【中介軟體安全】IIS7.0 安全加固規範
1. 適用情況
適用於使用IIS7進行部署的Web網站。
2. 技能要求
熟悉IIS配置操作,能夠利用IIS進行建站,並能針對站點使用IIS進行安全加固。
3. 前置條件
1、 根據站點開放埠、程序ID、確認站點採用IIS進行部署;
2、 啟用IIS
方法一:按Win鍵+R開啟Windows執行,輸入inetmgr,回車即可開啟;
方法二:開始->管理工具->Internet 資訊服務(IIS)管理器。
4. 詳細操作
4.1 限制目錄執行許可權
1、在IIS中設定需要上傳檔案的目錄,雙擊處理程式對映
2、在處理程式對映中,把編輯功能許可權中的指令碼去掉,這樣即使上傳了木馬檔案在此目錄,也是無法執行的。
4.2 開啟日誌審計
1、開啟IIS管理工具,選擇需要設定日誌的站點,切換到功能檢視,雙擊日誌,進入日誌配置介面。
2、預設情況下Web日誌存放於系統目錄" %SystemDrive%\inetpub\logs\LogFiles",將Wb日誌檔案放在非網站目錄和非作業系統分割槽,並定期對Web日誌進行異地備份。
雙擊日誌,可進行日誌屬性的設定如下圖:
4.3 自定義404錯誤頁面
1、選擇站點,在功能檢視頁面,雙擊錯誤頁,進入錯誤頁配置頁面:
2、選擇404狀態程式碼,進入自定義錯誤頁編輯狀態:
4.4 最佳經驗實踐
4.4.1 防止.mdb資料庫檔案被下載
很多網站都是使用的是asp+access資料庫,mdb路徑可能被猜解,資料庫很容易就被別人下載了,利用IIS設定可有效防止mdb資料庫被下載。
步驟一:在 C:\Windows\System32\inetsrv\config目錄下找到applicationHost檔案;
步驟二:開啟applicationHost檔案,選擇requestFiltering 下的節點: <add fileExtension=".mdb" allowed="false" />,修改allowed的值為“false”,mdb檔案不能被下載。
步驟三:儲存後,即無法下載.mdb資料庫檔案。
4.4.2 訪問源IP限制
在條件允許的條件下,對IIS訪問源進行IP範圍限制。只有在允許的IP範圍內的主機才可以訪問WWW服務。常用於限制網站管理後臺對外開放。
1、開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點目錄,然後在功能檢視中找到IP地址和域名限制,雙擊IP地址和域名限制進入設定。
2、在IP地址和域限制中,新增允許條目
4.4.3 關閉WebDAV
開始->管理工具->Internet 資訊服務(IIS)管理器, 選擇一個站點,在功能檢視中找到WebDAV創作規則,雙擊 WebDAV創作規則,進入設定:
2、在WebDAV創作規則中,選擇禁用WebDAV
4.4.4 關閉目錄瀏覽
開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點目錄,然後在功能檢視頁面找到“目錄瀏覽”,雙擊進入目錄瀏覽設定頁面:
2、在最右邊,操作欄進行“禁用”,即可禁用目錄瀏覽
4.4.5 關閉FTP匿名訪問
開始->管理工具->Internet 資訊服務(IIS)管理器 點選WIN-主機名後在中間位置FTP欄找到FTP身份驗證,雙擊進入;
右鍵匿名身份驗證->禁用,即可關閉FTP匿名訪問
4.4.6 解決IIS短檔名漏洞
1、開啟Internet 資訊服務(IIS)管理器,選擇站點,在功能檢視介面,雙擊請求篩選
2、在URLà新增拒絕序列àURL序列設定為【~】
4.5 風險操作項
4.5.1 停用或刪除預設站點
IIS安裝後的預設主目錄是“C:\inetpub\wwwroot”,為更好地抵抗踩點、刺探等攻擊行為,應該更改主目錄位置,禁用預設站點,新建立站點並進行安全配置。
開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點,然後右鍵站點,選擇停止或者刪除。
4.5.2 刪除不必要的指令碼對映
開啟IIS服務管理器,選擇需要設定的站點,找到“處理程式對映”雙擊,從列表中刪除以下不必要的指令碼。
包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。
刪除的原則:只保留需要的指令碼對映。
根據需要可以在已經存在的指令碼上點選右鍵進行編輯和刪除,也可以自定義新增對映。
4.5.3 設定最大併發連線數
開啟IIS服務管理器,選擇需要設定的站點,點選瀏覽網站下的“高階設定“,開啟高階設定對話方塊,切換到“連線限制”選項卡,設定連線限制,包括最大併發連線數等的設定。
4.5.4 獨立站點帳戶
在Windows server 2008R2系統下,用IIS架設Web伺服器,合理的為每個站點配置獨立的Internet來賓賬號,這樣可以限制Internet 來賓賬號的訪問許可權,只允許其可以讀取和執行執行網站所的需要的程式。
1. 選中“我的電腦”右鍵,選擇“管理”,開啟“計算機管理”,選擇“本地使用者和組”,然後點選“使用者”,接著“右鍵”,新建一個使用者,如下圖:
最後點選“建立”,完成使用者建立。
2. 刪除新建立的使用者屬的使用者組“USERS”,然後點選“新增”,讓使用者屬於Guests組,如下圖:
3、網站設定獨立執行使用者,加強網站安全
4.5.5 獨立應用程式池
給網站設定獨立執行的程式池,這樣每個網站與錯誤就不會互相影響:
4.5.6 解除安裝不需要的IIS角色服務
開始->管理工具->伺服器管理器” 雙擊“角色”,在右邊最下方可以看見角色服務,點選““刪除角色服務”,可對不需要的IIS角色服務進行刪除。
最後
歡迎關注個人微信公眾號:Bypass--,每週原創一篇技術乾貨。
1、開啟Internet 資訊服務(IIS)管理器,選擇站點,在功能檢視介面,雙擊請求篩選
2、在URLà新增拒絕序列àURL序列設定為【~】
|