IIS7加固.docx
《IIS7加固.docx》由会员分享,可在线阅读,更多相关《IIS7加固.docx(15页珍藏版)》请在冰点文库上搜索。
IIS7加固
IIS7安全加固
一.1补丁安装
操作目的
安装系统补丁,修补漏洞
检查方法
使用极光远程扫描漏洞,或安装微软安全基准分析器MicrosoftBaselineSecurityAnalyzer扫描漏洞
加固方法
手动安装补丁
是否实施
备注
补丁安装后可能影响业务系统的稳定性
一.2IIS角色服务
操作目的
卸载不需要的IIS角色服务
检查方法
“开始”-“所有程序”-“管理工具”-“服务器管理器”
双击“角色”,在右边最下方可以看见角色服务
加固方法
双击“角色”,在右边最下方可以看见角色服务,点击“删除角色服务”
将不需要的服务前面的勾去掉,然后“下一步”,然后点击“删除”就可以写在不需要的扩展服务
注:
按实际业务环境删除不必要的角色服务
是否实施
备注
一.3IIS用户
操作目的
检查IIS服务的用户所属组是否正确
检查方法
(1)在命令行下使用netuser命令查看IIS服务的用户信息
查看IIS匿名访问用户是否属于guest组:
netuserIUSR_主机名
查看用户是否属于user组:
netuseraspnet
(2)在IIS7管理器中,双击站点名称,在右边的视图中找到“IIS”->“身份验证”。
双击进入,可以看到当前的IIS身份情况,并可在“视图”右方的“操作”窗口进行“启用”、“禁用”或“编辑”
加固方法
根据实际情况启用或禁用身份认证情况,比如如果没有开启应用,则禁用模拟。
查看是否启用了匿名身份认证,IIS7匿名身份为IUSR,可点击“编辑”查看
是否实施
备注
一.4监听地址
操作目的
服务器有多个IP地址时,只监听提供服务的IP地址
检查方法
在IIS7管理器中,找到相应的站点,在最右边“操作”视图中,点击“绑定”,可以看到已经绑定的IP地址。
加固方法
点击“编辑”,可以修改为要绑定的IP地址
是否实施
备注
一.5SSL加密
操作目的
对敏感数据的传输,应该使用SSL加密,防止数据被嗅探
检查方法
在IIS7管理器中,找到相应站点,在网站主页视图中双击“SSL设置”图标,可以查看是否设置SSL加密。
如果没有在绑定的时候绑定为“https”的话,会在右上角显示“无法接受SSL”连接
加固方法
在新建网站的时候,选择“绑定”->“https”,并且选择相应的证书,如下图:
然后在网站主页视图中双击“SSL设置”图标,可以设置开启SSL,如下图:
是否实施
备注
一.6目录浏览
操作目的
禁止目录浏览
检查方法
在IIS7管理器中,找到相应站点,在网站主页视图中双击“目录浏览”图标,可以查看到目录浏览的相应配置信息
加固方法
在“操作”视图中,禁用目录浏览
是否实施
备注
一.7应用程序扩展
操作目的
删除不使用的应用程序扩展
检查方法
在IIS7管理器中,找到相应站点,在网站主页视图中双击“ISAPI筛选器”图标,可以查看已经添加到筛选器的内容
加固方法
若要增强Web服务器的功能,可以添加ISAPI筛选器。
例如,您可以设置一个ISAPI筛选器来捕获有关HTTP请求的信息,并将该信息保存在数据库中。
注:
虽然IIS7.0支持ISAPI筛选器,但建议使用模块而不是ISAPI筛选器来扩展Web服务器的功能。
是否实施
备注
与开发工程师确认,避免影响业务系统
一.8网站权限
操作目的
正确设置网站目录权限和IIS权限
检查方法
(1)检查网站目录的文件系统权限
(2)在IIS7管理器中,找到相应站点,在网站主页视图中双击“处理程序映射”图标,可以查看处理特定请求类型的响应资源。
这里有两个设置权限的地方“编辑功能权限”和“请求限制”:
1.“操作”视图中的“编辑功能权限”
2.双击每个条目,点击“请求限制”->“访问”,与“编辑功能权限”对话框上设置的功能的访问策略一起确定处理程序是否能够运行。
3.“请求限制”中的“谓词”选项卡,可以查看HTTP请求的方法。
加固方法
(1)网站目录所在磁盘应该是NTFS格式,网站目录除SYSTEM用户和administrators组有完全控制权限外,其余用户和组都只应设置为读取和执行权限
(2)IIS7管理器中设置:
4.“编辑功能权限”,不赋予“执行”
5.“访问”中不赋予“写入”、“执行”权限
6.“谓词”中不赋予“WRITE,DELETE,PUT”等方法
是否实施
备注
权限设置与开发工程师确认,避免影响业务系统
一.9授权规则
操作目的
对用户访问网站或应用程序进行相应限制
检查方法
在IIS7管理器中,找到相应站点,在网站主页视图中双击“授权规则”图标,可以查看相应规则,如下图:
加固方法
根据网站实际情况对特定用户添加允许或拒绝规则
是否实施
备注
一.10限制IP访问
操作目的
对网站或敏感目录的访问IP进行限制
检查方法
在IIS7管理器中,找到相应站点,在网站主页视图中双击“IPv4地址和域限制”图标,可以查看允许或被禁止的ip地址,如下图:
加固方法
在“IPv4地址和域限制”设置相关允许或禁止的IP地址
是否实施
备注
一.11日志设置
操作目的
正确设置IIS日志
检查方法
在IIS7管理器中,在IIS7管理器中,找到相应站点,在网站主页视图中双击“日志”图标,可以查看日志设置情况,如下图:
点击“选择字段”按钮,查看记录的字段
加固方法
如果没有启用日志记录,请立即启用;可以修改日志文件的目录及日志记录的内容;还可以“记录字段”选项中勾选上“Cookie(Cookie)”和“引用站点(Referer)”,但需要确定此操作是否影响IIS服务性能
是否实施
备注
一.12自定义错误信息
操作目的
自定义IIS返回的错误信息
检查方法
在IIS7管理器中,在IIS7管理器中,找到相应站点,在网站主页视图中双击“错误页面”图标,可以查看错误页设置情况,如下图:
加固方法
双击其中一个HTTP错误,可以设置该HTTP错误的消息类型,管理员设置错误发生时,返回自定义错误页面,或者定向到指定地址
常见错误代码:
403禁止访问;404找不到页面;500是服务器内部错误
是否实施
备注
(注:
可编辑下载,若有不当之处,请指正,谢谢!
)
升级会员 