我最近注意到我的IIS配置发生了一些重大变化,其中一些变化具有重大意义.我已经挖掘了每日备份,发现更改与2014年9月12日安装的多个安全更新相吻合.
这些变化只是次要的:
><处理程序>元素被锁定;更新解锁了它,现在任何站点的目录都可以有一个添加处理程序映射的web.config.
>添加了大量默认处理程序映射,并将其继承到我的网站中.因此,在以前某个站点被禁止执行的地方,例如.aspx文件,在此更新之后,所有站点都突然能够从任何目录执行.aspx文件.
> default.aspx已添加到允许的默认文档列表中.
加上一些不那么重要的,比如在我运行的每个网站上添加一个X-Powered-By标头!有full diff可用.
比较applicationHost.config的最后修改时间戳和更新日志,执行此操作的更新是KB2972211或KB2894854(两者都具有相同的安装时间戳,因此无法分辨它是哪一个).我怀疑前者,因为在描述中提到了IIS和ASP.NET.
我对IIS比较陌生,所以我对这个事件有几个疑问:
>与IIS相关的安全更新是否正常进行这些更改?
>真的是KB2972211,还是有人隐藏他们的踪迹可能是恶意改变?
>我的IIS配置错误了吗?例如.我删除了默认的处理程序映射;我这样做是错的,并期望它保持这种状态?
>我的网站是否应该能够在不破坏安全问题的情况下对根配置进行此类更改?
不知道那些具体的更新,但是,似乎.Net的更新可以修改web.config:
http://www.asp.net/whitepapers/aspnet4/breaking-changes.
需要考虑的事项:有时会有默认设置“滚动”配置树.可能有某些“更高级别”被锁定,而您所看到的是尝试维护以前隐含的行为.