应用程序加固iis7+篇

最新推荐文章于 2024-05-07 16:13:59 发布
最新推荐文章于 2024-05-07 16:13:59 发布
阅读量1k 收藏 4
点赞数
文章标签: ssl 服务器 https
原文链接:https://www.yueqimao.com/
版权

  1 检查是否设置上传目录权限

  (1)、设置权限:

  打开iis服务管理-----双击主页----点击处理程序映射----选择右侧操作的打开功能----选择右侧操作的编辑功能权限------将脚本和执行的√去掉(也可以只去掉执行的√)

  2 检查是否删除危险的实例文件

  仅供参考:

  1. 删除c:\\inetpub\\iissamples

  2. 删除c:\\inetpub\\scripts

  3. 删除%systemroot%\\system32\\inetsrv\\adminsamples

  4. 删除%systemroot%\\system32\\inetsrv\\iisadmpwd

  5. 删除%systemroot%\\system32\\inetsrv\\iisadmin

  6. 删除c:\\Program Files\\Common Files\\System\\msadc\\Samples

  7. 删除c:\\program files\\common files\\system\\msadc

  3 检查是否配置SSL加密通信

  (1)证书安装:

  打开iis服务管理-----双击主页-----双击服务器证书----导入

  (2)修改网站绑定类型为https,并启用ssl:

  双击网站下的站点----选择右侧操作下的绑定---添加一个https类型-----删除原有的http(如果可以直接将http改为https也行)-----点击ssl设置-----将要求ssl打钩

  4 检查'密码长度最小值'是否设置大于等于8

  打开 '计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码长度最小值',设置大于等于8的数值

  5 检查是否配置日志功能

  1、 打开本地策略 -> 审核策略”中配置的 “审核对象访问”,配置成功和失败

  2、 打开本地策略 -> 审核策略”中配置的 “审核目录服务器访问”,配置成功和失败

  3、 打开本地策略 -> 审核策略”中配置的“审核系统事件”,配置成功和失败

  4、 打开本地策略 -> 审核策略”中配置的“审核帐号管理”,配置成功和失败

  5、 打开本地策略 -> 审核策略”中配置的“审核过程追踪”,配置成功和失败

  6 检查是否使用HTTP 加密协议

  参照步骤3

  7 检查'超级用户启用IIS'是否被禁止

  运行cmd,输入services.msc查看服务,选择WWW服务属性,将服务启动的账号设置为超级用户,看是否被禁止。

  8 检查'审核策略更改'是否设置为成功

  打开计算机配置\\Windows 设置\\安全设置\\本地策略\\审核策略\\审核策略更改 设置为成功和失败

  9 检查'密码必须符合复杂性要求'策略是否启用

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码必须符合复杂性要求,设置为Enable

  10 检查是否自定义错误信息

  将配置文件(applicationHost.config)中

  httpErrors节点下的error配置为statusCode="401"

  prefixLanguageFilePath="%SystemDrive%\inetpub\custerr" path="401.htm"

  11 检查是否配置目录的访问权限

  1、打开“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”,设置“审核规则”配置状态为enable

  2、打开ISM(Internet 服务器管理器) -> 启动 Web 属性页面并选择“目录”选项卡-> 选择 www 目录-> 编辑属性”中的“目录属性”,配置状态为“读取”、“写入”、“记录访问”、“索引资源”

  12 检查'密码最大有效时间'是否大于0并且小于等于90

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码最大有效时间,设置时间大于0并且小于等于90

  13 检查是否禁用非法 HTTP 方法

  打开iis服务管理-----网站下的主页-----双击处理程序映射-----选中名称列下的项(每一项都要配置)---点击编辑---

  请求限制-----选中谓词----下列谓词之一中不能出现DELETE和PUT

  14 检查'强制密码历史'是否大于等于5

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\强制密码历史,设置大于等于5

  15 检查是否删除不必要的脚本映射

  将配置文件(applicationHost.config)中

  configuration/location/system.webServer/handlers/add节点下的path=后面的值中含有*.htr、*.idc、*.stm、*.shtm、*.printer、*.htw、*.ida、*.idq修改为其他值(修改前请先备份好文件)

