如何验证 IIS Lockdown 工具已经运行

如何验证 IIS Lockdown 工具已经运行

问:我应该如何在 Windows 2000 Server 上验证 IIS Lockdown 工具已经运行?

答:报告这个工具已经运行是一件事情,而报告它仍在起作用又是另外一回事情。换句话说,当首次运行 Lockdown 工具时,会创建某些特定的文件和设置,您可以据此判断服务器上曾经运行过 Lockdown 工具。但是,您可以很方便地运行这个工具,也可以同样方便地撤销它。因此,如果您要确定这个工具仍在起作用,仅仅验证服务器上曾经运行过这个工具是不够的。

如果以下任何一项条件成立,则表明 Lockdown 工具已经运行:

存在本地组 Web Anonymous Users 和 Web Applications。如果运行了这个工具,那么会创建这些组,但是如果再次运行这个工具以撤销锁定时,这些组并不会删除。

<%系统根目录%>\system32\inetsrv文件夹中有日志文件 oblt-log.log 和 oblt-rep.log。为了测试是否仍处于锁定状态,可以检查是否存在 oblt-undo.logoblt-undone.log 文件。如果这些文件不存在,或是它们存在,而且日期和时间早于 oblt-log.log,则表明仍处于锁定状态。

存在注册表项 HKLM\Software\Microsoft\IIS Lockdown Wizard。

另外,Microsoft Baseline Security Analyzer 也可以报告本地或远程 IIS 服务器上是否运行了 Lockdown 工具,但是它不能报告这个工具是否已经撤销。

你可能感兴趣的:(Web,windows,Microsoft,Security,IIS)