學習IIS Lockdown日志和元數據備份文件
IIS Lockdown的用法很簡單。為了保護IIS服務器的安全,我們來一起學習下IIS Lockdown的知識吧。默認情況下,IIS會限制對Web內容目錄的匿名訪問,但還應該加上一層對系統工具(如cmd.exe)的保護,以防止未經授權的用戶在系統安全出現漏洞時訪問這些工具。
如果選中對話框中的Running system utilities (for example, Cmd.exe, Tftp.exe)檢查框,IIS Lockdown將修改\%windir%目錄及其子目錄下所有執行文件的訪問控制屬性(ACE,Access Control Entry),明確地禁止本地Web匿名用戶組和Web用戶組的運行權限。
如果選中Writing to content directories 檢查框,IIS Lockdown還會加強所有Web內容目錄的安全性,即設置ACE,禁止本地Web匿名用戶組和We應用組的寫入權限。
窗口底部有一個Disable Web Distributed Authoring and Versioning(WebDAV)選項,即禁用Web分布式創作和版本控制。WebDAV功能用來支持遠程Web內容創作和管理,如果確實不必用到該功能,那就可以選中Disable Web Distributed Authoring and Versioning檢查框。
選中該選項之后,IIS Lockdown將設置httpext.dll(實現WebDAV功能的執行文件)的ACE,禁止將httpext.dll文件裝入inetinfo.exe的進程,從而也就禁止了WebDAV功能。
對話框的“下一步”,IIS Lockdown將詢問是否要安裝URLScan,如圖五。如果要用篩選器來禁止IIS處理某些可能有惡意的URL,即經常被黑客用來攻擊系統的URL,那就可以用URLScan作為守衛IIS的前門(即篩選器)。
本文不準備詳細介紹URLScan,請訪問http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有關URLScan的說明。
取消安裝URLScan的選項,點擊“下一步”,IIS Lockdown顯示出一系列將要執行的操作。點擊“取消”可以放棄操作,點擊“下一步”則開始執行清單中列出的“加鎖”操作。加鎖操作一旦開始,中途不能停止。
依賴于具體的修改操作,IIS Lockdown可能在\%windir%\system32\inetsrv目錄下創建幾個日志文件和IIS元數據備份文件,如表二所示。
雖然沒有人要求我們一定要保證這些IIS Lockdown日志文件和元數據備份文件的安全,但如果要手工撤銷IIS Lockdown所做的操作,或者需要重新安裝OS,那就要用到這些文件。因此,最好把這些文件復制到另一個磁盤,或者把它們保存到另一個服務器。
表二:IIS Lockdown日志和元數據備份文件
- .log或.md0文件 說明
- oblt-log.log IIS Lockdown為了提高服務器安全性而執行的一系列操作的清單。
- oblt-rep.log 加鎖過程的一個簡短總結。加鎖過程結束后,點擊View Report按鈕可以看到這個文件。
- oblt-undo.log IIS Lockdown為了撤銷加鎖操作而采取的一系列動作的清單。
- metaback\oblt-mb.md0 IIS元數據的備份文件。
- metaback\oblt-beforeundo-mb.md0 在IIS Lockdown Undo命令恢復元數據備份之前備份的IIS元數據。
如果在正式為用戶提供服務的機器上運行IIS Lockdown,一定要安排在正常的關機維護期間進行。IIS Lockdown開始執行修改操作時會關閉Web服務,安排在正常的維護期間進行修改可以避免給用戶帶來不必要的麻煩。
【編輯推薦】
