URLSCan 和 IIS 锁定向导

 

上一次修改主题: 2006-09-14

将服务器向 Internet 公开之前,应通过禁用所有功能和服务(必需的除外)来保护 IIS。在 Windows 2003 Server 中,除非服务器要求,否则,许多 IIS 功能已禁用。在 Microsoft Windows 2000 Server 中,下载并运行 IIS 锁定向导。

有关如何安装 IIS 锁定向导的信息,请参阅 Microsoft 知识库文章 325864 如何安装和使用 IIS 锁定向导

IIS 锁定工具(版本 2.1)位于 http://go.microsoft.com/fwlink/?linkid=12281

note注意:
为了最大程度地提高 Exchange 服务器的安全性,请在应用 IIS 锁定向导之前和之后应用所有必需的更新。更新可以确保服务器免受已知安全漏洞的攻击。

IIS 锁定向导帮助您根据正在运行的服务器软件类型禁用不必要的 IIS 5.0 功能和服务。为了提供多层保护来抵御攻击者,IIS 锁定向导还包含 URLScan,用于在 IIS 接收 HTTP 请求时分析请求并拒绝任何可疑请求。

IIS 锁定向导还包含用于 Exchange 的配置模板,可以禁用不需要的功能和服务。要使用此配置模板,运行 IIS 锁定向导,选择该 Exchange 模板,然后更改或接受默认配置选项。

如果希望在 Windows Server 2003 上运行 URLScan,请单独下载 URLScan。IIS 6.0 未提供的 URLScan 功能的列表位于 http://go.microsoft.com/fwlink/?linkid=24490

URLScan 应用程序安装在文件夹 <驱动器:>/<Windows 目录>/system32/inetsrv/urlscan 中。

必须正确配置 URLScan,以便用于 Exchange Server。有关如何配置 URLScan 以用于 Exchange Server 的详细信息,请参阅下列 Microsoft 知识库文章:

该部分包含有关为何需要某些 URLScan 设置的详细信息。除非在 Urlscan.ini 文件中配置了下列设置,否则,在运行向导后,可能遇到与 Outlook Web Access 功能有关的问题:

  • Allow Dot In Path   确保此设置为“1”,以便可以访问 Outlook Web Access 附件,并且早期版本的浏览器可以使用 Outlook Web Access。
  • File Extensions   默认情况下禁用 .htr 文件。如果禁用此文件类型,则无法使用 Outlook Web Access 更改密码功能。
  • Deny Url Sequences   在 [DenyUrlSequences] 部分,显式阻止的序列可能会影响对 Outlook Web Access 的访问。拒绝访问包含下列任何字符序列的任何邮件项目主题或邮件文件夹名称:
    • 句点 (.)
    • 双句点 (..)
    • 句点和正斜杠 (./)
    • 反斜杠 (\)
    • 百分号 (%)
    • 与号 (&)

如果在启用 URLScan 的情况下尝试 Outlook Web Access 请求时遇到其他问题,请检查 UrlScan.log 文件中被拒绝的请求列表。

 
显示: