软件的安装

　　Linux下软件的安装主要有两种不同的形式。第一种安装文件名为xxx.tar.gz；另一种安装文件名为xxx.i386.rpm。以第一种方式发行的软件多为以源码形式发送的；第二种方式则是直接以二进制形式发送的。

　　对于第一种，安装方法如下：

　　1 .首先，将安装文件拷贝至你的目录中。例如，如果你是以root身份登录上的，就将软件拷贝至/root中。

　　#cp xxx.tar.gz /root

　　2 .由于该文件是被压缩并打包的,应对其解压缩。命令为：

　　#tar xvzf filename.tar.gz 如果是filename.tar.bz2格式的，应该是tar jxvf filename.tar.bz2来解压

　　3. 执行该命令后，安装文件按路径，解压缩在当前目录下。用ls命令可以看到解压缩后的文件。通常在解压缩后产生的文件中，有“Install”的文件。该文件为纯文本文件，详细讲述了该软件包的安装方法。

　　4.执行解压缩后产生的一个名为configure的可执行脚本程序。它是用于检查系统是否有编译时所需的库，以及库的版本是否满足编译的需要等安装所需要的系统信息。为随后的编译工作做准备。命令为： #./configure

　　如果您想把软件安装到指定目录，应该用#./configure --prefix=/您自己指定的目录，比如我想把一个mlterm安装到/opt/mlterm目录中，应该如下输入

　　#./configure --prefix=/opt/mlterm

　　5.检查通过后，将生成用于编译的MakeFile文件。此时，可以开始进行编译了。编译的过程视软件的规模和计算机性能的不同，所耗费的时间也不同。命令为： #make。

　　6.成功编译后，键入如下的命令开始安装：

　　#make install

　　7.安装完毕，应清除编译过程中产生的临时文件和配置过程中产生的文件。键入如下命令：

　　#make clean

　　#make distclean

　　至此，软件的安装结束。

　　对于第二种，其安装方法要简单得多。

　　同第一种方式一样，将安装文件拷贝至你的目录中。然后使用rpm来安装该文件。命令如下：

　　#rpm -i filename.i386.rpm

　　rpm将自动将安装文件解包，并将软件安装到缺省的目录下。并将软件的安装信息注册到rpm的数据库中。参数i的作用是使rpm进入安装模式。

　　软件的卸载

　　1.软件的卸载主要是使用rpm来进行的。卸载软件首先要知道软件包在系统中注册的名称。键入命令：

　　#rpm -q -a

　　即可查询到当前系统中安装的所有的软件包。

　　2. 确定了要卸载的软件的名称，就可以开始实际卸载该软件了。键入命令：

　　#rpm -e [package name]

　　即可卸载软件。参数e的作用是使rpm进入卸载模式。对名为[package name]的软件包进行卸载。由于系统中各个软件包之间相互有依赖关系。如果因存在依赖关系而不能卸载，rpm将给予提示并停止卸载。你可以使用如下的命令来忽略依赖关系，直接开始卸载：

　　#rpm -e [package name] -nodeps

　　忽略依赖关系的卸载可能会导致系统中其它的一些软件无法使用

　　如果想知道rpm包安装到哪里了呢？

　　应该用 #rpm -ql [package name]

　　3.如何卸载用源码包安装的软件？

　　最好是看README和INSTALL ；一般的情况下都有说，但大多软件没有提供源码包的卸载方法；我们可以找到软件的安装点删除。主要看你把它安装在哪了。

　　比如：

　　如果安装软件时，指定个目录。这个问题也不会难；

　　比如用源码包安装gaim 的

　　#./configure --prefix=/opt/gaim

　　#make

　　#make install

　　如果安装mlterm

　　#./configure --prefix=/opt/mlterm

　　#make

　　#make install

　　把源码包安装的软件，都指定安装在 /opt目录中，这样不就知道了；

　　如果删除，就删除相应的软件目录；

　　有些软件要在解压安装目录中执行 make uninstall ，这样就卸载掉了。

安装 Windows 2000

1) 用一张 Win98＼Me 启动盘（支持光驱）启动你的电脑。
2) 将 Windows 2000 CD 放入你的光驱中。
3) 在 A: 提示符下输入 X:＼I386＼WINNT.EXE 这里 X: 是你的光驱盘符。
4) 下面开始安装 Windows 2000 到非 Windows XP 的安装分区中。
5) 安装完毕之后，在 Windows 2000 中重启电脑。

修复 Windows XP 引导信息

用你的 Windows XP CD 启动电脑。当到达 Setup or Repair（安装与修复）步骤时，选择修复。在修复控制台中，输入如下内容：

1) FIXBOOT, answer Yes
2) CD
3) ATTRIB -H NTLDR
4) ATTRIB -S NTLDR
5) ATTRIB -R NTLDR
6) ATTRIB -H NTDETECT.COM
7) ATTRIB -S NTDETECT.COM
8) ATTRIB -R NTDETECT.COM
9) COPY X:I386NTLDR C:
10) COPY X:I386NTDETECT.COM C:

X 是你光驱的盘符。

　　IIS安全技巧

　　微软的产品一向是众矢之的，因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后，网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单，服务器操作员也许会发现这是非常有用的。

　　1. 保持Windows升级:

　　你必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上，并在该机器上以Web的形式将文件发布出来。通过这些工作，你可以防止你的Web服务器接受直接的Internet访问。

　　2. 使用IIS防范工具:

　　这个工具有许多实用的优点，然而，请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用，请首先测试一下防范工具，以确定它已经被正确的配置，保证其不会影响Web服务器与其他服务器之间的通讯。

　　3. 移除缺省的Web站点:

　　很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后，因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址)，他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹，且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。

　　4. 如果你并不需要FTP和SMTP服务，请卸载它们:

　　进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。

　　5. 有规则地检查你的管理员组和服务:

　　有一天我进入我们的教室，发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会突然摧毁你的整个系统，或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务，一旦这发生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。因此，检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在，哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序，叫作tlist.exe，它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示：任何含有daemon几个字的服务可能不是Windows本身包含的服务，都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用，请点击这里。

　　6. 严格控制服务器的写访问权限:

　　这听起来很容易，然而，在大学校园里，一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的，然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

　　7. 设置复杂的密码:

　　我最近进入到教室，从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深，以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 (例如"password"或是 changeme"或者任何字典单词)，那么黑客能快速并简单的入侵这些用户的账号。

　　8. 减少/排除Web服务器上的共享:

　　如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外，通过运行一个简单的循环批处理文件，黑客能够察看一个IP地址列表，利用\命令寻找Everyone/完全控制权限的共享。

　　9. 禁用TCP/IP协议中的NetBIOS:

　　这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用，他们便不能这么做了。另一方面，随着NETBIOS被禁用，黑客就不能看到你局域网上的资源了。这是一把双刃剑，如果网络管理员部署了这个工具，下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。

　　10. 使用TCP端口阻塞:

　　这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口，那么你可以进入你网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有你不需要的端口。你必须小心的使用这一工具，因为你并不希望将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节，点击这里。

　　11. 仔细检查*.bat和*.exe 文件: 每周搜索一次*.bat

　　和*.exe文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中，也许有一些是*.reg文件。如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。

　　12. 管理IIS目录安全:

　　IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择，我选择了一个被称作WhosOn的软件，它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe，你可以选择拒绝这个用户访问Web服务器。当然，在一个繁忙的Web站点，这可能需要一个全职的员工！然而，在内部网，这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源，也可以对特定的用户提供。

　　13. 使用NTFS安全:

　　缺省地，你的NTFS驱动器使用的是EVERYONE/完全控制权限，除非你手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。最重要的文件夹是System32，这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

　　14.管理用户账户:如果你已经安装IIS，你可能产生了一个TSInternetUser账户。除非你真正需要这个账户，否则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

　　15. 审计你的Web服务器:

　　审计对你计算机的性能有着较大的影响，因此如果你不经常察看的话，还是不要做审计了。如果你真的能用到它，请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具，审计就不那么重要了。缺省地，IIS总是纪录访问， WhosOn 会将这些纪录放置在一个非常容易易读的数据库中，你可以通过Access或是 Excel打开它。如果你经常察看异常数据库，你能在任何时候找到服务器的脆弱点。

