UrlScan配置 IIS 的安全

URLScan 是一个可供网站管理员使用的加载项工具。管理员可以控制 URLScan 的操作并限制服务器处理的 HTTP 请求的类型。

默认安装 UrlScan 会，会禁用 Web 服务扩展 – Active Server Pages，当手工启用时，也不可用，在UrlScan的配置文件中 UrlScan.ini 默认的选项也会禁止使用一些扩展（让我调试了好半天，以为UrlScan 和 asp ISAPI 有冲突），以下为默认禁止扩展选项：

; Deny ASP requests<br />.asp<br />.cer<br />.cdx<br />.asa

这样一般会禁止掉某些 cer,asa 之类未过滤的上传漏洞。

还有一些选项可以禁止掉 TRACE 请求，RemoveServerHeader 选项可以删除请求包中的IIS版本信息（Server: Microsoft-IIS/6.0

），以及IIS 目录解析漏洞：http://www.woyigui.cn/test.asp/1.txt 该请求会被阻止。

Link:

下载UrlScan: http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe
下载完后用： iislockd.exe /q /c 命令提取 UrlScan 安装程序。

如何使用 URLScan http://msdn.microsoft.com/zh-cn/library/aa302368.aspx
如何配置 URLScan 工具: http://support.microsoft.com/kb/326444/zh-cn
对 IIS 使用 URLScan: http://support.microsoft.com/default.aspx?scid=307608