阿里云IIS安全配置基线

最新推荐文章于 2023-12-14 21:40:40 发布
最新推荐文章于 2023-12-14 21:40:40 发布
阅读量1.2k 收藏
点赞数
分类专栏: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ice_bird/article/details/104982614
版权

1. 确保“debug”已关闭 | 服务配置

加固建议

要使用UI进行此更改,请执行以下操作: 1.打开IIS管理器并浏览所需的服务器,站点或应用程序 2.在“功能视图”中,双击“ .NET编译” 3.在“ .NET编译”页上的“行为”部分,确保“调试”字段设置为False。 4.完成后,在“操作”窗格中单击“应用”。

2. 确保不允许使用未列出的文件扩展名 | 服务配置

可以使用IIS管理器GUI,在命令行窗口中使用AppCmd.exe命令和/或直接编辑配置文件来为服务器,网站或应用程序设置allowUnlisted请求筛选器。 要使用IIS管理器GUI在服务器级别进行配置: 1.打开Internet信息服务(IIS)管理器 2.在“连接”窗格中,选择服务器 3.在“主页”窗格中,双击“请求过滤” 4.单击“操作”窗格中的“编辑功能设置...”。 5.在常规部分下,取消选中允许未列出的文件扩展名 若要使用AppCmd.exe命令设置此请求筛选器,请在提升的命令提示符处运行以下命令:

%systemroot%\system32\inetsrv\appcmd set config /section:requestfiltering /fileExtensions.allowunlisted:false

3.  确保为会话状态配置了“ httpcookie”模式 | 服务配置

通过使用IIS管理器GUI,在命令行窗口中使用AppCmd.exe命令,直接编辑配置文件或编写WMI脚本,可以将SessionState设置为UseCookies。 执行以下操作,以在IIS管理器GUI中将sessionState节点的cookieless属性设置为UseCookies:

1.打开IIS管理器GUI并浏览所需的服务器,站点或应用程序
2.在“功能视图”中,找到并双击“会话状态”图标
3.在Cookie设置部分中,从模式下拉菜单中选择使用Cookie
4.在“动作”窗格中,单击“应用”

若要使用AppCmd.exe在服务器级别配置sessionState,该命令应如下所示:

%systemroot%\system32\inetsrv\appcmd set config /commit:WEBROOT /section:sessionState /cookieless:UseCookies /cookieName:ASP.NET_SessionID /timeout:20

4. 确保将“目录浏览”设置为禁用 | 服务配置

可以使用UI,运行appcmd.exe命令,直接编辑配置文件或编写WMI脚本来设置目录浏览。 要使用appcmd.exe命令在服务器级别禁用目录浏览:

%systemroot%\system32\inetsrv\appcmd set config /section:directoryBrowse /enabled:false

4. 确保将'notListedIsapisAllowed'设置为false | 服务配置

若要使用IIS管理器将notListedIsapisAllowed属性设置为false: 1.以管理员身份打开IIS管理器 2.在左侧的“连接”窗格中,选择要配置的服务器 3.在“功能视图”中,选择“ ISAPI和CGI限制”; 在“操作”窗格中,选择“打开功能” 4.在“操作”窗格中,选择“编辑功能设置” 5.在“编辑ISAPI和CGI限制设置”对话框中,清除“允许未指定的ISAPI模块”复选框(如果已选中) 6.点击确定 若要使用AppCmd.exe命令设置此请求筛选器,请在提升的命令提示符处运行以下命令:

%systemroot%\system32\inetsrv\appcmd.exe set config -section:system.webServer/security/isapiCgiRestriction /notListedIsapisAllowed:false

5. 确保未授予处理程序写入和脚本/执行权限 | 服务配置

加固建议

存在脚本或执行时,ApplicationHost.config(服务器范围)或web.config(站点或应用程序)的<handlers>部分中的accessPolicy属性一定不能具有Write。 要解决Web服务器的此问题,必须手动编辑服务器的ApplicationHost.config文件的<handlers>部分中的属性。 要使用记事本编辑ApplicationHost.config文件,请执行以下步骤: 1.以管理员身份打开记事本 2.在%systemroot%\system32\inetsrv\config中打开ApplicationHost.config文件。 3.编辑<handlers>部分的accessPolicy属性,确认在存在Script或Execute时不存在Write。 若要使用AppCmd.exe命令设置此请求筛选器,请在提升的命令提示符处运行以下命令:

