
先看下面的这篇文章,如果还碰到什么问题可以留言我的百度HI。
win2003下asp、iis配置技术windows2003粉墨登场,很多赶时髦滴用户曾经早就试用了,但纵然2003号称安栓性有很大打破,但其默认支持点虐 架构,而扬弃运用了很久滴大众化滴asp滴轨道缺饱尝质疑,需要咱们手动去{go}配置很多东东。在iis6.0中,默认设置系特殊严峻和按栓滴,这么可以{can}最大限度地减轻茵从前太宽松滴超时和局限而造成滴攻击。比方说默认配置数据库属性实行滴最大asp张贴大小为204,800个字节,并将各个字段局限为100kb。在iis6.0之前滴版本中,没有张贴局限。导致我们的运用体格往2003移植经常会出错。现汇总解决规划如下。
1、启用asp支持
windowsserver2003默认装置,系不装置iis6滴,需要此外装置。装置完iis6,还需要独自开启关于asp滴支持。
第一步,启用asp,步入:控制面板-倌理工具-iis(internet服务器)-web服务扩充-activeserverpages-准许控制面板-倌理工具-iis(internet服务器)-web服务扩充-在服务端滴包括文档-准许
第二步,启用父路径支持。
iis-网站-主目录-配置-选项-启用父路径
第三步,权限分配
iis-网站-(具体站点)-(右键)权限-users完整节制
两、解决windows2003最大只能上载200k滴局限。
先在服务里闭合iisadminservice服务找到windows\system32\inesrv\下滴metabase.xml,
打开,找到aspmaxrequestentityallowed把他修正为需要滴值,然后重启iisadminservice服务
1、在web服务扩充准许activeserverpages和在服务器端滴包括文档
2、修正各站点滴属性主目录-配置-选项-启用父路径
3、使之可以{can}上传大于200k滴文档(修改成你要滴大小就可以了,如在背后补两个0,就准许20m了)
c:\windows\system32\inetsrv\metabase.xml
(企业版滴windows2003在第592行,默以为aspmaxrequestentityallowed="204800"即200k
将其加两个0,即改为,如今最大就可以{can}上载20m了。aspmaxrequestentityallowed="20480000"
在win2003上配置iis注意{lookout}几点{whattime}配置windowsserver2003--iis6
microsoftknowledgebasearticle-324742这篇文章中滴信息适用于:
microsoftwindowsserver2003,datacenteredition
microsoftwindowsserver2003,enterpriseedition
microsoftwindowsserver2003,standardedition
microsoftwindowsserver2003,webedition
microsoftwindowsserver2003,64-bitdatacenteredition
microsoftwindowsserver2003,64-bitenterpriseedition
microsoftinternetinformationservicesversion6.0
本分步指南引见了如何在windowsserver2003环境中设置1个用于匿名造访滴www服务器。
装置internet信息服务
microsoftinternet信息服务(iis)系和windowsserver2003集成滴web服务。要装置iis、添加可选组件或删除可选组件,请{please}按{push}以下步绪操控:
1.单击开端,指向控制面板,然后单击“添加或删除顺序”。
“添加或删除顺序”工具就会启动。
2.单击添加/删除windows组件。卖弄“windows组件向导”。
3.在windows组件列表中,单击web应用程序服务器。
4.单击详细信息,然后单击internet信息服务(iis)。
5.单击详细信息,以查看iis可选组件列表。
6.选择你要装置滴可选组件。
默认情况下,下列组件系选中滴:---公用文档
--frontpage2002serverextentions---internet信息服务倌理单元
---internet信息服务管理器---nntp服务---smtp服务
---worldwideweb服务
