应用程序加固iis7+篇

　　1 检查是否设置上传目录权限

　　（1）、设置权限：

　　打开iis服务管理-----双击主页----点击处理程序映射----选择右侧操作的打开功能----选择右侧操作的编辑功能权限------将脚本和执行的√去掉(也可以只去掉执行的√)

　　2 检查是否删除危险的实例文件

　　仅供参考：

　　1. 删除c:\\inetpub\\iissamples

　　2. 删除c:\\inetpub\\scripts

　　3. 删除%systemroot%\\system32\\inetsrv\\adminsamples

　　4. 删除%systemroot%\\system32\\inetsrv\\iisadmpwd

　　5. 删除%systemroot%\\system32\\inetsrv\\iisadmin

　　6. 删除c:\\Program Files\\Common Files\\System\\msadc\\Samples

　　7. 删除c:\\program files\\common files\\system\\msadc

　　3 检查是否配置SSL加密通信

　　（1）证书安装：

　　打开iis服务管理-----双击主页-----双击服务器证书----导入

　　（2）修改网站绑定类型为https，并启用ssl：

　　双击网站下的站点----选择右侧操作下的绑定---添加一个https类型-----删除原有的http（如果可以直接将http改为https也行）-----点击ssl设置-----将要求ssl打钩

　　4 检查'密码长度最小值'是否设置大于等于8

　　打开 '计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码长度最小值'，设置大于等于8的数值

　　5 检查是否配置日志功能

　　1、 打开本地策略 -> 审核策略”中配置的 “审核对象访问”，配置成功和失败

　　2、 打开本地策略 -> 审核策略”中配置的 “审核目录服务器访问”，配置成功和失败

　　3、 打开本地策略 -> 审核策略”中配置的“审核系统事件”，配置成功和失败

　　4、 打开本地策略 -> 审核策略”中配置的“审核帐号管理”，配置成功和失败

　　5、 打开本地策略 -> 审核策略”中配置的“审核过程追踪”，配置成功和失败

　　6 检查是否使用HTTP 加密协议

　　参照步骤3

　　7 检查'超级用户启用IIS'是否被禁止

　　运行cmd，输入services.msc查看服务，选择WWW服务属性，将服务启动的账号设置为超级用户，看是否被禁止。

　　8 检查'审核策略更改'是否设置为成功

　　打开计算机配置\\Windows 设置\\安全设置\\本地策略\\审核策略\\审核策略更改 设置为成功和失败

　　9 检查'密码必须符合复杂性要求'策略是否启用

　　打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码必须符合复杂性要求，设置为Enable

　　10 检查是否自定义错误信息

　　将配置文件（applicationHost.config）中

　　httpErrors节点下的error配置为statusCode="401"

　　prefixLanguageFilePath="%SystemDrive%\inetpub\custerr" path="401.htm"

　　11 检查是否配置目录的访问权限

　　1、打开“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”，设置“审核规则”配置状态为enable

　　2、打开ISM（Internet 服务器管理器） -> 启动 Web 属性页面并选择“目录”选项卡-> 选择 www 目录-> 编辑属性”中的“目录属性”，配置状态为“读取”、“写入”、“记录访问”、“索引资源”

　　12 检查'密码最大有效时间'是否大于0并且小于等于90

　　打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码最大有效时间，设置时间大于0并且小于等于90

　　13 检查是否禁用非法 HTTP 方法

　　打开iis服务管理-----网站下的主页-----双击处理程序映射-----选中名称列下的项（每一项都要配置）---点击编辑---

　　请求限制-----选中谓词----下列谓词之一中不能出现DELETE和PUT

　　14 检查'强制密码历史'是否大于等于5

　　打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\强制密码历史，设置大于等于5

　　15 检查是否删除不必要的脚本映射

　　将配置文件（applicationHost.config）中

　　configuration/location/system.webServer/handlers/add节点下的path=后面的值中含有*.htr、*.idc、*.stm、*.shtm、*.printer、*.htw、*.ida、*.idq修改为其他值（修改前请先备份好文件）

　　16 检查'账号锁定阈值'是否大于0并且小于等于6

　　打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\账户锁定策略\\账号锁定阈值，配置大于0并且小于等于6

　　17 检查是否更改默认安装路径

　　打开“Internet 信息服务(IIS)管理器”选择站点，更改 IIS 默认安装路径

　　18 检查是否启用日志功能

　　将配置文件（applicationHost.config）中

　　configuration/system.webServer/httpLogging节点下的dontLog配置为dontLog="false"

　　19 检查是否禁止目录列出

　　将配置文件（applicationHost.config）中

　　configuration/system.webServer/directoryBrowse节点下的enabled配置为enabled="false"