保護 Web 服務(wù)器

更新日期： 2004年04月12日

本頁(yè)內容

	本模塊內容
	目標
	適用范圍
	如何使用本模塊
	概述
	威脅與對策
	確保 Web 服務(wù)器安全的方法
	IIS 和 .NET Framework 安裝注意事項
	安裝建議
	確保 Web 服務(wù)器安全的步驟
	步驟 1：修補程序和更新程序
	步驟 2：IISLockdown
	步驟 3：服務(wù)
	步驟 4：協(xié)議
	步驟 5：帳戶(hù)
	步驟 6：文件和目錄
	步驟 7：共享
	步驟 8：端口
	步驟 9：注冊表
	步驟 10：審核和日志記錄
	步驟 11：站點(diǎn)和虛擬目錄
	步驟 12：腳本映射
	步驟 13：ISAPI 篩選器
	步驟 14：IIS 元數據庫
	步驟 15：服務(wù)器證書(shū)
	步驟 16：Machine.Config
	步驟 17：代碼訪(fǎng)問(wèn)安全性
	安全 Web 服務(wù)器快照
	保持安全
	遠程管理
	簡(jiǎn)化并自動(dòng)設置安全性
	小結
	其他資源

本模塊內容

Web 服務(wù)器位于宿主基礎結構的前端。它直接連接到 Internet，負責接收來(lái)自客戶(hù)端的請求、創(chuàng )建動(dòng)態(tài) Web 頁(yè)并對請求的數據作出響應。

安全的 Web 服務(wù)器可為宿主環(huán)境提供可靠的基礎，其配置在 Web 應用程序的整體安全方面起重要作用。但是，如何確保 Web 服務(wù)器安全呢？確保 Web 服務(wù)器安全的挑戰之一就是要明確自己的目標。只有明白了何謂安全的 Web 服務(wù)器，您就可以了解如何為此應用所需的配置設置。

本模塊提供了一種系統且可重復的方法，您可以使用它成功配置安全的 Web 服務(wù)器。模塊還介紹了一種確保 Web 服務(wù)器安全的方法，該方法將服務(wù)器的配置劃分為十二個(gè)安全區域。每一安全區域都由一系列高級操作步驟組成。這些步驟都是模塊化的，介紹了將方法付諸實(shí)施的途徑。

返回頁(yè)首

目標

使用本模塊可以實(shí)現：

•	了解何謂安全的 Web 服務(wù)器。
•	使用已證明正確的方法確保 Web 服務(wù)器安全。
•	了解在默認情況下 Windows 2000 Server 中 IIS 的完整安裝和 .NET Framework 的安裝內容。
•	了解安全 Web 服務(wù)器中可禁用的服務(wù)。
•	安全配置 Web 服務(wù)器，包括操作系統協(xié)議、帳戶(hù)、文件、目錄、共享、端口、注冊表、審核和日志記錄。
•	安全配置 Web 服務(wù)器應用程序（本例是 IIS）組件，包括 Web 站點(diǎn)、虛擬目錄、腳本映射、ISAPI 篩選器、元數據庫和服務(wù)器證書(shū)。
•	安全配置 .NET Framework 設置，包括 Machine.config 文件和代碼訪(fǎng)問(wèn)安全性。
•	針對遠程管理安裝并使用安全的終端服務(wù)。
•	了解解決常見(jiàn) Web 服務(wù)器威脅（包括配置處理、拒絕服務(wù)、未經(jīng)授權的訪(fǎng)問(wèn)、隨意代碼執行、特權提升、病毒、蠕蟲(chóng)和特洛伊木馬）的常用對策。

返回頁(yè)首

適用范圍

本模塊適用于下列產(chǎn)品和技術(shù)：

•	Microsoft Windows Server 2000 和 2003
•	Microsoft .NET Framework 1.1 和 ASP.NET 1.1
•	Microsoft Internet 信息服務(wù) (IIS) 5.0 和 6.0