　　总结

　　上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署，结果可能让你损失惨重，你可能需要重启，从而遗失访问。

　　最后的技巧: 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接，然后你将有一大堆的调查和研究要做了

　　如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外，通过运行一个简单的循环批处理文件，黑客能够察看一个IP地址列表，利用\命令寻找Everyone/完全控制权限的共享。

　　9. 禁用TCP/IP协议中的NetBIOS:

　　这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用，他们便不能这么做了。另一方面，随着NETBIOS被禁用，黑客就不能看到你局域网上的资源了。这是一把双刃剑，如果网络管理员部署了这个工具，下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。

　　10. 使用TCP端口阻塞:

　　这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口，那么你可以进入你网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有你不需要的端口。你必须小心的使用这一工具，因为你并不希望将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节，点击这里。

　　11. 仔细检查*.bat和*.exe 文件: 每周搜索一次*.bat

　　和*.exe文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中，也许有一些是*.reg文件。如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。

　　12. 管理IIS目录安全:

　　IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择，我选择了一个被称作WhosOn的软件，它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe，你可以选择拒绝这个用户访问Web服务器。当然，在一个繁忙的Web站点，这可能需要一个全职的员工！然而，在内部网，这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源，也可以对特定的用户提供。

　　13. 使用NTFS安全:

　　缺省地，你的NTFS驱动器使用的是EVERYONE/完全控制权限，除非你手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。最重要的文件夹是System32，这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

　　14.管理用户账户:如果你已经安装IIS，你可能产生了一个TSInternetUser账户。除非你真正需要这个账户，否则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

　　15. 审计你的Web服务器:

　　审计对你计算机的性能有着较大的影响，因此如果你不经常察看的话，还是不要做审计了。如果你真的能用到它，请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具，审计就不那么重要了。缺省地，IIS总是纪录访问， WhosOn 会将这些纪录放置在一个非常容易易读的数据库中，你可以通过Access或是 Excel打开它。如果你经常察看异常数据库，你能在任何时候找到服务器的脆弱点。

　　总结

　　上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署，结果可能让你损失惨重，你可能需要重启，从而遗失访问。

　　最后的技巧: 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接，然后你将有一大堆的调查和研究要做了。

注意 本文档是由“Designing Secure Web-Based Applications for Microsoft Windows 2000”，Microsoft Press，ISBN: 0735609950 改编而来。

那些熟悉 Internet Information Server 4 清单的客户将注意到本列表要远短于 Internet Information Server 4 的清单。这是因为以下两点原因：

• 许多 Windows 2000 系统范围的设置可以通过提供的安全模板 (hisecweb,inf) 进行配置；所以不需要手动配置注册表设置。
• 在 Windows 2000 和 IIS 5 的默认状态下，将禁用 Microsoft Windows NT 4 和 Internet Information Server 4 上的某些低安全级别的默认设置。

本文档的其余部分分为以下几个部分：

• 一般性安全考虑事项
• Windows 2000 安全考虑事项
• IIS 5 安全考虑事项

本部分内容讲述一般性安全问题。

阅读您企业的安全策略

拥有安全策略是十分重要的。对以下问题，您需要有现成的答案：

• 如何对入侵作出反应？
• 备份存储在何处？
• 允许谁访问服务器？

在 SANS Institute 、 Baseline Software, Inc. 和 Practical Unix & Internet Security (O'Reilly Books, 1996) 中可以找到有关策略信息的比较好资源。

预订 Microsoft 安全通知服务

您可以在 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp 上预定 Microsoft 安全通知服务，使自己能够及时知道有关 Microsoft 安全问题和修补程序的信息。您将通过电子邮件获得有关安全问题的自动通知。