7.单击“worldwideweb服务”,然后单击详细信息,以查看iis可选子组件(如activeserverpages组件和“远程倌理(html)工具”)滴列表。选择你要装置滴可选子组件。默认情况下,下列组件系选中滴:
---worldwideweb服务
8.单击肯定,直到返回“windows组件向导”。
9.单击下一步,然后玩成“windows组件向导”。
配置匿名身份验证要配置匿名身份验证,请{please}按{push}以下步绪操控:
1.单击开端,指向倌理工具,然后单击internet信息服务(iis)。
2.开展“*服务器名称”(其中服务器名称为该服务器滴名称),右键单击web站点,然后单击属性。
3.在web站点属性对话框中,单击目录安栓性选项卡{card}。
4.在“身份验证和造访节制”下,单击编写。
5.单击“启用匿名造访”复选框,将其选中。
备注:“用户名”框中滴用户帐户只用于经过windowsguest帐户进展匿名造访。默认情况下,服务器会{can}创立并运用帐户iusr_computername。匿名用户帐户密码仅在windows中运用;匿名用户不运用用户名和密码上线。
6.在“已验证身份滴造访”下,单击“集成滴windows身份验证”复选框,将其选中。
7.单击肯定两次。
根本web站点配置
1.单击开端,指向倌理工具,然后单击internet信息服务(iis)。
2.开展“*服务器名称”(其中服务器名称为该服务器滴名称),然后开展web站点。
3.右键单击默认web站点,然后单击属性。
4.单击web站点选项卡{card}。要是你已为计算机分配了不止一个ip地点,则请{please}在ip地点框中单击你要指定给此web站点滴ip地点。
5.单击机能选项卡{card}。运用web站点属性-机能对话框可设置影响内存、带宽运用和web联接数目滴属性。经过配置某个一定站{stand}点上滴网络带宽,你可以{can}更好地节制该站点滴通讯量。譬如,经过在低优先级滴web站{stand}点上局限带宽,你可以{can}放宽对他站点滴访问量滴局限。同样,当你指定到某个web站点滴联接数目时,你就可感到其余站点释放资源。设置系站点专用滴,应根据网络通讯量和运用变迁状况进展调剂。
---单击“局限可用于此web站点滴带宽”复选框,将其选中,可配置iis将网络带宽调整到选定滴最大带宽量,以千字节每秒(kb/s)为单位。
---单击web服务联接复选框,将其选中,可选择一定数量或者不限定数目标web服务联接。局限联接可使计算机资源能够用于其余进程。备注:每个浏览web站点滴客户机通常全运用大概三个联接。
6.单击主目录选项卡{card}。
---要是你想{think}运用存储在本土算计机上滴web内容,则单击“此算计机上滴目录”然后在本土路径框中键入你想要{want}滴路径。譬如,默认路径为c:\inetpub\wwwroot。备注:为了增添安栓性,请{please}别在根目录下创立web内容文件夹。
---要是要运用存储在另一台算计机上滴web内容,则单击“另1算计机上滴共享地位”,然后在卖弄滴网络目录框中键入所需地位。
---要是你要运用存储在另一个web地点滴web内容,则单击“重定向到url”,然后在“重定向到”框中键入所需地位。在“客户会{can}送去”下,单击相应滴复选框,将其选中。
7.单击文档选项卡{card}。请注意可由iis用作默认启动文档滴文档列表。要是你要运用index.html作为启动文档,就一定添加它{it}。添加方式系:
a.单击添加。
b.在添加默认文档对话框中,键入index.html,然后单击肯定。
c.单击向上{up}箭头按钮,直到index.html卖弄在列表滴顶部。
8.单击肯定,闭合默认web站点属性对话框。
9.右键单击默认web站点,然后单击权限。
10.请注意在此web站{stand}点上具备操控权限滴用户帐户。单击添加添加其余可操控此web站点滴用户帐户。
11.单击肯定,返回到“internet信息服务”窗口。
12.右键单击默认web站点,然后单击休止。
13.右键单击默认web站点,然后单击开端。
windows2003上装置oa体格要注意{lookout}:怎么样启用asp支持:
windowsserver2003默认装置,系不装置iis6滴,需要此外装置。装置完iis6,还需要独自开启关于asp滴支持。方式系:控制面板-倌理工具-web服务扩充-activeserverpages-准许。
q:asp文档包括文档的时候提醒activeserverpages故障_asp0131_不容许滴父路径,怎么样解决?