返回頁(yè)首

如何使用本模塊

為了充分理解本模塊內容，您應：

•

閱讀模塊 2 威脅與對策。這有助于您更廣泛地了解 Web 應用程序的潛在威脅。

•

使用快照。安全 Web 服務(wù)器快照部分列出并說(shuō)明了安全 Web 服務(wù)器的屬性。它反映了來(lái)自各種源（包括客戶(hù)、行業(yè)專(zhuān)家和內部 Microsoft 開(kāi)發(fā)與支持小組）的輸入。在配置服務(wù)器時(shí)，請參考快照表。

•

使用檢查表。本指南“檢查表”部分的檢查表：保護 Web 服務(wù)器提供了一份可打印的作業(yè)幫助，可將它用作快速參考。使用基于任務(wù)的檢查表可快速評估必需的步驟，然后幫助您逐步完成各個(gè)步驟。

•

使用“如何”部分。本指南“如何”部分包括了下列指導性文章：

•	如何：使用 URLScan
•	如何：使用 Microsoft 基準安全分析器
•	如何：使用 IISLockdown

返回頁(yè)首

概述

究竟怎樣的 Web 服務(wù)器才算安全？確保 Web 服務(wù)器安全的挑戰之一就是明確您的目標。只有明白了何謂安全的 Web 服務(wù)器，您就可以了解如何為此應用所需的配置設置。本模塊提供了一種系統且可重復的方法，您可以使用它成功配置安全的 Web 服務(wù)器。

本模塊首先回顧了影響 Web 服務(wù)器的最常見(jiàn)威脅。然后，使用上述觀(guān)點(diǎn)創(chuàng )建相應的方法。最后，模塊將這種方法付諸實(shí)施，并逐步說(shuō)明如何提高 Web 服務(wù)器的安全性。盡管基本方法可跨不同技術(shù)復用，但本模塊的重點(diǎn)是如何保證運行 Microsoft Windows 2000 操作系統并駐留 Microsoft .NET Framework 的 Web 服務(wù)器的安全。

返回頁(yè)首

威脅與對策

由于攻擊者可遠程攻擊，Web 服務(wù)器常常是攻擊對象。如果了解 Web 服務(wù)器的威脅并努力制定相應的對策，您可以預見(jiàn)很多攻擊，進(jìn)而阻止日漸增加的攻擊者。

Web 服務(wù)器的主要威脅是：

•	配置處理
•	拒絕服務(wù)
•	未經(jīng)授權的訪(fǎng)問(wèn)
•	隨意代碼執行
•	特權提升
•	病毒、蠕蟲(chóng)和特洛伊木馬

圖 16.1 匯總了目前流行的攻擊和常見(jiàn)漏洞。

圖 16.1
Web 服務(wù)器主要威脅和常見(jiàn)漏洞

配置處理

配置處理或主機枚舉是一種收集 Web 站點(diǎn)相關(guān)信息的探測過(guò)程。攻擊者可利用這些信息攻擊已知的薄弱點(diǎn)。

漏洞

致使服務(wù)器容易受到配置處理攻擊的常見(jiàn)漏洞包括：

•	不必要的協(xié)議
•	打開(kāi)的端口
•	Web 服務(wù)器在橫幅中提供配置信息

攻擊

常見(jiàn)的配置處理攻擊包括：

•	端口掃描
•	Ping 掃射 (ping sweep)
•	NetBIOS 和服務(wù)器消息塊 (SMB) 枚舉

對策

有效的對策有，阻止所有不必要的端口、阻止 Internet 控制消息協(xié)議 (ICMP) 通信、禁用不必要的協(xié)議（如 NetBIOS 和 SMB）。

拒絕服務(wù)

如果服務(wù)器被泛濫的服務(wù)請求所充斥，則出現拒絕服務(wù)攻擊。此時(shí)的威脅是，Web 服務(wù)器因負荷過(guò)重而無(wú)法響應合法的客戶(hù)端請求。

