随着网络的发展，越来越多的人都在使用网络这一方便的服务查询自己所需要的信息和建设自己的网站，但网络给我们带来方便的同时，又有多少人想到了网络给我们带来的安全问题呢？针对Windows 2000的IIS服务，越来越多的安全人士发现并公布了其存在的漏洞，作为Windows用户的您是否关心过您所安装的系统呢？
自从网络病毒传播并造成巨大损失以后，越来越清醒的人们也越来越关注网络安全问题了，网络病毒之所以得以广泛的传播，主要是利用了微软Windows系统最新出现的几个漏洞。现在流行的网络病毒利用的漏洞如表1所示。
针对微软公司IIS Web服务器的安全问题，很多人立刻就会联想到那些为人们所熟知的致命漏洞： UNICODE、CGI解析、.ida、.idq、.Printer远程溢出等。微软针对这些漏洞的补丁包早已推出，之所以在公布了这些补丁后还有那么多的服务器中招被黑，很大责任就是对安全不重视的单位没有及时打上应该打的补丁程序和没有仔细关注系统的安全设置。还有一个原因笔者想是因为我们很多单位的领导并不大重视其网站安全问题，他们也可能想专设网管负责网站会多支出一笔开支，所以当请专业人员把网站建设好后就再也不安排专人负责网站建设了，但就是没有想到随着网络的发展，系统漏洞逐渐被发现而导致自己的系统越来越不安全所带来的后果。
也就是针对这一点，微软意识到需要采取必要措施设置服务器的安全属性。因此，在红色代码传播以后，微软在2001年8月23日推出了一款傻瓜式的IIS安全设置工具—IIS Lock Tool；同时，在尼姆达病毒传播以前的几天（2001年9月11日），微软推出了一款过滤网站访问不合法请求的工具—URL Scan。这两款工具均是针对IIS的漏洞设计的，系统管理员使用以上两款工具，可以有效设置IIS安全属性，避免类似红色代码病毒和一些黑客的攻击。笔者在此写这篇文章虽说有些晚，但我觉得还是有写的必要，因为对于那些频繁安装系统的用户一时也来不及到微软网站去下载其100多兆的补丁程序，但通过iislockd.exe这款工具也能解您燃眉之急，下面只介绍iislockd.exe工具的使用方法，因为此工具也包括过滤网站访问不合法请求的功能。

什么是IIS Lock Tool

IIS Lock Tool可到微软网站下载，其下载地址：
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362
安装也很简单，但需要注意的是，该工具安装以后，并不在系统的“程序”菜单中出现其程序名，也不会在“管理工具”中出现。
IIS Lock Tool具有如下的功能和特点：
◆ 此工具适用的系统包括：Microsoft Windows NT 4.0 Option Pack、Windows 2000 Professional、 Windows 2000 Server、Windows 2000 Advanced Server和Windows 2000 Datacenter Server。
◆ 即使系统没有及时安装所有补丁，也能有效防止IIS4和IIS5的已知漏洞，以解您燃眉之急。
◆ 可以傻瓜式地帮助您取消网站上不必要的一些服务，使IIS在满足网站需求的情况下运行最少的服务，使网站更加安全。
◆ 具有两种使用模式：快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性，这种模式只适合于只有HTML和HTM静态网页的网站使用，因为设置完成以后，ASP不能运行；高级模式允许管理员自己设置各种属性，如果设置合理则对IIS系统功能没有任何影响。

