DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 325864 - Ultima modifica: giovedì 31 ottobre 2013 - Revisione: 6.0

 
È consigliabile che tutti gli utenti eseguire l'aggiornamento a Microsoft Internet Information Services (IIS) versione 6.0 in esecuzione su Microsoft Windows Server 2003. IIS 6.0 aumenta notevolmente la protezione dell'infrastruttura Web. Per ulteriori informazioni sugli argomenti relativi alla protezione IIS, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)

In questa pagina

Sommario

In questo articolo viene descritto come proteggere un server Web utilizzando lo strumento Internet Information Services (IIS) Lockdown Wizard. Include inoltre informazioni su come risolvere i problemi che si verificano dopo aver eseguito la procedura guidata.

Preparare l'esecuzione di IIS Lockdown Wizard

Con IIS Lockdown Wizard, è possibile disattivare diverse funzionalità opzionali di IIS per proteggere il server IIS da eventuali attacchi. Prima di eseguire la procedura guidata, leggere il file della Guida per acquisire familiarità con le opzioni che presenta la procedura guidata. Per accedere ai file della Guida:
  1. Scaricare IIS Lockdown Wizard. Per scaricare la procedura guidata, visitare il seguente sito Web Microsoft:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC (http://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC)
  2. Estrarre i file di blocco guidato dal file eseguibile.
  3. Individuare la cartella specificata dopo aver estratto i file e quindi fare doppio clic sul file IISLockd.
Si noti che la procedura guidata di blocco consente di disattivare determinate funzionalità facoltative di IIS sono necessari per il corretto funzionamento di altre applicazioni, ad esempio Exchange e FrontPage. Se non si seleziona le opzioni corrette quando si esegue la procedura guidata di blocco, si potrebbe compromettere la funzionalità di queste applicazioni. Per ridurre al minimo i problemi, esaminare attentamente gli articoli della Microsoft Knowledge Base appropriati per il sistema configurazione prima di che eseguire la procedura guidata di blocco:
  • Exchange e Outlook Web Access (OWA):
    309508  (http://support.microsoft.com/kb/309508/ ) Configurazioni di IIS Lockdown e URLscan in ambiente Exchange
  • Microsoft Mobile Information Server:
    311595  (http://support.microsoft.com/kb/311595/ ) Come installare e configurare Microsoft Security Tool Kit in un database di Microsoft Mobile Information Server
  • Microsoft Small Business Server:
    311862  (http://support.microsoft.com/kb/311862/ ) Come utilizzare lo strumento IIS Lockdown tool con Small Business Server
  • Microsoft Project, Project Server e Project Web Access:
    321357  (http://support.microsoft.com/kb/321357/ ) Messaggi di errore quando si visualizza una pagina di Microsoft Project Web Access che contiene le griglie
    316398  (http://support.microsoft.com/kb/316398/ ) Come configurare lo strumento IIS Lockdown e URLScan security tool su un computer che esegue Microsoft Project Server o Microsoft Project Central
  • Microsoft SharePoint Portal Server:
    309675  (http://support.microsoft.com/kb/309675/ ) IIS Lockdown Tool influisce su SharePoint Portal Server
    319633  (http://support.microsoft.com/kb/319633/ ) ' Errore di esecuzione di script: errore durante l'esecuzione di INVOKE' messaggio di errore dopo l'installazione di IIS Lockdown Wizard
  • Microsoft Visual Studio .NET:
    310588  (http://support.microsoft.com/kb/310588/ ) PRB: Toolkit di protezione interrompe il debug ASP.NET in Visual Studio .NET
    315904  (http://support.microsoft.com/kb/315904/ ) BUG: "ExternalException: Impossibile eseguire un programma" messaggio di errore quando si chiama servizi Web da una pagina aspx
  • Microsoft FrontPage:
    317390  (http://support.microsoft.com/kb/317390/ ) Messaggio di errore "HTTP/1.1 404 oggetto non trovato" si verifica quando un utente della pagina Web esegue una ricerca
    307976  (http://support.microsoft.com/kb/307976/ ) Messaggio di errore quando si utilizza FrontPage con URLScan
  • Microsoft Proxy Server:
    311675  (http://support.microsoft.com/kb/311675/ ) Impossibile eseguire la ricerca Guida in linea di Proxy Server 2.0 dopo l'installazione di IIS Lockdown Wizard
  • 888936  (http://support.microsoft.com/kb/888936/ ) È possibile installare il Client avanzato di SMS 2003

