Samenvatting

In dit artikel worden de stappen beschreven die nodig zijn om een webserver te beveiligen met de wizard ISS Lockdown. Daarnaast wordt beschreven hoe u problemen oplost die optreden nadat u de wizard hebt uitgevoerd.


Terug naar begin

De wizard IIS Lockdown voorbereiden om uit te voeren

Met de wizard IIS Lockdown kunt u verschillende optionele functies van IIS uitschakelen om de IIS-server te beveiligen tegen aanvallen. Voordat u de wizard uitvoert, moet u het Help-bestand doornemen om meer te weten te komen over de opties die u in de wizard kunt instellen. U opent het Help-bestand als volgt:

1. Download de wizard IIS Lockdown. U vindt de wizard op de volgende Microsoft-website:

   http://www.microsoft.com/downloads/release.asp?ReleaseID=43955

2. Pak de bestanden van de wizard uit via het uitvoerbare bestand.
3. Ga naar de map waarin u de uitgepakte bestanden hebt opgenomen en dubbelklik op het bestand Iislockd.chm.

Met de wizard IIS Lockdown kunt u bepaalde optionele functies van IIS uitschakelen die vereist zijn voor de juiste werking van andere toepassingen, zoals Exchange en FrontPage. Als u tijdens het uitvoeren van de wizard niet de correcte opties selecteert, kan dit een negatieve invloed hebben op de functionaliteit van deze toepassingen. Beperk problemen door de Microsoft Knowledge Base-artikelen die van toepassing zijn op uw systeemconfiguratie, aandachtig door te nemen voordat u de wizard IIS Lockdown uitvoert:

• Exchange en Outlook Web Access (OWA):

  309508 IIS Lockdown- en URLscan-configuraties in een Exchange-omgeving

• Microsoft Mobile Information Server:

  311595 Microsoft Security Tool Kit installeren en configureren op een computer met Microsoft Mobile Information Server

• Microsoft Small Business Server:

  311862 IIS Lockdown gebruiken met Small Business Server

• Microsoft Project, Project Server en Project Web Access:

  321357 Foutberichten bij weergeven van een Microsoft Project Web Access-pagina met rasters

  316398 IIS Lockdown en URLScan configureren met Microsoft Project Central

• Microsoft SharePoint Portal Server:

  309675 IIS Lockdown is van invloed op SharePoint Portal Server

  319633 Foutbericht 'Fout tijdens uitvoeren van script: Fout bij uitvoeren van INVOKE' na installatie van wizard IIS Lockdown

• Microsoft Visual Studio .NET:

  310588 PRB: Security Toolkit maakt ASP.NET- foutopsporing in Visual Studio .NET onmogelijk

  315904 BUG: Foutbericht 'External Exception: Cannot execute a program' na aanroepen van WebServices vanaf ASPX-pagina

• Microsoft FrontPage:

  317390 Foutbericht 'HTTP/1.1 404 Object niet gevonden' als een gebruiker van de webpagina een zoekopdracht uitvoert

  307976 Foutbericht bij gebruik van FrontPage met URLScan

• Microsoft Proxy Server:

  311675 Doorzoeken van on line Help van Proxy Server 2.0 niet mogelijk na installatie van wizard IIS Lockdown

Terug naar begin

De wizard IIS Lockdown downloaden en installeren

1. Dubbelklik op het uitvoerbare bestand dat u hebt gedownload in het gedeelte De wizard IIS Lockdown voorbereiden om uit te voeren om de wizard te starten.
2. Lees de verklarende tekst op de welkomstpagina en klik op Volgende.
3. Klik op de pagina met de gebruiksrechtovereenkomst op I Agree en op Volgende.
4. Selecteer op de pagina Select Server Template de sjabloon die het meest overeenkomt met de rol van deze server en klik op View Template Settings. Op de pagina's die vervolgens worden weergegeven, zijn de opties ingesteld op basis van de serverrol die u hebt geselecteerd.
   U kunt daarom de standaardselecties gebruiken.
   
