IIS安全加固

IIS安全加固
一、IIS基本配置检查
1、检查Web内容是否在非系统分区
加固说明：Web站点或者Web应用程序可能会导致系统磁盘空间被占满，同时Web站点或者Web应用程序的漏洞可能会导致文件信息泄露。站点存在于系统分区上则不符合安全加固要求。
2、检查目录浏览是否开启
加固说明：目录浏览功能可能会导致信息泄露。目录浏览允许根据Web客户端的请求显示目录的内容。如果IIS启用了目录浏览 功能，且默认文档功能在IIS 中被禁用，IIS无法在目录中找到与IIS默认文档列表中指定的名称匹配的文件，则显示目录信息。目录浏览功能则不符合要求。
3、WebDav功能是否关闭
加固说明：Web DaV没有得到广泛的应用，因为它有严重的安全问题，因为“搭配”目录浏览他可能允许客户端修改Web服务器上的未经授权的文件。所以应该禁用WebDav功能。
4、检查错误页面是否被替换
加固说明：IIS在默认产生错误的时候，会给客户端反馈详细的错误信息，这将导致服务器的一些敏感信息文件被泄露。应该进行错误页面替换，隐藏敏感信息。
5、检查是否禁止上传执行
加固说明：网站安全中，对目录的执行权限是非常敏感的，一般来说，可以写入的目录是不能够拥有脚本的执行权限的，可以写入的目录是：data，uploads如果这些写入目录被上传webshell，则可以进行回连。
6、删除IIS默认站点
二、身份验证和授权检查
1、检查全局授权规则是否被设置为限制访问
加固说明：配置限制访问的全局授权规则将保证通过Web目录的层次结构向下继承设置；如果该内容复制到其他地方，则授权规则将随之流动。这将确保当前和未来内容的访问只授予适当主体，以减少意外或未经授权的访问的风险。
2、检查对敏感站点特性的访问权限仅限于经过身份验证的主体
加固说明：配置身份验证将有助于减少未经授权的用户访问数据或者服务的风险，在某些情况下还会减少对系统可能的潜在危害
3、检查表单身份验证是否需要SSL
加固说明：使用SSL进行表单身份验证将保护登录过程中凭据的机密性，有助于减少被盗用户信息的风险
4、检查是否开启SSL设置
加固说明：以明文方式发送的凭证很容易被恶意代码或人员截获。强制使用加密的传输可以防止凭证被劫持。在开启SSL设置之前你首先需要创建一个SSL证书以及创建HTTPS的绑定
三、ASP.Net配置检查
1、检查debug功能是否关闭
加固说明：将<编译调试>设置为false可以确保在实时应用程序使用过程中不会无意中显示详细的错误信息，减轻应用程序信息泄露落入攻击者中的风险。
2、检查ASP.NET自定义错误消息是否被关闭
加固说明：当一个ASP.NET应用程序执行动作失败并导致HTTP/1.X 500 内部服务器错误，或者某一个请求被过滤策略阻止，将产生错误信息。管理员可以选择应用程序是否向客户端显示详细的错误信息，或者仅向localhost显示详细错误信息，避免信息泄露。
3、检查“HTTP”自定义消息错误是否被关闭
加固说明：网站的错误页面通常被设置为显示详细的错误信息，以便在测试或者初始部署期间进行故障排除。确保远程客户端现实的是自定义错误消息，以减少关于应用程序工作方式的信息被泄露的风险。
4、检查“X-Powered-By”头部是否移除
加固说明：x-Powered-By头部信息中含有站点服务器信息与程序版本，如果把这个信息泄露出去会有一定威胁
5、检查服务器头部信息是否被移除
加固说明：默认条件下服务器的头部信息会包含，例如Microsoft-IIS/10.0的字样。如果把扎个信息暴露出去，可能会有恶意人员针对该版本服务器，做出针对性的攻击。
四、请求过滤与限制检查
1、检查是否配置“最大允许内容长度”
加固说明：最大允许内容长度是允许http请求的最大大小，以字节为单位测量，配置此值可以将总请求大小限制为配置的数。建议将请求的总体大小限制在适合服务器、站点或者应用程序的最大值。这有助于确保Web内容和服务的可用性，也有助于减轻缓冲区溢出类型攻击的风险
2、检查是否配置了“最大允许查询字符串长度”
加固说明：IIS服务器允许网站或者应用程序使用的查询字符串上线
3、检查是否允许高位字符
加固说明：此功能用于允许或拒绝包含非ASCLL字符的所有请求。当使用此功能时，如果URL中存在高位字符，请求过滤将拒绝请求。这个特性可以帮助防御规范化攻击，减少服务器、站点和应用程序的潜在攻击。若允许“高位字符”则不符合安全加固要求。
4、检查是否允许“双重转义”。
加固说明：关闭此请求筛选功能防止依赖双编码请求的攻击，如果攻击者向IIS提出双编码请求，该请求将会被过滤，存在安全风险，此功能需关闭。
5、检查是否拒绝“TRACE ”谓词
加固说明：TRACE 请求会在目的服务器发起一个环回诊断。行程的最后一站会弹回一条TRACE 响应，并在响应主体中携带它收到的原始请求报文。这样客户端就可以查看在所有中间HTTP应用程序组成的请求/响应链上，原始报文是否，以及如何被破坏或修改过。攻击者常利用TRACE请求和XSS攻击配合来访问HTTP头中的信息，如Cookie和身份验证数据。若存在拒绝“TRACE”谓词的功能，则符合安全加固
6、检查是否允许“没有被列出的文件扩展名”
加固说明：在请求筛选中，“文件扩展名”项表明了请求头部中允许或者不允许的扩展名，若扩展名不属于该列表中，则需要通过请求筛选器中的功能进行判断。通常情况下,.config，.bat，.exe永远不应该被服务，除了必要的文件扩展之外，不允许其他文件扩展可以大大减少应用程序和和服务器的攻击面。若开启允许“没有被列出的文件扩展名的功能”，则不符合安全加固要求。
7、检查是否启用“动态IP地址限制”
加固说明：IIS动态IP地址限制功能可以用来阻止DDOS攻击。这是对IP地址和域名限制列表的补充，这些列表可以在IIS中手动维护。相反，动态IP地址过滤允许管理员配置服务器以阻止超过指定请求阈值的IP访问
8、检查是否配置最大连接数
加固说明：通过对不同规模站点最大连接数的限制。可以有效的防止DDOS类型的攻击
五、IIS日志记录检查
1、检查默认日志的位置是否更改
加固说明：IIS将记录每个请求的相对详细信息。这些日志通常是在安全响应中查看的第一项，并且可能是最有价值的，恶意用户意识到这一点，并经常视图删除他们活动的证据。因此建议修改日志的默认路径。