Cikkünk készítésének idején a Windows .NET Server család operációs rendszerei Béta3 állapotban voltak, ezért a végleges verzióban lehetnek a leírtakhoz képest eltérések.
Tekintettel a Webkiszolgálók elleni támadások megszaporodására a Microsoft a .NET kiszolgáló verzióit a legszigorúbb biztonsági beállításokkal hozza forgalomba. Ez az alapeset és ha egy szolgáltatást használni akarunk először engedélyezni kell. Az előző verziókban – visszatekintve akár a kliens rendszerek során a Windows 95-ig - ez nem így történt, ott a minél könnyebb használat érdekében gyakorlatilag minden engedélyezve volt. A Windows 2000 különböző verzióinak megjelenése után napvilágot látott egy Internetről letölthető segédprogram Microsoft IIS Lockdown Tool néven. Cikkünk témáját adó Security Lockdown Wizard lényegét tekintve ehhez hasonlítható, de némileg más formában és funkciókkal ellátva.
Elindítása az IIS konfiguráló konzolján keresztül lehetséges. A konzol futtatásához kattintsunk az Administrative Tools > Internet Information Services menüpontra (vagy WIN+R > inetmgr). A varázsló a következő módokon indítható el: Ha még nem használtuk, akkor az IIS kozolban megjelenő kiszolgáló neve előtti + jelre kattintva. Ha már igen, akkor ugyanitt a gépnévre kell kattintani a jobb oldali egérgombbal és az úszómenüben a "Security" menüre.
A varázsló használata
Az első oldal csak bemutatkozó jellegű, a "Next" lenyomásával lépjünk innen tovább.
A második oldalon az IIS által kezelt szolgáltatások/protokollok jelennek meg. Itt lehet mindegyikhez beállítani az indítás módját: Automatikusan a gép elindításakor ("Automatic"), nekünk kell kézzel indítani ("Manual") vagy egyáltalán ne induljon el ("Disabled"). Ha egy szolgáltatás nincs telepítve, de megvan rá a lehetőség, akkor a legördülőmenüben a "Not installed" felirat lesz látható. Célszerű az alábbi módon eljárni: ha valamelyikre nincs szükségünk tiltsuk le, ha szükségünk van rá, állítsuk automatikusra az indítást. Kézi indításnál az Administrative Tool > Services konzolon kell a szolgáltatást futtatni.
A varázsló soron következő oldala tartalmazza a lényegi beállításokat. A Weboldalak és a felhasználók közötti interaktív kommunikáció megteremtéséért a CGI szkriptek (gyakran futtatható .EXE fájlokká fordítva) és az ISAPI szűrők a felelősek. Alapértelmezésben egyetlen összetevő van engedélyezve az "Active Server Pages" (ASP) szerveroldali szolgáltatás – a HTML oldalak dinamikus generálására. A felsorolt elemek Webkiszolgálón keresztüli használatának engedélyezéséhez aktivizáljuk az előtte lévő jelölőnégyzetet. Tiltásához pedig töröljük a pipát a négyzetből. Mi van akkor, ha saját Weblapunkon, saját szkriptjeinket akarjuk használni? Ez esetben ezeket egyenként engedélyeztetni kell. Kattintsunk az "Add" gombra. A megjelenő ablakban írjunk az állományhoz egy rövid megjegyzést ("Type handler description"), ez jelenik meg az előző listában. Majd a "Browse" gombbal jelöljük ki a fájlt. Ekkor még mindig nincs engedélyezve. Keressük meg a listában és kapcsoljuk be az előtte lévő jelölőnégyzetet. Ha már nincs szükség valamelyik elemre a "Remove" gombbal eltávolíthatjuk. Fennállhat annak a lehetősége is, hogy túl sok fájlt kell hozzáadni a listához. Az összes fel nem sorolt ISAPI szűrő engedélyezéséhez aktivizáljuk az "Enable all ISAPI request handlers not listed above" jelölőnégyzetet. Az összes fel nem sorolt CGI engedélyezéséhez, pedig az "Enable all CGI request handlers not listed above"-t.
Ezzel gyakorlatilag végeztünk is a varázslóval végzett munkánkkal.
A Security Lockdown használata programból
Kattintsunk az IIS konzolon a kiszolgáló nevére. Ekkor a jobb oldalon megjelenik egy "IIS Security Lockdown FAQ" című jegyzet. Ennek a végén megtalálható egy ADSI szkript forráskódja, annak bemutatására, hogy lehet szkriptekből elemeket hozzáadni a Lockdown-hoz. Jelöljük ki a teljes forráskódot az egér segítségével és a CTRL+C billentyűkombinációval helyezzük el a vágólapon. Indítsuk el a Notepad programot (Programs > Accessories > Notepad) és a CTRL+V-vel másoljuk be. Majd mentsük el egy tetszőleges néven, de .VBS kiterjesztéssel (először a mentést végző ablakban a "Save as type"-ot állítsuk "All files"-ra). Indítsunk el egy parancssori ablakot és tallózzunk el a VBScript helyére. Írjuk be a nevét és paraméternek adjuk meg azt a CGI vagy ISAPI kiterjesztést teljes elérési úttal, amelyet fel akarunk venni a Lockdown-ba. Például ha a szkript neve "iis.vbs" és CGI futtatható állományé "f:\szamla\szamla.exe", akkor a következő utasítást kell kiadni:
iis.vbs f:\ szamla\szamla.exe
Futtassuk ismét a varázslót és aktivizálva megjelenik a "szamla.exe" a listában.
Korábbi rendszerekről történő frissítés
"Tiszta" Windows telepítésénél az IIS biztonsági beállításai a legszigorúbb szintre kerülnek. Ha azonban egy korábbi rendszert frissítünk, akkor a meglévő beállítások automatikusan átkerülnek az új operációs rendszerbe. Figyelembe véve, hogy a .NET szervercsaládot időben megelőző verziók nem követték ezt a biztonsági elvet, az első feladatok közé kell sorolni a Security Lockdown varázsló futtatását.