Scaricare e installare lo strumento IIS Lockdown Wizard

  1. Fare doppio clic sul file eseguibile scaricato nel Preparare l'esecuzione di IIS Lockdown Wizard sezione per avviare la procedura guidata.
  2. Nella pagina iniziale, leggere il testo esplicativo e quindi fare clic su Avanti.
  3. Nella pagina Contratto di licenza, leggere il contratto di licenza, fare clic su I Agreee quindi fare clic su Avanti.
  4. Nella pagina Select Server Template, selezionare il modello che corrisponde maggiormente il ruolo del server e quindi fare clic per selezionare Le impostazioni del modello di visualizzazione. Le pagine che seguono questo dispone di opzioni già selezionate in base al ruolo del server selezionato precedentemente nella pagina precedente, è possibile utilizzare tutte le selezioni predefinite.

    Se il server dispone di più ruoli (ad esempio, un dinamico server Web che è anche un server proxy), fare clic per selezionare l'altro (Server che non corrisponde ad alcuno dei ruoli elencati), assicurarsi di considerare con attenzione tutte le opzioni presentate nelle pagine successive, poiché le selezioni predefinite potrebbero non essere appropriate per il server. Dopo aver selezionato le impostazioni appropriate, fare clic su Avanti.
  5. Nella pagina Internet Services, selezionare i servizi che si desidera che il server di fornire. La maggior parte dei server richiedono il servizio Web. Se non si desidera che il server per fornire servizi di File Transfer Protocol (FTP) o trasferimento protocollo SMTP (Simple Mail) (ovvero, trasferimento o posta elettronica servizi file), è possibile fare clic per deselezionare queste opzioni. Si noti che è necessario lasciare SMTP selezionato se si esegue Exchange o Small Business Server.

    I servizi che non si seleziona in questa pagina sono impostati su disabilitato e non possono iniziare. Se si esegue la procedura guidata di blocco in IIS 5.0, è inoltre possibile fare clic per selezionare il controllo Remove unselected services, che consente di rimuovere completamente i servizi che non è stato selezionato dal sistema. Dopo aver selezionato le impostazioni appropriate, fare clic su Avanti.
  6. Nella pagina mapping di Script, fare clic per deselezionare la casella di controllo accanto a qualsiasi tipo di file o tipi di file che si desidera che il server di fornire. Se non si è certi che cosa disattivare, è possibile cercare la directory per scoprire l'esistono di tali estensioni. Si noti che la maggior parte dei server necessari pagine ASP (ASP), è necessario fare clic per deselezionare la casella di controllo a meno che non si è certi che il server non gestisce le pagine ASP. Fare clic su Avanti.
  7. Nella pagina Additional Security, selezionare la directory virtuale che si desidera rimuovere dal server. Per impostazione predefinita, queste directory virtuali vengono installate per impostazione predefinita con IIS, in modo che sono destinazioni note per gli utenti malintenzionati ed è possibile rimuovere le directory virtuali o rinominarli nei computer di produzione. Rimozione di queste directory virtuali di IIS non rimuove le directory fisiche corrispondente sul disco, in modo da non perdere i dati selezionando questa opzione.
  8. Nella pagina protezione aggiuntiva, fare clic per selezionare l'esecuzione delle utilità di sistema se si desidera negare i diritti sui file eseguibili nella directory di Windows per l'account Internet guest (per impostazione predefinita, IUSR _nomecomputer>). Questa opzione deve essere selezionata nella maggior parte dei sistemi.
  9. Nella pagina protezione aggiuntiva, selezionare scrittura alle directory di contenuto se si desidera negare scrivere diritti per Internet guest account le directory che contengono Web contenuti. Assicurarsi di lasciare questa opzione deselezionata se si utilizzano le estensioni del Server di FrontPage su questo server o se il server funziona come un server proxy.
  10. Nella pagina protezione aggiuntiva, fare clic per selezionare Disattiva Web Distributed Authoring and Versioning (WebDAV) , se non si utilizza WebDAV per creare e distribuire il contenuto Web su questo server. Se questo server è in esecuzione Outlook Web Access (OWA) per Exchange 2000, assicurarsi di lasciare questa opzione deselezionata.
    Nota: se si seleziona questa opzione, i set di Lockdown Wizard i diritti sulla DLL che implementa la funzionalità WebDAV (Httpext) per negare l'autorizzazione di esecuzione. Comunque potrebbe consentire a determinate richieste di WebDAV da eseguire. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
    307934  (http://support.microsoft.com/kb/307934/ ) Blocco di WebDAV tramite ACL consente ancora le richieste PUT e DELETE
  11. Fare clic su Avanti.
  12. Nella pagina URLScan selezionare l'opzione per installare URLScan, se si desidera utilizzare URLScan per filtrare le richieste in ingresso in base a un insieme di regole. Se un client tenta di effettuare una richiesta non è valida in base alle regole di URLScan, IIS risponde con un errore 404 File non trovato e registra la richiesta nel file di registro di URLScan. Per impostazione predefinita, questo file si trova in % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Nota. Se si lascia WebDAV attivata nella pagina protezione aggiuntiva, ma si decide di installare URLScan, nota che blocca URLScan richieste WebDAV per impostazione predefinita. Se si desidera utilizzare WebDAV con URLScan, è necessario modificare il file URLScan. ini.
  13. Nella pagina pronto per applicare le impostazioni, controllare le modifiche che verranno apportate e quindi fare clic su Avanti.
  14. La procedura guidata di blocco viene eseguito il backup della metabase e apporta le modifiche selezionate. Al termine di questo processo, fare clic su Visualizza Report per visualizzare un report che descrive le modifiche che sono state definite. Fare clic su Avanti per continuare.

