IIS网站安全设置

最新推荐文章于 2024-06-13 18:19:47 发布
最新推荐文章于 2024-06-13 18:19:47 发布
阅读量1.4k 收藏 1
点赞数
文章标签: 服务器 运维 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22993025/article/details/128642573
版权

网站需要IIS配置的地方有很多,比如不安全的HTTP请求方法、禁用目录浏览、IIS短目录枚举等。今天要跟大家分享的是IIS配置网站访问权限和安全。本编文章介绍了三种IIS网站比较常见的安全设置的方法。

1.禁止DELETE、SEARCH、COPY、MOVE、PROPFIND、PROPPATCH、MKCOL、LOCK、UNLOCK、PUT、OPTIONS不安全的HTTP请求方法

IIS—网站—功能视图—请求筛选—添加拒绝谓词,将以上不安全HTTP请求方法添加进去,如下图:

2.禁用目录浏览

IIS—网站—功能视图—目录浏览—打开功能,选择禁用目录浏览。如下图:

3.IIS短目录枚举

Net Framework 框架已是4.5.0以上版本

将:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

修改 NtfsDisable8dot3NameCreation 的值为1

如下图:

1305330116
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS安全配置 - 用IIS建立高安全性Web服务器
前胜的专栏
05-07 533
直接在注册表中的HKEY_CLASSES_ROOT中找到找到"shell.application"、"Wscript.SHELL"等危险的脚本对象(因为它们都是用于创建脚本命令通道的)进行改名或删除对上传文件目录  执行权限 选择 "无"  阻止 上传恶意文件或木马执行禁用脚本调试和向客户端发送详细调试信息 删掉IIS安装时那个缺省网站,删掉pinters等虚拟目录 停止IIS自带
IIS网站漏洞利用
m0_46559879的博客
04-19 2232
网站漏洞利用 网站后台绕过 1、猜测网站的后台管理地址或使用御剑孤独后台扫描工具暴力搜索进入后台登录界面。 2、尝试使用弱密码登录系统,观察登陆界面给出的反馈。 3、输入一些特殊字符,如‘’/±=等,点击登录,观察系统反馈。 4、根据登录界面给出的反馈构造永真的SQL语句绕过登录界面。 5、进入网站后台管理界面。 一般网站的后台地址为http://192.168.167.84<font color="blue">/admin 或/login</font> 一般网站默认用户名和密码为:
IIS安全设置图文教程
09-30
每个站点的根目录为IIS来宾帐号(IUSR_XXXX)的只读权限,站内数据库目录、程序上传目录、数据库备份目录为IIS来宾帐号(IUSR_XXXX)修改权限。
IIS 服务器安全设置
Beret-81的博客
03-29 4107
IIS 服务器安全设置1、IIS 服务器介绍2、身份验证和访问控制IIS 的身份验证概述:IIS 身份验证有如下四种:实际操作:3、设置单独应用程序4、限制目录执行权限5、开启日志审计6、IIS 服务器常见漏洞 1、IIS 服务器介绍 微软的Internet信息服务(IIS)提供了可用于Intranet和Internet或Extranet上的集成Web服务器能力,这种服务器具有可靠性、可扩展性...
渗透测试漏洞大全
最新发布
2301_76786857的博客
06-13 1200
由于开发人员编写源码,开放着将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。应用需要对输入进行检查,不允许用户直接提交未经过验证的数据到服务器,因为这些数据来不可编辑的控件,或者用户没有前端提交的权限,任何可编辑控件必须有阻止恶意的写入或修改的功能。网站登录失败、账号注册、密码找回等功能,有些网站会提示类似“用户名不存在”的错误,攻击者可以通过该提示先猜测出系统存在哪些账号,然后再进一步猜测密码,降低了暴力破解的成本。
IIS配置优化
kalvin_y_liu的博客
10-11 4076
一、 设置应用程序池默认设置二、 常规设置三、 优化回收策略四、 性能五、 IIS初始化(预加载),解决(被回收后)第一次访问慢六、 并发性七、 安全性八、 多服务器IIS集中化管理web通常把站点发布到IIS上运行正常后,很少会去考虑IIS提供的各种参数,如何配置才是最适合当前站点运行需要的?这篇文章,从基本设置、回收机制、性能、并发、安全性等IIS设置讲解应当如何优化。
IIS安全加固手册
告白的博客
12-16 5955
