我有一个三服务器SharePoint 2007 MOSS环境,我的IIS日志继续受到401.1和401.2的攻击.这些日志填满了他们消耗我的硬盘.我可以从IP告诉我们这些错误来自我的一个前端Web服务器的POST请求.以下是永远重复的日志序列.(xxx IP都是一样的)
2011-02-10 23:25:42 W3SVC951338967 xxx.xx.xxx.xx POST /SharedServices1/Search/SearchAdmin.asmx - 56738 MyDomain\SQLSAServiceAccount xxx.xx.xxx.xx Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.42) 200 0 0
2011-02-10 23:25:42 W3SVC951338967 xxx.xx.xxx.xx POST /SharedServices1/Search/SearchAdmin.asmx - 56738 - xxx.xx.xxx.xx Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.42) 401 2 2148074254
2011-02-10 23:25:42 W3SVC951338967 xxx.xx.xxx.xx POST /SharedServices1/Search/SearchAdmin.asmx - 56738 - xxx.xx.xxx.xx Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.42) 401 1 0
我真的需要一些帮助来试图理解这个的来源.
感谢您的想法和想法.
401.1和401.2是SP的经典错误.
首先,如果您将SP设置为使用NTLM,请移至kerberos(需要在域上操作)或强制NTLM作为唯一的身份验证提供程序:
c:\ inetpub\adminscripts\adsutils.vbs设置w3svc\root\xxxxx\NTAuthenticationProvider NTLM
这个过程在这里描述.
如果您使用的是IIS 7,则必须使用此处appcmd所述的命令
然后,在某些情况下,完成环回检查.当使用自定义主机标头从同一个框完成webrequest时会发生这种情况.可以使用此处描述的过程将其禁用或在注册表中列出白色.请努力白名单列出您的主机名,而不是禁用支票,因为它可能会在您的SI中打开安全漏洞.
[编辑]根据詹姆斯的评论,添加了建议,将主机名列入白名单,而不是禁用安全检查
| 归档时间: |
|
| 查看次数: |
3317 次 |
| 最近记录: |