1. 适用情况
适用于使用IIS7进行部署的Web网站。
2. 技能要求
熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。
3. 前置条件
1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署;
2、 启用IIS
方法一:按Win键+R打开Windows运行,输入inetmgr,回车即可打开;
方法二:开始->管理工具->Internet 信息服务(IIS)管理器。
4. 详细操作
4.1 限制目录执行权限
1、在IIS中设置需要上传文件的目录,双击处理程序映射
2、在处理程序映射中,把编辑功能权限中的脚本去掉,这样即使上传了木马文件在此目录,也是无法执行的。
4.2 开启日志审计
1、打开IIS管理工具,选择需要设置日志的站点,切换到功能视图,双击日志,进入日志配置界面。
2、默认情况下Web日志存放于系统目录” %SystemDrive%inetpublogsLogFiles”,将Wb日志文件放在非网站目录和非操作系统分区,并定期对Web日志进行异地备份。
双击日志,可进行日志属性的设置如下图:
4.3 自定义404错误页面
1、选择站点,在功能视图页面,双击错误页,进入错误页配置页面:
2、选择404状态代码,进入自定义错误页编辑状态:
4.4 最佳经验实践
4.4.1 防止.mdb数据库文件被下载
很多网站都是使用的是asp+access数据库,mdb路径可能被猜解,数据库很容易就被别人下载了,利用IIS设置可有效防止mdb数据库被下载。
步骤一:在 C:WindowsSystem32inetsrvconfig目录下找到applicationHost文件;
步骤二:打开applicationHost文件,选择requestFiltering 下的节点: <add fileExtension=”.mdb” allowed=”false” />,修改allowed的值为“false”,mdb文件不能被下载。
步骤三:保存后,即无法下载.mdb数据库文件。
4.4.2 访问源IP限制
在条件允许的条件下,对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。常用于限制网站管理后台对外开放。
1、开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录,然后在功能视图中找到IP地址和域名限制,双击IP地址和域名限制进入设置。
2、在IP地址和域限制中,添加允许条目
4.4.3 关闭WebDAV
开始->管理工具->Internet 信息服务(IIS)管理器, 选择一个站点,在功能视图中找到WebDAV创作规则,双击 WebDAV创作规则,进入设置:
2、在WebDAV创作规则中,选择禁用WebDAV
4.4.4 关闭目录浏览
开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录,然后在功能视图页面找到“目录浏览”,双击进入目录浏览设置页面:
2、在最右边,操作栏进行“禁用”,即可禁用目录浏览
4.4.5 关闭FTP匿名访问
开始->管理工具->Internet 信息服务(IIS)管理器 点击WIN-主机名后在中间位置FTP栏找到FTP身份验证,双击进入;
右键匿名身份验证->禁用,即可关闭FTP匿名访问
4.4.6 解决IIS短文件名漏洞
1、打开Internet 信息服务(IIS)管理器,选择站点,在功能视图界面,双击请求筛选
2、在URLà添加拒绝序列àURL序列设置为【~】
4.5 风险操作项
4.5.1 停用或删除默认站点
IIS安装后的默认主目录是“C:inetpubwwwroot”,为更好地抵抗踩点、刺探等攻击行为,应该更改主目录位置,禁用默认站点,新建立站点并进行安全配置。
开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键站点,选择停止或者删除。
4.5.2 删除不必要的脚本映射
打开IIS服务管理器,选择需要设置的站点,找到“处理程序映射”双击,从列表中删除以下不必要的脚本。
包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。
删除的原则:只保留需要的脚本映射。
根据需要可以在已经存在的脚本上点击右键进行编辑和删除,也可以自定义添加映射。
4.5.3 设置最大并发连接数
打开IIS服务管理器,选择需要设置的站点,点击浏览网站下的“高级设置“,打开高级设置对话框,切换到“连接限制”选项卡,设置连接限制,包括最大并发连接数等的设置。
4.5.4 独立站点帐户
在Windows server 2008R2系统下,用IIS架设Web服务器,合理的为每个站点配置独立的Internet来宾账号,这样可以限制Internet 来宾账号的访问权限,只允许其可以读取和执行运行网站所的需要的程序。
1. 选中“我的电脑”右键,选择“管理”,打开“计算机管理”,选择“本地用户和组”,然后点击“用户”,接着“右键”,新建一个用户,如下图:
最后点击“创建”,完成用户创建。
2. 删除新建立的用户属的用户组“USERS”,然后点击“添加”,让用户属于Guests组,如下图:
3、网站设置独立运行用户,加强网站安全
4.5.5 独立应用程序池
给网站设置独立运行的程序池,这样每个网站与错误就不会互相影响:
4.5.6 卸载不需要的IIS角色服务
开始->管理工具->服务器管理器” 双击“角色”,在右边最下方可以看见角色服务,点击““删除角色服务”,可对不需要的IIS角色服务进行删除。
最后
欢迎关注个人微信公众号:Bypass–,每周原创一篇技术干货。
1、打开Internet 信息服务(IIS)管理器,选择站点,在功能视图界面,双击请求筛选
2、在URLà添加拒绝序列àURL序列设置为【~】
|
最新评论