漏洞

導致拒絕服務(wù)攻擊增加的可能漏洞包括：

•	薄弱的 TCP/IP 堆棧配置
•	未修補的服務(wù)器

攻擊

常見(jiàn)的拒絕服務(wù)攻擊包括：

•	網(wǎng)絡(luò )級 SYN flood（同步攻擊）
•	緩沖區溢出
•	使用來(lái)自分布式位置的請求淹沒(méi) Web 服務(wù)器

對策

有效的對策有，強化 TCP/IP 堆棧，以及始終將最新的軟件修補程序和更新程序應用于系統軟件。

未經(jīng)授權的訪(fǎng)問(wèn)

如果權限不合適的用戶(hù)訪(fǎng)問(wèn)了受限的信息或執行了受限的操作，則出現未經(jīng)授權的訪(fǎng)問(wèn)。

漏洞

導致未經(jīng)授權訪(fǎng)問(wèn)的常見(jiàn)漏洞包括：

•	薄弱的 IIS Web 訪(fǎng)問(wèn)控制（包括 Web 權限）
•	薄弱的 NTFS 權限

對策

有效的對策有，使用安全的 Web 權限、NTFS 權限和 .NET Framework 訪(fǎng)問(wèn)控制機制（包括 URL 授權）。

隨意代碼執行

如果攻擊者在您的服務(wù)器中運行惡意代碼來(lái)?yè)p害服務(wù)器資源或向下游系統發(fā)起其他攻擊，則出現代碼執行攻擊。

漏洞

可導致惡意代碼執行的漏洞包括：

•	薄弱的 IIS 配置
•	未修補的服務(wù)器

攻擊

常見(jiàn)的代碼執行攻擊包括：

•	路徑遍歷
•	導致代碼注入的緩沖區溢出

對策

有效的對策有，配置 IIS 拒絕帶有“../”的 URL（防止路徑遍歷）、使用限制性訪(fǎng)問(wèn)控制列表 (ACL) 鎖定系統命令和實(shí)用工具、安裝新的修補程序和更新程序。

特權提升

如果攻擊者使用特權進(jìn)程帳戶(hù)運行代碼，則出現特權提升攻擊。

漏洞

導致 Web 服務(wù)器易受特權提升攻擊的常見(jiàn)漏洞包括：

•	過(guò)度授權進(jìn)程帳戶(hù)
•	過(guò)度授權服務(wù)帳戶(hù)

對策

有效的對策有，使用特權最少的帳戶(hù)運行進(jìn)程、使用特權最少的服務(wù)和用戶(hù)帳戶(hù)運行進(jìn)程。

病毒、蠕蟲(chóng)和特洛伊木馬

惡意代碼有幾種變體，具體包括：

•	病毒。即執行惡意操作并導致操作系統或應用程序中斷的程序。
•	蠕蟲(chóng)?？勺晕覐椭撇⒆晕揖S持的程序。
•	特洛伊木馬。表面上有用但實(shí)際帶來(lái)破壞的程序。

在很多情況下，惡意代碼直至耗盡了系統資源，并因此減慢或終止了其他程序的運行后才被發(fā)現。例如，“紅色代碼”就是危害 IIS 的臭名昭著(zhù)的蠕蟲(chóng)之一，它依賴(lài) ISAPI 篩選器中的緩沖區溢出漏洞。

漏洞

導致易受病毒、蠕蟲(chóng)和特洛伊木馬攻擊的常見(jiàn)漏洞包括：

•	未修補的服務(wù)器
•	運行不必要的服務(wù)
•	使用不必要的 ISAPI 篩選器和擴展

對策

有效的對策有，提示應用程序安裝最新的軟件修補程序、禁用無(wú)用的功能（如無(wú)用的 ISAPI 篩選器和擴展）、使用特權最少的帳戶(hù)運行進(jìn)程來(lái)減小危害發(fā)生時(shí)的破壞范圍。

