IIS介紹
IIS是一種Web(網頁)服務組件,其中包括Web服務器�、FTP服務器����、NNTP服務器和SMTP服務器�����,分別用于網頁瀏覽、文件傳輸���、新聞服務和郵件發送等方面。
IIS加固
1����、刪除默認站點
IIS安裝完成之后會存在一個默認站點,安全性配置較低�,可直接刪除��。
2、禁用不必要的Web服務拓展
ISAPI(Internet服務器應用程序編程接口)拓展或CGI(通用網關接口)拓展��。如果允許未知的ISAPI和CGI拓展在Web服務器上運行�����,則服務器更容易遭受攻擊���。Active Server Pages擴展支持asp頁面功能���,假設網站是靜態網站�����,此拓展不必開啟。ASP.Net V1.1 V2.0支持ASP.NET技術開發的aspx動態頁面,假設網站是asp�,此拓展不必開啟����。FrontPage Server Extensions 2002支持管理,創建以及瀏覽FrontPage擴展的網站�����,不需要此擴展可以禁用���。
WebDAV(Web Distributed Authoring and Versioning)WebDAV擴展了HTTP.1.1通信協議的功能�����,讓具備適當權限的用戶�,可以直接通過瀏覽器、網上鄰居來管理服務器上的webDAV文件夾內的文件����。如無必要�����,應當禁止WebDAV。
3�����、IIS訪問權限配置
如果IIS中有多個網站����,建議為每個網站配置不同的匿名訪問賬戶。
方法:
a. 新建一個賬號���,加入Guests組
b. “網站屬性”--->“目錄安全性”--->“身份驗證和訪問控制”,把“啟用匿名訪問”處���,用剛新建的賬戶代替默認賬戶���,下圖所示��。
4、網站目錄權限配置
目錄有寫入權限,一定不要分配執行權限
目錄有執行權限����,一定不要分配寫入權限
網站上傳目錄和數據庫目錄一般需要分配“寫入”權限�,但一定不要分配執行權限
其他目錄一般只分配“讀取”和“記錄訪問”權限即可
5�、刪除不必要的應用程序擴展
IIS默認支持.asp、.cdx等擴展名的映射,除了.asp之外其他的擴展幾乎用不到����。這些拓展加重了服務器的負擔,而且我們知道�,沒有限制.asa或者.cer等拓展名��,黑客可以利用上傳漏洞進行攻擊。
站點屬性->主目錄-配置->刪除.asa和.cer等拓展
6����、錯誤信息配置
特殊字符會使頁面產生報錯信息���,攻擊者將會獲得網站目錄等敏感信息���,因此需要取消報錯信息顯示��。
7、IIS日志文件配置
默認的日志修改為擴展W3C日志記錄格式�。
作者:safe6安全
原文鏈接:https://www.toutiao.com/article/6813711286346449412/?channel=&source=search_tab
該文章在 2024/1/24 21:59:40 編輯過
400 186 1886