您还应当考虑在桌面上放置 Microsoft 安全顾问程序的快捷方式。要完成此操作，请执行下列步骤：

1. 打开 Internet Explorer。
2. 导航到http://www.microsoft.com/technet/security/bulletin/notify.asp。
3. 从“收藏”菜单中选择“添加到收藏夹”。
4. 选中“允许脱机使用”复选框。
5. 单击“自定义”。
6. 在“脱机收藏夹向导”中单击“下一步”。
7. 选中“是”选项按钮并指定下载与该页链接的 2 层网页。
8. 单击“下一步”。
9. 选中“创建新的计划”选项按钮，然后单击“下一步”。
10. 接受默认设置，再单击“下一步”。
11. 单击“完成”。
12. 单击“确定”。
13. 从“收藏”菜单中选中“整理收藏夹”。
14. 在“整理收藏夹”对话框中选择“Microsoft TechNet Security”快捷方式。
15. 单击“属性”。
16. 单击“Microsoft TechNet Security 属性”对话框的“下载”选项卡。
17. 取消选中“跟踪本页 Web 站点之外的链接”复选框。
18. 单击“确定”，然后单击“关闭”。

现在您可以将 Microsoft TechNet Security 快捷方式从“收藏”菜单拖到桌面上。如果有新的安全消息，图标上将出现一个小红标记。

要点 如果出现了新的安全问题，您必须非常重视它们。这一点再怎么强调也不为过。

本部分内容专门讲述有关 Windows 2000 的安全问题。

检查、更新及部署提供的 Hisecweb.inf 安全模板

我们已经包括了名为 Hisecweb.inf 的安全模板，作为适用于大多数安全网站的基准。该模板配置了基本的 Windows 2000 系统范围策略。

Hisecweb.inf 可以从如下地址下载：
http://download.microsoft.com/download/win2000srv/SCM/1.0/NT5/EN-US/hisecweb.exe

执行下列步骤来使用模板：

1. 将模板复制到 %windir%\security\templates 目录。
2. 打开“安全模板”工具，并查看设置。
3. 打开“安全配置和分析”工具，并加载模板。
4. 右键单击“安全配置和分析”工具，并从上下文菜单中选择“立即分析计算机”。
5. 等待工作完成。
6. 检查查找结果并按需要更新模板。
7. 如果您对模板满意，请右键单击“安全配置和分析”工具，并从上下文菜单中选择“立即配置计算机”。

配置 IPSec 策略

您应当认真考虑在每一个 Web 服务器上设置 Internet 协议安全性 (IPSec) 包筛选器策略。如果您的防火墙被攻破，该策略将提供额外的安全级别。多级别安全技术通常被认为是很好的做法。

一般而言，除了那些您明显希望支持的协议与希望打开的端口以外，应当阻止其他所有 TCP/IP 协议。您可以使用 IPSec 管理工具或 IPSecPol 命令行工具来部署 IPSec 策略。

保护 Telnet 服务器安全

如果您打算使用包含在 Windows 2000 中的 Telnet 服务器，您应当考虑限制能够访问该服务的用户。要完成此操作，请执行下列步骤：

1. 打开“本地用户和组”工具。
2. 右键单击“组”节点，并从上下文菜单中选择“新建组”。
3. 在“组名”框中输入 TelnetClients。
4. 单击“添加”以添加对该计算机有 telnet 访问权限的用户。
5. 单击“创建”，再单击“关闭”。

当存在 TelnetClients 组时，Telnet 服务将仅允许那些在组中定义的用户访问服务器。

本部分内容专门讲述有关 Internet Information Services 5 的安全问题。

为虚拟目录设置适当的 ACL

虽然此步骤从某种程度上来说取决于应用程序，但一些主要规则仍然适用，如表 F-1 所示。

推荐使用的各文件类型的默认 ACL

与为每一个文件单独设置 ACL 相比，更好的办法是为每一种文件类型创建新的目录，在这些目录上设置 ACL，并允许 ACL 继承到文件。例如，目录结构可能如下所示：

• c:\inetpub\wwwroot\myserver\static (.html)
• c:\inetpub\wwwroot\myserver\include (.inc)
• c:\inetpub\wwwroot\myserver\script (.asp)
• c:\inetpub\wwwroot\myserver\executable (.dll)
• c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)

此外，有两个目录需要特别注意：

• c:\inetpub\ftproot (FTP server)
• c:\inetpub\mailroot (SMTP server)

这两个目录上的 ACL 都是“Everyone（完全控制）”，应当根据您的功能级别覆盖为更加严格的设置。如果要支持“Everyone（写入）”，请将该文件夹放置到与 IIS 服务器不同的卷中，或者使用 Windows 2000 磁盘空间配额来限制可以写入这些目录的数据量。