%systemroot%\system32\inetsrv\appcmd set config /section:handlers /accessPolicy:Read,Script

6. 确保启用日志ETW功能 | 服务配置

点击开始->管理工具->Internet Information Services (IIS)管理器在iis设置模块点击日志,在右侧点击开启

7. 确保不使用默认的IIS Web日志位置 | 服务配置

点击开始->管理工具->Internet Information Services (IIS)管理器在iis设置模块点击日志,在目录选项点击浏览选择新的日志目录,点击右侧应用。或者使用Appcmd管理工具进行操作

%systemroot%\system32\inetsrv\appcmd set config -section:sites -siteDefaults.logfile.directory:"<log_path>"

 

 

 

ice_bird
关注
专栏目录
《网络安全自学教程》- IIS安全配置IIS安全基线检查加固
wangyuxiang946的博客
07-16 9027
IIS基线检查,安全基线加固
IIS安全基线
01-02
本文档规定了 IIS 服务器应当遵循的安全设置标准,指导系统管理人员进 行 IIS 服务器的安全配置。降低IIS服务器窒风险。
IIS服务器安全配置基线.doc
06-07
IIS服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月 "版本 "版本控制信息 "更新日期 "更新人 "审批人 " "V1.0 "创建 "2009年1月 " " " "V2.0 "更新 "2012年4月 " " " " " " " " " " " " " " " " " " " " " 备注: 1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 目 录 第1章 概述 5 1.1 目的 5 1.2 适用范围 5 1.3 适用版本 5 1.4 实施 5 1.5 例外条款 5 第2章 帐号管理、认证授权 6 2.1 帐号 6 2.1.1 避免帐号共享* 6 2.1.2 删除或锁定无关帐号* 7 2.2 口令 7 2.2.1 密码复杂度 7 2.2.2 密码生存期 8 2.2.3 密码更改 9 2.3 授权 9 2.3.1 用户权利指派* 9 第3章 日志要求 11 3.1 日志配置 11 3.1.1 启用日志功能 11 3.1.2 更改日志存放路径 11 3.1.3 记录安全事件 12 3.1.4 日志访问权限 13 第4章 IP协议安全配置操作 14 4.1 IP协议 14 4.1.1 IP访问限制* 14 4.1.2 IP转发安全性 15 4.1.3 SSL身份认证* 15 第5章 设备其他安全功能要求 17 5.1 屏幕保护 17 5.1.1 屏幕保护配置 17 5.2 文件系统及访问权限 17 5.2.1 更改IIS安装路径 17 5.2.2 删除风险文件* 19 5.2.3 删除非必要脚本映射* 19 5.2.4 按帐户分配日志访问权限* 22 5.3 补丁管理 23 5.3.1 升级补丁* 23 5.4 IIS服务组件 24 5.4.1 组件安装管理* 24 5.4.2 服务扩展管理* 24 第6章 评审与修订 26 第1章 概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的IIS服务器应当 遵循的安全设置标准,本文档旨在指导系统管理人员进行IIS服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的IIS服 务器系统。 1.3 适用版本 5.0、6.0、7.0、2003等版本。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程 中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因, 送交中国移动通信有限公司管理信息系统部进行审批备案。 第2章 帐号管理、认证授权 2.1 帐号 2.1.1 避免帐号共享* "安全 "IIS帐号共享安全基线要求项 " "基线 " " "项目 " " "名称 " " "安全 "SBL-IIS-02-01-01 " "基线 " " "编号 " " "安全 "应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备" "基线 "间通信使用的帐号共享(对于IIS用户定义分为两个层次:一、IIS自身" "项说 "操作用户,二、IIS发布应用访问用户) " "明 " " "检测 "1、参考配置操作 " "操作 "进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和 " "步骤 "组":根据系统的要求,设定不同的帐户和帐户组.对应设置IIS系统管 " " "理员的权限。 " " "进入IIS管理器->相应网站"属性"->"目录安全性"->"身份访问及访问控" " "制":其中分为"匿名访问身份"及"基本(Basic)验证"。"基本(Basic" " ")验证"包含:"集成windows身份验证"、"Windows域服务器的摘要身份" " "验证"、"基本身份验证"、".NET " " "Passport身份验证";可依据业务应用安全特性,相应配置。 " "基线 "1、判定条件 " "符合 "结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的" "性判 "帐户和帐户组。 " "定依 "2、检测操作 " "据 "进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和 " " "组":查看根据系统的要求,设定不同的帐户和帐户组。 " " "进入IIS管理器->相应网站"属性"->"目录安全性"->"身份访问及访问控" " "制"查看相应配置。 " "备注 "手工判断 " " " " 2.1.2 删除或锁定无关帐号* "安全基"IIS无关帐号安全基线要求项 " "线项目" " "名称 " " "安全基"SBL-IIS-02
