【中间件安全】IIS6安全加固规范

【中间件安全】IIS6安全加固规范

1. 适用情况

适用于使用IIS6进行部署的Web网站。

2. 技能要求

熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。

3. 前置条件

1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署;

2、 启用IIS

方法一:按Win键+R打开Windows运行,输入inetmgr,回车即可打开;

方法二:开始->管理工具->Internet 信息服务(IIS)管理器。

4. 详细操作

4.1      限制目录执行权限

右键网站目录,对网站用户对目录的权限进行必要的限制,常用于对图片目录、上传目录进行脚本执行权限限制。

 

4.2      开启日志审计

打开IIS管理工具,右击要管理的站点,选择“属性”。在“网站”选择“启用日志记录”。

PS:IIS默认采用的W3C日志格式采用的是UTC时间,系统时间与UTC的时差为8,也就是UTC+8。

默认情况下Web日志存放于系统目录"%systemroot%/system32/LogFiles",将Wb日志文件放在非网站目录和非操作系统分区,并定期对Web日志进行异地备份。

点击网站-右键属性-选择网站选项卡-点击属性 如下图:

4.3      自定义404错误页面

点击网站-右键属性-选择自定义错误选项卡出现如下图:

 

4.4      最佳经验实践

因IIS配置不当,可能导致的安全问题,常见安全漏洞如:WebDAV、目录浏览、FTP匿名访问、IIS短文件名信息泄露、mdb数据库被下载、后台对外开放等。

4.4.1      防止.mdb数据库文件被下载

很多网站都是使用的是asp+access数据库,mdb路径可能被猜解,数据库很容易就被别人下载了,利用IIS设置可有效防止mdb数据库被下载。

步骤一:新建一记事本文件,里面不要填写任何内容,将文件名改为nodownload.dll,拷贝到C:\Windows\System32\

步骤二:打开IIS服务管理器,选择需要设置的站点,点击右键,选择“属性”,打开站点属性对话框,切换到“主目录”选项卡,点击中 下方的“配置”按钮

步骤三:弹出应用程序配置窗口,在“映射”选项卡中点击下方的“添加”按钮,弹出添加/编辑应用程序扩展名映射窗口,点击“浏览”按钮,找到刚才那个nodownload.dll文件,“扩展名”文本框中输入“.mdb”,动作设为:全部动作,点“确定”保存设置。

4.4.2      访问源IP限制

在条件允许的条件下,对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。常用于限制网站管理后台对外开放。

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录,然后右键点击“属性”->目录安全性->IP地址和域名限制->添加允许访问的IP地址。

4.4.3      关闭WebDAV

开始->管理工具->Internet 信息服务(IIS)管理器 选择Web服务扩展->WebDAV,然后右键点击“禁止”,确认选择是,关闭WebDAV。

4.4.4      关闭目录浏览

1、 开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录,然后右键点击“属性”->目录浏览->去掉勾选

 

4.4.5      关闭FTP匿名访问

1、开始->管理工具->Internet 信息服务(IIS)管理器 选择FTP站点,然后右键点击“属性”->安全账户->去掉允许匿名连接。

4.4.6      解决IIS短文件名漏洞

利用URLScan工具过滤URL中的特殊字符(仅针对IIS6)-- 解决IIS短文件名漏洞
1、 URLScan 3.1下载地址:http://www.iis.net/downloads/microsoft/urlscan
2、 看系统位数选择安装程序(32或64位),双击运行urlscan程序

3、 安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
log:日志目录,开启日志记录功能,会在此目录下生成日志文件; urlscan.dll:动态连接库文件;
urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。

4、 IIS管理--网站(右击属性)---ISAPI筛选器--点击添加--输入筛选器名称和可执行文件--点击确定即可。

5、在UrlScan.ini中进行安全设置,
A、以下两个选项需要设置为一,防止因编码、特殊文件夹导致的系统故障:
[options]节点中
AllowHighBitCharacters=1 ;default is 0
AllowDotInPath=1 ;default is 0
B、修复IIS短文件名漏洞:
[DenyUrlSequences]节点中新增波浪号

4.5      风险操作项

4.5.1      停用或删除默认站点

1、IIS安装后的默认主目录是“c:\Inetpub\wwwroot”,为更好地抵抗踩点、刺探等攻击行为,应该更改主目录位置,禁用默认站点,新建立站点并进行安全配置。

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键站点,选择停止或者删除。

4.5.2      删除不必要的脚本映射

1、打开IIS服务管理器,选择需要设置的站点,点击右键,选择“属性”,打开站点属性对话框,切换到“主目录”选项卡,点击中 下方的“配置”按钮,从列表中删除以下不必要的脚本,包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。

删除的原则:只保留需要的脚本映射。

根据需要可以在已经存在的脚本上点击右键进行编辑和删除,也可以自定义添加映射。

4.5.3      设置最大并发连接数

1、打开IIS服务管理器,选择需要设置的站点,点击右键,选择“属性”,打开站点属性对话框,切换到“性能”选项卡,点击中 下方的“网站连接”中,设置连接限制。

4.5.4      独立站点帐户

在Windows server 2003系统下,用IIS架设Web服务器,合理的为每个站点配置独立的Internet来宾账号,这样可以限制Internet 来宾账号的访问权限,只允许其可以读取和执行运行网站所的需要的程序。

1. 选中“我的电脑”右键,选择“管理”,打开“计算机管理”,选择“本地用户和组”,然后点击“用户”,接着“右键”,新建一个用户,如下图:

最后点击“创建”,完成用户创建。

2. 删除新建立的用户属的用户组“USERS”,然后点击“添加”,让用户属于Guests组,如下图:

3、网站设置独立运行用户,加强网站安全

 

4.5.5      独立应用程序池

给网站设置独立运行的程序池,这样每个网站与错误就不会互相影响:

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

posted @ 2018-12-24 09:28 Bypass 阅读(...) 评论(...) 编辑 收藏

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值