返回頁(yè)首

確保 Web 服務(wù)器安全的方法

為了確保 Web 服務(wù)器的安全，必須應用很多配置設置來(lái)減少服務(wù)器受攻擊的漏洞。但究竟在何處開(kāi)始、何時(shí)才算完成呢？最佳的方法是，對必須采取的預防措施和必要配置的設置進(jìn)行分類(lèi)。通過(guò)分類(lèi)，您可以從上到下系統安排保護過(guò)程，或選擇特定的類(lèi)別完成特定的步驟。

配置類(lèi)別

本模塊的安全方法都歸入圖 16.2 所示的類(lèi)別。

圖 16.2
Web 服務(wù)器配置類(lèi)別

分類(lèi)基本原理如下：

•	修補程序和更新程序很多安全威脅是由廣泛發(fā)布和眾所周知的漏洞引起的。在很多情況下，如果發(fā)現了新漏洞，成功利用該漏洞發(fā)起攻擊的探測代碼將在幾小時(shí)內公布在 Internet 中。如果不修補并更新服務(wù)器，便為攻擊者和惡意代碼提供了機會(huì )。因此，修補并更新服務(wù)器軟件是保護 Web 服務(wù)器的第一項重要步驟。
•	服務(wù) 對于有能力探測服務(wù)的特權和功能，并進(jìn)而訪(fǎng)問(wèn)本地 Web 服務(wù)器或其他下游服務(wù)器的攻擊者來(lái)說(shuō)，服務(wù)是最主要的漏洞點(diǎn)。如果某服務(wù)不是 Web 服務(wù)器必需的，請不要在服務(wù)器中運行它。如果服務(wù)是必需的，請確保服務(wù)安全并進(jìn)行維護?？紤]監視所有的服務(wù)來(lái)確?？捎眯?。如果服務(wù)軟件不安全，您又需要該服務(wù)，請嘗試尋找一種可替代它的安全服務(wù)。
•	協(xié)議避免使用本身不安全的協(xié)議。如果無(wú)法避免使用這些協(xié)議，請采取相應的措施提供安全的身份驗證和通信。例如使用 IPSec 策略。不安全的明文協(xié)議有 Telnet、郵局協(xié)議 (POP3)、簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 和文件傳輸協(xié)議 (FTP)。
•	帳戶(hù) 帳戶(hù)可向計算機授予經(jīng)身份驗證的訪(fǎng)問(wèn)權限，因此必須審核。用戶(hù)帳戶(hù)的用途是什么？有怎樣的訪(fǎng)問(wèn)權限？是否屬于可作為攻擊目標的常見(jiàn)帳戶(hù)？是否屬于可泄露（并因此一定要包含在內）的服務(wù)帳戶(hù)？使用最少的特權來(lái)配置帳戶(hù)，避免特權提升的可能性。刪除所有不需要的帳戶(hù)。使用強密碼策略緩解強力攻擊和字典攻擊，然后對失敗的登錄進(jìn)行審核和報警。
•	文件和目錄使用有限的 NTFS 權限（僅允許訪(fǎng)問(wèn)必需的 Windows 服務(wù)和用戶(hù)帳戶(hù)）確保所有文件和目錄安全。使用 Windows 審核可檢測出何時(shí)出現可疑的或未經(jīng)授權的操作。
•	共享刪除所有不必要的文件共享，包括默認管理共享（如果不需要它們）。使用有限的 NTFS 權限確保剩余共享的安全。盡管共享不直接展示在 Internet 中，但如果服務(wù)器存在漏洞，提供有限和安全共享的防御策略可減輕風(fēng)險。
•	端口在服務(wù)器中運行的服務(wù)可偵聽(tīng)特定端口，從而響應傳入請求。定期審核服務(wù)器的端口可確保不安全或不必要的服務(wù)無(wú)法在您的 Web 服務(wù)器中激活。如果檢測出活動(dòng)的端口，但它不是管理員打開(kāi)的，表明一定存在未經(jīng)授權的訪(fǎng)問(wèn)和安全漏洞。
•	注冊表很多與安全有關(guān)的設置都保存在注冊表中，因此必須保護注冊表。您可應用有限的 Windows ACL 并阻止遠程注冊表管理來(lái)做到這一點(diǎn)。
•	審核和日志記錄審核是一種重要的工具，主要作用是確定入侵者、進(jìn)行中的攻擊和已發(fā)生攻擊的證據。請結合 Windows 和 IIS 審核功能來(lái)配置 Web 服務(wù)器的審核。事件日志和系統日志可幫助您解決安全問(wèn)題。
•	站點(diǎn)和虛擬目錄站點(diǎn)和虛擬目錄直接展示在 Internet 中。盡管安全的防火墻配置和防御性 ISAPI 篩選器（如 IISLockdown 工具附帶的 URLScan）可阻止對受限配置文件或程序可執行文件的請求，但還是建議您使用深層的防御策略。重新將站點(diǎn)和虛擬目錄分配到非系統分區，然后使用 IIS Web 權限進(jìn)一步限制訪(fǎng)問(wèn)。
•	腳本映射如果刪除可選文件擴展名的所有不必要 IIS 腳本映射，可防止攻擊者對處理這些文件類(lèi)型的 ISAPI 擴展中的任何 Bug 加以利用。不使用的擴展名映射常常被忽略，而它們正代表了主要的安全漏洞。
•	ISAPI 篩選器攻擊者已成功利用 ISAPI 篩選器中的漏洞。請從 Web 服務(wù)器中刪除不必要的 ISAPI 篩選器。
•	IIS 元數據庫 IIS 元數據庫可維護 IIS 配置設置。必須確保正確配置與安全相關(guān)的設置，確保使用強化的 NTFS 權限來(lái)訪(fǎng)問(wèn)元數據庫文件。
•	Machine.config Machine.config 文件保存了應用于 .NET Framework 應用程序（包括 ASP.NET Web 應用程序）的計算機級配置設置。修改 Machine.config 中的設置可確保將安全的默認值應用于服務(wù)器中安裝的所有 ASP.NET 應用程序。
•	代碼訪(fǎng)問(wèn)安全性限制代碼訪(fǎng)問(wèn)安全性策略設置可確保下載自 Internet 或 Intranet 的代碼沒(méi)有權限，因此無(wú)法執行。

