管理員 istration Pack
由 沃爾特·奧利弗
簡介
管理員 istration Pack 會提供裝載者和客戶一組 IIS 管理員模組,可協助他們執行下列動作:
- 編輯伺服器組態設定(僅限系統管理員)。
- 管理 FastCGI 設定。
- 管理 ASP.NET 授權。
- 管理自定義錯誤。
- 編輯 HTTP 要求篩選規則。
本文的目的是要提供主機者瞭解如何在裝載環境中部署 管理員 istration Pack 所需的資訊。 下圖會在安裝 管理員 istration Pack 之後,反白顯示 IIS 管理員中找到的新模組圖示。
![顯示 [WALTER O H P W S 首頁] 窗格的螢幕快照。已選取五個模組。](administration-pack/_static/image1.jpg)
部署 管理員 istration Pack
在共用裝載環境中<部署 管理員 istration Pack 連結:至共用主機設定一文>時,它必須安裝在伺服器數位中的每個 Web 伺服器上。 使用預先建置的映射時,管理員 istration Pack 應該是用來建置伺服器數位伺服器的映射的一部分。 請遵循本文所述的指示,下載並安裝 管理員 集套件。
瞭解 管理員 istration Pack
Configuration Editor
組態編輯器模組可協助您管理組態檔。 此工具僅適用於伺服器管理員。 它可讓您編輯組態檔中的任何區段、屬性、元素或集合,包括 IIS 組態設定,例如 system.webServer,或 ASP.NET 設定,例如 system.web。 除了編輯這些值之外,您還可以鎖定和解除鎖定這些值。 組態編輯器也可讓您根據您採取的動作產生腳本,以及搜尋檔案以查看正在使用的值。
![顯示 [組態編輯器] 窗格的螢幕快照。區段清單已展開。](administration-pack/_static/image3.jpg)
當您輸入設定的值時,組態編輯器會驗證數據類型,以確保其相容。 在布爾值選項或列舉等特定值選項的情況下,下拉式方塊只會顯示可用的選項。 組態編輯器也可讓您根據您採取的動作產生腳本,以及搜尋檔案以查看正在使用的值。 下列影片 <連結: https://blogs.msdn.com/carlosag/archive/2008/03/31/IISAdminPackConfigurationEditor.aspx> 提供組態編輯器各種功能的示範:
- 架構驅動 - 組態編輯器完全是由 \windows\system32\inetsrv\config\schema 中找到的組態架構所驅動。 這表示,如果您擴充建立區段的組態系統,它們將可用於在組態編輯器內管理。 不需要為這些區段建置額外的UI。
- 其他資訊 - 組態編輯器會公開資訊,例如使用區段的位置、集合中特定元素繼承自的位置等等。
- 腳本產生 - 組態編輯器可讓您進行變更,併產生程式代碼來自動化工作。 組態編輯器會使用 Microsoft.Web 產生 Managed 程式代碼。管理員 istration、使用 AHADMIN 或命令行的 JavaScript,方法是使用 AppCmd.exe 工具。
- 搜尋 - 組態編輯器可讓您針對所有區段及其使用位置,快速執行組態系統的限定範圍搜尋。 這讓顯示伺服器大局、防止設定鎖定違規,以及許多其他搜尋函式很有用。
- 鎖定 - 組態編輯器可讓您進行進階鎖定,例如鎖定特定屬性,使其無法在更深層的位置使用、鎖定集合中的個別專案,或鎖定整個區段。
使用組態編輯器
產生腳本
本文 <連結: https://www.iis.net/learn/manage/managing-your-configuration-settings/using-configuration-editor-generate-scripts> 說明如何利用組態編輯器來產生腳本,以協助自動化設定工作。 支援的腳本類型有三種:C#、Jscript 和 AppCmd.exe 工具。
組態集合
某些 IIS 組態設定會以集合的形式提供。 本文 <連結: https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-with-configuration-editor> 說明如何編輯輸出快取配置檔集合。 本文 <連結: https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-using-configuration-editor-complex-sections> 示範如何為傳回狀態代碼 401 的.aspx要求新增失敗要求追蹤規則,或需要一分鐘以上的回應,或傳回此狀態代碼,並在一分鐘后回應。
FastCGI 設定
FastCGI 模組可讓您設定伺服器上網站所使用的 FastCGI 設定。 它可讓使用者新增和移除FastCGI應用程式,並變更這些設定。 下圖描述 [新增FastCGI 應用程式] 對話框。
![顯示 [快速 C G I 設定] 窗格的螢幕快照。[新增快速 C G I 應用程式] 對話框隨即開啟。](administration-pack/_static/image5.jpg)
.NET 授權規則模組
.NET 授權規則模組是 管理員 istration Pack 中兩個 ASP.NET 模組之一。 透過使用本課程模組,網站管理員可以指定規則,授權使用者存取網站和應用程式。 具體而言,.NET 授權規則模組會提供圖形使用者介面,以建立允許和拒絕規則來管理使用者對 Web 內容的存取。 下圖描述 [新增允許授權規則] 對話方塊。
