【中间件安全】IIS6安全加固规范
【中間件安全】IIS6安全加固規范
1. 適用情況
適用于使用IIS6進行部署的Web網站。
2. 技能要求
熟悉IIS配置操作,能夠利用IIS進行建站,并能針對站點使用IIS進行安全加固。
3. 前置條件
1、 根據站點開放端口、進程ID、確認站點采用IIS進行部署;
2、 啟用IIS
方法一:按Win鍵+R打開Windows運行,輸入inetmgr,回車即可打開;
方法二:開始->管理工具->Internet 信息服務(IIS)管理器。
4. 詳細操作
4.1????? 限制目錄執行權限
右鍵網站目錄,對網站用戶對目錄的權限進行必要的限制,常用于對圖片目錄、上傳目錄進行腳本執行權限限制。
?
4.2????? 開啟日志審計
打開IIS管理工具,右擊要管理的站點,選擇“屬性”。在“網站”選擇“啟用日志記錄”。
PS:IIS默認采用的W3C日志格式采用的是UTC時間,系統時間與UTC的時差為8,也就是UTC+8。
默認情況下Web日志存放于系統目錄"%systemroot%/system32/LogFiles",將Wb日志文件放在非網站目錄和非操作系統分區,并定期對Web日志進行異地備份。
點擊網站-右鍵屬性-選擇網站選項卡-點擊屬性 如下圖:
4.3????? 自定義404錯誤頁面
點擊網站-右鍵屬性-選擇自定義錯誤選項卡出現如下圖:
?
4.4? ? ? 最佳經驗實踐
因IIS配置不當,可能導致的安全問題,常見安全漏洞如:WebDAV、目錄瀏覽、FTP匿名訪問、IIS短文件名信息泄露、mdb數據庫被下載、后臺對外開放等。
4.4.1????? 防止.mdb數據庫文件被下載
很多網站都是使用的是asp+access數據庫,mdb路徑可能被猜解,數據庫很容易就被別人下載了,利用IIS設置可有效防止mdb數據庫被下載。
步驟一:新建一記事本文件,里面不要填寫任何內容,將文件名改為nodownload.dll,拷貝到C:\Windows\System32\
步驟二:打開IIS服務管理器,選擇需要設置的站點,點擊右鍵,選擇“屬性”,打開站點屬性對話框,切換到“主目錄”選項卡,點擊中 下方的“配置”按鈕
步驟三:彈出應用程序配置窗口,在“映射”選項卡中點擊下方的“添加”按鈕,彈出添加/編輯應用程序擴展名映射窗口,點擊“瀏覽”按鈕,找到剛才那個nodownload.dll文件,“擴展名”文本框中輸入“.mdb”,動作設為:全部動作,點“確定”保存設置。
4.4.2????? 訪問源IP限制
在條件允許的條件下,對IIS訪問源進行IP范圍限制。只有在允許的IP范圍內的主機才可以訪問WWW服務。常用于限制網站管理后臺對外開放。
開始->管理工具->Internet 信息服務(IIS)管理器 選擇相應的站點目錄,然后右鍵點擊“屬性”->目錄安全性->IP地址和域名限制->添加允許訪問的IP地址。
4.4.3????? 關閉WebDAV
開始->管理工具->Internet 信息服務(IIS)管理器 選擇Web服務擴展->WebDAV,然后右鍵點擊“禁止”,確認選擇是,關閉WebDAV。
4.4.4????? 關閉目錄瀏覽
1、 開始->管理工具->Internet 信息服務(IIS)管理器 選擇相應的站點目錄,然后右鍵點擊“屬性”->目錄瀏覽->去掉勾選
?
4.4.5????? 關閉FTP匿名訪問
1、開始->管理工具->Internet 信息服務(IIS)管理器 選擇FTP站點,然后右鍵點擊“屬性”->安全賬戶->去掉允許匿名連接。
4.4.6????? 解決IIS短文件名漏洞
利用URLScan工具過濾URL中的特殊字符(僅針對IIS6)-- 解決IIS短文件名漏洞
1、 URLScan 3.1下載地址:http://www.iis.net/downloads/microsoft/urlscan
2、 看系統位數選擇安裝程序(32或64位),雙擊運行urlscan程序
3、 安裝完成以后,我們可以在System32/InetSvr/URLScan目錄下找到以下文件:
log:日志目錄,開啟日志記錄功能,會在此目錄下生成日志文件; urlscan.dll:動態連接庫文件;
urlscan.ini:軟件配置文件,這個文件很只要,因為對URLScan的所有配置,均有這個文件來完成。
4、 IIS管理--網站(右擊屬性)---ISAPI篩選器--點擊添加--輸入篩選器名稱和可執行文件--點擊確定即可。
5、在UrlScan.ini中進行安全設置,
A、以下兩個選項需要設置為一,防止因編碼、特殊文件夾導致的系統故障:
[options]節點中
AllowHighBitCharacters=1 ;default is 0
AllowDotInPath=1 ;default is 0
B、修復IIS短文件名漏洞:
[DenyUrlSequences]節點中新增波浪號
4.5? ? ? 風險操作項
4.5.1????? 停用或刪除默認站點
1、IIS安裝后的默認主目錄是“c:\Inetpub\wwwroot”,為更好地抵抗踩點、刺探等攻擊行為,應該更改主目錄位置,禁用默認站點,新建立站點并進行安全配置。
開始->管理工具->Internet 信息服務(IIS)管理器 選擇相應的站點,然后右鍵站點,選擇停止或者刪除。
4.5.2????? 刪除不必要的腳本映射
1、打開IIS服務管理器,選擇需要設置的站點,點擊右鍵,選擇“屬性”,打開站點屬性對話框,切換到“主目錄”選項卡,點擊中 下方的“配置”按鈕,從列表中刪除以下不必要的腳本,包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。
刪除的原則:只保留需要的腳本映射。
根據需要可以在已經存在的腳本上點擊右鍵進行編輯和刪除,也可以自定義添加映射。
4.5.3????? 設置最大并發連接數
1、打開IIS服務管理器,選擇需要設置的站點,點擊右鍵,選擇“屬性”,打開站點屬性對話框,切換到“性能”選項卡,點擊中 下方的“網站連接”中,設置連接限制。
4.5.4????? 獨立站點帳戶
在Windows server 2003系統下,用IIS架設Web服務器,合理的為每個站點配置獨立的Internet來賓賬號,這樣可以限制Internet 來賓賬號的訪問權限,只允許其可以讀取和執行運行網站所的需要的程序。
1. 選中“我的電腦”右鍵,選擇“管理”,打開“計算機管理”,選擇“本地用戶和組”,然后點擊“用戶”,接著“右鍵”,新建一個用戶,如下圖:
最后點擊“創建”,完成用戶創建。
2. 刪除新建立的用戶屬的用戶組“USERS”,然后點擊“添加”,讓用戶屬于Guests組,如下圖:
3、網站設置獨立運行用戶,加強網站安全
?
4.5.5????? 獨立應用程序池
給網站設置獨立運行的程序池,這樣每個網站與錯誤就不會互相影響:
最后
歡迎關注個人微信公眾號:Bypass--,每周原創一篇技術干貨。?
posted @ 2018-12-24 09:28 Bypass 閱讀(...) 評論(...) 編輯 收藏
總結
以上是生活随笔為你收集整理的【中间件安全】IIS6安全加固规范的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: blender风格化草地
- 下一篇: 解决Could not find org