返回頁(yè)首

IIS 和 .NET Framework 安裝注意事項

在確保 Web 服務(wù)器安全以前，必須先知道安裝 IIS 和 .NET Framework 后在 Windows 2000 服務(wù)器中出現的組件。本節說(shuō)明了安裝哪些組件。

IIS 安裝了哪些組件？

IIS 安裝了很多服務(wù)、帳戶(hù)、文件夾和 Web 站點(diǎn)。有些組件是 Web 應用程序所不用的，如果不在服務(wù)器中刪除，可能導致服務(wù)器易受攻擊。表 16.1 列出了在 Windows 2000 Server 系統中完整安裝 IIS（選定所有組件）后創(chuàng )建的服務(wù)、帳戶(hù)和文件夾。

表 16.1：IIS 安裝默認值

項目	詳細信息	默認值
服務(wù)	IIS Admin Service（管理 Web 和 FTP 服務(wù)） World Wide Web Publishing Service FTP Publishing Service Simple Mail Transport Protocol (SMTP) Network News Transport Protocol (NNTP)	安裝安裝安裝安裝安裝
帳戶(hù)和組	IUSR_MACHINE（匿名 Internet 用戶(hù)） IWAM_MACHINE（進(jìn)程外 ASP Web 應用程序；不用在 ASP.NET 應用程序中，除了在域控制器中運行的 ASP.NET 應用程序；您的 Web 服務(wù)器不應是域控制器）	添至 Guest 組添至 Guest 組
文件夾	%windir%\system32\inetsrv（IIS 程序文件） %windir%\system32\inetsrv\iisadmin（用于遠程管理 IIS 的文件） %windir%\help\iishelp（IIS 幫助文件） %systemdrive%\inetpub（Web、FTP 和 SMTP 根文件夾）
Web 站點(diǎn)	默認 Web 站點(diǎn) – 端口 80：%SystemDrive%\inetpub\wwwroot 管理 Web 站點(diǎn) – 端口 3693：%SystemDrive%\System32\inetsrv\iisadmin	允許匿名訪(fǎng)問(wèn) 僅限本地計算機和管理員訪(fǎng)問(wèn)