IIS安全基线安全加固指南V1.0.pdf
02-20
IIS 安全基线安全加固方法
08.差距评估.安全计算环境之中间件安全基线
老毛的博客
02-21 1880
文章目录 本次从头梳理一下等保2.0涉及到的主要步骤: 等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。 定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。 本节继续分析安全计算环境中的中间件 ...
Windows Server服务器安全加固基线配置
weixin_44147924的博客
08-25 1644
一、账户管理、认证授权。
IIS服务器安全配置基线.doc编程资料
04-07
IIS服务器安全配置基线.doc
HTTP会话保持技术Cookie与Session
gao_yuwushengchu的博客
02-26 1568
引用地址:https://www.cnblogs.com/zhou7427/p/10087951.html 总结:cookie是客户端确认客户身份的方式 缓存在浏览器磁盘,session是服务端确认客户身份的方式存储在服务器(或者redis) 使用方式:客户访问服务器,服务器生成一个sessionId放到cookie中返回给客户端,客户端将此信息缓存本地,再次发起访问请求头中携带此session信息,访问到服务端,服务端判断此sessionId 如下为引用详情: 一、HTTP协议的缺陷——无状态
http协议 cookie设置
weixin_30642029的博客
02-15 148
http协议 cookie设置 今天对cookie进行了一番学习,通过一些测试程序,对cookie的工作方式有了一个大概的了解。 在bs的架构中,浏览器作为客户端,与服务器之间通过session保持连接状态。以前面试的时候,经常被问及一个问题:浏览器禁止cookie时,服务器与客户端浏览器能否保持session连接? 其实要完全回答正确这个问题...
IIS配置免费的SSL证书,cookie session用法,网站下面挂载其他网站
逍遥游的博客
04-27 207
最近做项目比较开心,几个难题都搞定了:https配置SSL证书,cookie session用法,网站下面挂载其他网站 有事请微信:13451765025
IIS跨域配置,支持身份验证,asp.net后端无需修改代码
Mr.Xiao
01-01 820
iis通过配置文件灵活支持跨域请求的方法,同时支持身份验证。
IIS配置多域名跨域,和跨域session保持
最新发布
bigcarp的专栏
12-14 1687
搜索了一轮,自己实践发现iis中填多条Access-Control-Allow-Origin记录、逗号分隔、正则表达式这些是不行的。另外好像无论Ngxin还是Tomcat等都要rewrite之类的方法。由于仅仅是测试,所以暂时用*通配符算了。记录一下参考,要的时候再研究。
IIS7 修改默认文档,不修改web.config
12-06 148
若不想改变web.config,直接修改继承的默认文档,最方便的方法就是使用appcmd.exe方法如下:用管理员权限运行CMD.exe进入目录:c:\windows\system32\inetsrv添加一个默认文档进入列表的语句是:appcmd set config /section:defaultDocument /+files.[value='index.html']这个例句添加i...
.net session超时设置 sessionState的相关属性
热门推荐
ruirui
10-20 1万+
.net session超时设置  sessionState的相关属性  一般在web.config配置文件里面 标签中添加标签 其中mode属性来决定该属性的四种可能的值: Off、 Inproc 、StateServer 和SQLserver。 1  Inproc是缺省的设置   它允许“无Cookie”的会话,以及在服务器之外存储 会话数据。ASP.NET会话状态模块在We
WEB开发——会话状态管理(Cookie、Session )
jin_luo的博客
04-06 755
概念:●  HTTP协议是一种无状态的协议●  服务器本身不能识别出请求是否是同一个浏览器发出(每一次请求都是完全孤立的)●  作为web服务器,必须能够采用一种机制来唯一地标识一个用户,同时记录该用户的状态------------------------------------------------------------------------------------------------...
如何将cookie中httponly属性设置为true?(预防XSS攻击)
刘桂香263的博客
06-08 6105
cookie设置了 HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值