Transcript URLScan安裝
微軟WEB和FTP 設定 花蓮縣教育網路中心 黃致翔 [email protected] 前言 Win2000安裝 Hotfix跟service pack 系統安全漏洞 IIS的 Web設定 IIS的 FTP設定 微軟的安全工具 Win2000 安裝 1.用Win2000 的光碟片開機,安裝時不要用內定 值,用不到的東西就不要裝。 2.假如你要做 FTP Server 的話,請在IIS 那一項進 去選一下,不然內定是不安裝FTP。 3.先不要接網路線,以免被攻擊。 4.安裝防毒軟體。 5.安裝Hotfix跟Service pack 6.IIS 更新程式 7.IE 更新程式 Service Pack Service Pack Server Pack是windows更新程式的集合 安裝注意,版本由小安裝至大,注意語系(繁體)、加密位元 Service pack目前版本 Windows NT 4.0 SP "7“ (527 個修正檔) ftp://hotfix.microsoft.com/winnt/Windows_NT_4.0/sp7/ Windows 2000 SP "3“ (更多,980 個修正檔) ftp://hotfix.microsoft.com/winnt/windows_2000/sp3/ Windows 2000 SP "4“ (98 個修正檔) ftp://hotfix.microsoft.com/winnt/windows_2000/sp4 IIS的Web 設定 去控制台--網路設定--把Tcp/IP 設好 。 最好不要安裝Netbuei通訊協定。 到檔案總管去殺掉c:\inetpub\ 裡 AdminScripts iissamples scripts 所有的目 錄,只留wwwroot (因為沒用到 而且會有漏 洞)。如圖1 最好是把wwwroot換到別的硬碟機 IIS的Web 設定 到開始-程式集-系統管理工具-internet 管理 員: a.系統管理Web站台--點右鍵--停止(因為沒用 到) b.預設的Web站台--點一下--右半邊 將 Scripts iishelp iissample iisadmin MSADC _vti_bin 都點右鍵--刪除(因為會有漏洞) 如 圖2 c.剩下一個Printer刪不掉,要問人 圖一 IIS的Web 設定 d.預設的Web站台點右鍵--內容--主目錄--除了原來有 打勾的留著,假如你要執行asp的話就勾選[指令檔來源 存取],假如有留言版計數器的話,就要勾選[寫入],也就是 除了瀏覽目錄不勾之外,其他全勾 如圖3 (其實有更好 的作法)註一 e.接上,底下還有一個[設定]--[應用程式對應]中,把全部 的東西殺光光(移除),只留一個.asp.(因為會有漏洞)--[套 用]--[確定] 說明:這裡是設定,假如有人連到你的網站,打 了xx.ida 則網站會用**.dll 去解讀. 如圖4 f.其他都用內定值即可,--套用--確定離開--關閉Internet 管理員 圖三、四 IIS的FTP 設定 FTP的設定 一定要啟用記錄Log檔,預設值 都在C:\WINNT\System32\LogFiles 辨識方法: 第一個的ftp的log檔放在msftpsvc1下 第二個的ftp的log檔放在msftpsvc2下 IIS的FTP 設定 1.考慮是不是要開放anonymous進入 FTP (就是允許所有人進來) 建議權限:讓anonymous可以讀取,不能寫入 如圖五,將主目錄的「寫入」取消 2.不讓anonymous進入。但要能讓校內同仁使 用 建議權限:取消圖五的匿名存取,不能寫入 如圖五,將主目錄的「寫入」打勾。 將FTP站台操作員加入校內同仁的帳號。 圖五 IIS的FTP 設定 3.可讓anonymous看得到,但不能寫入,只有 指定的帳號才能寫入 透過ftp模式需於檔案總管另行對目錄做權限管 理,多一些步驟,較為繁瑣 步驟請參考 http://asp.enc.hlc.edu.tw/network/train/train/kt/I IS4管理.htm 微軟的安全工具 Service Pack 及 Hotfix 檢測工具 HFNetchk URLscan Port scanner Hotfix Hotfix 說明 修正作業系統或特定應用程式設計上的弱點 Q#####_XXX_YYY_ZZZ_LL.exe - hotfix 組成架 構 Q319733_W2K_SP3_X86_TW.exe Q##### = Microsoft 知識庫文章號碼 (Q319733) XXX YYY ZZZ LL = 作業系統平台 (W2K) = Service Pack 版本 (SP3) = 硬體平台 (x86) = 語系版本 (TW) HFNetchk 功能 HFNetChk工具為command-line,主要幫助使用者檢查 windows NT4.0或Windows2000作業系統Patch檔更新狀 況,除此之外也Check hotfixes for IIS 4.0, IIS 5.0, SQL Server 7.0, and SQL Server 2000 (including MSDE), and Internet Explorer 等等 下載網址 http://www.microsoft.com/downloads/release.asp? releaseid=31154 HFNetchk 注意事項 操作時注意事項如下 執行時必須擁有被掃描主機系統管理員權限 在非英語系(no-English language) Windows 系 統下執行時務必加上 –v -nosum 參數 HFNetChk FAQ 文件、詳細資訊 KB Q305385 指令 hfnetchk -v –nosum 執行後看看是否有未裝的hotfix URLscan 功能 攔截及過濾所有送給IIS web server的服務請求並依照 規則給與適當回應及記錄,可用來降低iis server 受攻擊 的機會 下載網址及KB(Knowledge Base) http://www.microsoft.com/Downloads/Release.asp?Release ID=32571 KB: Q307608 使用檔案 URLScan.log:活動紀錄檔,初始化與管機,還有被拒絕要求的資訊 URlScan.ini:設定檔 URLScan安裝 安裝URL Scan步驟 1.點選如右圖 UrlScan.exe開始安裝 程序 2.接受Microsoft EULA. (END-USER LICENSE AGREEMENT) URLScan安裝 3. 安裝完後會問你要不要restart iis 4. 安裝路徑%windir%\system32\inetsrv\urlscan which is normally c:\winnt\system32\inetsrv\urlscan. URLScan安裝 檢視安裝結果(1). ISAPI filter安裝在master web site properties ISAPI filters如下圖 URLScan安裝 檢視安裝結果(2). %windir%\system32\inetsrv\urlscan folder.如 Configuring UrlScan UrlScan.ini (UrlScan設定檔) IIS啟動使才讀取(效能考量) 修改後,要重啟動IIS才能生效 三種啟動方式: 1.使用IISReset 2.NET STOP W3SVC and then NET START W3SVC 3. Internet 服務管理員 Knowledge Base Search網址 http://search.support.microsoft.com/kb/c.asp 參考資料 台灣電腦網路處理危機中心 http://www.cert.org.tw/cindex.htm Windows網路管理 作者:李忠憲 mailto:[email protected] 以Windows 2000架構企業網路 作者:李忠憲 E-mail: [email protected] 架構一個Win2000 Srv 的WWW Server By 國立陽明高中連振輝老 師 ver1.0 NT4 Server學校及個人Frontpage網頁管理 ~Step by Step~花蓮 縣教育網路中心黃義峰([email protected])