Transcript URLScan安裝
微軟WEB和FTP 設定
花蓮縣教育網路中心
黃致翔
[email protected]
前言
Win2000安裝
Hotfix跟service pack
系統安全漏洞
IIS的 Web設定
IIS的 FTP設定
微軟的安全工具
Win2000 安裝
1.用Win2000 的光碟片開機,安裝時不要用內定
值,用不到的東西就不要裝。
2.假如你要做 FTP Server 的話,請在IIS 那一項進
去選一下,不然內定是不安裝FTP。
3.先不要接網路線,以免被攻擊。
4.安裝防毒軟體。
5.安裝Hotfix跟Service pack
6.IIS 更新程式
7.IE 更新程式
Service Pack
Service Pack
Server Pack是windows更新程式的集合
安裝注意,版本由小安裝至大,注意語系(繁體)、加密位元
Service pack目前版本
Windows NT 4.0 SP "7“ (527 個修正檔)
ftp://hotfix.microsoft.com/winnt/Windows_NT_4.0/sp7/
Windows
2000 SP "3“ (更多,980 個修正檔)
ftp://hotfix.microsoft.com/winnt/windows_2000/sp3/
Windows
2000 SP "4“ (98 個修正檔)
ftp://hotfix.microsoft.com/winnt/windows_2000/sp4
IIS的Web 設定
去控制台--網路設定--把Tcp/IP 設好 。
最好不要安裝Netbuei通訊協定。
到檔案總管去殺掉c:\inetpub\ 裡
AdminScripts iissamples scripts 所有的目
錄,只留wwwroot (因為沒用到 而且會有漏
洞)。如圖1
最好是把wwwroot換到別的硬碟機
IIS的Web 設定
到開始-程式集-系統管理工具-internet 管理
員:
a.系統管理Web站台--點右鍵--停止(因為沒用
到)
b.預設的Web站台--點一下--右半邊 將
Scripts iishelp iissample iisadmin MSADC
_vti_bin 都點右鍵--刪除(因為會有漏洞) 如
圖2
c.剩下一個Printer刪不掉,要問人
圖一
IIS的Web 設定
d.預設的Web站台點右鍵--內容--主目錄--除了原來有
打勾的留著,假如你要執行asp的話就勾選[指令檔來源
存取],假如有留言版計數器的話,就要勾選[寫入],也就是
除了瀏覽目錄不勾之外,其他全勾 如圖3 (其實有更好
的作法)註一
e.接上,底下還有一個[設定]--[應用程式對應]中,把全部
的東西殺光光(移除),只留一個.asp.(因為會有漏洞)--[套
用]--[確定] 說明:這裡是設定,假如有人連到你的網站,打
了xx.ida 則網站會用**.dll 去解讀. 如圖4
f.其他都用內定值即可,--套用--確定離開--關閉Internet
管理員
圖三、四
IIS的FTP 設定
FTP的設定
一定要啟用記錄Log檔,預設值
都在C:\WINNT\System32\LogFiles
辨識方法:
第一個的ftp的log檔放在msftpsvc1下
第二個的ftp的log檔放在msftpsvc2下
IIS的FTP 設定
1.考慮是不是要開放anonymous進入 FTP
(就是允許所有人進來)
建議權限:讓anonymous可以讀取,不能寫入
如圖五,將主目錄的「寫入」取消
2.不讓anonymous進入。但要能讓校內同仁使
用
建議權限:取消圖五的匿名存取,不能寫入
如圖五,將主目錄的「寫入」打勾。
將FTP站台操作員加入校內同仁的帳號。
圖五
IIS的FTP 設定
3.可讓anonymous看得到,但不能寫入,只有
指定的帳號才能寫入
透過ftp模式需於檔案總管另行對目錄做權限管
理,多一些步驟,較為繁瑣
步驟請參考
http://asp.enc.hlc.edu.tw/network/train/train/kt/I
IS4管理.htm
微軟的安全工具
Service Pack 及 Hotfix 檢測工具
HFNetchk
URLscan
Port scanner
Hotfix
Hotfix 說明
修正作業系統或特定應用程式設計上的弱點
Q#####_XXX_YYY_ZZZ_LL.exe - hotfix 組成架
構
Q319733_W2K_SP3_X86_TW.exe
Q##### = Microsoft
知識庫文章號碼 (Q319733)
XXX
YYY
ZZZ
LL
= 作業系統平台 (W2K)
= Service Pack 版本 (SP3)
= 硬體平台 (x86)
= 語系版本 (TW)
HFNetchk
功能
HFNetChk工具為command-line,主要幫助使用者檢查
windows NT4.0或Windows2000作業系統Patch檔更新狀
況,除此之外也Check hotfixes for IIS 4.0, IIS
5.0, SQL Server 7.0, and SQL Server 2000
(including MSDE), and Internet Explorer 等等
下載網址
http://www.microsoft.com/downloads/release.asp?
releaseid=31154
HFNetchk 注意事項
操作時注意事項如下
執行時必須擁有被掃描主機系統管理員權限
在非英語系(no-English language) Windows 系
統下執行時務必加上 –v
-nosum
參數
HFNetChk FAQ 文件、詳細資訊 KB Q305385
指令 hfnetchk -v –nosum
執行後看看是否有未裝的hotfix
URLscan
功能
攔截及過濾所有送給IIS web server的服務請求並依照
規則給與適當回應及記錄,可用來降低iis server 受攻擊
的機會
下載網址及KB(Knowledge Base)
http://www.microsoft.com/Downloads/Release.asp?Release
ID=32571
KB: Q307608
使用檔案
URLScan.log:活動紀錄檔,初始化與管機,還有被拒絕要求的資訊
URlScan.ini:設定檔
URLScan安裝
安裝URL Scan步驟
1.點選如右圖
UrlScan.exe開始安裝
程序
2.接受Microsoft
EULA.
(END-USER LICENSE AGREEMENT)
URLScan安裝
3. 安裝完後會問你要不要restart iis
4. 安裝路徑%windir%\system32\inetsrv\urlscan
which is normally
c:\winnt\system32\inetsrv\urlscan.
URLScan安裝
檢視安裝結果(1). ISAPI filter安裝在master web
site properties ISAPI filters如下圖
URLScan安裝
檢視安裝結果(2).
%windir%\system32\inetsrv\urlscan folder.如
Configuring UrlScan
UrlScan.ini (UrlScan設定檔)
IIS啟動使才讀取(效能考量)
修改後,要重啟動IIS才能生效
三種啟動方式:
1.使用IISReset
2.NET STOP W3SVC and then NET START
W3SVC
3. Internet 服務管理員
Knowledge Base Search網址
http://search.support.microsoft.com/kb/c.asp
參考資料
台灣電腦網路處理危機中心
http://www.cert.org.tw/cindex.htm
Windows網路管理
作者:李忠憲
mailto:[email protected]
以Windows 2000架構企業網路 作者:李忠憲 E-mail:
[email protected]
架構一個Win2000 Srv 的WWW Server By 國立陽明高中連振輝老
師 ver1.0
NT4 Server學校及個人Frontpage網頁管理 ~Step by Step~花蓮
縣教育網路中心黃義峰([email protected])