.NET Framework 安裝了哪些組件？

如果在駐留 IIS 的服務(wù)器中安裝 .NET Framework，.NET Framework 將注冊 ASP.NET。作為該過(guò)程的一部分，系統將創(chuàng )建一個(gè)名為 ASPNET 的特權最少的本地帳戶(hù)。這將運行 ASP.NET 工作進(jìn)程 (aspnet_wp.exe) 和會(huì )話(huà)狀態(tài)服務(wù) (aspnet_state.exe)，后者可用于管理用戶(hù)會(huì )話(huà)狀態(tài)。

注意：在運行 Windows 2000 和 IIS 5.0 的服務(wù)器計算機中，所有 ASP.NET Web 應用程序都運行在 ASP.NET 工作進(jìn)程的單個(gè)實(shí)例中，由應用程序域提供隔離。在 Windows Server 2003 中，IIS 6.0 借助應用程序池提供進(jìn)程級隔離。

表 16.2 顯示了 .NET Framework 版本 1.1 默認安裝的服務(wù)、帳戶(hù)和文件夾。

表 16.2：.NET Framework 安裝默認值

項目	詳細信息	默認值
服務(wù)	ASP.NET State Service：為 ASP.NET 提供進(jìn)程外會(huì )話(huà)狀態(tài)支持。	手動(dòng)啟動(dòng)
帳戶(hù)和組	ASPNET：運行 ASP.NET 工作進(jìn)程 (Aspnet_wp.exe) 和會(huì )話(huà)狀態(tài)服務(wù) (Aspnet_state.exe) 的帳戶(hù)。	添至 Users 組
文件夾	%windir%\Microsoft.NET\Framework\{版本} \1033 \ASP.NETClientFiles \CONFIG \MUI \Temporary ASP.NET Files
ISAPI 擴展	Aspnet_isapi.dll：處理 ASP.NET 文件類(lèi)型的請求。將請求轉發(fā)給 ASP.NET 工作進(jìn)程 (Aspnet_wp.exe)。
ISAPI 篩選器	Aspnet_filter.dll：僅用于支持無(wú) cookie 的會(huì )話(huà)狀態(tài)。在 Inetinfo.exe (IIS) 進(jìn)程內部運行。
應用程序映射	ASAX、ASCX、ASHX、ASPX、AXD、VDISCO、REM、SOAP、CONFIG、CS、CSPROJ、VB、VBPROJ、WEBINFO、LICX、RESX、RESOURCES	\WINNT\Microsoft.NET\Framework\{版本} Aspnet_isapi.dll

返回頁(yè)首

安裝建議

在默認情況下，Windows 2000 Server 安裝程序將安裝 IIS。但建議不要將 IIS 作為操作系統安裝的一部分來(lái)安裝，最好是日后更新并修補了基本操作系統之后再安裝。安裝了 IIS 之后，必須重新應用 IIS 修補程序并強化 IIS 配置，確保 IIS 接受完整的保護。只有這樣，將服務(wù)器連接到網(wǎng)絡(luò )中才安全。

IIS 安裝建議

如果要安裝并配置新的 Web 服務(wù)器，請執行如下操作步驟概述。

•

構建新的 Web 服務(wù)器

安裝 Windows 2000 Server，但 IIS 不作為操作系統安裝的一部分。

將最新的 Service Pack 和修補程序應用于操作系統。（如果要配置多個(gè)服務(wù)器，請參閱本節后面的“在基本安裝中包括 Service Pack”。）

