Microsoft 安全更新能否像这样对 IIS 配置进行重大更改？

Question

我最近注意到我的 IIS 配置发生了许多重大变化，其中一些具有重大影响。我仔细研究了每日备份，发现更改与 2014 年 9 月 12 日安装的几个安全更新相吻合。

这些变化绝不是次要的：

1. 该<handlers>元件被锁定; 更新解锁了它，现在任何站点的目录都可以有一个添加处理程序映射的 web.config。
2. 添加了大量默认处理程序映射，并继承到我的站点中。因此，以前不允许站点执行 .aspx 文件的地方，在这次更新之后，所有站点突然能够从任何目录执行 .aspx 文件。
3. default.aspx 已添加到允许的默认文档列表中。

加上一些不太重要的，比如为我运行的每个站点添加一个 X-Powered-By 标头！一个完整的差异可用。

比较上次修改的时间戳applicationHost.config和更新日志，执行此操作的更新要么是KB2972211，要么是KB2894854（两者都有相同的安装时间戳，所以无法分辨是哪一个）。我怀疑是前者，因为描述中提到了 IIS 和 ASP.NET。

我对 IIS 比较陌生，所以我对这个事件有几个问题：

1. 对于与 IIS 相关的安全更新进行如此重大的更改，这是否正常？
2. 真的是 KB2972211，还是有人隐藏了他们的踪迹？
3. 我的 IIS 开始时配置错误吗？例如，我删除了默认处理程序映射；我这样做并期望它保持这种状态是错误的吗？
4. 我的网站是否应该能够在不破坏/遭受安全问题的情况下对根配置进行此类更改？

Answer 1

不知道这些具体的更新，但是，是的，.Net 的更新似乎可以修改 web.config： http: //www.asp.net/whitepapers/aspnet4/writing-changes。

需要考虑的事情：有时会有一些默认设置会“滚动”配置树。可能有一些“更高层”的东西被锁定，而您所看到的是试图显式地维持以前隐式的行为。