IIS介紹
IIS是一種Web(網頁)服務組件,其中包括Web伺服器、FTP伺服器、NNTP伺服器和SMTP伺服器,分別用於網頁瀏覽、文件傳輸、新聞服務和郵件發送等方面
IIS加固
1、刪除默認站點
IIS安裝完成之後會存在一個默認站點,安全性配置較低,可直接刪除。
2、禁用不必要的Web服務拓展
ISAPI(Internet伺服器應用程序編程介面)拓展或CGI(通用網關介面)拓展。如果允許未知的ISAPI和CGI拓展在Web伺服器上運行,則伺服器更容易遭受攻擊。
Active Server Pages擴展支持asp頁面功能,假設網站是靜態網站,此拓展不必開啟。
ASP.Net V1.1 V2.0支持ASP.NET技術開發的aspx動態頁面,假設網站是asp,此拓展不必開啟。
FrontPage Server Extensions 2002支持管理,創建以及瀏覽FrontPage擴展的網站,不需要此擴展可以禁用。
WebDAV(Web Distributed Authoring and Versioning)WebDAV擴展了HTTP.1.1通信協議的功能,讓具備適當許可權的用戶,可以直接通過瀏覽器、網上鄰居來管理伺服器上的webDAV文件夾內的文件。如無必要,應當禁止WebDAV。
3、IIS訪問許可權配置
如果IIS中有多個網站,建議為每個網站配置不同的匿名訪問賬戶。
方法:
a. 新建一個賬號,加入Guests組
b. 「網站屬性」—>「目錄安全性」—>「身份驗證和訪問控制」,把「啟用匿名訪問」處,用剛新建的賬戶代替默認賬戶,下圖所示。
4、網站目錄許可權配置
目錄有寫入許可權,一定不要分配執行許可權
目錄有執行許可權,一定不要分配寫入許可權
網站上傳目錄和資料庫目錄一般需要分配「寫入」許可權,但一定不要分配執行許可權
其他目錄一般只分配「讀取」和「記錄訪問」許可權即可
5、刪除不必要的應用程序擴展
IIS默認支持.asp、.cdx等擴展名的映射,除了.asp之外其他的擴展幾乎用不到。這些拓展加重了伺服器的負擔,而且我們知道,沒有限制.asa或者.cer等拓展名,黑客可以利用上傳漏洞進行攻擊。
站點屬性->主目錄-配置->刪除.asa和.cer等拓展
6、錯誤信息配置
特殊字元會使頁面產生報錯信息,攻擊者將會獲得網站目錄等敏感信息,因此需要取消報錯信息顯示。
7、IIS日誌文件配置
默認的日誌修改為擴展W3C日誌記錄格式。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/208828.html
微信掃一掃 
支付寶掃一掃 