a:在站点属性中选择主目录-配置-应用程序选项,将“启用父目录”选上。
q:登陆oa体格提醒“未发现oa所一定文档”,怎么样解决?
a:在oaserver滴文档夹上选择属性-按栓-选择user组,将一切权限打开,点击“高档”,把“重置一切对象权限并准许传播可继承权限”勾上,点击“肯定”两次,稍后登陆即可
14.iis不可下载文档滴毛病滴解决方法系把步入网站滴属性。查看主目录里面滴履行权限。设置成纯蓝本
runas/profile/user:ourcomputeradministrator"mmc
gpedit.msc"”
使用该对话框可以配置 Web 服务器以验证用户身份。可以验证单个用户或选择用户组来阻止未授权用户与受限制内容建立 Web (HTTP) 连接。“匿名访问”允许用户建立匿名连接。用户使用匿名或来宾帐户登录到 IIS。当前有四种“经过验证的访问”方法:
“集成 Windows 身份验证”使用与用户的 Web 浏览器密码交换确认用户的身份。
“摘要式身份验证”仅与 Active Directory?? 帐户一起工作,在网络上发送哈希值而不是明文密码。摘要式身份验证通过代理服务器和其他防火墙一起工作,并且可用于 Web 分布式创作及版本控制 (WebDAV) 目录。
“基本身份验证”以明文(非加密的形式)在网络上传输密码。
启用匿名访问
选中此复选框可以为用户建立匿名连接。用户可以使用匿名或来宾帐户登录到 IIS。默认情况下,服务器创建和使用帐户 IUSR_computername。
用户名
这是仅在 Windows 中用于匿名访问的帐户的用户名。
密码
匿名用户帐户密码仅用于 Windows 中。匿名用户可以不使用用户名和密码登录。
浏览
单击此处可以搜索并选择对象类型(例如用户)和位置(例如,您的计算机或任何连接在网络上的可访问计算机)。
经过验证的访问
在此部分中选中的选项要求用户在访问服务器上的任何信息前提供有效的 Microsoft Windows 用户名和密码。
集成 Windows 身份验证
选择该选项可以确保用户名和密码是以哈希值的形式通过网络发送的。这提供了一种安全的身份验证形式。
Note
如果启用该身份验证方法,则仅当由于设置了 Windows 文件系统权限而禁用并拒绝匿名访问时 IIS 才使用集成的 Windows 身份验证;该权限要求用户在与受限的内容建立连接前提供 Windows 用户名和密码。
Windows 域服务器的摘要式身份验证
选择该选项可以使用 Active Directory?? 并且在网络上发送哈希值,而不是明文密码。此方法在所有代理服务器及其他防火墙范围内均有效。使用摘要式身份验证时要求定义“领域”。
基本身份验证(以明文形式发送密码)
选择该选项可以以明文方式通过网络发送密码。基本身份验证是 HTTP 规范的一部分并受大多数浏览器支持;但是,由于用户名和密码没有加密,因此可能存在安全风险。
默认域
此处标识了用于用户身份验证控制的 Windows 域。
选择
要验证用户或组,可以单击此处查看连接的所有域的列表。
领域
此处标识了用于验证用户或组的域或其他操作系统身份验证控制器。
选择
单击此处可以查看连接的所有域和领域的列表。