    Nota. È possibile visualizzare il report di installazione aprendo %WINDIR%\System32\Inetsrv\Oblt-rep.log nel blocco note.
  15. Fare clic su Fine per chiudere lo strumento IIS Lockdown Wizard.
  16. Un test completo tutte le funzionalità del server. Questo passaggio è molto importante. Se si scopre di avere disabilitato accidentalmente funzionalità necessarie del server, annullare immediatamente le modifiche apportate dalla procedura guidata di blocco e quindi eseguire di nuovo la procedura guidata per selezionare le opzioni corrette.Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
    317052  (http://support.microsoft.com/kb/317052/ ) Come annullare le modifiche apportate da IIS Lockdown Wizard

Configurare URLScan

Quando si esegue IIS Lockdown Wizard, è possibile installare URLScan. URLScan è un filtro ISAPI che blocca le richieste HTTP in base a una serie di regole configurabili. Ad esempio, è possibile configurare URLScan per bloccare tutte le richieste per una determinata estensione, per bloccare alcuni verbi HTTP (ad esempio GET o POST), o bloccare le richieste che contengono caratteri che sono spesso inclusi in attacchi sui server Web.

Per configurare URLScan, utilizzare un editor di testo come blocco note per modificare il file %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Questo file contiene una serie di commenti che illustrano ogni opzione di configurazione. Al termine della modifica del file ini, salvarlo e riavviare IIS.

Per ulteriori informazioni su come configurare URLScan, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
312376  (http://support.microsoft.com/kb/312376/ ) Come configurare URLScan per consentire richieste con estensione Null in IIS
326444  (http://support.microsoft.com/kb/326444/ ) Come configurare lo strumento URLScan

Risoluzione dei problemi quando si esegue IIS Lockdown Wizard

Il problema più comune dopo l'esecuzione di IIS Lockdown Wizard è messaggi imprevisti 404 File non trovato di errore quando si apre il sito bloccato. È possibile ricevere questi messaggi di errore anche per i file esistenti. Ciò si verifica quando un client richiede un file che è stato bloccato dalla procedura guidata di blocco o URLScan. In questo caso IIS afferma che il file non esiste per motivi di sicurezza. Se un utente malintenzionato è noto che un servizio vulnerabile esiste sul server, ma viene bloccato, l'utente può ancora trovare un modo per aggirare il blocco e sfruttare la vulnerabilità; Tuttavia, se l'utente ritiene che il servizio non è installato, l'utente non tenterà sfruttarla.

