应用程序加固iis7+篇

  1 检查是否设置上传目录权限

  (1)、设置权限:

  打开iis服务管理-----双击主页----点击处理程序映射----选择右侧操作的打开功能----选择右侧操作的编辑功能权限------将脚本和执行的√去掉(也可以只去掉执行的√)

  2 检查是否删除危险的实例文件

  仅供参考:

  1. 删除c:\\inetpub\\iissamples

  2. 删除c:\\inetpub\\scripts

  3. 删除%systemroot%\\system32\\inetsrv\\adminsamples

  4. 删除%systemroot%\\system32\\inetsrv\\iisadmpwd

  5. 删除%systemroot%\\system32\\inetsrv\\iisadmin

  6. 删除c:\\Program Files\\Common Files\\System\\msadc\\Samples

  7. 删除c:\\program files\\common files\\system\\msadc

  3 检查是否配置SSL加密通信

  (1)证书安装:

  打开iis服务管理-----双击主页-----双击服务器证书----导入

  (2)修改网站绑定类型为https,并启用ssl:

  双击网站下的站点----选择右侧操作下的绑定---添加一个https类型-----删除原有的http(如果可以直接将http改为https也行)-----点击ssl设置-----将要求ssl打钩

  4 检查'密码长度最小值'是否设置大于等于8

  打开 '计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码长度最小值',设置大于等于8的数值

  5 检查是否配置日志功能

  1、 打开本地策略 -> 审核策略”中配置的 “审核对象访问”,配置成功和失败

  2、 打开本地策略 -> 审核策略”中配置的 “审核目录服务器访问”,配置成功和失败

  3、 打开本地策略 -> 审核策略”中配置的“审核系统事件”,配置成功和失败

  4、 打开本地策略 -> 审核策略”中配置的“审核帐号管理”,配置成功和失败

  5、 打开本地策略 -> 审核策略”中配置的“审核过程追踪”,配置成功和失败

  6 检查是否使用HTTP 加密协议

  参照步骤3

  7 检查'超级用户启用IIS'是否被禁止

  运行cmd,输入services.msc查看服务,选择WWW服务属性,将服务启动的账号设置为超级用户,看是否被禁止。

  8 检查'审核策略更改'是否设置为成功

  打开计算机配置\\Windows 设置\\安全设置\\本地策略\\审核策略\\审核策略更改 设置为成功和失败

  9 检查'密码必须符合复杂性要求'策略是否启用

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码必须符合复杂性要求,设置为Enable

  10 检查是否自定义错误信息

  将配置文件(applicationHost.config)中

  httpErrors节点下的error配置为statusCode="401"

  prefixLanguageFilePath="%SystemDrive%\inetpub\custerr" path="401.htm"

  11 检查是否配置目录的访问权限

  1、打开“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”,设置“审核规则”配置状态为enable

  2、打开ISM(Internet 服务器管理器) -> 启动 Web 属性页面并选择“目录”选项卡-> 选择 www 目录-> 编辑属性”中的“目录属性”,配置状态为“读取”、“写入”、“记录访问”、“索引资源”

  12 检查'密码最大有效时间'是否大于0并且小于等于90

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码最大有效时间,设置时间大于0并且小于等于90

  13 检查是否禁用非法 HTTP 方法

  打开iis服务管理-----网站下的主页-----双击处理程序映射-----选中名称列下的项(每一项都要配置)---点击编辑---

  请求限制-----选中谓词----下列谓词之一中不能出现DELETE和PUT

  14 检查'强制密码历史'是否大于等于5

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\强制密码历史,设置大于等于5

  15 检查是否删除不必要的脚本映射

  将配置文件(applicationHost.config)中

  configuration/location/system.webServer/handlers/add节点下的path=后面的值中含有*.htr、*.idc、*.stm、*.shtm、*.printer、*.htw、*.ida、*.idq修改为其他值(修改前请先备份好文件)

  16 检查'账号锁定阈值'是否大于0并且小于等于6

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\账户锁定策略\\账号锁定阈值,配置大于0并且小于等于6

  17 检查是否更改默认安装路径

  打开“Internet 信息服务(IIS)管理器”选择站点,更改 IIS 默认安装路径

  18 检查是否启用日志功能

  将配置文件(applicationHost.config)中

  configuration/system.webServer/httpLogging节点下的dontLog配置为dontLog="false"

  19 检查是否禁止目录列出

  将配置文件(applicationHost.config)中

  configuration/system.webServer/directoryBrowse节点下的enabled配置为enabled="false"

  

应用程序加固iis7+篇

 