尽管Windows服务器凭借其特有的稳定性,赢得了众多用户的青睐;不过在该服务器中搭建IIS服务器时,IIS服务器的安全并不是无懈可击,这主要是Windows服务器中的IIS组件存在不少安全漏洞,这样一来就很容易招来各种非法攻击,尽管通过安装相关补丁能够及时修复这些安全漏洞,但无奈新漏洞又会层出不穷地出现。为了让IIS服务器变得无懈可击,本文特意为各位准备了以下安全防范招法,相信在这些招法的“保驾护航”下,你的IIS服务器的安全性能一定得到进一步增强。 1、及时删除无效映射 在默认状态下,IIS服务器会自动创建好十几种应用程序的映射关系,可事实上,许多Web网站仅仅用到asp这个应用程序映射,其他应用程序映射几乎没有任何作用;如果你将这些用不着的无效映射保留在IIS服务器中的话,它们可能会给服务器带来安全威胁,因为不少应用程序映射都存在安全漏洞,这些漏洞往往很容易被黑客或非法攻击者利用。为此,笔者建议各位仅将Web网站使用到的几个应用程序映射保留下来,而其他用不着的映射必须及时删除,哪怕以后需要用时再重新添加一次也可以。在删除无效应用程序映射时,你可以按照下面的步骤来操作: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“主目录”标签; 在接着出现的对应标签页面中,单击“配置”按钮,进入到应用程序映射配置界面;从该界面中,你将看到IIS服务器已经自动创建好十几种应用程序的映射关系了;此时你可以选中某个暂时用不到的应用程序的映射项目,然后单击“删除”按钮,就能把当前选中的映射项目删除掉了。你也可以接着Ctrl、Shift键来同时选中多个无效的应用程序映射项目,然后再单击“删除”按钮,这样就能一次性删除多个无效程序映射项目了。当然,要是你的确需要某个应用程序映射项目时,就必须在系统中安装对应该映射的系统修补补丁,同时打开对应映射项目的编辑窗口,并将该窗口中的“检查文件是否存在”复选项选中;如此一来,日后IIS服务器一旦接受到对应文件请求时,就会自动先检查对应文件是否存在,要是文件的确存在的话,IIS才会去调用映射中事先定义好的动态链接库来解析目标文件。2、取消匿名访问功能 要是允许任何人随意访问IIS服务器的话,那么服务器遭受攻击的可能性就会大大增加;要想尽可能地降低被攻击的风险,对服务器进行限制访问就成为了必然需求。目前限制用户访问最常用的一种方式,就是对用户的身份进行验证,但无奈IIS服务器在默认状态下,会允许匿名访问的;因此在对用户进行身份验证之前,你必须先取消IIS服务器的匿名访问功能: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签;在对应标签页面的“匿名访问和验证控制”设置项处,单击“编辑”按钮,在弹出的设置窗口中,取消“匿名访问”选项的选中状态;接着再选中“集成Windows验证”复选项,再单击一下“确定”按钮就可以了。 3、进行SSL加密验证 大家知道在缺省状态下,SSL服务器是通过http协议以普通明文的方式来传输信息的,黑客或非法攻击者只要通过专业的嗅探器,就能轻易截取传输的帐号或密码,这样就容易给IIS服务器自身带来安全危险。为了阻止黑客或非法攻击者轻易窃取重要的隐私信息,你可以采用下面的方法来对IIS服务器进行SSL加密验证,以便对在IIS服务器中传输的信息进行加密: 要想对IIS服务器进行SSL加密,你首先需要在Windows 2003服务器系统中安装证书服务,而在默认状态下该服务是没有被安装的。在安装证书服务时,你可以依次单击“开始”/“设置”/“控制面板”命令,在其后出现的控制面板窗口中,双击“添加/删除程序”图标,然后单击“添加/删除Windows组件”标签,并在对应的标签页面中,选中“证书服务”选项,单击“下一步”按钮,在接着出现的向导设置窗口中,选中“独立根CA”选项,继续单击“下一步”按钮后,正确设置好CA服务器的名称信息以及使用期限,最后再为证书数据库以及相关日志文件指定好保存路径,就可以完成对证书服务的安装操作了。 接着我们需要对安装在SSL服务器中的目标网站,创建一个请求证书文件。