0x00 IIS介绍 由于不同的 Windows 版本,iis日志路径不一样,所以分别介绍如下: Windows Server 2003 iis6日志路径:C:\Windows\System32\LogFiles Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径:C:\inetpub\logs\LogFiles 下面是常见的HTTP状态码: 200 - 请求成功 301 - 资源(网页等)被永久转移到其它URL 404 - 请求的资源(网页等)不存在 5
保护(IIS)web服务器的15个技巧
shinerpipul的专栏
01-06 1106
保护(IIS)web服务器的15个技巧作者:不详  通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。   高级教育机构往往无法在构建充满
IIS配置 安全配置
jackiehome的专栏
07-16 7573
最近,和朋友们在聊及ASP.NET程序的安全性没有JAVA高,IIS(Internet Infomartion Server)的存在很多漏洞(以及新型蠕虫,例如Code Red 和Nimda),安全得不到保障。针对IIS安全性查了些资料,发现IIS安全性曾被普遍关注。权威人士以及Microsoft公司的竞争对手花了大量精力仔细检查并批评了IIS安全功能。Gartner调查公司甚至更进一步建议被
HTTP 安全响应头(Security Response header)配置
qq_42445433的博客
08-11 3158
HTTP 安全响应头(Security Response header)配置
IIS6安全配置大全
05-23
介绍了iis60web服务器配置方法和一般常见问题的处理办法!
详细图示关闭IIS的默认脚本映射,以提高服务器安全性的设置方法
09-30
禁止IIS去执行不在我们计划内的文件类型,可以显著的改善服务器安全环境,下面按步骤说明如何去关闭我们不需要的脚本映射。
多站点IIS用户安全权限设置图解教程
01-10
一、这样配置的好处? 不知大家有没有听过旁注?我简单的解释一下吧:有个人想黑掉A站点,但找来找去都没发现可利用的漏洞,无意中他发现与A同服务器上还有个B站点,并且在B站点上找到了可利用的漏洞,于是他将木马从B站中上传至服务器,如果服务器权限配置不当,那么现在他就可以黑掉服务器上的所有站点了!如果我们为每个站点都建立一个用户,并设置该用户只有访问本站点的权限,那么就能将访问权限控制在每个站点文件夹内,旁注问题也就解决了。 二、准备工作 1、运行环境:Win2K 服务器版 + IIS 5.02、文件系统:各分区文件系统为NTFS3、站点文件夹:E盘下建立两个文件夹web001和web0024、新建
IIS安全设置
11-01
详细介绍IIS安全设置。为系统安全提供安全保障!
IIS安全设置说明文档
01-05
IIS安全设置说明文档,避免网站的攻击
服务器IIS安全加固防御
LuHai3005151872的博客
09-15 733
IS简介: Windows®Server的Internet信息服务(IIS)是一种灵活,安全且可管理的World Wide Web server,用于承载Web上的任何内容。从媒体流到Web应用程序,IIS的可扩展和开放式体系结构随时可以处理最苛刻的任务。 安全加固: 1、删除默认站点: IIS安装完成之后会在建立一个默认站点,一般建立网站时不需要这个站点,一方面该站点默认占用80端口,一方面可能该站点安全配置较低。 2、禁用不必要的Web服务拓展: ISAPI(Internet服务器应用程序编程接口).
IIS安全配置参考
热门推荐
煜铭2011
01-06 1万+
0x01 账号管理 一、 应按照用户分配账号。避免不同用户间共享账号     避免用户账号和设备间通信使用的账号共享(对于IIS用户定义分为两个层次:一、IIS自身操作用户,二、IIS发布应用访问用户)。 操作:         1. 为不同维护人员创建账号:进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的账户和账户组.对应设置IIS
IIS在默认情况并不支持对PUT和DELETE请求的支持
weixin_33895695的博客
07-28 563
IIS在默认情况并不支持对PUT和DELETE请求的支持; IIS拒绝PUT和DELETE请求是由默认注册的一个名为:“WebDAVModule”的自定义HttpModule导致的。WebDAV的全称为:“Web-based Distributed Authoring and Version”它是一个在多用户之间辅助协同编辑和管理在线文档的HTTP扩展.。该扩展使应用程序可以直接将文件写到Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值