欢迎各位添加微信号:qinchang_198231
加入安全+ 交流群 和大佬们一起交流安全技术
0x01 前言
又到了木偶人哈克尔的笔记分享~有人期待吗~
这次的内容接之前中间件方面的加固,分享一下IIS加固的笔记。就以手里的IIS6.0为例了。
0x02 卸载不需要的IIS组件
检查方法:
“控制面板”-“添加删除程序”-“Windows组件向导”-“应用程序服务器”-“Internet信息服务”
加固方法:卸载不需要的IIS组件:
FontPage 2002 ServerExtensions
Internet打印
NNTP Service
SMTP Service
文件传输协议FTP服务
在命令行下使用netuser命令查看IIS服务的用户信息
查看IIS匿名访问用户是否属于guest组: netuser IUSR_主机名 查看IIS启动用户是否属于IIS_WPG组: netuser IWAM_主机名 查看asp.net用户是否属于user组: netuser aspnet
操作目的:服务器有多个IP地址时,只监听提供服务的IP地址
检查方法:
在IIS6管理器中,右键选择站点的“属性”,点击“网站”选项卡,查看“IP地址”中是否绑定IP地址
操作目的:对敏感数据的传输,应该使用SSL加密,防止数据被嗅探
检查方法:
在IIS6管理器中,右键选择站点的“属性”,点击“目录安全性”选项卡,点击“安全通信”的编辑按钮,查看是否启用SSL
操作目的:正确设置网站目录权限和IIS权限
检查方法:
(1)检查网站目录的文件系统权限 (2)在IIS6管理器中,右键选择站点的“属性”,点击“主目录”选项卡,查看设置加固方法:
(1)网站目录所在磁盘应该是NTFS格式,网站目录除SYSTEM用户和administrators组有完全控制权限外,其余用户和组都只应设置为读取和执行权限 (2)IIS6管理器中设置: 只选择“读取、记录访问、索引资源” 禁止“写入”和“脚本资源访问”,避免IISPut上传攻击 禁止“目录浏览”,避免目录遍历攻击 应用程序设置中的“执行权限”设置为“纯脚本”
操作目的:对网站或敏感目录的访问IP进行限制
检查方法:
在IIS6管理器中,右键选择站点的“属性”,点击“目录安全性”选项卡,点击“IP地址和域名限制”的编辑按钮,查看是否设置IP地址访问限制
操作目的:删除不使用的应用程序扩展
检查方法:
在IIS6管理器中,右键选择站点的“属性”,点击“主目录”选项卡,点击“应用程序设置”的配置按钮加固方法:
删除不使用的应用程序扩展 例如: 如果只使用xxx.asp的程序,则可以删除“.asa、.cdx、.cer”扩展名的映射;还有“.shtm、.shtml、.stm”映射,如果不使用也可以删除
操作目的:禁用不使用的web服务扩展
检查方法:在IIS6管理器中,点击左侧的“web服务扩展”菜单
操作目的:禁止动态脚本在上传目录的运行权限,防止攻击者绕过过滤系统上传webshell
检查方法:询问开发工程师,找到存放上传文件的目录
加固方法:
在IIS6管理器中,右键选择站点中上传目录的“属性”,点击“主目录”选项卡,点击“应用程序设置”的“执行权限”下拉菜单,选择“无”
操作目的:正确设置IIS日志
检查方法:
在IIS6管理器中,右键选择站点的“属性”,点击“网站”选项卡,确认已经选择“启用日志记录”,活动日志格式为“W3C扩充日志文件格式”
加固方法:
如果没有启用日志记录,请立即启用;可以修改日志文件的目录及日志记录的内容;还可以在扩展日志选项中勾选上“Cookie(Cookie)”和“引用站点(Referer)”,但需要确定此操作是否影响IIS服务性能。
操作目的:自定义IIS返回的错误信息
检查方法:
在IIS6管理器中,右键选择站点的“属性”,点击“自定义错误”选项卡,查看HTTP错误信息
只能尽我所能,把自己学习过的为大家分享一下,目的只是能够共同进步,又不恰当的地方欢迎指正,大佬轻喷~~
看一看,点个收藏,关注一下信安旅程~有需要的时候还能拿出来翻翻!
710
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