![顯示 [新增允許授權規則] 對話框的螢幕快照。](administration-pack/_static/image7.jpg)
如需如何鎖定 ASP.NET 授權規則的指示,請參閱本指南 <連結: https://msdn.microsoft.com/library/ms178693.aspx>。
本文 <連結: https://learn.iis.net/page.aspx/142/understanding-iis-7-url-authorization/#Differences> 說明 ASP.NET URL 授權與 IIS URL 授權之間的差異。
.NET 錯誤網頁
.NET 錯誤頁面提供圖形使用者介面來設定 HTTP 錯誤回應。 它們會啟用自定義錯誤頁面和預設設定的組態。 下圖描述 [新增自定義錯誤頁面] 對話框。
![顯示 [新增自定義錯誤頁面] 對話框的螢幕快照。](administration-pack/_static/image9.jpg)
HTTP 要求篩選
HTTP 要求篩選模組是保護網頁伺服器免於惡意要求的閘道守衛元件。 篩選規則包括:
- 封鎖或解除封鎖具有特定擴展名之檔案的要求。
- 將組態區段新增或移除至 [隱藏區段] 清單。
- 將特定 URL 序列新增或移除至 [拒絕 URL 序列] 列表。
- 封鎖或解除封鎖 HTTP 動詞命令。
- 新增具有特定大小限制的標頭。
當 IIS 7.0 發行為 Windows Server 2008 的一部分時,它包含此功能,但不包含可用來管理此功能的 IIS 管理員模組。 因此,沒有圖形使用者介面可用來協助要求篩選設定。 如需使用要求篩選的範例,只要將新的組態新增至Web.config檔案,請參閱這篇文章 <連結: https://learn.iis.net/page.aspx/143/how-to-use-request-filtering/>。
此部落格文章 <連結: https://blogs.iis.net/bills/archive/2008/03/23/how-to-un-block-directories-with-iis7-web-config.aspx> 示範如何使用要求篩選來封鎖或解除封鎖網站區段的存取權。 此部落格文章<連結:https://blogs.msdn.com/carlosag/archive/2008/03/24/IISAdminPackRequestFiltering.aspx>使用包含在 管理員 istration Pack 中的 IIS 管理員模組來完成相同的工作。
下列各節說明 HTTP 要求篩選的最新功能。
建立規則以禁止要求部分的字串模式
這項新功能可讓您建立規則清單。 您可以指定規則,根據與 HTTP 要求特定部分相符的模式來拒絕要求。 這項功能的主要組態是 ApplicationHost.config 檔案或 Web.config 檔案中 system.webServer/security/requestFiltering 區段下的 filteringRules 區段。 如果因為此規則而拒絕要求,HTTP 狀態 404.19 會記錄在 IIS 記錄檔中。
建立URL或查詢字串的安全清單
這項新功能可讓您指定可略過所有已定義拒絕規則的安全 URL 或查詢字串。 例如,您一律可以允許 URL “/my.login.page.asp”,即使此 URL 可能會觸發定義的拒絕規則。 這項功能的基本組態包括 alwaysAllowedUrls 屬性和 alwaysAllowedQueryStrings 屬性。 這些屬性位於 ApplicationHost.config 檔案或 Web.config 檔案中的 system.webServer/security/requestFiltering 區段底下。
建立查詢字串的拒絕清單
最常見的 SQL 插入式攻擊是藉由操作查詢字串來執行。 這項新功能可讓您藉由檢查查詢字串來篩選惡意要求。
若要拒絕所有要求的 URL 序列清單,請在 ApplicationHost.config 檔案或 Web.config 檔案中建立 denyQueryStringSequences 區段,然後新增您想要在要求的 URL 中不允許的字串清單。 如果因為此規則而拒絕要求,HTTP 狀態 404.18 會記錄在 IIS 記錄檔中。
檢查逸出和未逸出的查詢字串
這項新功能可讓您使用 ApplicationHost.config 檔案或 Web.config 檔案中的 system.webServer/security/requestFiltering 區段下的 unescapeQueryString 屬性來掃描逸出查詢字串和未逸出的查詢字串。 如果因為此規則而拒絕要求,HTTP 狀態 404.18 會記錄在 IIS 記錄檔中。
下圖描述封鎖的延伸名清單:
![顯示 I I S 管理員中 [要求篩選] 窗格的螢幕快照。](administration-pack/_static/image11.jpg)
請注意,HTTP 要求篩選只會針對安全性案例進行設計和優化,而URL重寫 <連結: https://learn.iis.net/page.aspx/531/url-rewrite-for-hosters/> 可以套用至更廣泛的案例;安全性案例是其中一部分。 如需這兩個模組之間差異的詳細資訊,請參閱這篇文章 <連結: https://learn.iis.net/page.aspx/501/iis-70-request-filtering-and-url-rewriting/>。
結論
本文提供 管理員 istration Pack 的概觀,以及主機管理員可在共用裝載環境中部署和設定的資源對應。