1 检查是否设置上传目录权限
(1)、设置权限:
打开iis服务管理-----双击主页----点击处理程序映射----选择右侧操作的打开功能----选择右侧操作的编辑功能权限------将脚本和执行的√去掉(也可以只去掉执行的√)
2 检查是否删除危险的实例文件
仅供参考:
1. 删除c:\\inetpub\\iissamples
2. 删除c:\\inetpub\\scripts
3. 删除%systemroot%\\system32\\inetsrv\\adminsamples
4. 删除%systemroot%\\system32\\inetsrv\\iisadmpwd
5. 删除%systemroot%\\system32\\inetsrv\\iisadmin
6. 删除c:\\Program Files\\Common Files\\System\\msadc\\Samples
7. 删除c:\\program files\\common files\\system\\msadc
3 检查是否配置SSL加密通信
(1)证书安装:
打开iis服务管理-----双击主页-----双击服务器证书----导入
(2)修改网站绑定类型为https,并启用ssl:
双击网站下的站点----选择右侧操作下的绑定---添加一个https类型-----删除原有的http(如果可以直接将http改为https也行)-----点击ssl设置-----将要求ssl打钩
4 检查'密码长度最小值'是否设置大于等于8
打开 '计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码长度最小值',设置大于等于8的数值
5 检查是否配置日志功能
1、 打开本地策略 -> 审核策略”中配置的 “审核对象访问”,配置成功和失败
2、 打开本地策略 -> 审核策略”中配置的 “审核目录服务器访问”,配置成功和失败
3、 打开本地策略 -> 审核策略”中配置的“审核系统事件”,配置成功和失败
4、 打开本地策略 -> 审核策略”中配置的“审核帐号管理”,配置成功和失败
5、 打开本地策略 -> 审核策略”中配置的“审核过程追踪”,配置成功和失败
6 检查是否使用HTTP 加密协议
参照步骤3
7 检查'超级用户启用IIS'是否被禁止
运行cmd,输入services.msc查看服务,选择WWW服务属性,将服务启动的账号设置为超级用户,看是否被禁止。
8 检查'审核策略更改'是否设置为成功
打开计算机配置\\Windows 设置\\安全设置\\本地策略\\审核策略\\审核策略更改 设置为成功和失败
9 检查'密码必须符合复杂性要求'策略是否启用
打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码必须符合复杂性要求,设置为Enable
10 检查是否自定义错误信息
将配置文件(applicationHost.config)中
httpErrors节点下的error配置为statusCode="401"
prefixLanguageFilePath="%SystemDrive%\inetpub\custerr" path="401.htm"
11 检查是否配置目录的访问权限
1、打开“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”,设置“审核规则”配置状态为enable
2、打开ISM(Internet 服务器管理器) -> 启动 Web 属性页面并选择“目录”选项卡-> 选择 www 目录-> 编辑属性”中的“目录属性”,配置状态为“读取”、“写入”、“记录访问”、“索引资源”
12 检查'密码最大有效时间'是否大于0并且小于等于90
打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码最大有效时间,设置时间大于0并且小于等于90
13 检查是否禁用非法 HTTP 方法
打开iis服务管理-----网站下的主页-----双击处理程序映射-----选中名称列下的项(每一项都要配置)---点击编辑---
请求限制-----选中谓词----下列谓词之一中不能出现DELETE和PUT
14 检查'强制密码历史'是否大于等于5
打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\强制密码历史,设置大于等于5
15 检查是否删除不必要的脚本映射
将配置文件(applicationHost.config)中
configuration/location/system.webServer/handlers/add节点下的path=后面的值中含有*.htr、*.idc、*.stm、*.shtm、*.printer、*.htw、*.ida、*.idq修改为其他值(修改前请先备份好文件)
16 检查'账号锁定阈值'是否大于0并且小于等于6
打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\账户锁定策略\\账号锁定阈值,配置大于0并且小于等于6
17 检查是否更改默认安装路径
打开“Internet 信息服务(IIS)管理器”选择站点,更改 IIS 默认安装路径
18 检查是否启用日志功能
将配置文件(applicationHost.config)中
configuration/system.webServer/httpLogging节点下的dontLog配置为dontLog="false"
19 检查是否禁止目录列出
将配置文件(applicationHost.config)中
configuration/system.webServer/directoryBrowse节点下的enabled配置为enabled="false"