在创建请求证书文件时,必须依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签; 在对应标签页面的“安全通信”设置项处,单击一下“服务器证书”按钮,在接着打开的证书创建向导窗口中,单击“下一步”按钮,在随后弹出的设置窗口中,选中“创建一个新证书”选项,继续单击“下一步”按钮,然后将“现在准备请求,但稍候发送”项目选中;当向导窗口出现命名和安全设置提示时,你必须要为新证书正确输入证书名称,同时设置好加密密钥的位长,默认位长为512位;继续单击“下一步”按钮,然后按照提示设置好证书的组织单位、公用名称等信息,再设置好请求证书的保存路径,最后单击“完成”按钮就可以了。完成上面的设置后,你还需要将前面创建好的请求证书文件提交给IIS网站的证书服务器。在将请求证书文件提交给IIS网站的证书服务器时,首先需要将Windows系统目录“system32”下的“CertSrv”子目录,直接复制到目标网站的根目录下;然后在服务器系统中打开IE浏览器窗口,并在其地址栏中输入“/CertSrv/default.asp”URL地址(其中“”为目标网站的网址),在接着出现的证书服务欢迎界面中,单击一下“申请一个证书”链接,并在其后的页面中将证书申请类型设置为“高级证书申请”;接下来在高级证书申请页面中,单击“使用base64编码……”链接,然后把前面创建好的证书请求文件,直接复制到此处的“保存的申请”文本框中,再单击“提交”按钮就能完成证书请求文件的提交任务了。 一旦将请求证书文件提交给证书服务器后,你还需要进行颁发证书操作,才能使证书有效。在颁发证书时,你可以依次单击“开始”/“设置”/“控制面板”命令,在弹出的控制面板窗口中,找到“证书颁发机构”图标,然后用鼠标双击该图标;在接着打开的设置窗口中,将鼠标定位到“挂起的申请”选项上,然后用鼠标右键单击前面申请的证书,在其后弹出的右键菜单中依次单击“所有任务”/“颁发”命令; 等到颁发操作完毕后,再双击刚刚颁发成功的证书,并在证书设置窗口中单击“详细信息”标签,然后在对应标签页面中单击一下“复制到文件”按钮,打开一个文件导出向导界面,根据向导提示设置好导出文件的名称以及保存路径,最后单击一下“完成”按钮。 颁发完服务器证书之后,IIS服务器还没有把SSL加密功能启动起来,你还需要在Internet服务管理器控制台中,对IIS服务器进行进一步配置。在配置时,你必须重新进入到目标网站的“目录安全性”标签页面,再次单击该页面中的“服务器证书”按钮,在随后打开的设置窗口中,将“处理挂起的请求……”项目选中,接着按照向导提示设置好服务器证书文件的存放路径,同时启用SSL默认的“443”端口,再单击“完成”按钮;然后重新返回到“目录安全性”标签页面,单击“安全通信”设置项处的“编辑”按钮,在其后打开的编辑设置窗口中,将“要求安全通信”选项选中,最后单击一下“确定”按钮,这样IIS服务器的SSL加密功能就被正式启用了。日后你想访问目标网站“”时,就必须在IE地址栏中输入“https://”才可以浏览到网站内容,而且你在该网站中提交的任何信息都是被加密之后才传输的,因此网站信息的安全性就会得到大大增强。 4、巧用日志寻找安全隐患 任何对IIS服务器的访问,都会在服务器中留下访问记录,黑客或非法攻击者的访问同样也会在日志文件中留下痕迹;因此,要是我们能活用日志文件,就能及时知道黑客是否对IIS服务器进行了攻击,并且还能知道什么时候进行了攻击;一旦发现有攻击记录时,必须及时采用安全应对措施来阻止黑客的继续攻击。考虑到IIS服务器的日志记录,在默认状态下保存在Windows系统的“system32\logfiles”文件夹中,许多黑客很容易从这里找到原始日志文件,并对该日志文件进行修改,从而抹除其攻击痕迹,这样我们就无法从日志文件中知道IIS服务器是否存在安全隐患。