IIS安全配置基线

于 2025-01-13 11:21:45 发布
阅读量722 收藏 15
点赞数 7
分类专栏: 信息安全 运维 中间件 文章标签: 安全 IIS 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55159054/article/details/145061211
版权
信息安全 同时被 3 个专栏收录
21 篇文章 0 订阅
订阅专栏
运维
7 篇文章 0 订阅
订阅专栏
中间件
5 篇文章 0 订阅
订阅专栏

IIS安全配置基线

IIS(Internet Information Services)安全部署与安全配置基线是确保IIS服务器稳定运行、保护网站数据安全以及防范潜在安全风险的重要措施。以下是对IIS安全基线配置的详细扩展,涵盖了多个关键的安全实践:

1. 限制目录的执行权限

描述:
在存储上传文件的地方,应严格限制脚本的执行权限。通过限制目录的执行权限,可以防止恶意用户上传包含恶意脚本(如shell文件)的文件,并防止这些文件在服务器上被解析和执行。

实施步骤:

确定哪些目录用于存储上传的文件。
在IIS管理器中,找到这些目录并设置其执行权限为“无”或“仅脚本”。
确保任何文件上传功能都遵循这些限制。
1

2. 开启日志记录功能

描述:
开启日志记录功能对于监控IIS服务器的活动至关重要。通过记录详细的日志信息,管理员可以跟踪和审计服务器上的所有请求和响应,及时发现潜在的安全威胁。

实施步骤:

在IIS管理器中,启用日志记录功能。
设置日志文件的格式和存储位置。
配置日志文件的权限,确保只有授权的管理员可以访问这些文件。
2

3. 自定义错误页面

描述:
自定义错误页面可以防止泄露包括网站具体路径在内的敏感信息。当IIS服务器遇到错误时,可以显示一个定制的页面,而不是显示默认的错误页面,这有助于提升用户体验并减少潜在的安全风险。

实施步骤:

在IIS管理器中,为不同的HTTP错误代码配置自定义的错误页面。
确保这些页面不包含任何敏感信息。

4. 关闭目录浏览功能

描述:
关闭目录浏览功能可以防止未经授权的用户浏览服务器上的文件和目录结构。这有助于减少潜在的安全风险,因为攻击者无法轻松发现服务器上的敏感文件。

实施步骤:

在IIS管理器中,找到相关的网站或目录。
在“目录浏览”功能中,将其设置为“禁用”。
3

5. 停用或删除默认站点

描述:
IIS安装时通常会创建一个默认的网站(Default Web Site)。这个网站如果不使用,应该被停用或删除,以减少潜在的安全风险。

实施步骤:

在IIS管理器中,找到默认的网站。
选择“停止”或“删除”选项。

6. 删除不必要的脚本映射

描述:
脚本映射定义了IIS服务器如何处理不同类型的文件。只保留需要的脚本映射可以减少潜在的安全风险,因为攻击者无法利用未映射的文件类型执行恶意脚本。

实施步骤:

在IIS管理器中,检查现有的脚本映射。
删除任何不必要的脚本映射。

7. 专职低权限用户运行网站

描述:
为了降低安全风险,应该创建一个权限较低的用户账户来运行网站。这样可以减少该账户对系统资源的访问权限,即使该账户被恶意利用,也不会对系统造成太大的影响。

实施步骤:

在Windows操作系统中,创建一个新的用户账户,并为其分配适当的权限。
此类用户包含为站点建立用于匿名访问的用户和为用于应用程序池运行的用户。匿名访问用户属于GUEST组,应用程序池运行用户属于IIS_IUSRS组。
在IIS管理器中,将网站的应用程序池配置为使用该用户账户运行。

8. 在独立的应用程序池中运行网站

描述:
如果同一台IIS服务器上运行多个网站,每个网站都应该运行在单独的应用程序池中。这样可以防止一个网站的安全问题影响到其他网站。

实施步骤:

