• 駐留一個面向 Internet 的 Web 站點。

• 專用 Web 服務器。

• 位于防火墻背后。該防火墻僅答應在 HTTP 端口 80 和 HTTPS 端口 443 傳遞數據。

• 答應匿名訪問 Web 站點。

• 支持 HTML 和 ASP 頁。

• 不支持 FTP（文件上傳和下載）、SMTP（電子郵件）和 NNTP（新聞組）協議。

• 不使用 Internet Security and Acceleration Server。

• 要求治理員通過本地登錄治理 Web 服務器。


除了上述要求，Web 服務器示例還要求：

• 在 Web 服務器上不配置 Microsoft 的 FrontPage® 2002 Server Extensions。

• Web 服務器上的應用程序不需要連接數據庫。


返回頁首
減少 Web 服務器攻擊面
下面通過減少服務器的攻擊面來確保 Web 服務器的安全。首先，僅啟用保證 Web 服務器正常運行的必要組件、服務和端口。

本節提供的分步指導來指導您實現減少 Web 服務器攻擊面的目標：

• 運行 IIS Lockdown Tool

• 自定義 UrlScan 配置


運行 IIS Lockdown Tool
借助 IIS Lockdown Tool，您可以根據 Web 服務器中應用程序的類型來選擇特定的服務器任務，然后通過禁用相關功能或保護相關功能的自定義模板來提高服務器的安全性。

IIS Lockdown Tool 可使許多確保 Web 服務器安全的工作自動化。但切記，任何工具都不能替代適時安裝 Service Pack 和熱修補程序。

注重：建議您先閱讀 IIS Lockdown Tool 附帶的相關文檔，然后再使用該工具。

本節提供下列分步指導來指導運行 IIS Lockdown tool：

• 安裝 IIS Lockdown tool

• 確定 Web 服務器是否支持動態內容

• 確定 Web 服務器是否已運行 IIS Lockdown Tool

• 運行 IIS Lockdown Tool


要求

• 憑據：您必須以 Web 服務器 Administrators 組成員的身份登錄。

• 工具：必須安裝 IIS Lockdown Tool 和 Internet 服務治理器。

• 安裝 IIS Lockdown Tool

1.
訪問位于 http://go.microsoft.com/fwlink/?LinkId=22848 的 Microsoft下載中心下載 IIS Lockdown Tool（英文）。

2.
單擊“保存”，將文件保存到本地硬盤的文件夾中。例如，C:\WINNT\system32\inetsrv。

3.
單擊“開始”、“運行”，鍵入 cmd，再單擊“確定”。

4.
在命令提示符窗口，定位到保存 IIS Lockdown Tool 的位置，鍵入命令：iislockd.exe/q/c

此命令將解包下列文件：

• IISLockd.chm：已編譯的 IIS Lockdown Tool 幫助文件。

• RunLockdUnattended.doc：包括“無人值守”方式運行 IIS Lockdown Tool 的指導。

• UrlScan.exe 和關聯文件：這些文件用于安裝 UrlScan。默認情況下，這些文件解包后保存在 C:\WINNT\system32\inetsrv\urlscan。有關 UrlScan 的具體信息，請參閱本文檔后面的“自定義 UrlScan 配置”。



• 確定 Web 服務器是否支持動態內容

1.
右鍵單擊桌面的“我的電腦”，單擊“資源治理器”，然后瀏覽存儲 Web 服務器內容的目錄。

2.
搜索下列文件擴展名：

　　　　
.asp
.ida
.idq

.htw
.shtml
.shtm

.stm
.idc
.htr

.cgi
.dll
.exe


假如搜索到任何內容，表示 Web 服務器支持動態內容。例如，本文檔的 Web 服務器示例支持 .asp 文件，搜索結果有相應的文件擴展名。


• 確定 Web 服務器是否已運行 IIS Lockdown Tool

查看更多 動易Cms教程  動易Cms模板