Se viene visualizzato un messaggio di 404 errore dopo aver eseguito IIS Lockdown Wizard, attenersi alla seguente procedura per risolvere il problema:
  1. Verificare che il file che richiesto esista sul server. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
    248033  (http://support.microsoft.com/kb/248033/ ) Come gli amministratori di sistema possono risolvere il messaggio di errore "HTTP 404 - File non trovato" su un server che esegue IIS
  2. Esaminare il file di registro di URLScan per vedere se URLScan blocca le richieste. Questo file si trova in %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (dove ggmmaa rappresenta la data per il registro). Se si scopre che URLScan blocca le richieste, vedere la Configurare URLScan sezione configurare URLScan in modo che consente a queste richieste.
  3. Se si richiede un file non HTML, ad esempio una pagina ASP o un lato abilitati per includere file server, verificare il mapping di applicazioni per il tipo di file in Gestione servizi Internet:
    1. Il pulsante destro del sito Web e quindi scegliere proprietà.
    2. Nella scheda Home Directory , fare clic su configurazione.
    3. Fare clic sulla scheda Mapping applicazioni .
    4. Selezionare la riga che corrisponde all'estensione del file che si sta tentando di accedere.
    5. Se il Percorso dell'eseguibile è impostato su % WINDIR%\System32\Inetsrv\404.dll, fare clic su Modificae quindi impostare il Percorso dell'eseguibile per il percorso dell'eseguibile per l'estensione predefinita. Se non si è certi del valore predefinito, aprire il file %WINDIR%\System32\Inetsrv\oblt-log.log, che è stato creato durante l'esecuzione della procedura guidata di blocco. Individuare la riga che inizia con SMAP , seguito dall'estensione del nome file. Questa riga contiene anche il percorso dell'eseguibile predefinito per il tipo di file.
Se hai problemi con un servizio che dipende da IIS, ad esempio Exchange o SharePoint, vedere gli articoli della Microsoft Knowledge Base elencati nella Preparare l'esecuzione di IIS Lockdown Wizard .

È inoltre possibile trovare tale SMTP o FTP non funzionano dopo l'esecuzione di IIS Lockdown Wizard. Ciò si verifica se si disattiva o rimuovere questi servizi. Disattivando i servizi, attenersi alla seguente procedura per riattivarle:
  1. Aprire il pannello di controllo.
  2. In Windows NT 4.0, aprire l'applet servizi . In Windows 2000 o Windows XP, aprire la cartella Strumenti di amministrazione e quindi aprire l'applet servizi .
  3. Fare doppio clic su pubblicazione FTP o Simple Mail Transfer Protocol (SMTP).
  4. Per il tipo di avvio, fare clic per selezionare automatico.
  5. Se si desidera che il servizio venga avviato immediatamente, fare clic su Start .
Se sono stati completamente rimossi uno o entrambi questi servizi selezionando Rimuovi servizi non necessari durante l'esecuzione di IIS Lockdown Wizard in IIS 5.0, attenersi alla seguente procedura per reinstallare i driver:
  1. Aprire il pannello di controllo.
  2. Aprire l'applet Installazione applicazioni e quindi fare clic su Installazione componenti di Windows nel riquadro sinistro.
  3. Selezionare Internet Information Services (IIS)e quindi fare clic su Dettagli.
  4. Fare clic per selezionare il servizio File Transfer Protocol (FTP) o il Servizio SMTP.
  5. Fare clic su OKe quindi fare clic su Avanti. Verranno installati i servizi selezionati. È possibile che venga richiesto di inserire il CD di Windows.
  6. Assicurarsi di riapplicare il service pack più recente per Windows e gli aggiornamenti rapidi installati.
Se nessuno di questi metodi funziona, è possibile visualizzare il file di report per visualizzare tutte le modifiche apportato lo strumento IIS Lockdown Wizard. Ciò consente di determinare modifiche causa i problemi che si sono verificati. File di report viene salvato in % WINDIR\System32\Inetsrv\Oblt-rep.log.

Per ulteriori informazioni su come annullare le modifiche apportate IIS Lockdown Wizard, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
317052  (http://support.microsoft.com/kb/317052/ ) Come annullare le modifiche apportate da IIS Lockdown Wizard

Riferimenti

Per ulteriori informazioni su IIS Lockdown Wizard e su come proteggere il server IIS, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:
310725  (http://support.microsoft.com/kb/310725/ ) Come eseguire IIS Lockdown Wizard automatica in IIS
311350  (http://support.microsoft.com/kb/311350/ ) Come creare un tipo di server personalizzati da utilizzare con IIS Lockdown Wizard
282060  (http://support.microsoft.com/kb/282060/ ) Risorse per la protezione di Internet Information Services
Chiavi: 
kbhowtomaster kbmt KB325864 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 325864  (http://support.microsoft.com/kb/325864/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store