【中間件安全】IIS6安全加固規(guī)范

1. 適用情況

適用于使用IIS6進(jìn)行部署的Web網(wǎng)站。

2. 技能要求

熟悉IIS配置操作，能夠利用IIS進(jìn)行建站，并能針對(duì)站點(diǎn)使用IIS進(jìn)行安全加固。

3. 前置條件

1、 根據(jù)站點(diǎn)開放端口、進(jìn)程ID、確認(rèn)站點(diǎn)采用IIS進(jìn)行部署；

2、 啟用IIS

方法一：按Win鍵+R打開Windows運(yùn)行，輸入inetmgr,回車即可打開；

方法二：開始->管理工具->Internet 信息服務(wù)(IIS)管理器。

4. 詳細(xì)操作

4.1????? 限制目錄執(zhí)行權(quán)限

右鍵網(wǎng)站目錄，對(duì)網(wǎng)站用戶對(duì)目錄的權(quán)限進(jìn)行必要的限制，常用于對(duì)圖片目錄、上傳目錄進(jìn)行腳本執(zhí)行權(quán)限限制。

?

4.2????? 開啟日志審計(jì)

打開IIS管理工具，右擊要管理的站點(diǎn)，選擇“屬性”。在“網(wǎng)站”選擇“啟用日志記錄”。

PS：IIS默認(rèn)采用的W3C日志格式采用的是UTC時(shí)間，系統(tǒng)時(shí)間與UTC的時(shí)差為8，也就是UTC+8。

默認(rèn)情況下Web日志存放于系統(tǒng)目錄"%systemroot%/system32/LogFiles"，將Wb日志文件放在非網(wǎng)站目錄和非操作系統(tǒng)分區(qū)，并定期對(duì)Web日志進(jìn)行異地備份。

點(diǎn)擊網(wǎng)站-右鍵屬性-選擇網(wǎng)站選項(xiàng)卡-點(diǎn)擊屬性 如下圖：

4.3????? 自定義404錯(cuò)誤頁面

點(diǎn)擊網(wǎng)站-右鍵屬性-選擇自定義錯(cuò)誤選項(xiàng)卡出現(xiàn)如下圖：

?

4.4? ? ? 最佳經(jīng)驗(yàn)實(shí)踐

因IIS配置不當(dāng)，可能導(dǎo)致的安全問題，常見安全漏洞如：WebDAV、目錄瀏覽、FTP匿名訪問、IIS短文件名信息泄露、mdb數(shù)據(jù)庫被下載、后臺(tái)對(duì)外開放等。

4.4.1????? 防止.mdb數(shù)據(jù)庫文件被下載

很多網(wǎng)站都是使用的是asp+access數(shù)據(jù)庫，mdb路徑可能被猜解，數(shù)據(jù)庫很容易就被別人下載了，利用IIS設(shè)置可有效防止mdb數(shù)據(jù)庫被下載。

步驟一：新建一記事本文件，里面不要填寫任何內(nèi)容，將文件名改為nodownload.dll，拷貝到C:\Windows\System32\

步驟二：打開IIS服務(wù)管理器，選擇需要設(shè)置的站點(diǎn)，點(diǎn)擊右鍵，選擇“屬性”，打開站點(diǎn)屬性對(duì)話框，切換到“主目錄”選項(xiàng)卡，點(diǎn)擊中 下方的“配置”按鈕

步驟三：彈出應(yīng)用程序配置窗口，在“映射”選項(xiàng)卡中點(diǎn)擊下方的“添加”按鈕，彈出添加/編輯應(yīng)用程序擴(kuò)展名映射窗口，點(diǎn)擊“瀏覽”按鈕，找到剛才那個(gè)nodownload.dll文件，“擴(kuò)展名”文本框中輸入“.mdb”，動(dòng)作設(shè)為：全部動(dòng)作，點(diǎn)“確定”保存設(shè)置。

4.4.2????? 訪問源IP限制

在條件允許的條件下，對(duì)IIS訪問源進(jìn)行IP范圍限制。只有在允許的IP范圍內(nèi)的主機(jī)才可以訪問WWW服務(wù)。常用于限制網(wǎng)站管理后臺(tái)對(duì)外開放。

開始->管理工具->Internet 信息服務(wù)(IIS)管理器 選擇相應(yīng)的站點(diǎn)目錄，然后右鍵點(diǎn)擊“屬性”->目錄安全性->IP地址和域名限制->添加允許訪問的IP地址。

4.4.3????? 關(guān)閉WebDAV

開始->管理工具->Internet 信息服務(wù)(IIS)管理器 選擇Web服務(wù)擴(kuò)展->WebDAV，然后右鍵點(diǎn)擊“禁止”，確認(rèn)選擇是，關(guān)閉WebDAV。

4.4.4????? 關(guān)閉目錄瀏覽

1、 開始->管理工具->Internet 信息服務(wù)(IIS)管理器 選擇相應(yīng)的站點(diǎn)目錄，然后右鍵點(diǎn)擊“屬性”->目錄瀏覽->去掉勾選

?

4.4.5????? 關(guān)閉FTP匿名訪問

1、開始->管理工具->Internet 信息服務(wù)(IIS)管理器 選擇FTP站點(diǎn)，然后右鍵點(diǎn)擊“屬性”->安全賬戶->去掉允許匿名連接。

4.4.6????? 解決IIS短文件名漏洞

利用URLScan工具過濾URL中的特殊字符（僅針對(duì)IIS6）-- 解決IIS短文件名漏洞
1、 URLScan 3.1下載地址：http://www.iis.net/downloads/microsoft/urlscan
2、 看系統(tǒng)位數(shù)選擇安裝程序（32或64位），雙擊運(yùn)行urlscan程序

3、 安裝完成以后，我們可以在System32/InetSvr/URLScan目錄下找到以下文件：
log：日志目錄，開啟日志記錄功能，會(huì)在此目錄下生成日志文件； urlscan.dll：動(dòng)態(tài)連接庫文件；
urlscan.ini：軟件配置文件，這個(gè)文件很只要，因?yàn)閷?duì)URLScan的所有配置，均有這個(gè)文件來完成。

4、 IIS管理--網(wǎng)站（右擊屬性）---ISAPI篩選器--點(diǎn)擊添加--輸入篩選器名稱和可執(zhí)行文件--點(diǎn)擊確定即可。

5、在UrlScan.ini中進(jìn)行安全設(shè)置，
A、以下兩個(gè)選項(xiàng)需要設(shè)置為一，防止因編碼、特殊文件夾導(dǎo)致的系統(tǒng)故障：
[options]節(jié)點(diǎn)中
AllowHighBitCharacters=1 ;default is 0
AllowDotInPath=1 ;default is 0
B、修復(fù)IIS短文件名漏洞:
[DenyUrlSequences]節(jié)點(diǎn)中新增波浪號(hào)

4.5? ? ? 風(fēng)險(xiǎn)操作項(xiàng)

4.5.1????? 停用或刪除默認(rèn)站點(diǎn)

1、IIS安裝后的默認(rèn)主目錄是“c:\Inetpub\wwwroot”，為更好地抵抗踩點(diǎn)、刺探等攻擊行為，應(yīng)該更改主目錄位置，禁用默認(rèn)站點(diǎn)，新建立站點(diǎn)并進(jìn)行安全配置。

開始->管理工具->Internet 信息服務(wù)(IIS)管理器 選擇相應(yīng)的站點(diǎn)，然后右鍵站點(diǎn)，選擇停止或者刪除。

4.5.2????? 刪除不必要的腳本映射

1、打開IIS服務(wù)管理器，選擇需要設(shè)置的站點(diǎn)，點(diǎn)擊右鍵，選擇“屬性”，打開站點(diǎn)屬性對(duì)話框，切換到“主目錄”選項(xiàng)卡，點(diǎn)擊中 下方的“配置”按鈕，從列表中刪除以下不必要的腳本，包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。

刪除的原則：只保留需要的腳本映射。

根據(jù)需要可以在已經(jīng)存在的腳本上點(diǎn)擊右鍵進(jìn)行編輯和刪除，也可以自定義添加映射。

4.5.3????? 設(shè)置最大并發(fā)連接數(shù)

1、打開IIS服務(wù)管理器，選擇需要設(shè)置的站點(diǎn)，點(diǎn)擊右鍵，選擇“屬性”，打開站點(diǎn)屬性對(duì)話框，切換到“性能”選項(xiàng)卡，點(diǎn)擊中 下方的“網(wǎng)站連接”中，設(shè)置連接限制。

4.5.4????? 獨(dú)立站點(diǎn)帳戶

在Windows server 2003系統(tǒng)下，用IIS架設(shè)Web服務(wù)器，合理的為每個(gè)站點(diǎn)配置獨(dú)立的Internet來賓賬號(hào)，這樣可以限制Internet 來賓賬號(hào)的訪問權(quán)限，只允許其可以讀取和執(zhí)行運(yùn)行網(wǎng)站所的需要的程序。

1. 選中“我的電腦”右鍵，選擇“管理”，打開“計(jì)算機(jī)管理”，選擇“本地用戶和組”，然后點(diǎn)擊“用戶”，接著“右鍵”，新建一個(gè)用戶，如下圖：

最后點(diǎn)擊“創(chuàng)建”，完成用戶創(chuàng)建。

2. 刪除新建立的用戶屬的用戶組“USERS”,然后點(diǎn)擊“添加”，讓用戶屬于Guests組，如下圖：

3、網(wǎng)站設(shè)置獨(dú)立運(yùn)行用戶，加強(qiáng)網(wǎng)站安全

?

4.5.5????? 獨(dú)立應(yīng)用程序池

給網(wǎng)站設(shè)置獨(dú)立運(yùn)行的程序池，這樣每個(gè)網(wǎng)站與錯(cuò)誤就不會(huì)互相影響：

最后

歡迎關(guān)注個(gè)人微信公眾號(hào)：Bypass--，每周原創(chuàng)一篇技術(shù)干貨。?

posted @ 2018-12-24 09:28 Bypass 閱讀(...) 評(píng)論(...) 編輯 收藏

總結(jié)

以上是生活随笔為你收集整理的【中间件安全】IIS6安全加固规范的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。