   
   Als voor de server meerdere rollen zijn ingesteld, een dynamische webserver kan bijvoorbeeld tevens als proxyserver fungeren, klikt u op Other (Server that does not match any of the listed roles) en moet u op de volgende pagina's zorgvuldig de ingestelde opties controleren omdat de standaardselecties mogelijk niet geschikt zijn voor uw server. Wanneer u de juiste instellingen hebt opgegeven, klikt u op Volgende.
5. Stel op de pagina Internet Services in welke services de server moet bieden. De meeste servers vereisen de webservice. Als u niet wilt dat de server FTP- of SMTP-services (File Transfer Protocol en Simple Mail Transfer Protocol) voor bestandsoverdracht of e-mail biedt, kunt u deze opties uitschakelen door erop te klikken. Als u Exchange of Small Business Server uitvoert, moet u SMTP niet uitschakelen.
   
   
   De services die u niet selecteert op deze pagina, worden ingesteld op Disabled en kunnen niet worden gestart. Als u de wizard uitvoert in IIS 5.0, kunt u Remove unselected services selecteren om de services te verwijderen die u niet hebt geselecteerd. Wanneer u de juiste instellingen hebt opgegeven, klikt u op Volgende.
6. Schakel op de pagina Script Maps de selectievakjes uit voor de bestandstypen die door de server moeten worden ondersteund. Als u niet zeker weet welke selectievakjes u moet uitschakelen, kunt u de inhoud van de mappen op uw computer doorzoeken om te controleren welke bestandstypen aanwezig zijn. De meeste servers vereisen Active Server Pages (.asp). Tenzij u zeker weet dat de server geen ASP-pagina's gebruikt, moet u het betreffende selectievakje uitschakelen. Klik op Volgende.
7. Selecteer op de pagina Additional Security de virtuele mappen die u van deze server wilt verwijderen. Deze virtuele mappen worden standaard geïnstalleerd met IIS en als gevolg daarvan worden ze vaak door hackers gebruikt voor aanvallen. Op productiecomputers kunt u deze virtuele mappen daarom het beste verwijderen of een andere naam geven. Als u virtuele mappen uit IIS verwijdert, worden de bijbehorende fysieke mappen niet verwijderd. U verliest dus geen gegevens wanneer u deze optie selecteert.
8. Selecteer op de pagina Additional Security de optie Running system utilities als u voor uitvoerbare bestanden in de Windows-map geen rechten wilt toekennen aan de gastaccount voor internetverbindingen (standaard IUSR_<>). Deze optie moet op de meeste systemen worden geselecteerd.
9. Selecteer op de pagina Additional Security de optie Writing to content directories als u aan de gastaccount voor internetgebruikers geen schrijfrechten wilt toekennen voor de mappen met uw webinhoud. Selecteer deze optie niet als u FrontPage Server Extensions op deze server uitvoert of als deze server fungeert als een proxyserver.
10. Selecteer op de pagina Additional Security de optie Disable Web Distributed Authoring and Versioning (WebDAV) als u WebDAV niet gebruikt om webinhoud op deze server te maken en te installeren. Selecteer deze optie niet als deze server wordt uitgevoerd als Outlook Web Access (OWA) voor Exchange 2000.
    Opmerking Als u deze optie selecteert, worden voor de DLL die WebDAV-functionaliteit (Httpext.dll) implementeert, geen uitvoermachtigingen ingesteld. Bepaalde WebDAV-verzoeken worden mogelijk nog wel uitgevoerd.
    Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
    

    307934 PUT- en DELETE-verzoeken nog steeds mogelijk na vergrendelen van WebDAV via ACL

11. Klik op Volgende.
12. Selecteer op de pagina URLScan de optie voor het installeren van URLScan als u URLScan wilt gebruiken om inkomende verzoeken te filteren op basis van een verzameling regels. Als een client een verzoek indient dat volgens de URLScan-regels ongeldig is, wordt het verzoek beantwoord met het foutbericht 404 Bestand niet gevonden en wordt het verzoek geregistreerd in het URLScan-logboekbestand. Het bestand Urlscan.log wordt standaard opgeslagen in de map %WINDIR%\System32\Inetsrv\Urlscan.
    