为了阻止黑客随意更改日志记录文件,你可以按照如下步骤来修改日志文件的保存路径: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“Web站点”标签;在对应的标签页面中,将“启用日志记录”选项选中,同时单击一下“属性”按钮,在随后出现的属性设置框中,你将看到IIS服务器的日志文件默认存放位置为“%Windir%\System32\Logfiles”;此时你可以单击“浏览”按钮,在接着出现的文件夹选择对话框中,选择一个藏匿较深的子文件夹,作为IIS服务器日志文件新的存放位置。此外,为了能让日志文件及时记录黑客攻击行为,你最好在“新日志时间间隔”设置项处,选中“每天”选项;然后在“扩充的属性”标签页面中,你必须指定IIS服务器到底记录哪方面的内容;最后为了防止黑客随意改动日志文件,你还需要返回到系统资源管理器窗口,修改一下目标日志文件的属性,让日志文件只有本地管理员才有权限访问。完成上面的设置后,IIS服务器的日志文件就能发挥应有作用,并能帮助你及时查找到服务器中存在的安全隐患了。 5、限定特定区域主机的来访 要是安装在IIS服务器中的防火墙,总提示你有来自特定区域的某些上网主机,在不断尝试着攻击你的服务器时,你完全可以将这些“可疑”主机全部封杀,以阻止它们对服务器的继续攻击。在封杀这些“可疑”主机时,你可以按照如下步骤来进行: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“目录安全性”标签; 在对应的标签页面中,单击“IP地址及域名限制”设置项处的“编辑”按钮,在弹出的设置窗口中,你可以选中“授权访问”选项,然后在“以下所列除外”列表处单击“添加”按钮,在其后弹出的“拒绝访问”设置框中,你可以将“一组计算机”选中,接着输入该组区域中的任何一台计算机的IP地址,同时在“子网掩码”处输入该区域的子网掩码,这样你就能将来自“可疑”区域的全部主机都封杀掉了。 要是你只想对单台可疑计算机进行“封杀”的话,那么你可以选中“一台计算机”选项,同时在“IP地址”文本框中直接输入需要封杀的计算机IP地址,最后单击“确定”按钮返回到图7所示的设置窗口中;倘若还想限制其他单台计算机对IIS服务器的访问时,你可以继续单击“添加”按钮,然后继续输入需要限制的计算机IP地址,这样所有出现在“以下所列除外”框中的目标计算机,都没有访问IIS服务器的权限了,而其他计算机都能正常访问IIS服务器。6、巧用内容分级确保访问安全 要是在IIS服务器中发布的网站信息,你不想让所有访问者都能看到的话,那么你可以对发布的网站内容进行分级设置,以便阻止受限用户随意查看目标站点的内容。巧用内容分级功能,你可以轻松限制哪些网站内容可以被授权访问,哪些内容又不能被用户随意访问。要对目标网站进行内容分级的话,可以按照下面的步骤来进行: 依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令,在弹出的Internet信息服务控制台窗口中,用鼠标右键单击目标Web网站,从弹出的快捷菜单中执行“属性”命令,在其后出现的Web站点属性设置窗口中,单击“HTTP头”标签; 在对应的标签页面中,你可以单击“内容分级”设置项处的“编辑分级”按钮,在其后打开的编辑设置窗口中,单击“分级”标签,然后在标签页面中,将“此资源启用分级”复选框选中;下面,在“类别”设置项处,选中一种合适的类别名称,这样对应类别的分级滑块将会自动显示出来,此时你只要移动该滑块,就能改变当前类别的分级级别;完成好上面的设置操作后,再单击一下“确定”按钮,这样就能把前面的设置保存好了,以后浏览者在访问指定类别内容时,就会受到一定的限制了。