应用程序加固iis7+篇

  1 检查是否设置上传目录权限

  (1)、设置权限:

  打开iis服务管理-----双击主页----点击处理程序映射----选择右侧操作的打开功能----选择右侧操作的编辑功能权限------将脚本和执行的√去掉(也可以只去掉执行的√)

  2 检查是否删除危险的实例文件

  仅供参考:

  1. 删除c:\\inetpub\\iissamples

  2. 删除c:\\inetpub\\scripts

  3. 删除%systemroot%\\system32\\inetsrv\\adminsamples

  4. 删除%systemroot%\\system32\\inetsrv\\iisadmpwd

  5. 删除%systemroot%\\system32\\inetsrv\\iisadmin

  6. 删除c:\\Program Files\\Common Files\\System\\msadc\\Samples

  7. 删除c:\\program files\\common files\\system\\msadc

  3 检查是否配置SSL加密通信

  (1)证书安装:

  打开iis服务管理-----双击主页-----双击服务器证书----导入

  (2)修改网站绑定类型为https,并启用ssl:

  双击网站下的站点----选择右侧操作下的绑定---添加一个https类型-----删除原有的http(如果可以直接将http改为https也行)-----点击ssl设置-----将要求ssl打钩

  4 检查'密码长度最小值'是否设置大于等于8

  打开 '计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码长度最小值',设置大于等于8的数值

  5 检查是否配置日志功能

  1、 打开本地策略 -> 审核策略”中配置的 “审核对象访问”,配置成功和失败

  2、 打开本地策略 -> 审核策略”中配置的 “审核目录服务器访问”,配置成功和失败

  3、 打开本地策略 -> 审核策略”中配置的“审核系统事件”,配置成功和失败

  4、 打开本地策略 -> 审核策略”中配置的“审核帐号管理”,配置成功和失败

  5、 打开本地策略 -> 审核策略”中配置的“审核过程追踪”,配置成功和失败

  6 检查是否使用HTTP 加密协议

  参照步骤3

  7 检查'超级用户启用IIS'是否被禁止

  运行cmd,输入services.msc查看服务,选择WWW服务属性,将服务启动的账号设置为超级用户,看是否被禁止。

  8 检查'审核策略更改'是否设置为成功

  打开计算机配置\\Windows 设置\\安全设置\\本地策略\\审核策略\\审核策略更改 设置为成功和失败

  9 检查'密码必须符合复杂性要求'策略是否启用

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码必须符合复杂性要求,设置为Enable

  10 检查是否自定义错误信息

  将配置文件(applicationHost.config)中

  httpErrors节点下的error配置为statusCode="401"

  prefixLanguageFilePath="%SystemDrive%\inetpub\custerr" path="401.htm"

  11 检查是否配置目录的访问权限

  1、打开“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”,设置“审核规则”配置状态为enable

  2、打开ISM(Internet 服务器管理器) -> 启动 Web 属性页面并选择“目录”选项卡-> 选择 www 目录-> 编辑属性”中的“目录属性”,配置状态为“读取”、“写入”、“记录访问”、“索引资源”

  12 检查'密码最大有效时间'是否大于0并且小于等于90

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码最大有效时间,设置时间大于0并且小于等于90

  13 检查是否禁用非法 HTTP 方法

  打开iis服务管理-----网站下的主页-----双击处理程序映射-----选中名称列下的项(每一项都要配置)---点击编辑---

  请求限制-----选中谓词----下列谓词之一中不能出现DELETE和PUT

  14 检查'强制密码历史'是否大于等于5

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\强制密码历史,设置大于等于5

  15 检查是否删除不必要的脚本映射

  将配置文件(applicationHost.config)中

  configuration/location/system.webServer/handlers/add节点下的path=后面的值中含有*.htr、*.idc、*.stm、*.shtm、*.printer、*.htw、*.ida、*.idq修改为其他值(修改前请先备份好文件)

  16 检查'账号锁定阈值'是否大于0并且小于等于6

  打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\账户锁定策略\\账号锁定阈值,配置大于0并且小于等于6

  17 检查是否更改默认安装路径

  打开“Internet 信息服务(IIS)管理器”选择站点,更改 IIS 默认安装路径

  18 检查是否启用日志功能

  将配置文件(applicationHost.config)中

  configuration/system.webServer/httpLogging节点下的dontLog配置为dontLog="false"

  19 检查是否禁止目录列出

  将配置文件(applicationHost.config)中

  configuration/system.webServer/directoryBrowse节点下的enabled配置为enabled="false"

  

应用程序加固iis7+篇

 

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值