IIS Lockdown 工具如何處理應(yīng)用程序映射？

問： 當(dāng)我們?cè)?IIS 5 上使用 IIS Lockdown 工具時(shí)，我們禁用了除 .asp 文件之外的所有的應(yīng)用程序映射。Lockdown 工具的確禁用了其他應(yīng)用程序映射，但是并沒有刪除它們。我讀過了許多有關(guān)安全性的文章和書籍，其中大部分都認(rèn)為刪除不需要的應(yīng)用程序映射是最佳做法，而且似乎的確很有意義。但是 Lockdown 工具沒有刪除映射，而是將這些擴(kuò)展名映射到 404.dll 程序。為什么要保留這些擴(kuò)展名，而不按照包括“Microsoft 的 IIS 5 安全性檢查清單”在內(nèi)的安全性文章中所建議刪除它們？

答： IIS 5 安全性檢查清單 確實(shí)是一個(gè)相當(dāng)好的入門資料，但是，如果要更為全面地了解 Web 安全性方面的知識(shí)，我力薦您閱讀 提高 Web 應(yīng)用程序的安全性：威脅與對(duì)策 ，這篇文章寫得非常好，其鏈接為
http://msdn.microsoft.com/library/en-us/dnnetsec/html/ThreatCounter.asp 。

不過，您提出了一個(gè)非常好的有關(guān) IIS Lockdown 工具 的問題，我一直推薦在 IIS 5 服務(wù)器上使用這個(gè)工具。Lockdown 對(duì)應(yīng)用程序映射所采取的操作完全如您所述（參見下圖）：

您可以看到，對(duì) .htr 或 .idc 的任何請(qǐng)求都將導(dǎo)致運(yùn)行 404.dll，而這個(gè)程序?qū)⑾蛴脩麸@示一條簡單且無任何提示信息的錯(cuò)誤—— 找不到文件 。那么，為什么將這些擴(kuò)展名映射到 404.dll，而不是簡單地刪除它們呢？我們假定您有多個(gè)使用 .ida、.idq 和 .htw 等過時(shí)擴(kuò)展名的文件，以實(shí)現(xiàn)對(duì)索引服務(wù)器的查詢和顯示查詢結(jié)果。在進(jìn)行稍微深入的研究后，您明智地決定，使用 ASP 來提供同樣的功能，這樣效率更高，更為安全。編寫代碼后，您查看應(yīng)用程序映射，刪除了那些擴(kuò)展名，因?yàn)槟辉傩枰?.ida、.idq 和 .htw 等文件。結(jié)果，IIS 會(huì)將仍然位于服務(wù)器上的 .ida、.idq 和 .htw 文件，以文本形式發(fā)送給用戶。這可能會(huì)暴露您不愿意公開的服務(wù)器信息。當(dāng)然，您應(yīng)該從服務(wù)器的源頭刪除這些文件，但是將這些擴(kuò)展名映射到 404.dll 可以降低風(fēng)險(xiǎn)，因?yàn)槟赡苓z漏某一個(gè)文件，或是開發(fā)人員可能將舊內(nèi)容上傳到服務(wù)器。

請(qǐng)注意，您應(yīng)該定期檢查應(yīng)用程序映射，以確保安裝或卸載過程沒有對(duì)它們進(jìn)行修改。使用專用文件的 Web 應(yīng)用程序肯定會(huì)將它們需要的擴(kuò)展名添加到應(yīng)用程序映射中。對(duì)于 Indexing Service，僅僅通過“添加/刪除 Windows 組件”來從 IIS 服務(wù)器上刪除 Indexing Service，將會(huì)把原來的 .idq、.idq 和 .htw 映射添加回應(yīng)用程序映射，并將相關(guān)的 .dll 程序（idq.dll 和 webhits.dll）遺留在 Winnt\System32 中。因此，如果您不打算使用 Indexing Service，請(qǐng)?jiān)谶\(yùn)行 IIS Lockdown 工具之前刪除它。

IIS Lockdown 工具如何處理應(yīng)用程序映射？