IIS安全加固手册

最新推荐文章于 2023-12-02 17:47:02 发布
最新推荐文章于 2023-12-02 17:47:02 发布
阅读量6k 收藏 34
点赞数 5
分类专栏: 安全加固 文章标签: 安全 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53577336/article/details/121510089
版权

0x00 IIS介绍

由于不同的 Windows 版本,iis日志路径不一样,所以分别介绍如下:

Windows Server 2003 iis6日志路径:C:\Windows\System32\LogFiles Windows
Server 2008 R2、2012、2016、2019 iis7以上日志路径:C:\inetpub\logs\LogFiles

下面是常见的HTTP状态码:

200 - 请求成功
301 - 资源(网页等)被永久转移到其它URL
404 - 请求的资源(网页等)不存在
500 - 内部服务器错误

0x01 安全加固手册

(一)IIS安全配置
1.删除iis默认站点:
【开始】——【管理工具】——【internet信息服务(IIS)管理器】
选中IIS自带的站点default web site 右击删除。

2.关闭iis目录浏览:
会导致信息泄露,【开始】——【管理工具】——【internet信息服务(IIS)管理器】
找到我们的web站点,点击目录浏览,点击禁用

3.修改默认主页
【右击】——【添加】输入根目录下的起始页 index.html


4.修改网站默认路径
IIS默认路径是非常危险的漏洞,攻击者获得程序发布目录后,便可以利用其他漏洞直接在发布目录中写入木马,访问对应目录即可获得主机权限,应用程序存在于系统盘下的C:\Inetpub\wwwroot下点击基本设置修改物理路径,将我们的网站放到一个自己创建的目录下

5.自定义错误页
默认的iis访问错误页会回显报错信息,有时会发生信息泄露,我们要自定义一个静态的错误页面。
选择站点,在功能视图页面,双击错误页,进入错误页配置页面

6.解决IIS短文件名漏洞
【开始】——【Internet 信息服务(IIS)管理器】选中web站点,双击请求筛选。
在URL添加拒绝序列URL序列设置为【~】

7.卸载不需要的IIS服务
【开始】——【管理工具】-—【服务器管理器】 双击“角色”,在右边最下方可以看见角色服务,点击““删除角色服务”,可对不需要的IIS角色服务进行删除

8.禁用Trace
在一定条件下,攻击者可以利用trace方法进行跨站脚本构造,形成钓鱼网站。Trace在.NET Framework 2.0 应用程序中不显示配置,打开目录C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG下的web.config文件,添加<deployment retail=true>进行禁用

(二)系统安全配置

1.关闭webdav
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。

开始->管理工具->Internet 信息服务(IIS)管理器, 选择一个站点,在功能视图中找到WebDAV创作规则,双击
WebDAV创作规则。点击禁用WebDAV

2.禁用wscript.shell
很危险的服务使用wscript.shell可以实现脚本直接执行exe文件,由于IIS权限默认是SYSTEM,攻击者经常利
用此服务提权最终成为administrators账户。
在cmd下运行

regsvr32 C:\WINNT\System32\WSHom.Ocx /u


3.禁用FSO对象
很危险的服务使用FSO对象,可以实现脚本直接对文件的操作,由于IIS权限默认是SYSTEM,攻击者经常利用
此服务写入一句话木马提权最终成为administrators账户。
在cmd下运行: regsvr32.exe C:\window\System32\scrrun.dll /u

4.添加独立站点账户
在Windows server 2008R2系统下,用IIS架设Web服务器,合理的为每个站点配置独立的Internet来宾账号,这样可以限制Internet 来宾账号的访问权限,只允许其可以读取和执行运行网站所的需要的程序。
【开始】——【管理工具】——【计算机管理】,选择“本地用户和组”,然后点击“用户”,接着“右键”,新建一个用户,如下图,右击刚创建的用户,选中属性,点击隶属于,删除原来的users组,添加一个Guests组。【开始】——【管理工具】——【internet信息服务(IIS)管理器】找到web站点,点击身份验证。右击匿名身份验证,选中编辑,点击设置,输入我们刚刚创建的用户名和密码



5.限制目录执行权限
在IIS中设置需要上传文件的目录,双击处理程序映射,在处理程序映射中,把编辑功能权限中的脚本去掉,这样即使上传了木马文件在此目录,也是无法执行的。

IIS加固完毕!

