IIS安全浅谈

原创 2004年01月02日 13:39:00

以下是我对IIS安全的收集整理和经验所谈,如果写得不好,请不要见怪.<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

IIS 十一 步曲

 

1:关闭系统端口
方法如下:
网上邻居--属性--本地连接--属性--属性--INTERNET协议--属性--高级--
选项--TCP/IP筛选--属性--在这里开放你想开放的端口--确定

一般只开80

2:服务器如果不需要支持远程管理的话,把本地网络连接的网络文件和打印机共享卸载。

3:关闭高级TCP/IP设置里面――wins选项――禁用tcp/ip上的netbios‘

4:在组安全策略设置防ping策略,具体操作如下。

第一步:添加独立管理单元

开始-运行,输入:mmc,启动打开“控制台”窗口。再点选“控制台”菜单下的“添加/删除管理单元”,单击“添加”按钮,在弹出的窗口中选择“IP安全策略管理”项,单击“添加”按钮。在打开窗口中选择管理对象为“本地计算机”,单击“完成”按钮,同时关闭“添加/删除管理单元”窗口,返回主控台。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />CSDN_Dev_Image_2003-12-312045450.gif
(图一)

第二步:创建IP安全策略

右击刚刚添加的“IP安全策略,在本地机器”(图二),选择“创建IP安全策略”,单击“下一步”,然后输入一个策略描述,如“no Ping”(图三)。单击“下一步”,选中“激活默认响应规则”复选项,单击“下一步”。开始设置身份验证方式,选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后随便输入一些字符(下面还会用到这些字符)(图四)。单击“下一步”,就会提示已完成IP安全策略,确认选中了“编辑属性”复选框,单击“完成”按钮,会打开其属性对话框。


CSDN_Dev_Image_2003-12-312045452.gif

CSDN_Dev_Image_2003-12-312045454.gif

CSDN_Dev_Image_2003-12-312045456.gif
图四)

第三步:配置安全策略

(图五)单击“添加”按钮,并在打开安全规则向导中单击“下一步”进行隧道终结设置,在这里选择“此规则不指定隧道”。(图六)单击“下一步”,并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”,设置身份验证方式,与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。单击“下一步”,在打开窗口中单击“添加”按钮,打开“IP筛选器列表”窗口。(图七)单击“添加”,单击“下一步”,设置源地址为“我的IP地址”,单击“下一步”,设置目标地址为“任何IP地址”,单击“下一步”,选择协议为ICMP,现在就可依次单击“完成”和“关闭”按钮返回。此时,可以在IP筛选器列表中看到刚刚创建的筛选器,将其选中之后单击“下一步”,选择筛选器操作为“要求安全设置”选项(图八),然后依次点击“完成”、“关闭”按钮,保存相关的设置返回管理控制台。


CSDN_Dev_Image_2003-12-312045458.gif

CSDN_Dev_Image_2003-12-3120454510.gif

CSDN_Dev_Image_2003-12-3120454512.gif

CSDN_Dev_Image_2003-12-3120454514.gif
(图八)

第四步:指派安全策略

最后只需在“控制台根节点”中右击配置好的“禁止Ping”策略,选择“指派”命令使配置生效(图九)。经过上面的设置,当其他计算机再Ping该计算机时,就不再相通了。但如果自己Ping本地计算机,仍可相通。此法对于Windows 2000/XP均有效。

 

5:首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:/Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除(罪恶之源呀,忘了http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了?我们虽然已经把Inetpub从系统盘挪出来了,但是还是小心为上),如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)
第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。什么?找不到在哪里删?在IIS管理器中右击主机->属性->WWW服务编辑->主目录 配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。
  为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。

6:系统打sp4补丁,以及最新补丁,iis补丁等

7:装软或者硬件防火墙
软件防火墙如费尔,诺顿(有些人评论访问速度不快),isa(消耗内存大,如果没有512m内存,建议不要装)

8:利用漏洞扫描软件,在客户端对服务器进行扫描
扫描软件如superscan ,x-scan, 20cn , 流光,sss等

9:进行模拟攻击(在客户端对服务器进行模拟攻击)

10:经常察看logfile,判断是否有可疑的浏览。

11:还有一点删除不必要的服务,曾有人说最小的服务+最小的权限=最大的安全

特别是FRONTPAGE2000服务器扩展,老是或多或少带来几个漏洞(最好不用FRONTPAGE扩展)如果只是做web服务器,那么只剩下  INTERNE服务器管理器+www服务+公用文件  即可.

 

                                     CSDN  ID  YISHAO(飞龙)(www.94888.net)

 

 

浅谈安全事件响应

本文是基于本人在平时工作中的经历,旨在探讨一下
  • wrflovecy
  • wrflovecy
  • 2014年11月22日 22:09
  • 525

IIS配置 安全性配置

最近,和朋友们在聊及ASP.NET程序的安全性没有JAVA高,IIS(Internet Infomartion Server)的存在很多漏洞(以及新型蠕虫,例如Code Red 和Nimda),安全得...
  • jackiehome
  • jackiehome
  • 2013年07月16日 10:33
  • 1762

IIS配置安全策略

IIS配置安全策略   Web服务器的安全设置与应用   WEB服务器的设置    一、这次讲的是...
  • diy_888
  • diy_888
  • 2007年02月06日 13:44
  • 939

Windows+IIS+PHP安全配置之php篇

既然是进行windows下IIS+PHP的安全配置,首先要进行安全配置的就是PHP了。估计大多数新手所了解的配置好php环境只是能使服务器正常解析PHP,但并没有做出安全方面的配置,里面还有很多的默认...
  • u010540235
  • u010540235
  • 2015年05月18日 14:55
  • 441

iis7.5安全配置

http://www.zhangsan.me/?p=29
  • Aug0st
  • Aug0st
  • 2014年09月10日 11:01
  • 367

服务器IIS安全设置

1.如何让asp脚本以system权限运行  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....2.如何防止asp木马  基于FileSystemObject组件的asp木马  ...
  • jearmy
  • jearmy
  • 2007年08月28日 14:36
  • 502

IIS服务器安全配置[摘]

前言:主要是基于WINDOWS下的IIS服务器权限设置这样的安全设置后只限于ASP脚本可以正常运行.正题:将X:/Inetpub删除或改名在做权限设置操作前先将隐藏文件恢复为可显示的状态系统盘权限设置...
  • FBug
  • FBug
  • 2007年06月27日 12:00
  • 785

web安全设置(含IIS,php,ASP.NET)与目录权限设置

这些天搞网站入侵,其中碰到了星外(STAROUT)虚拟主机系统,了解它的安全性,也碰到了一些管理员低级错误。既然老搞别人的站,那也来总结一下如何自己弄一个安全的站吧。   先说下原则:   1.w...
  • boomcode
  • boomcode
  • 2011年10月21日 22:49
  • 1178

Windows Server2003 IIS 6.0 安全配置

Windows Server2003 IIS 6.0安全配置 草     稿 目  录 1.     安装IIS6.0. 2 1.1          安装Internet 信息服...
  • oBuDaoWeng
  • oBuDaoWeng
  • 2012年12月21日 20:05
  • 1864

重启iis,提示帐户名与安全标示间无任何映射

改了用户名没有重启或注销操作系统, 重启或注销后可解决!
  • neekerss
  • neekerss
  • 2008年12月01日 10:55
  • 2482
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:IIS安全浅谈
举报原因:
原因补充:

(最多只允许输入30个字)