1. 适用情况

适用于使用IIS7进行部署的Web网站。

2. 技能要求

熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。

3. 前置条件

1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署;

2、 启用IIS

方法一:按Win键+R打开Windows运行,输入inetmgr,回车即可打开;

方法二:开始->管理工具->Internet 信息服务(IIS)管理器。

4. 详细操作

4.1      限制目录执行权限

1、在IIS中设置需要上传文件的目录,双击处理程序映射

2、在处理程序映射中,把编辑功能权限中的脚本去掉,这样即使上传了木马文件在此目录,也是无法执行的。

4.2      开启日志审计

1、打开IIS管理工具,选择需要设置日志的站点,切换到功能视图,双击日志,进入日志配置界面。

2、默认情况下Web日志存放于系统目录" %SystemDrive%\inetpub\logs\LogFiles",将Wb日志文件放在非网站目录和非操作系统分区,并定期对Web日志进行异地备份。

双击日志,可进行日志属性的设置如下图:

4.3      自定义404错误页面

1、选择站点,在功能视图页面,双击错误页,进入错误页配置页面:

2、选择404状态代码,进入自定义错误页编辑状态:

4.4      最佳经验实践

4.4.1      防止.mdb数据库文件被下载

很多网站都是使用的是asp+access数据库,mdb路径可能被猜解,数据库很容易就被别人下载了,利用IIS设置可有效防止mdb数据库被下载。

步骤一:在 C:\Windows\System32\inetsrv\config目录下找到applicationHost文件;

步骤二:打开applicationHost文件,选择requestFiltering 下的节点:    <add fileExtension=".mdb" allowed="false" />,修改allowed的值为“false”,mdb文件不能被下载。

步骤三:保存后,即无法下载.mdb数据库文件。

4.4.2      访问源IP限制

在条件允许的条件下,对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。常用于限制网站管理后台对外开放。

1、开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录,然后在功能视图中找到IP地址和域名限制,双击IP地址和域名限制进入设置。

2、在IP地址和域限制中,添加允许条目

4.4.3      关闭WebDAV

开始->管理工具->Internet 信息服务(IIS)管理器, 选择一个站点,在功能视图中找到WebDAV创作规则,双击 WebDAV创作规则,进入设置:

2、在WebDAV创作规则中,选择禁用WebDAV

4.4.4      关闭目录浏览

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录,然后在功能视图页面找到“目录浏览”,双击进入目录浏览设置页面:

2、在最右边,操作栏进行“禁用”,即可禁用目录浏览

4.4.5      关闭FTP匿名访问

开始->管理工具->Internet 信息服务(IIS)管理器 点击WIN-主机名后在中间位置FTP栏找到FTP身份验证,双击进入;

右键匿名身份验证->禁用,即可关闭FTP匿名访问

4.4.6      解决IIS短文件名漏洞

1、打开Internet 信息服务(IIS)管理器,选择站点,在功能视图界面,双击请求筛选

2、在URLà添加拒绝序列àURL序列设置为【~】

4.5      风险操作项

4.5.1      停用或删除默认站点

IIS安装后的默认主目录是“C:\inetpub\wwwroot”,为更好地抵抗踩点、刺探等攻击行为,应该更改主目录位置,禁用默认站点,新建立站点并进行安全配置。

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键站点,选择停止或者删除。

4.5.2      删除不必要的脚本映射

打开IIS服务管理器,选择需要设置的站点,找到“处理程序映射”双击,从列表中删除以下不必要的脚本。

包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。

删除的原则:只保留需要的脚本映射。

根据需要可以在已经存在的脚本上点击右键进行编辑和删除,也可以自定义添加映射。

4.5.3      设置最大并发连接数

打开IIS服务管理器,选择需要设置的站点,点击浏览网站下的“高级设置“,打开高级设置对话框,切换到“连接限制”选项卡,设置连接限制,包括最大并发连接数等的设置。

4.5.4      独立站点帐户

在Windows server 2008R2系统下,用IIS架设Web服务器,合理的为每个站点配置独立的Internet来宾账号,这样可以限制Internet 来宾账号的访问权限,只允许其可以读取和执行运行网站所的需要的程序。

1. 选中“我的电脑”右键,选择“管理”,打开“计算机管理”,选择“本地用户和组”,然后点击“用户”,接着“右键”,新建一个用户,如下图:

最后点击“创建”,完成用户创建。

2. 删除新建立的用户属的用户组“USERS”,然后点击“添加”,让用户属于Guests组,如下图:

3、网站设置独立运行用户,加强网站安全

4.5.5      独立应用程序池

给网站设置独立运行的程序池,这样每个网站与错误就不会互相影响:

4.5.6      卸载不需要的IIS角色服务

开始->管理工具->服务器管理器”  双击“角色”,在右边最下方可以看见角色服务,点击““删除角色服务”,可对不需要的IIS角色服务进行删除。

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

1、打开Internet 信息服务(IIS)管理器,选择站点,在功能视图界面,双击请求筛选

2、在URLà添加拒绝序列àURL序列设置为【~】

【中间件安全】IIS7.0 安全加固规范的更多相关文章

  1. 【中间件安全】Jboss安全加固规范

    1. 适用情况 适用于使用Jboss进行部署的Web网站. 适用版本:5.x版本的Jboss服务器 2. 技能要求 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加 ...

