加入收藏 | 网站地图 | | RSS | WAP
你好,游客 登录 注册 搜索

给IIS Web服务器装上一把锁 下

[日期:2004-06-16] 作者:佚名 来源:不详 [字体: ]
  现在取消图五安装URLScan的选项,点击“下一步”,IIS Lockdown显示出一系列将要执行的操作,如图六。点击“取消”可以放弃操作,点击“下一步”则开始执行图六清单中列出的“加锁”操作。加锁操作一旦开始,中途不能停止。



图六

  依赖于具体的修改操作,IIS Lockdown可能在\%windir%\system32\inetsrv目录下创建几个日志文件和IIS元数据备份文件,如表二所示。虽然没有人要求我们一定要保证这些IIS Lockdown日志文件和元数据备份文件的安全,但如果要手工撤销IIS Lockdown所做的操作,或者需要重新安装OS,那就要用到这些文件。因此,最好把这些文件复制到另一个磁盘,或者把它们保存到另一个服务器

表二:IIS Lockdown日志和元数据备份文件
.log或.md0文件 说明
oblt-log.log IIS Lockdown为了提高服务器安全性而执行的一系列操作的清单。
oblt-rep.log 加锁过程的一个简短总结。加锁过程结束后,点击View Report按钮可以看到这个文件。
oblt-undo.log IIS Lockdown为了撤销加锁操作而采取的一系列动作的清单。
metaback\oblt-mb.md0 IIS元数据的备份文件。
metaback\oblt-beforeundo-mb.md0 在IIS Lockdown Undo命令恢复元数据备份之前备份的IIS元数据。

  如果在正式为用户提供服务的机器上运行IIS Lockdown,一定要安排在正常的关机维护期间进行。IIS Lockdown开始执行修改操作时会关闭Web服务,安排在正常的维护期间进行修改可以避免给用户带来不必要的麻烦。

  四、尝尝后悔药

  只要能够找到oblt-log.log文件,IIS Lockdown就给你后悔的机会。如果你打算让服务器采用一种新的IIS Lockdown配置,首先必须撤销前一次操作,然后再启动IIS Lockdown,按照新的配置运行向导。如果已经在前一次加锁操作时删除了不必要的服务,那就必须用控制面板中的添加/删除程序功能重新安装服务。类似地,如果已经在加锁过程中安装了URLScan,也要用添加/删除程序功能删除它。 [page]

  IIS Lockdown的撤销操作会重新启用在加锁操作之前备份的元数据副本。因此,加锁操作和撤销操作之间的所有对IIS的修改都会丢失。不过,IIS Lockdown的撤销操作会在启用上次备份的元数据之前另行备份当时的元数据,因此必要时可以重新执行丢失的修改操作。

  五、无人值守

  要用无人值守方式运行IIS Lockdown也很简单。用记事本打开iislockd.ini,修改[Info]部分的两个键,使之成为:

Unattended=TRUE UnattendedServerType=

  ServerType的取值从ServerTypesNT4和ServerTypes键列出的值选择,这两个键也属于[info]部分。IIS Lockdown 2.1不支持命令行参数,因此修改iislockd.ini是唯一实现自动加锁的办法。由于这一局限,如果要针对几类不同的服务器配置使用IIS Lockdown加锁,就会遇到一定的困难。要解决这个问题,可以按照下面的步骤操作:

  ㈠ 为每一种不同的配置创建一个专用的目录。

  ㈡ 在每一个目录的iislockd.ini文件中,启用无人值守模式,并针对该配置要求设定服务器类型。

  ㈢ 针对要加锁的服务器类型,进入适当的目录,然后启动IIS Lockdown执行无人值守的加锁操作。

  iislockd.ini配置文件的[info]部分中,最后一个键也值得一提,它就是Undo,设置成TRUE可以撤销前一次加锁操作。当IIS Lockdown执行撤销操作时,它不会再返回来按照UnattendedServerType键指定的服务器类型执行加锁操作。

  六、定制服务器模板

  如果要创建自定义的服务器配置模板,并将模板加入到IIS Lockdown的配置清单中,只要修改iislockd.ini文件增加适当的信息就可以了。请按照下面的步骤创建定制的服务器模板:

  ⑴ 用记事本打开iislockd.ini文件。

  ⑵ 检查一下ServerTypesNT4和ServerTypes键中已有的模板名称,然后加入定制模板的名称,注意定制模板的名称不能与已有的模板冲突。用于NT 4.0平台的模板名字加入到ServerTypesNT4键,其他模板名字加入到ServerTypes键。

  ⑶ 在iislockd.ini文件的现有模板中,选择一个最接近定制模板配置的,将它复制到.ini文件的最后。

  ⑷ 把模板名称(即[]括号内的单词)修改成步骤2中指定的定制模板名称。

  ⑸ 将Label键的值修改成定制模板的说明文字。

  ⑹ 根据服务器配置需要编辑其他键,以启用或禁用各个IIS Lockdown修改选项。这些选项对应前文“实践应用”部分的对话框选项,在此不再赘述。

  最后必须指出的是,IIS Lockdown确实能够方便地提高Web服务器的安全性,但不意味着有了IIS Lockdown就可以高枕无忧。安全是一个不断发展和变化的概念,唯有时刻牢记在心,才能防患于未然。

关键词:IIS 

收藏 推荐 打印 | 录入: | 阅读:
本文评论   查看全部评论 (0)
表情: 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事/刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款