使用控制面板中的“添加/刪除程序”單獨安裝 IIS。

如果不需要以下服務(wù)，安裝 IIS 時(shí)不要安裝它們：

•	文件傳輸協(xié)議 (FTP) 服務(wù)器
•	Microsoft FrontPage® 2000 Server Extensions
•	Internet 服務(wù)管理器 (HTML)
•	NNTP 服務(wù)
•	SMTP 服務(wù)
•	可視 InterDev RAD 遠程部署支持

注意：通過(guò)在完全修補和更新的操作系統中安裝 IIS，可阻止攻擊利用已修補的現有漏洞（如 NIMDA）。

.NET Framework 安裝建議

不要在生產(chǎn)服務(wù)器中安裝 .NET Framework 軟件開(kāi)發(fā)工具包 (SDK)。SDK 包含了很多服務(wù)器不需要的實(shí)用工具。一旦攻擊者獲取了服務(wù)器的訪(fǎng)問(wèn)權限，便可利用其中的部分工具幫助發(fā)起其他攻擊。

正確的做法是，安裝可重新分發(fā)的軟件包。要獲取該軟件包，可訪(fǎng)問(wèn) Microsoft.com 的 .NET Framework 站點(diǎn)，其網(wǎng)址為 http://www.microsoft.com/china/net/，單擊“Downloads”鏈接。

在基本安裝中包括 Service Pack

如果要構建多個(gè)服務(wù)器，可將 Service Pack 直接并入您的 Windows 安裝。Service Pack 包括一個(gè)名為 Update.exe 的程序，作用是將 Service Pack 與您的 Windows 安裝文件組合在一起。

•

要將 Service Pack 與 Windows 安裝組合在一起，請執行下列操作：

下載最新的 Service Pack。

使用 -x 選項啟動(dòng) Service Pack 安裝程序，從 Service Pack 中提取 Update.exe，如下所示：

w3ksp3.exe -x

將 Service Pack 與 Windows 安裝源集成，方法是使用 -s 選項運行 update.exe（傳遞 Windows 安裝的文件夾路徑），如下所示：

update.exe -s c:\YourWindowsInstallationSource

有關(guān)詳細信息，請參閱 MSDN 文章“Customizing Unattended Win2K Installations”，網(wǎng)址是 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnw2kmag01/html/custominstall.asp（英文）。

返回頁(yè)首

確保 Web 服務(wù)器安全的步驟

下面幾節將指導您完成保護 Web 服務(wù)器的過(guò)程。這些內容使用了本模塊確保 Web 服務(wù)器安全的方法一節中介紹的配置類(lèi)別。每個(gè)高級步驟都包含了一項或多項確保特定區域或功能安全的操作。

步驟 1	修補程序和更新程序	步驟 10	審核和日志記錄
步驟 2	IISLockdown	步驟 11	站點(diǎn)和虛擬目錄
步驟 3	服務(wù)	步驟 12	腳本映射
步驟 4	協(xié)議	步驟 13	ISAPI 篩選器
步驟 5	帳戶(hù)

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

保護 Web 服務(wù)器

本頁(yè)內容

本模塊內容

目標

適用范圍

如何使用本模塊

概述

威脅與對策

配置處理

拒絕服務(wù)

未經(jīng)授權的訪(fǎng)問(wèn)

隨意代碼執行

特權提升

病毒、蠕蟲(chóng)和特洛伊木馬

確保 Web 服務(wù)器安全的方法

配置類(lèi)別

IIS 和 .NET Framework 安裝注意事項

IIS 安裝了哪些組件？

.NET Framework 安裝了哪些組件？

安裝建議

IIS 安裝建議

.NET Framework 安裝建議

在基本安裝中包括 Service Pack

確保 Web 服務(wù)器安全的步驟

病毒、蠕蟲(chóng)和特洛伊木馬

IIS 安裝了哪些組件？

.NET Framework 安裝了哪些組件？