    Opmerking Als u WebDAV niet uitschakelt op de pagina Additional Security en URLScan installeert, worden WebDAV-verzoeken standaard geblokkeerd. U moet het bestand Urlscan.ini wijzigen als u WebDAV wilt gebruiken met URLScan.
13. Controleer op de pagina Ready to Apply Settings de door te voeren wijzigingen en klik op Volgende.
14. Er worden back-ups van de metabase gemaakt en de ingestelde wijzigingen worden doorgevoerd. Wanneer het proces is voltooid, klikt u op View Report om een rapport weer te geven waarin de doorgevoerde wijzigingen worden beschreven. Klik op Volgende.
    
    Opmerking U kunt het installatierapport weergeven door %WINDIR%\System32\Inetsrv\Oblt-rep.log te open in Kladblok.
15. Klik op Voltooien om de wizard IIS Lockdown te sluiten.
16. Voer een volledige test uit voor alle functies van de server. Deze stap is zeer belangrijk. Als u ontdekt dat u per ongeluk vereiste functies van de server hebt uitgeschakeld, moet u de doorgevoerde wijzigingen onmiddellijk ongedaan maken en de wizard opnieuw uitvoeren om de juiste opties te selecteren.
    Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
    

    317052 Wijzigingen van de wizard IIS Lockdown ongedaan maken

Terug naar begin

URLScan configureren

Wanneer u de wizard IIS Lockdown uitvoert, kunt u URLScan installeren. URLScan is een ISAPI-filter dat HTTP-verzoeken blokkeert op basis van een configureerbare verzameling regels. Zo kunt u URLScan configureren om alle verzoeken voor een bepaalde bestandsnaamextensie te blokkeren, bepaalde HTTP-woorden, zoals GET of POST, te blokkeren of verzoeken te blokkeren die tekens bevatten die vaak worden gebruikt in aanvallen op webservers.


Als u URLScan wilt configureren, gebruikt u een teksteditor zoals Kladblok om het bestand %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini te bewerken. Dit bestand bevat uitgebreide informatie over elke configuratieoptie. Wanneer u het bestand hebt bewerkt, slaat u het op en start u IIS opnieuw.


Klik voor meer informatie over het configureren van URLScan op het volgende artikelnummer in de Microsoft Knowledge Base:
Terug naar begin

Problemen oplossen nadat u de wizard IIS Lockdown hebt uitgevoerd

Het meestvoorkomende probleem dat optreedt als u de wizard hebt uitgevoerd, is dat er onverwachte foutberichten van het type 404 Bestand niet gevonden worden weergegeven wanneer u de vergrendelde site probeert te openen. Deze foutberichten kunnen zelfs worden weergegeven voor bestaande bestanden. Dit probleem treedt op wanneer een client om een bestand verzoekt dat is geblokkeerd door de wizard IIS Lockdown of URLScan. In dit geval wordt uit beveiligingsoverwegingen aangegeven dat het bestand niet bestaat. Als een kwaadwillende gebruiker weet dat op de server een kwetsbare service is opgenomen die wordt geblokkeerd, is deze mogelijk toch in staat de blokkering te omzeilen en misbruik te maken van deze zwakke plek. Denkt de gebruiker echter dat de service niet is geïnstalleerd, dan zal deze ook niet proberen er misbruik van te maken.


