IIS Lockdown 工具如何處理應用程序映射？

問： 當我們在 IIS 5 上使用 IIS Lockdown 工具時，我們禁用了除 .asp 文件之外的所有的應用程序映射。Lockdown 工具的確禁用了其他應用程序映射，但是并沒有刪除它們。我讀過了許多有關安全性的文章和書籍，其中大部分都認為刪除不需要的應用程序映射是最佳做法，而且似乎的確很有意義。但是 Lockdown 工具沒有刪除映射，而是將這些擴展名映射到 404.dll 程序。為什么要保留這些擴展名，而不按照包括“Microsoft 的 IIS 5 安全性檢查清單”在內的安全性文章中所建議刪除它們？

答： IIS 5 安全性檢查清單 確實是一個相當好的入門資料，但是，如果要更為全面地了解 Web 安全性方面的知識，我力薦您閱讀 提高 Web 應用程序的安全性：威脅與對策 ，這篇文章寫得非常好，其鏈接為
http://msdn.microsoft.com/library/en-us/dnnetsec/html/ThreatCounter.asp 。

不過，您提出了一個非常好的有關 IIS Lockdown 工具 的問題，我一直推薦在 IIS 5 服務器上使用這個工具。Lockdown 對應用程序映射所采取的操作完全如您所述（參見下圖）：

您可以看到，對 .htr 或 .idc 的任何請求都將導致運行 404.dll，而這個程序將向用戶顯示一條簡單且無任何提示信息的錯誤—— 找不到文件 。那么，為什么將這些擴展名映射到 404.dll，而不是簡單地刪除它們呢？我們假定您有多個使用 .ida、.idq 和 .htw 等過時擴展名的文件，以實現對索引服務器的查詢和顯示查詢結果。在進行稍微深入的研究后，您明智地決定，使用 ASP 來提供同樣的功能，這樣效率更高，更為安全。編寫代碼后，您查看應用程序映射，刪除了那些擴展名，因為您不再需要 .ida、.idq 和 .htw 等文件。結果，IIS 會將仍然位于服務器上的 .ida、.idq 和 .htw 文件，以文本形式發送給用戶。這可能會暴露您不愿意公開的服務器信息。當然，您應該從服務器的源頭刪除這些文件，但是將這些擴展名映射到 404.dll 可以降低風險，因為您可能遺漏某一個文件，或是開發人員可能將舊內容上傳到服務器。

請注意，您應該定期檢查應用程序映射，以確保安裝或卸載過程沒有對它們進行修改。使用專用文件的 Web 應用程序肯定會將它們需要的擴展名添加到應用程序映射中。對于 Indexing Service，僅僅通過“添加/刪除 Windows 組件”來從 IIS 服務器上刪除 Indexing Service，將會把原來的 .idq、.idq 和 .htw 映射添加回應用程序映射，并將相關的 .dll 程序（idq.dll 和 webhits.dll）遺留在 Winnt\System32 中。因此，如果您不打算使用 Indexing Service，請在運行 IIS Lockdown 工具之前刪除它。

IIS Lockdown 工具如何處理應用程序映射？