告白热
关注
  • 5
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
《网络安全自学教程》- IIS安全配置,IIS安全基线检查加固
wangyuxiang946的博客
07-16 6102
IIS基线检查,安全基线加固
‍web (iis)超强加固
frinck的博客
10-09 324
????‍????中间件加固:iis 启动(网站都已dvbbs作为示范) 程序–管理工具–iis服务管理器–网站—dvbbs—右键–属性 修改默认日志的路径:网站—配置—d:\dvbbslog:权限:仅system可读写,administrator:读 日志分析工具:星图full,splunk,biglog 认证:cisp-pte,ire 默认路径:c:\windows\system32\logfile...
如何优雅的关闭一个IIS站点
最新发布
生活在底层的低级码农
12-02 754
AspNetCoreModuleV2shutdownTime默认值为10s。如要修改shutdownTime则需同时关注以上三处设置。.NET Generic Host(应用程序)默认值为5s。IIS应用程序池shutdownTime默认值为90s。
IIS与SQL服务器安全加固详解
软体疯子专栏
11-28 1466
  IIS Web服务器安全加固步骤:    步骤 安装和配置 Windows Server 2003。    注意:  1.将/System32/cmd.exe转移到其他目录或更名;    2.系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;    3.拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作
IIS安全加固
aiquan9342的博客
07-16 352
1 删除IIS默认站点IIS默认安装的站点删除或禁用掉。 2 禁用不必要的Web服务扩展 打开IIS 管理器,检查是否有不必要的“Web服务扩展”,如果有则禁用掉。如下图所示:      3 IIS访问权限配置 如果IIS中有多个网站,建议为每个网站配置不同的匿名访问账户。 方法: a.新建一个账号,加入Guests组 b.“网站属性”--->“目录安全性...
【中间件安全IIS7.0 安全加固规范
12-14 6858
1. 适用情况 适用于使用IIS7进行部署的Web网站。 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。 3. 前置条件 1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署; 2、 启用IIS 方法一:按Win键+R打开Windows运行,输入inetmgr,回车即可打开; 方法二:开始-&gt;管理工具-&gt;Inte...
天融信iis安全加固手册
05-03
北京天融信的IIS安全加固手册,搭建的IIS服务器可通过此文档进行安全加固
IIS6加固手册
12-05
IIS6加固手册IIS6.0服务器安全加固的重要参考文献,本文档提供了详细的加固步骤和安全配置,以帮助管理员和开发者提高IIS6服务器安全性。 IIS6安全加固的重要性: 在当今的网络环境中,IIS服务器面临着各种...
信息安全系统加固手册合辑.zip
10-27
信息系统基线规范、安全加固手册合集: 包括网络设备(华为、Cisco、Juniper) 数据库(oracle、mssql、DB2) web服务器(Apache、IIS) 操作系统(AIX、linux、Solaris、HP-UNIX、Windows) 中间件(Tomcat、...
IIS6.0安全和加固
03-21
1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署; 2、 启用IIS 方法一:按Win键+R打开Windows运行,输入inetmgr,回车即可打开; 方法二:开始->管理工具->Internet 信息服务(IIS)管理器。
IIS安全基线及安全加固指南V1.0.pdf
02-20
IIS 安全基线及安全加固方法
IIS加固及配置文档
09-21
防范网络对IIS攻击,加固IIS,从加固的基本原则,服务器安全,身份认证与授权,SSL与TLS等方面进行讲解及配置。
iis系统加固规范
03-06
iis系统加固规范,系统加固指南,系统漏洞检查规范
IIS服务器安全配置防木马权限设置
03-22
IIS服务器安全配置防木马权限设置,对配置服务器不错
安全加固手册
04-22
cisco网络设备,IIS安全配置手册,Oracle数据库系统安全,主机安全设置手册-Linux系统,信息安全加固实施指南(试行)windows2003Weblogic Server安全检查,SQL Server数据库安全配置手册配置手册
服务器IIS安全加固防御
LuHai3005151872的博客
08-25 324
IS简介: Windows®Server的Internet信息服务(IIS)是一种灵活,安全且可管理的World Wide Web server,用于承载Web上的任何内容。从媒体流到Web应用程序,IIS的可扩展和开放式体系结构随时可以处理最苛刻的任务。 安全加固: 1、删除默认站点IIS安装完成之后会在建立一个默认站点,一般建立网站时不需要这个站点,一方面该站点默认占用80端口,一方面可能该站点安全性配置较低。 2、禁用不必要的Web服务拓展: ISAPI(Internet服务器应用程序编程接口)拓
IIS加固
qq_45174221的博客
02-11 444
IIS服务器可以通过修改以下配置来加强网站的的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

告白热

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值