安装设置IIS Lock Tool

工具包下载完后其文件名为iislockd.exe，只有285KB大小。直接单击运行该程序。
单击“下一步”，然后选择“I agree”同意许可协议，进入一个对话框，在此对话框中我们要针对服务器所提供的不同服务来进行选择，在此要提醒读者，此步选择非常关键，我们应该按下面的原则来进行选择：
◆ 选择时针对本网站最少的服务来取消不必要的服务。
◆ 选择之前，建议对网站进行彻底检查，以确定设置对本网站是否合适，避免在设置完成后，系统出现故障。
针对系统提供的不同服务，此工具有不同的设置模式，总的说来模式设置只有快捷模式和高级模式两种。
快捷模式：此设置模式关闭了IIS的一些高级服务属性，其中包括动态网页属性（ASP）。请读者注意，选择快捷模式只适合提供静态页面的网站，当然，这种模式是相对最安全的。
高级模式：此模式可自定义系统的各种属性，同时允许高级属性的运行。
选择一种模式，例如选择Small Business Server 2000，然后单击“下一步”，按照提示设置过滤非法URL访问。
选择Install URLScan filter on the server复选项，单击“下一步”，根据工具向导将完成下列过程：
◆ Disable‘Internet Data Connector (.idc)’script map：删除.idc脚本映射。
◆ Disable‘Server side includes (.shtml, .shtm, .stm)’ script map：删除.shtml, .shtm, .stm脚本映射。
◆ Disable‘.HTR scripting (.htr)’script map：删除.htr脚本映射。
◆ Disable‘Internet printing (.printer)’script map：删除.printer脚本映射。
◆ Remove the printer virtual directory：删除printer虚拟目录。
◆ Set file permissions to prevent anonymous IIS users from writing to content directories：防止匿名用户对目录具有写权限。
◆ Set file permissions to prevent anonymous IIS users from running system utilities：防止匿名用户运行可执行文件，比如cmd.exe和tftp.exe。红色代码和尼姆达均利用了以上所说的匿名执行。
◆ Install URLScan filter on the server：过滤非法URL访问。
◆ Remove‘Scripts’virtual directory：删除Scripts（脚本）虚拟目录。
◆ Remove‘MSADC’virtual directory：删除MSADC虚拟目录。
◆ Remove‘IIS Samples’virtual directory：删除IIS Samples虚拟目录。
◆ Remove‘IISAdmin’virtual directory：删除IIS Admin虚拟目录。
◆ Remove‘IISHelp’virtual directory：删除IIS Help虚拟目录。
◆ Disable msftpsvc Service：删除msftpsvc服务。
当撤选Install URLScan filter on the server复选项，单击“下一步”，根据工具向导将完成下列过程：
◆ Disable‘Index Server Web Interface (.idq, .htw, .ida)’script map：删除.idq, .htw, .ida脚本映射，具体就是不支持.idq,.htw,.ida这些文件。我们先来看看到底什么是索引服务。索引服务是IIS4中包含的内容索引引擎。您可以对它进行ADO调用并搜索您的站点，它为您提供了一个很好的Web 搜索引擎。如果您的网站没有利用索引服务对网站进行全文检索，也就可以取消网站的这个功能。取消的好处是：减轻系统负担；有效防止利用索引服务漏洞的病毒和黑客程序，因为索引服务器漏洞可能使攻击者控制网站服务器，同时，暴露网页文件在服务器上的物理位置（利用.ida、.idq）。
◆ Disable‘Internet Data Connector (.idc)’script map：取消Internet数据库连接；先看Internet数据库连接的作用，它允许HTML页面和后台数据库建立连接，实现动态页面。需要注意的是，IIS4和IIS5中基本已经不使用idc。
◆ Disable ‘Server side includes (.shtml, .shtm, .stm)’script map：取消服务器端包含。先来看看什么叫服务器端包含，SSI就是HTML文件中可以通过注释行调用的命令或指针。SSI 具有强大的功能，只要使用一条简单的SSI 命令就可以实现整个网站的内容更新，动态显示时间和日期，以及执行shell和CGI脚本程序等复杂的功能。但是，多半我们没有用到这个功能，删除可有效防止一些IIS潜在的漏洞。
◆ Disable‘.HTR scripting (.htr)’script map：取消htr映射。攻击者通过htr构造特殊的URL请求，可能导致网站部分文件源代码暴露（包括ASP）。
◆ Disable‘Internet printing (.printer)’script map：取消Internet打印脚本映射。此功能一般没有使用，取消的好处是可以避免.printer远程缓冲溢出漏洞，攻击者可以利用这个漏洞远程入侵IIS 服务器，并以系统管理员(system)身份执行任意命令
◆ Remove the printer virtual directory：删除printer虚拟目录。
◆ Disable Web Distributed Authoring and Versioning (WebDAV)。
其他模式设置基本上没有多大差别，模式的选择要视您系统所提供的服务而决定。再一次提醒读者，此工具虽说是傻瓜式设置工具，但您在选择设置时也要仔细查看帮助文件以及向导的提示信息，因为当您选择了设置模式后，一旦取消了您系统上的服务，就不可逆了，也就是说一旦设置完后，有可能您一味地单击“下一步”而没有仔细地去看向导的提示信息，导致不该取消的服务也给取消了，而影响了您的系统所提供的服务。
总的来说，此工具是一款针对来不及给IIS打上补丁的服务器的一个相当不错的工具，它能给您的IIS网站加上一把锁，使您的网站不会轻易地受黑客攻击。不过针对IIS的不同漏洞笔者还是建议您及时安装上相应的补丁程序包，多关注微软网站所公布的安全公告，这样才能做到万无一失。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=701&categ_code=10041003