设置适当的 IIS 日志文件 ACL

请确保 IIS 生成的日志文件 (%systemroot%\system32\LogFiles) 上的 ACL 是：

• Administrators（完全控制）
• System（完全控制）
• Everyone (RWC)

这有助于防止恶意用户删除文件以掩饰他们的踪迹。

启用日志记录

当您希望确定服务器是否正受到攻击时，日志记录是非常重要的。应当通过下列步骤使用 W3C 扩展日志记录格式：

1. 加载 Internet Information Services 工具。
2. 右键单击怀疑有问题的站点，然后从上下文菜单中选择“属性”。
3. 单击“网站”选项卡。
4. 选中“启用日志”复选框。
5. 从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。
6. 单击“属性”。
7. 单击“扩展属性”选项卡，然后设置下列属性：

• 客户端 IP 地址
• 用户名
• 方法
• URI 资源
• HTTP 状态
• Win32 状态
• 用户代理
• 服务器 IP 地址
• 服务器端口

仅当您将多个 Web 服务器设置在同一计算机上时，后两个属性才有用。Win32 Status 属性非常适合于调试。当您检查日志时，请注意错误 5，即被拒绝的访问。您可以通过在命令行中输入 net helpmsg err （其中 err 代表您感兴趣的错误号码）来找出其他 Win32 错误是什么含义。

设置 IP 地址/DNS 地址限制

这并非要设置的普通选项，但是如果希望限制某些用户访问您的网站，这将是一个有用的选项。请注意如果您输入域名系统 (DNS) 名称，那么 IIS 将必须执行 DNS 检查，这将很费时间。

验证可执行内容的可信度

要了解可执行内容是否可信是很难的。有一个小测试是用 DumpBin 工具来查看可执行内容是否调用了某些 API。许多 Win32 开发工具都含有 DumpBin。例如，如果您希望查看名为 MyISAPI.dll 的文件是否调用 RevertToSelf，请使用下列语法：

dumpbin /imports MyISAPI.dll | find "RevertToSelf"


如果屏幕上未出现结果，MyISAPI.dll 将不直接调用 RevertToSelf。它将可能通过 LoadLibrary 来调用该 API，在此情况下您也可以使用相似的命令来进行查找。

在 IIS 服务器上更新根目录的 CA 证书

该过程包括两个步骤：第一步：添加所有信任的新根目录证书颁发机构 (CA) 证书—尤其是任何通过使用 Microsoft Certificate Services 2.0 创建的新根目录 CA 证书。第二步：删除所有不信任的根目录 CA 证书。请注意如果您不知道发布根目录证书的公司名称，那么就不应当信任他们！

所有 IIS 使用的根目录 CA 证书都存放在计算机的机器存储中。可以通过下列步骤来访问该机器存储：

1. 打开 Microsoft Management Console (MMC)。
2. 从“控制台”菜单中选择“添加/删除管理单元”，然后单击“添加”。
3. 选择“证书”并单击“添加”。
4. 单击“计算机帐户”选项按钮。
5. 单击“下一步”。
6. 选中所指机器。
7. 单击“完成”。
8. 单击“关闭”，再单击“确定”。
9. 展开证书节点。
10. 扩展信任的根目录证书颁发机构。
11. 选择证书。

右窗格将显示当前信任的全部根目录 CA 证书。如果需要，可以删除多个证书。

注意： 不要删除 Microsoft 或 VeriSign 根目录。操作系统会大量使用它们。

禁用或删除所有示例应用程序

示例仅仅是示例；默认情况下并不安装它们，并且永远不应在产品服务器上安装。请注意，某些示例是安装的，使它们只能通过 http://localhost 或 127.0.0.1 进行访问，即使这样也应将其删除。

