碼上快樂

相關內容    簡體    繁體

【中間件安全】IIS7.0 安全加固規范

本文轉載自   查看原文   2018-12-14 09:39   1972    企業安全

1. 適用情況

適用於使用IIS7進行部署的Web網站。

2. 技能要求

熟悉IIS配置操作,能夠利用IIS進行建站,並能針對站點使用IIS進行安全加固。

3. 前置條件

1、 根據站點開放端口、進程ID、確認站點采用IIS進行部署;

2、 啟用IIS

方法一:按Win鍵+R打開Windows運行,輸入inetmgr,回車即可打開;

方法二:開始->管理工具->Internet 信息服務(IIS)管理器。

4. 詳細操作

4.1      限制目錄執行權限

1、在IIS中設置需要上傳文件的目錄,雙擊處理程序映射

 

2、在處理程序映射中,把編輯功能權限中的腳本去掉,這樣即使上傳了木馬文件在此目錄,也是無法執行的。

4.2      開啟日志審計

 1、打開IIS管理工具,選擇需要設置日志的站點,切換到功能視圖,雙擊日志,進入日志配置界面。

2、默認情況下Web日志存放於系統目錄" %SystemDrive%\inetpub\logs\LogFiles",將Wb日志文件放在非網站目錄和非操作系統分區,並定期對Web日志進行異地備份。

雙擊日志,可進行日志屬性的設置如下圖:

4.3      自定義404錯誤頁面

 

1、選擇站點,在功能視圖頁面,雙擊錯誤頁,進入錯誤頁配置頁面:

2、選擇404狀態代碼,進入自定義錯誤頁編輯狀態:

4.4      最佳經驗實踐

4.4.1      防止.mdb數據庫文件被下載

很多網站都是使用的是asp+access數據庫,mdb路徑可能被猜解,數據庫很容易就被別人下載了,利用IIS設置可有效防止mdb數據庫被下載。

步驟一:在 C:\Windows\System32\inetsrv\config目錄下找到applicationHost文件;

步驟二:打開applicationHost文件,選擇requestFiltering 下的節點:    <add fileExtension=".mdb" allowed="false" />,修改allowed的值為“false”,mdb文件不能被下載。

 

步驟三:保存后,即無法下載.mdb數據庫文件。

4.4.2      訪問源IP限制

在條件允許的條件下,對IIS訪問源進行IP范圍限制。只有在允許的IP范圍內的主機才可以訪問WWW服務。常用於限制網站管理后台對外開放。

1、開始->管理工具->Internet 信息服務(IIS)管理器 選擇相應的站點目錄,然后在功能視圖中找到IP地址和域名限制,雙擊IP地址和域名限制進入設置。

2、在IP地址和域限制中,添加允許條目

 

4.4.3      關閉WebDAV

開始->管理工具->Internet 信息服務(IIS)管理器, 選擇一個站點,在功能視圖中找到WebDAV創作規則,雙擊 WebDAV創作規則,進入設置:

2、在WebDAV創作規則中,選擇禁用WebDAV

4.4.4      關閉目錄瀏覽

開始->管理工具->Internet 信息服務(IIS)管理器 選擇相應的站點目錄,然后在功能視圖頁面找到“目錄瀏覽”,雙擊進入目錄瀏覽設置頁面:

 

2、在最右邊,操作欄進行“禁用”,即可禁用目錄瀏覽

4.4.5      關閉FTP匿名訪問

開始->管理工具->Internet 信息服務(IIS)管理器 點擊WIN-主機名后在中間位置FTP欄找到FTP身份驗證,雙擊進入;

 

右鍵匿名身份驗證->禁用,即可關閉FTP匿名訪問

4.4.6      解決IIS短文件名漏洞

1、 打開Internet 信息服務(IIS)管理器,選擇站點,在功能視圖界面,雙擊請求篩選

2、在URLà添加拒絕序列àURL序列設置為【~

4.5      風險操作項 

4.5.1      停用或刪除默認站點

IIS安裝后的默認主目錄是“C:\inetpub\wwwroot”,為更好地抵抗踩點、刺探等攻擊行為,應該更改主目錄位置,禁用默認站點,新建立站點並進行安全配置。

開始->管理工具->Internet 信息服務(IIS)管理器 選擇相應的站點,然后右鍵站點,選擇停止或者刪除。

4.5.2      刪除不必要的腳本映射

打開IIS服務管理器,選擇需要設置的站點,找到“處理程序映射”雙擊,從列表中刪除以下不必要的腳本。

包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。

刪除的原則:只保留需要的腳本映射。

根據需要可以在已經存在的腳本上點擊右鍵進行編輯和刪除,也可以自定義添加映射。

4.5.3      設置最大並發連接數

打開IIS服務管理器,選擇需要設置的站點,點擊瀏覽網站下的“高級設置“,打開高級設置對話框,切換到“連接限制”選項卡,設置連接限制,包括最大並發連接數等的設置。

4.5.4      獨立站點帳戶

在Windows server 2008R2系統下,用IIS架設Web服務器,合理的為每個站點配置獨立的Internet來賓賬號,這樣可以限制Internet 來賓賬號的訪問權限,只允許其可以讀取和執行運行網站所的需要的程序。

1. 選中“我的電腦”右鍵,選擇“管理”,打開“計算機管理”,選擇“本地用戶和組”,然后點擊“用戶”,接着“右鍵”,新建一個用戶,如下圖:

最后點擊“創建”,完成用戶創建。

2. 刪除新建立的用戶屬的用戶組“USERS”,然后點擊“添加”,讓用戶屬於Guests組,如下圖:

3、網站設置獨立運行用戶,加強網站安全

4.5.5      獨立應用程序池

給網站設置獨立運行的程序池,這樣每個網站與錯誤就不會互相影響:

4.5.6      卸載不需要的IIS角色服務

開始->管理工具->服務器管理器”  雙擊“角色”,在右邊最下方可以看見角色服務,點擊““刪除角色服務”,可對不需要的IIS角色服務進行刪除。

最后 

歡迎關注個人微信公眾號:Bypass--,每周原創一篇技術干貨。 

 

1、 打開Internet 信息服務(IIS)管理器,選擇站點,在功能視圖界面,雙擊請求篩選

 

2、在URLà添加拒絕序列àURL序列設置為【~

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 安全人員學習筆記——Web中間件之IIS篇 WEB中間件--Jboss未授權訪問,加固,繞過 中間件安全之JBoss滲透 中間件安全之Nginx滲透 【中間件】IIS短文件名枚舉漏洞 常見web中間件漏洞(一)IIS漏洞 Web中間件漏洞總結之IIS漏洞 [轉]IIS6.0遷移至IIS7.0 消息中間件 什么是中間件?
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM