服務(wù)器IIS是什么����?怎么進行安全加固��?服務(wù)器IIS通俗一點說就是做動態(tài)網(wǎng)站時候的一個運行環(huán)境�����,如果沒有它那么你做的網(wǎng)站就測試不了。而Windows®Server的Internet信息服務(wù)(IIS)是一種靈活�,安全且可管理的World Wide Web server,用于承載Web上的任何內(nèi)容����。從媒體流到Web應(yīng)用程序,IIS的可擴展和開放式體系結(jié)構(gòu)隨時可以處理最苛刻的任務(wù)�����。
安全加固:
1���、刪除默認(rèn)站點:
IIS安裝完成之后會在建立一個默認(rèn)站點����,一般建立網(wǎng)站時不需要這個站點���,一方面該站點默認(rèn)占用80端口�����,一方面可能該站點安全性配置較低����。
2、禁用不必要的Web服務(wù)拓展:
ISAPI(Internet服務(wù)器應(yīng)用程序編程接口)拓展或CGI(通用網(wǎng)關(guān)接口)拓展�����。
如果允許未知的ISAPI和CGI拓展在Web服務(wù)器上運行�����,則服務(wù)器可能容易遭受利用這些技術(shù)的計算機病毒或蠕蟲程序的攻擊��。
Active Server Pages擴展
支持asp頁面功能����,假設(shè)網(wǎng)站是asp,此拓展不必開啟����。
ASP.Net V1.1 V2.0等
支持ASP.NET技術(shù)開發(fā)的aspx動態(tài)頁面���,假設(shè)網(wǎng)站是asp�����,此拓展不必開啟����。
FrontPage Server Extensions 2002
支持管理,創(chuàng)建以及瀏覽FrontPage擴展的網(wǎng)站,不需要此擴展可以禁用�����。
WebDAV(Web Distributed Authoring and Versioning)
WebDAV擴展了HTTP.1.1通信協(xié)議的功能�,讓具備適當(dāng)權(quán)限的用戶,可以直接通過瀏覽器�����、網(wǎng)上鄰居來管理服務(wù)器上的webDAV文件夾內(nèi)的文件��。如無必要�����,應(yīng)當(dāng)禁止WebDAV����。
3、IIS訪問權(quán)限配置
為每個網(wǎng)站配置不同的匿名訪問賬戶��,這樣能有效的把網(wǎng)站的權(quán)限分隔開�����。
新建一個匿名用戶:
用戶(右鍵)->添加新用戶
站點(右鍵)->目錄安全性->身份驗證和訪問控制
4、網(wǎng)站目錄權(quán)限配置
目錄有寫入權(quán)限����,一定不要分配執(zhí)行權(quán)限,當(dāng)目錄有了寫入權(quán)限之后�,如果還擁有執(zhí)行權(quán)限的話,黑客上傳木馬后還能執(zhí)行就會讓服務(wù)器成為肉雞�。目錄有執(zhí)行權(quán)限,一定不要分配寫入權(quán)限�,分配執(zhí)行權(quán)限的同時,要保證沒有寫入權(quán)限��,原理和上述相同��,網(wǎng)站上傳目錄和數(shù)據(jù)庫目錄一般需要分配“寫入”權(quán)限�����,但一定不要分配執(zhí)行權(quán)限�����,因為網(wǎng)站需要通過后臺來管理數(shù)據(jù)����,包括上傳圖片和文件,因此需要給數(shù)據(jù)庫和上傳目錄寫入權(quán)限��。其他目錄沒有特別的權(quán)限一般只分配“讀取”和“記錄訪問”權(quán)限����。
站點(右鍵)->添加->Anonymous1的權(quán)限(只允許列出文件夾目錄和讀取權(quán)限)
網(wǎng)站上傳點的權(quán)限
5、刪除不必要的應(yīng)用程序擴展
IIS默認(rèn)支持.asp����、.cdx等8種擴展名的映射,除了.asp之外其他的擴展幾乎用不到��。這些拓展加重了服務(wù)器的負(fù)擔(dān)����,而且我們知道,沒有限制.asa或者.cer等拓展名�����,攻擊者可以更改文件后綴突破上傳限制從而得到webshell���。
站點(右鍵)->設(shè)置如下
配置->刪除.asa和.cer等拓展
只允許管理員控制日志文件
6���、修改IIS日志文件配置
默認(rèn)的日志不會為我們搜索黑客記錄提供很大的幫助�����,所以我們必須擴展W3C日志記錄格式�。
站點(右鍵)->網(wǎng)站->屬性
7�、防止信息泄露
單引號或者其他特殊字符會使asp頁面產(chǎn)生報錯信息,攻擊者將會獲得網(wǎng)站目錄等敏感信息���,因此需要取消asp報錯�。
配置->調(diào)試
8����、自定義IIS Banner信息
面對攻擊者的端口掃描,我們能做的就是修改banner信息來迷惑攻擊者����。
輸入services.msc進入服務(wù)控制臺->關(guān)閉IIS服務(wù)同時找到w3core.dll文件
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