  16 检查'账号锁定阈值'是否大于0并且小于等于6

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\账户锁定策略\\账号锁定阈值,配置大于0并且小于等于6

  17 检查是否更改默认安装路径

  打开“Internet 信息服务(IIS)管理器”选择站点,更改 IIS 默认安装路径

  18 检查是否启用日志功能

  将配置文件(applicationHost.config)中

  configuration/system.webServer/httpLogging节点下的dontLog配置为dontLog="false"

  19 检查是否禁止目录列出

  将配置文件(applicationHost.config)中

  configuration/system.webServer/directoryBrowse节点下的enabled配置为enabled="false"

  

应用程序加固iis7+篇

 

linjingyg
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iisadmpwd站点
07-05
通过此站点文件 ,可实现对AD账户的密码修改
烦人的安全基线整改(weblogic+iis)
sqlora的专栏
06-02 1751
weblogic安全整改记录: 正则在线测试: https://www.matools.com/regex 检查是否禁用 Send Server header 参考: https://blog.csdn.net/weixin_42918771/article/details/105639985 保存激活两次。 检查Sockets最大打开数量 需要先改其它值,再改回去,为了config.xml有记录 检查开启日志 检查是否设置认证失败次数超...
2024年网络安全最新网站及服务器安全加固常用手段_网站安全加固(2),网络安全程序员的春天
最新发布
2401_84302655的博客
05-07 507
以下是一些常见的 Windows 服务器安全设置,以及操作示例。首先,确保操作系统和所有应用程序都是最新的,以防止已知漏洞被利用。防火墙可以阻止未经授权的访问和攻击,因此应始终在 Windows 服务器上启用。不必要的服务和端口可能会导致安全漏洞,因此应该尽可能禁用它们。强密码可以降低被破解的风险。默认帐户(例如“Administrator”)容易受到攻击,因此应该禁用或重命名。安全软件可以帮助检测和防止恶意软件和攻击。
如何在IIS7/7.5上配置IISADMPWD
weixin_30685029的博客
06-25 220
问题 很多IIS用户还记得在早期的IIS版本上有一个web应用, IISADMPWD. 该应用是与IIS5 和IIS6一起发布的. 主要用于为域用户提供修改密码的功能, 同时也可以修改本机用户的密码. 但是这个功能包含在IIS7/7.5中. 在IIS 7及以上版本中, 微软不再提供这个web应用的支持. 虽然该功能没有与IIS7/7.5一起发布, 但通过一些简单的配置还是可以使用该功能,本...
IIS设置方法
10-15 1448
   IIS (Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。本文将向你讲述Windows 2000高级服务器版中自带的IIS 5.0的配置和管理方法。
IIS6.0安全和加固
03-21
IIS(Internet Information Services)是Microsoft提供的一个Web服务器服务,用于托管网站和应用程序。 **IIS加固要求**: 1. **适用情况**:适用于运行在IIS6.0上的Web站点。这通常涉及到Windows Server 2003系统...
网络安全原理与应用:IIS安全加固.pptx
05-16
1. 安装 IIS:在 Windows 操作系统中安装 IIS,勾选安全选项“IP 安全”,“Windows 身份验证”和应用程序开发功能“ASP.NET”。 2. 配置 IIS:在 IIS 中设置 Web 访问权限,限制 IP 地址的访问,并禁用匿名访问。 ...
IIS6加固手册
12-05
本文档可以帮助管理员和开发者加固IIS6服务器,提高服务器的安全性,保护数据和应用程序免受攻击和漏洞。同时,本文档也可以作为IIS6服务器安全加固的参考文献,帮助管理员和开发者更好地理解IIS6服务器的安全机制。...
IIS 7 Rewrite Module 32 bits
02-12
IIS(Internet Information Services)是微软公司提供的一个用于在Windows操作系统上运行Web服务器应用程序,而IIS 7是其第七个主要版本,它引入了许多增强的功能和性能改进。在这个版本中,微软引入了一个名为...
中间件基础与加固
02-28
中间件在IT行业中扮演着至关重要的角色,它们是构建复杂分布式系统的基础,为应用程序提供服务、数据管理和通信功能。在本文章中,我们将深入探讨中间件的基础知识以及如何进行加固,确保系统的安全性和稳定性。 ...
XP系统下ADO文件
01-09