在IIS管理器中,为每个网站创建一个新的应用程序池。
将每个网站配置为使用其对应的应用程序池运行。

《网络安全自学教程》- IIS安全配置IIS安全基线检查加固
wangyuxiang946的博客
07-16 1万+
IIS基线检查,安全基线加固
IIS安全基线
01-02
本文档规定了 IIS 服务器应当遵循的安全性设置标准,指导系统管理人员进 行 IIS 服务器的安全配置。降低IIS服务器窒风险。
IIS 安全基线 安全加固操作
最新发布
it知识分享 free for nothing..
11-24 1418
IIS 基线安全加固操作
IIS服务器安全配置基线.doc
06-07
IIS服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月 "版本 "版本控制信息 "更新日期 "更新人 "审批人 " "V1.0 "创建 "2009年1月 " " " "V2.0 "更新 "2012年4月 " " " " " " " " " " " " " " " " " " " " " 备注: 1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 目 录 第1章 概述 5 1.1 目的 5 1.2 适用范围 5 1.3 适用版本 5 1.4 实施 5 1.5 例外条款 5 第2章 帐号管理、认证授权 6 2.1 帐号 6 2.1.1 避免帐号共享* 6 2.1.2 删除或锁定无关帐号* 7 2.2 口令 7 2.2.1 密码复杂度 7 2.2.2 密码生存期 8 2.2.3 密码更改 9 2.3 授权 9 2.3.1 用户权利指派* 9 第3章 日志要求 11 3.1 日志配置 11 3.1.1 启用日志功能 11 3.1.2 更改日志存放路径 11 3.1.3 记录安全事件 12 3.1.4 日志访问权限 13 第4章 IP协议安全配置操作 14 4.1 IP协议 14 4.1.1 IP访问限制* 14 4.1.2 IP转发安全性 15 4.1.3 SSL身份认证* 15 第5章 设备其他安全功能要求 17 5.1 屏幕保护 17 5.1.1 屏幕保护配置 17 5.2 文件系统及访问权限 17 5.2.1 更改IIS安装路径 17 5.2.2 删除风险文件* 19 5.2.3 删除非必要脚本映射* 19 5.2.4 按帐户分配日志访问权限* 22 5.3 补丁管理 23 5.3.1 升级补丁* 23 5.4 IIS服务组件 24 5.4.1 组件安装管理* 24 5.4.2 服务扩展管理* 24 第6章 评审与修订 26 第1章 概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的IIS服务器应当 遵循的安全性设置标准,本文档旨在指导系统管理人员进行IIS服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的IIS服 务器系统。 1.3 适用版本 5.0、6.0、7.0、2003等版本。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程 中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因, 送交中国移动通信有限公司管理信息系统部进行审批备案。 第2章 帐号管理、认证授权 2.1 帐号 2.1.1 避免帐号共享* "安全 "IIS帐号共享安全基线要求项 " "基线 " " "项目 " " "名称 " " "安全 "SBL-IIS-02-01-01 " "基线 " " "编号 " " "安全 "应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备" "基线 "间通信使用的帐号共享(对于IIS用户定义分为两个层次:一、IIS自身" "项说 "操作用户,二、IIS发布应用访问用户) " "明 " " "检测 "1、参考配置操作 " "操作 "进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和 " "步骤 "组":根据系统的要求,设定不同的帐户和帐户组.对应设置IIS系统管 " " "理员的权限。 " " "进入IIS管理器->相应网站"属性"->"目录安全性"->"身份访问及访问控" " "制":其中分为"匿名访问身份"及"基本(Basic)验证"。"基本(Basic" " ")验证"包含:"集成windows身份验证"、"Windows域服务器的摘要身份" " "验证"、"基本身份验证"、".NET " " "Passport身份验证";可依据业务应用安全特性,相应配置。 " "基线 "1、判定条件 " "符合 "结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的" "性判 "帐户和帐户组。 " "定依 "2、检测操作 " "据 "进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和 " " "组":查看根据系统的要求,设定不同的帐户和帐户组。 " " "进入IIS管理器->相应网站"属性"->"目录安全性"->"身份访问及访问控" " "制"查看相应配置。 " "备注 "手工判断 " " " " 2.1.2 删除或锁定无关帐号* "安全基"IIS无关帐号安全基线要求项 " "线项目" " "名称 " " "安全基"SBL-IIS-02
IIS安全基线安全加固指南V1.0.pdf
02-20
IIS 安全基线安全加固方法
阿里云IIS安全配置基线
ice_bird的专栏
04-10 1308