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
很多iis用户还记得在早期的iis版本上有一个web应用, iisadmpwd. 该应用是与iis5 和iis6一起发布的. 主要用于为域用户提供修改密码的功能, 同时也可以修改本机用户的密码. 但是这个功能包含在iis7/7.5中. 在iis 7及以上版本中, 微软不再提供这个web应用的支持. 虽然该功能没有与iis7/7.5一起发布, 但通过一些简单的配置还是可以使用该功能,本文将介绍如何在iis7/7.5中配置iisadmpwd的web 应用. 注意 : 本文只是介绍如何在iis7/7.5中配置iisadmpwd的web 应用. 由于该功能已经在iis7及以上版本中的被遗弃, 微软不会对iis7及以上版本中的iisadmpwd提供支持. 步骤 由于iisadmpwd的web 应用不再被iis7及以上版本所支持. 在一个干净的windows server 2008 中是没法找到这个文件. 所以需要从一台windows server 2003中找到并且将文件复制到windows server 2008上. 1. 默认情况下, iisadmpwd放置在windows server 2003服务器的如下路径 : c:\windows\system32\inetsrv\iisadmpwd . 如果没有找到该路径, 你需要先在windows server 2003上安装iis服务. 注意 : 如果您在iis7/7.5中的网站应用是64位, 您需要copy一个64位版本的iisadmpwd. 如果是32位, 同样需要copy一个32位的iisadmpwd. 在x64的windows server 2003中, 32位的iisadmpwd位于%windir%\syswow64\inetsrv\iisadmpwd . 2. 将iisadmpwd的文件copy到windows server 2008服务器后,需要注册iispwcchg.dll. 1) 用admin的权限打开一个命令窗口. 2) 执行以下命令 : regsvr32 c:\windows\system32\inetsrv\iisadmpwd\iispwchg.dll 其中c:\windows\system32\inetsrv\iisadmpwd\ 是iisadmpwd的放置路径. 3. 其次, 需要设置metabase中的password changeflags. 以运行修改密码的功能 : 1) 用admin的权限打开一个命令窗口. 2) 打开到如下路径 : c:\inetpub\adminscripts 如果你没能找到这个路径, 请先启用iisiis 6 scripting tools feature. 请参考 : http://msdn.microsoft.com/library/ms751518.aspx 3) 输入以下命令 : cscript.exe adsutil.vbs set w3svc/password changeflags value 4) 下面是对value的定义 : 0 : 默认值. 该值代表你必须启用ssl来修改密码. 1: 允许非安全的port来修改密码. 如果你没有启用ssl, 同时又需要 此文来自: 马开东博客 转载请注明出处 网址: http://www.makaidong.com 修改密码的功能, 可以使用该值. 2 : 关闭修改密码的功能. 4 : 关闭 “advance notification of password expiration”. 4.打开iis管理器. 展开需要加入该功能的网站. 右键点击该网站, 在弹出菜单中 选中add virtual directory. 5. 在配置好virtual directory之后, iisadmpwd就可以使用了. 6. 关于iisadmpwd中几个页面的功能, 可以参考http://blogs.msdn.com/b/friis/archive/2009/03/24/setting-up-the-iis-6-password -change-site-iisadmpwd.aspx test.asp 包括了iisadmpwd页面上所显示的文字和label. 如果需要修改asp页面上所显示的内容, 可以修改该页面的定义. achg.asp 用于执行修改密码请求的页面. aexp.asp 该页面会默认情况下会为iis显示那些密码已经过期的用户. 通过配置iis metabase中的”authexpiredurl”, 可以使用该页面. aexp2.asp 用于修改iis本机用户的密码. aexp2b.asp 用于修改域用户的密码. 默认情况下, 该页面会使用ssl对会话进行加密. 如果你没有启用ssl功能, 请求会失败. aexp3.asp 类似于aexp.asp. 不需要使用ssl 如果想使用aexp2.asp页面来修改域用户的密码, 但是又不想启用ssl. 你可以按照下面的方法来进行修改. 但是我们不推荐该方法. 因为, 如果没有ssl的加密保护, 密码是明文的在网络间传递, 很容易被截获. 1. 用notepad打开aexp2.asp. 2. 找到 <form method="post" action="https://<%=server.htmlencode(request.servervariables("server_name"))%>/iisadmpwd/achg.asp?<%=server.htmlencode(request.querystring)%>"> 3. 将https://修改为http:// , 如下 : <form method="post" action="http://<%=server.htmlencode(request.servervariables("server_name"))%>/iisadmpwd/achg.asp?<%=server.htmlencode(request.querystring)%>"> 同样的, 如果启用了ssl,但是使用了非默认的443端口, 也在条语句中加入对应的端口号. 例如使用的是445端口 : <form method="post" action="https://<%=server.htmlencode(request.servervariables("server_name"))%>:445/iisadmpwd/achg.asp?<%=server.htmlencode(request.querystring)%>">
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值