XP系统下ADO文件夹 C-Program Files-Common Files-System-ado 将XP下面的ADO文件夹复到软件工程下... 作如下修改........................... 即可解决Win7编译的程序在XP下连接不上数据库的兼容性问题 //#import "C:\program files\Common Files\System\ADO\msado15.dll" rename ("EOF", "ADOEOF") //#import "C:\Program Files\Common Files\System\ADO\msadox.dll" #import "../ado/msado15.dll" rename ("EOF", "ADOEOF") #import "../ado/msadox.dll"
AdminScripts iisadmpwd网页修改AD账号密码必备插件
03-15
很多iis用户还记得在早期的iis版本上有一个web应用, iisadmpwd. 该应用是与iis5 和iis6一起发布的. 主要用于为域用户提供修改密码的功能, 同时也可以修改本机用户的密码. 但是这个功能包含在iis7/7.5中. 在iis 7及以上版本中, 微软不再提供这个web应用的支持. 虽然该功能没有与iis7/7.5一起发布, 但通过一些简单的配置还是可以使用该功能,本文将介绍如何在iis7/7.5中配置iisadmpwd的web 应用. 注意 : 本文只是介绍如何在iis7/7.5中配置iisadmpwd的web 应用. 由于该功能已经在iis7及以上版本中的被遗弃, 微软不会对iis7及以上版本中的iisadmpwd提供支持. 步骤 由于iisadmpwd的web 应用不再被iis7及以上版本所支持. 在一个干净的windows server 2008 中是没法找到这个文件. 所以需要从一台windows server 2003中找到并且将文件复制到windows server 2008上. 1. 默认情况下, iisadmpwd放置在windows server 2003服务器的如下路径 : c:\windows\system32\inetsrv\iisadmpwd . 如果没有找到该路径, 你需要先在windows server 2003上安装iis服务. 注意 : 如果您在iis7/7.5中的网站应用是64位, 您需要copy一个64位版本的iisadmpwd. 如果是32位, 同样需要copy一个32位的iisadmpwd. 在x64的windows server 2003中, 32位的iisadmpwd位于%windir%\syswow64\inetsrv\iisadmpwd . 2. 将iisadmpwd的文件copy到windows server 2008服务器后,需要注册iispwcchg.dll. 1) 用admin的权限打开一个命令窗口. 2) 执行以下命令 : regsvr32 c:\windows\system32\inetsrv\iisadmpwd\iispwchg.dll 其中c:\windows\system32\inetsrv\iisadmpwd\ 是iisadmpwd的放置路径. 3. 其次, 需要设置metabase中的password changeflags. 以运行修改密码的功能 : 1) 用admin的权限打开一个命令窗口. 2) 打开到如下路径 : c:\inetpub\adminscripts 如果你没能找到这个路径, 请先启用iisiis 6 scripting tools feature. 请参考 : http://msdn.microsoft.com/library/ms751518.aspx 3) 输入以下命令 : cscript.exe adsutil.vbs set w3svc/password changeflags value 4) 下面是对value的定义 : 0 : 默认值. 该值代表你必须启用ssl来修改密码. 1: 允许非安全的port来修改密码. 如果你没有启用ssl, 同时又需要 此文来自: 马开东博客 转载请注明出处 网址: http://www.makaidong.com 修改密码的功能, 可以使用该值. 2 : 关闭修改密码的功能. 4 : 关闭 “advance notification of password expiration”. 4.打开iis管理器. 展开需要加入该功能的网站. 右键点击该网站, 在弹出菜单中 选中add virtual directory. 5. 在配置好virtual directory之后, iisadmpwd就可以使用了. 6. 关于iisadmpwd中几个页面的功能, 可以参考http://blogs.msdn.com/b/friis/archive/2009/03/24/setting-up-the-iis-6-password -change-site-iisadmpwd.aspx test.asp 包括了iisadmpwd页面上所显示的文字和label. 如果需要修改asp页面上所显示的内容, 可以修改该页面的定义. achg.asp 用于执行修改密码请求的页面. aexp.asp 该页面会默认情况下会为iis显示那些密码已经过期的用户. 