1. 确保“debug”已关闭|服务配置 加固建议 要使用UI进行此更改,请执行以下操作: 1.打开IIS管理器并浏览所需的服务器,站点或应用程序 2.在“功能视图”中,双击“ .NET编译” 3.在“ .NET编译”页上的“行为”部分,确保“调试”字段设置为False。 4.完成后,在“操作”窗格中单击“应用”。 2. 确保不允许使用未列出的文件扩展名|服务配置 可以使用IIS管...
IIS服务器安全配置基线.doc编程资料
04-07
IIS服务器安全配置基线.doc
IIS网站安全设置
qq_22993025的博客
01-11 1621
IIS网站安全设置。网站需要IIS配置的地方有很多,比如不安全的HTTP请求方法、禁用目录浏览、IIS短目录枚举等。今天要跟大家分享的是IIS配置网站访问权限和安全。本编文章介绍了三种IIS网站比较常见的安全设置的方法。
iis如何更加的安全配置
https://www.cnblogs.com/zpchcbd/
05-04 615
1、aspx 木马文件可以在asp.net空间中实现读取进程、iis信息、跨站、执行cmd命令。 解决方法 1、对于每个网站建立一个用户、并将用户放入guest组,给站点写入、读取的权限。并在iis上允许匿名访问。 2、 <system.web> < identity impersonate=“true” /> </system.web> 将以上代码复制到C:\...
08.差距评估.安全计算环境之中间件安全基线
老毛的博客
02-21 1973
文章目录 本次从头梳理一下等保2.0涉及到的主要步骤: 等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。 定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。 本节继续分析安全计算环境中的中间件 ...
IIS安全设置说明文档
01-05
IIS安全设置说明文档,避免网站的攻击
Windows Server服务器安全加固基线配置
weixin_44147924的博客
08-25 1832
一、账户管理、认证授权。
IIS 服务器的安全设置
Beret-81的博客
03-29 4662
IIS 服务器的安全设置1、IIS 服务器介绍2、身份验证和访问控制IIS 的身份验证概述:IIS 身份验证有如下四种:实际操作:3、设置单独应用程序4、限制目录执行权限5、开启日志审计6、IIS 服务器常见漏洞 1、IIS 服务器介绍 微软的Internet信息服务(IIS)提供了可用于Intranet和Internet或Extranet上的集成Web服务器能力,这种服务器具有可靠性、可扩展性...
IIS配置优化
kalvin_y_liu的博客
10-11 5174
一、 设置应用程序池默认设置二、 常规设置三、 优化回收策略四、 性能五、 IIS初始化(预加载),解决(被回收后)第一次访问慢六、 并发性七、 安全性八、 多服务器IIS集中化管理web通常把站点发布到IIS上运行正常后,很少会去考虑IIS提供的各种参数,如何配置才是最适合当前站点运行需要的?这篇文章,从基本设置、回收机制、性能、并发、安全性等IIS设置讲解应当如何优化。
IIS服务器中配置SSL安全机制(Windows)
EcmShell的博客
09-24 613
要在IIS服务器中启用SSL,首先需要获得有效的SSL证书。通过在IIS服务器中配置SSL安全机制,您可以为您的网站和应用程序提供更高的安全性。在本文中,我们了解了如何安装和配置SSL证书,并通过示例代码演示了在IIS服务器上启用SSL的过程。请记住,在实际生产环境中,您可能需要采取其他安全措施来增强服务器的安全性,例如配置适当的防火墙规则和访问控制策略。一旦SSL证书安装完成,下一步是在IIS服务器上配置SSL。这段代码会将SSL证书绑定到指定的网站,并配置IIS服务器以使用SSL协议进行通信。
IIS安装配置和简单网站部署流程
海盗Sharp的博客
06-30 9071
Internet Information Services,简称IIS,是微软提供基于windows的互联网信息服务,是一个web服务托管工具,类似于java里面的tomcat,可以托管和发布网站、Web应用程序和Web服务。
IIS配置 安全性配置
jackiehome的专栏
07-16 7747
最近,和朋友们在聊及ASP.NET程序的安全性没有JAVA高,IIS(Internet Infomartion Server)的存在很多漏洞(以及新型蠕虫,例如Code Red 和Nimda),安全得不到保障。针对IIS安全性查了些资料,发现IIS安全性曾被普遍关注。权威人士以及Microsoft公司的竞争对手花了大量精力仔细检查并批评了IIS安全功能。Gartner调查公司甚至更进一步建议被
IIS安全加固手册
告白的博客
12-16 6456
0x00 IIS介绍 由于不同的 Windows 版本,iis日志路径不一样,所以分别介绍如下: Windows Server 2003 iis6日志路径:C:\Windows\System32\LogFiles Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径:C:\inetpub\logs\LogFiles 下面是常见的HTTP状态码: 200 - 请求成功 301 - 资源(网页等)被永久转移到其它URL 404 - 请求的资源(网页等)不存在 5
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鸭梨山大。

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值