IIS Lockdown 工具如何处理应用程序映射?
问:当我们在 IIS 5 上使用 IIS Lockdown 工具时,我们禁用了除 .asp 文件之外的所有的应用程序映射。Lockdown 工具的确禁用了其他应用程序映射,但是并没有删除它们。我读过了许多有关安全性的文章和书籍,其中大部分都认为删除不需要的应用程序映射是最佳做法,而且似乎的确很有意义。但是 Lockdown 工具没有删除映射,而是将这些扩展名映射到 404.dll 程序。为什么要保留这些扩展名,而不按照包括“Microsoft 的 IIS 5 安全性检查清单”在内的安全性文章中所建议删除它们?
答:IIS 5 安全性检查清单确实是一个相当好的入门资料,但是,如果要更为全面地了解 Web 安全性方面的知识,我力荐您阅读提高 Web 应用程序的安全性:威胁与对策,这篇文章写得非常好,其链接为
http://msdn.microsoft.com/library/en-us/dnnetsec/html/ThreatCounter.asp。
不过,您提出了一个非常好的有关 IIS Lockdown 工具的问题,我一直推荐在 IIS 5 服务器上使用这个工具。Lockdown 对应用程序映射所采取的操作完全如您所述(参见下图):
您可以看到,对 .htr 或 .idc 的任何请求都将导致运行 404.dll,而这个程序将向用户显示一条简单且无任何提示信息的错误——找不到文件。那么,为什么将这些扩展名映射到 404.dll,而不是简单地删除它们呢?我们假定您有多个使用 .ida、.idq 和 .htw 等过时扩展名的文件,以实现对索引服务器的查询和显示查询结果。在进行稍微深入的研究后,您明智地决定,使用 ASP 来提供同样的功能,这样效率更高,更为安全。编写代码后,您查看应用程序映射,删除了那些扩展名,因为您不再需要 .ida、.idq 和 .htw 等文件。结果,IIS 会将仍然位于服务器上的 .ida、.idq 和 .htw 文件,以文本形式发送给用户。这可能会暴露您不愿意公开的服务器信息。当然,您应该从服务器的源头删除这些文件,但是将这些扩展名映射到 404.dll 可以降低风险,因为您可能遗漏某一个文件,或是开发人员可能将旧内容上传到服务器。
请注意,您应该定期检查应用程序映射,以确保安装或卸载过程没有对它们进行修改。使用专用文件的 Web 应用程序肯定会将它们需要的扩展名添加到应用程序映射中。对于 Indexing Service,仅仅通过“添加/删除 Windows 组件”来从 IIS 服务器上删除 Indexing Service,将会把原来的 .idq、.idq 和 .htw 映射添加回应用程序映射,并将相关的 .dll 程序(idq.dll 和 webhits.dll)遗留在 Winnt\System32 中。因此,如果您不打算使用 Indexing Service,请在运行 IIS Lockdown 工具之前删除它。
分享到:
相关推荐
为解决这一问题,微软近日又推出了IIS功能锁定程序IIS Lockdown Wizard 2.1版。应用这一软件,可以在想到的帮助下对系统中不用的功能进行关闭,为系统提供多层保护。通过它可以帮助用户堵住各种一致的漏洞和不恰当...
除了匿名访问用户(Anonymous)外,IIS中的FTP将使用Windows 2000自带的用户库(可在“开始→程序→管理工具→计算机管理”中找到“用户”一项来进行用户库的管理)。 最后,关键一步还有就是将你的电脑变为网络中的...
安卓应用程序锁 Lockdown Pro 2020 1.2.3 中文免费版.zip
lockdown2000 lockdown
微软的iis安全检测工具,微软东东应该是不错的吧
好东西,自用苹果4lockdown文件,SAM破解必备.
LockDown 2000 v7.0.破解版本LockDown 2000 v7.0.破解版本
有效防止木马 LockDown2000是目前世界上针对Windows操作系统最有效、最完善的安全防护软件,它能非常智能化地追踪和识别未经允许的用户
Ansible-ansible-lockdown.zip,负责安全的行动手册角色负责锁定,ansible是一个简单而强大的自动化引擎。它用于帮助配置管理、应用程序部署和任务自动化。
教育教学
我已经用了n遍了,只要你的苹果4手机能降到6.13再越狱成功用pp助手在文件管理→越狱系统→var/root/library里面更改lockdowm文件,重启就可以跳过id了!
一款超级强大的AE插件,Lockdown是一款革命性的新插件,可以跟踪运动物体扭曲不平的表面,非常适合进行美容修饰和其他先前困难的物体移除清理工作, 或者其他跟踪合成特效制作。
3代4代无法反激活时导入替换lockdown文件夹
Acteset Secure Lockdown Browser Helper通过捕获上述场景并提供用户返回主亭应用程序的简单方法来缓解这些问题。帮助程序简单地建议使用友好的对话框的情况,并为他们提供返回上一页的机会。它和那样简单!
URLScan Tool是一款微软官方推出的IIS的安全辅助工具,它可以帮助管理员来加强服务器的安全,它先于iis对用户的请求进行处理,从而使得各项请求符合管理员的规则设置,极大的预防和封堵住各项漏洞的利用和入侵。...
Laravel开发-lockdown ACL系统
Clu-HitMan.zip,提供一个命令行实用程序,可以杀死卡住的进程:
软件介绍: 本程序可以防止程序或者用户将数据写入到...单击Enable USB Protection简单的复选框标签“启用USB保护”并单击Apply应用按钮。程序将运行在隐身模式,当数据在写往USB闪存盘时,会出现磁盘写保护提示。
NPM Lockdown是将您的node.js应用程序锁定到特定版本的依赖项的工具...因此您可以: 知道根据您开发的代码就是您测试和部署的代码npm install每次npm install并获取相同的代码。 不必将所有依赖项都复制到项目中...