通过配置iis metabase中的”authexpiredurl”, 可以使用该页面. aexp2.asp 用于修改iis本机用户的密码. aexp2b.asp 用于修改域用户的密码. 默认情况下, 该页面会使用ssl对会话进行加密. 如果你没有启用ssl功能, 请求会失败. aexp3.asp 类似于aexp.asp. 不需要使用ssl 如果想使用aexp2.asp页面来修改域用户的密码, 但是又不想启用ssl. 你可以按照下面的方法来进行修改. 但是我们不推荐该方法. 因为, 如果没有ssl的加密保护, 密码是明文的在网络间传递, 很容易被截获. 1. 用notepad打开aexp2.asp. 2. 找到 <form method="post" action="https://<%=server.htmlencode(request.servervariables("server_name"))%>/iisadmpwd/achg.asp?<%=server.htmlencode(request.querystring)%>"> 3. 将https://修改为http:// , 如下 : <form method="post" action="http://<%=server.htmlencode(request.servervariables("server_name"))%>/iisadmpwd/achg.asp?<%=server.htmlencode(request.querystring)%>"> 同样的, 如果启用了ssl,但是使用了非默认的443端口, 也在条语句中加入对应的端口号. 例如使用的是445端口 : <form method="post" action="https://<%=server.htmlencode(request.servervariables("server_name"))%>:445/iisadmpwd/achg.asp?<%=server.htmlencode(request.querystring)%>">
iisadmpwd web修改ad密码
06-12
1、将C:\WINDOWS\system32\inetsrv下面的整个iisadmpwd目录复制到C:\Inetpub\wwwroot下(仅为了不破坏原始文件) 2、WEB共享iisadmpwd目录到80网站上,默认读取和脚本权限即可 3、检查IIS服务的ASP支持是否安装 4、将aexp2.asp更名为default.asp,并根据自己需要修改这个文件,例如没启用证书则将https改为http 5、访问http://localhost/iisadmpwd即可修改密码 windows2008下需要注册里面的dll
MSADC修复全部文件
01-02
MSADC修复所需要的全部文件,包括handler.reg handsafe.reg adcjavas.inc 等60个文件
Windows Server 域网页修改密码 IISadmpwd
03-22
Active Derictory 密码修改源文件,可以用在server2003 及server 2008.通过网页修改域密码。
IIS7上传文件到特定目录下权限的设置
编程小猪专栏
05-18 8303
<br />IIS7上传文件到特定目录下权限的设置<br /> <br />从70服务器IIS6迁移到66的IIS7与Windows Server 2008环境下后,上传文件出错:<br />401 - 未经授权: 因为认证无效而拒绝存取。<br />使用您提供的认证,没有权限检视此目录或网页。<br /><br /><br /> <br />方法:<br />选定要存取资料的资料夹后,如下图设置。<br />后从网上查找资料,然后如下设置后即OK。<br />加入IUSR帐号,设置此帐号有读取权限。<b
IIS安全配置参考
热门推荐
煜铭2011
01-06 1万+
0x01 账号管理 一、 应按照用户分配账号。避免不同用户间共享账号     避免用户账号和设备间通信使用的账号共享(对于IIS用户定义分为两个层次:一、IIS自身操作用户,二、IIS发布应用访问用户)。 操作:         1. 为不同维护人员创建账号:进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的账户和账户组.对应设置IIS
Windows 2008 域服务器web方式修改域用户密码
weixin_33736649的博客
04-26 165
IIS 7上不再支持IISADMPWD功能,因此正常安装windows server 2008将不会有IISADMPWD这个文件夹。因此,除了期盼×××,在紧急情况下还有没有其他方法来更改我的密码呢?一个小的实验显示,如果我们把ISSADMPWD当做一个ASP/COM的程序,从server2003的系统上拷贝一份,我们就可以使用它了。下面的步骤仅供参考. 注:IIS7默认...
IIS安全配置:基线与加固指南
- **应用程序扩展**:控制和审核Web应用程序扩展,阻止恶意脚本执行。 - **网站权限**:设置正确的文件和目录权限,防止恶意篡改。 - **限制IP访问**:通过防火墙或IIS规则限制特定IP的访问,增加防护层次。 - *...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值