Wordt er een foutbericht van het type 404 weergegeven nadat u de wizard IIS Lockdown hebt uitgevoerd, dan kunt u het probleem als volgt oplossen:

1. Controleer of het bestand waarom u verzoekt op de server aanwezig is.
   Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
   

   248033 Veelvoorkomende oorzaken en oplossingen voor het foutbericht 'HTTP 404 - Bestand niet gevonden'

2. Bekijk het URLScan-logboekbestand om te controleren of de verzoeken door URLScan worden geblokkeerd. Het bestand UrlscanMMDDJJ.log, waarbij MMDDJJ voor de datum van het logboekbestand staat, bevindt zich in de map %WINDIR%\System32\Inetsrv\Urlscan. Zie het gedeelte URLScan configureren als blijkt dat URLScan de verzoeken blokkeert en u URLScan zo wilt instellen dat deze verzoeken worden toegestaan.
3. Als u om een ander bestand dan een HTML-bestand verzoekt, zoals een ASP-pagina of een Include-bestand van de server, controleert u de toepassingstoewijzing voor het bestandstype in Internet-servicebeheer:
   1. Klik met de rechtermuisknop op de website en kies Eigenschappen.
   2. Klik op het tabblad Basismap op Configuratie.
   3. Klik op de tab Toepassingstoewijzingen.
   4. Klik op de regel die overeenkomt met de extensie van het bestand dat u probeert te openen.
   5. Als Uitvoerbaar pad is ingesteld op %WINDIR%\System32\Inetsrv4.dll, klikt u op Bewerken en stelt u Uitvoerbaar pad in op het uitvoerbare standaardpad voor deze
      bestandsextensie. Als u niet zeker weet wat het standaardpad is, opent u het bestand %WINDIR%\System32\Inetsrv\oblt-log.log dat u hebt gemaakt met de wizard IIS Lockdown. Zoek naar een regel die begint met SMAP
      en de bestandsnaamextensie bevat. Deze regel bevat tevens het uitvoerbare standaardpad voor dit bestandstype.

Raadpleeg de Microsoft Knowledge Base-artikelen die worden vermeld in het gedeelte De wizard IIS Lockdown voorbereiden om uit te voeren als u problemen ondervindt met een service die afhankelijk is van IIS, zoals Exchange of SharePoint.


Het is ook mogelijk dat FTP of SMTP niet meer functioneert als u de wizard IIS Lockdown hebt uitgevoerd. Dit gebeurt wanneer u deze services uitschakelt of verwijdert. Als u deze services hebt uitgeschakeld, schakelt u deze als volgt weer in:

1. Open het Configuratiescherm.
2. In Windows NT 4.0 opent u de toepassing Services. In Windows 2000 of Windows XP opent u eerst de map Systeembeheer en vervolgens de toepassing Services.
3. Dubbelklik op FTP-publicatie of Simple Mail Transfer Protocol (SMTP).
4. Stel Automatisch in onder Opstarttype.
5. Klik op starten als u de service meteen wilt starten.

Als u een of beide services volledig hebt verwijderd door Remove unneeded services te selecteren in de wizard IIS Lockdown in IIS 5.0, installeert u deze services als volgt opnieuw:

1. Open het Configuratiescherm.
2. Dubbelklik op Software en klik op Windows-onderdelen toevoegen of verwijderen in het linkerdeelvenster.
3. Selecteer Internet Information Services (IIS) en klik op Details.
4. Klik op FTP-service (File Transfer Protocol) of SMTP-service.
5. Klik op OK en klik op Volgende. De geselecteerde services worden verwijderd. Mogelijk wordt u verzocht de cd-rom van Windows in het cd-rom-station te
   plaatsen.
6. Pas het meest recente Service Pack van Windows en eventueel geïnstalleerde hotfixes opnieuw toe.

Als geen van deze methoden werkt, kunt u het met de wizard IIS Lockdown gemaakte rapportbestand bekijken om te controleren welke wijzigingen zijn doorgevoerd. Zo kunt u bepalen door welke wijzigingen de problemen worden veroorzaakt. Het rapportbestand Oblt-rep.log bevindt zich in de map %WINDIR\System32\Inetsrv.


Als u meer informatie wilt over de wijze waarop u de met de wizard IIS Lockdown doorgevoerde wijzigingen ongedaan kunt maken, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
Terug naar begin