F-2 表列举了某些示例的默认位置。

包含在 Internet Information Server 5 中的示例文件。

禁用或删除不需要的 COM 组件

某些 COM 组件对于多数应用程序都是不需要的，应当将其删除。尤其需要考虑禁用“文件系统对象”组件，但请注意这样也会删除 Dictionary 对象。请注意某些程序可能需要您禁用的组件。例如：Site Server 3.0 使用“文件系统对象”。下列命令将禁用“文件系统对象”：

regsvr32 scrrun.dll /u

删除 IISADMPWD 虚拟目录

该目录允许您重新设置 Windows NT 和 Windows 2000 密码。这主要是为 Intranet 方案设计的，并且不作为 IIS 5 的一部分来安装，但是在 IIS 4 服务器升级到 IIS 5 时将不会被删除。如果您不使用 Intranet 或者您将服务器连接到网站上，则应当将其删除。有关此功能的详细信息，请参考 Microsoft Knowledge Base 文章 Q184619。

删除不使用的脚本映射

IIS 预配置为支持常见的文件扩展名，如 .asp 和 .shtm 文件。当 IIS 接收到针对其中某一类型文件的请求时，该调用由 DLL 进行处理。如果您不会用到其中某些扩展名或功能，请按照如下步骤进行删除：

1. 打开 Internet 服务管理器。
2. 右键单击 Web 服务器，并从上下文菜单中选择“属性”。
3. 主属性
4. 选择“WWW 服务”|“编辑”|“HomeDirectory”|“配置”

删除下列引用：

注意： “Internet 打印”可以通过组策略和 Internet 服务管理器来配置。如果组策略设置和 Internet 管理器设置有冲突，那么组策略设置优先。如果您通过 Internet 服务管理器删除“Internet 打印”，请务必验证不能通过本地或域的组策略重新启用它。（默认组策略既不启用也不禁用“Internet 打印”）。请在 MMC 组策略管理单元中，选择“计算机配置”|“管理模板”|“打印”|“基于 Web 的打印”。

注意： 除非出于危急任务的原因要使用 .htr 功能，否则应当删除 .htr 扩展名。

检查 ASP 代码中的 <FORM> 和查询字符串输入

许多站点使用从用户那得到的输入来直接调用其他代码或创建 SQL 声明。换句话说，它们将该输入当作有效的、格式良好的、无恶意的输入。但为了安全起见，却不应当这样。因为实际工作中存在很多这样的攻击，其中用户输入被错误的当作有效输入，使用户能够获得服务器的访问权限或者产生损害。您应当在将其传送给另一个过程或方法调用（它们可能会使用外部资源，比如文件系统或数据库）前，检查每个 <FORM> 输入和查询字串。

您可以使用 JScript V5 和 VBScript V5 常规表达式功能来执行文本检查。下列示例代码将去掉那些只包含无效字符（不是 0-9a-zA-Z 或 _ 的字符）的字符串：

Set reg = New RegExp
reg.Pattern = "\W+" ' One or more characters which
' are NOT 0-9a-zA-Z or '_'
strUnTainted = reg.Replace(strTainted, "")


下列示例将去掉 | 运算符后的所有文本：

Set reg = New RegExp
reg.Pattern = "^(.+)\|(.+)" ' Any character from the start of
' the string to a | character.
strUnTainted = reg.Replace(strTainted, "$1")


同样，使用“脚本文件系统对象”打开或创建文件时请小心。如果文件名是基于用户输入，那么用户可能企图打开一系列端口或打印机。下列 JScript 代码会去掉无效文件名：

var strOut = strIn.replace(/(AUX|PRN|NUL|COM\d|LPT\d)+\s*$/i,"");


版本 5 脚本引擎中的模式语法与 Perl 5.0 中的相同。请参考位于 http://msdn.microsoft.com/scripting/default.htm 的 V5 脚本引擎文档获取详细信息，有关范例请访问 http://msdn.microsoft.com/workshop/languages/clinic/scripting051099.asp。

禁用父路径

父路径允许您在调用诸如 MapPath 等功能时使用“..”。默认状态下，该选项是启用的，您应当禁用它。按照以下步骤禁用该选项：

1. 右键单击网站的根目录，然后从上下文菜单中选择“属性”。
2. 单击“主目录”选项卡。
3. 单击“配置”。
4. 单击“App 选项”选项卡。
5. 取消选中“启用父路径”复选框。

在“内容 – 位置”中禁用 IP 地址

“内容 – 位置”首部会暴露通常隐藏在网络地址转换 (NAT) 防火墙或代理服务器后的内部 IP 地址。