IIS介紹
IIS是一種Web(網(wǎng)頁)服務(wù)組件����,其中包括Web服務(wù)器�、FTP服務(wù)器�、NNTP服務(wù)器和SMTP服務(wù)器,分別用于網(wǎng)頁瀏覽����、文件傳輸、新聞服務(wù)和郵件發(fā)送等方面�����。
IIS加固
1�、刪除默認(rèn)站點
IIS安裝完成之后會存在一個默認(rèn)站點,安全性配置較低����,可直接刪除。
2��、禁用不必要的Web服務(wù)拓展
ISAPI(Internet服務(wù)器應(yīng)用程序編程接口)拓展或CGI(通用網(wǎng)關(guān)接口)拓展����。如果允許未知的ISAPI和CGI拓展在Web服務(wù)器上運行,則服務(wù)器更容易遭受攻擊�。Active Server Pages擴展支持asp頁面功能�,假設(shè)網(wǎng)站是靜態(tài)網(wǎng)站���,此拓展不必開啟�。ASP.Net V1.1 V2.0支持ASP.NET技術(shù)開發(fā)的aspx動態(tài)頁面�,假設(shè)網(wǎng)站是asp,此拓展不必開啟����。FrontPage Server Extensions 2002支持管理,創(chuàng)建以及瀏覽FrontPage擴展的網(wǎng)站,不需要此擴展可以禁用���。
WebDAV(Web Distributed Authoring and Versioning)WebDAV擴展了HTTP.1.1通信協(xié)議的功能���,讓具備適當(dāng)權(quán)限的用戶,可以直接通過瀏覽器�����、網(wǎng)上鄰居來管理服務(wù)器上的webDAV文件夾內(nèi)的文件�����。如無必要���,應(yīng)當(dāng)禁止WebDAV�����。
3�����、IIS訪問權(quán)限配置
如果IIS中有多個網(wǎng)站�,建議為每個網(wǎng)站配置不同的匿名訪問賬戶�����。
方法:
a. 新建一個賬號�����,加入Guests組
b. “網(wǎng)站屬性”--->“目錄安全性”--->“身份驗證和訪問控制”����,把“啟用匿名訪問”處,用剛新建的賬戶代替默認(rèn)賬戶�����,下圖所示。
4�、網(wǎng)站目錄權(quán)限配置
目錄有寫入權(quán)限,一定不要分配執(zhí)行權(quán)限
目錄有執(zhí)行權(quán)限�����,一定不要分配寫入權(quán)限
網(wǎng)站上傳目錄和數(shù)據(jù)庫目錄一般需要分配“寫入”權(quán)限���,但一定不要分配執(zhí)行權(quán)限
其他目錄一般只分配“讀取”和“記錄訪問”權(quán)限即可
5�、刪除不必要的應(yīng)用程序擴展
IIS默認(rèn)支持.asp�、.cdx等擴展名的映射,除了.asp之外其他的擴展幾乎用不到�。這些拓展加重了服務(wù)器的負(fù)擔(dān),而且我們知道��,沒有限制.asa或者.cer等拓展名�,黑客可以利用上傳漏洞進(jìn)行攻擊。
站點屬性->主目錄-配置->刪除.asa和.cer等拓展
6���、錯誤信息配置
特殊字符會使頁面產(chǎn)生報錯信息�,攻擊者將會獲得網(wǎng)站目錄等敏感信息�����,因此需要取消報錯信息顯示���。
7�����、IIS日志文件配置
默認(rèn)的日志修改為擴展W3C日志記錄格式�。
作者:safe6安全
原文鏈接:https://www.toutiao.com/article/6813711286346449412/?channel=&source=search_tab
該文章在 2024/1/24 21:59:40 編輯過
400 186 1886