  2. 【中间件安全】IIS6安全加固规范

    1. 适用情况 适用于使用IIS6进行部署的Web网站. 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固. 3. 前置条件 1. 根据站点开放端口.进程 ...

  3. 【中间件安全】Nginx 安全加固规范

    1. 适用情况 适用于使用Nginx进行部署的Web网站. 2. 技能要求 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固. 3. 前置条件 1. 根据站点开放端口 ...

  4. 【中间件安全】Tomcat 安全加固规范

    1. 适用情况 适用于使用Tomcat进行部署的Web网站. 2. 技能要求 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固. 3. 前置条件 1.根 ...

  5. 【中间件安全】Apache 安全加固规范

    1. 适用情况 适用于使用Apahce进行部署的Web网站. 2. 技能要求 熟悉Apache配置文件,能够利用Apache进行建站,并能针对站点使用Apache进行安全加固. 3. 前置条件 1. ...

  6. 【中间件安全】WebSphere安全加固规范

    1. 适用情况 适用于使用WebSphere进行部署的Web网站. 2. 技能要求 熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加 ...

  7. 【中间件安全】Weblogic 安全加固规范

    1. 适用情况 适用于使用Weblogic进行部署的Web网站. 2. 技能要求 熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固. 3 ...

  8. 使用Owin中间件搭建OAuth2.0认证授权服务器

    前言 这里主要总结下本人最近半个月关于搭建OAuth2.0服务器工作的经验.至于为何需要OAuth2.0.为何是Owin.什么是Owin等问题,不再赘述.我假定读者是使用Asp.Net,并需要搭建OA ...

  9. iis7.0与asp.net的运行原理

    IIS7.0 IIS7.0主要引入了WAS(Windows Process Activation,不同于6.0中的Web Admin Service),分担了原来w3svc的部分功能,同时为IIS7. ...

随机推荐

  1. Winform 打包 混淆 自动更新

    路径: 最终的解决方案是,ConfuserEx+Installshield+AutoUpdater.NET,ConfuserEx做代码混淆工作,Installshield可以解决注册表的问题,Auto ...

  2. Keras模型的导出和pb文件的转换

    Keras有两种类型的模型,序贯模型(Sequential)和函数式模型(Model),函数式模型应用更为广泛,序贯模型是函数式模型的一种特殊情况. 两类模型有一些方法是相同的: model.summ ...

  3. Go语言之高级篇beego框架之Controller

    一.Controller 控制器 Controller等同于Django里的view,处理逻辑都是在Controller里面完成的,下面就写一个最简单的Controller.写controller的时 ...

  4. Python中文转拼音代码(支持全拼和首字母缩写)

    本文的代码,从https://github.com/cleverdeng/pinyin.py升级得来,针对原文的代码,做了以下升级:     1 2 3 4 1.可以传入参数firstcode:如果为 ...

  5. nodejs sass安装报错一招解决

    背景: 这个问题不是一天两天了,有时候是网速不行,有时候是被墙了,有时候是github把node-sass的包转移目录导致下载失败. Cannot download "https://git ...

  6. eclipse:报错信息The superclass "javax.servlet.http.HttpServlet" was not found on the Java Build Path

    JavaWeb: 报错信息The superclass "javax.servlet.http.HttpServlet" was not found on the Java Bui ...

  7. Android——SeekBar(拖动条)相关知识总结贴

    Android进度条(ProgressBar)拖动条(SeekBar)星级滑块(RatingBar)的例子 http://www.apkbus.com/android-51326-1-1.html A ...

  8. CentOS下网卡启动、配置等ifcfg-eth0教程(转)

    步骤1.配置/etc/sysconfig/network-scripts/ifcfg-eth0 里的文件.it动力的CentOS下的ifcfg-eth0的配置详情: [root@localhost ~ ...

  9. arcgis server瓦片行列号计算

    2013-08-01 arcgis server切图时会设置一个原点坐标,如果是经纬度坐标一般默认(x0,y0)=(-400,400)作为切图的起始点,即从这开始算行列号.假设切图的地图某点坐标为x, ...

  10. Hyper-V 怎样拷贝文件至虚拟硬盘并附加到虚拟机上

    对于大文件来说,通过远程桌面拷贝是件麻烦的事情,虽然简单,但速度受限太多,不推荐使用. 我工作中对于大文件的拷贝,通过创建一个新的虚拟硬盘(VHD),再把大文件拷贝至虚拟硬盘中,最后附加到虚拟机上. ...