2. 程式人生 > >【中介軟體安全】IIS7.0 安全加固規範

【中介軟體安全】IIS7.0 安全加固規範

阿新 發佈:2018-12-16

1. 適用情況

適用於使用IIS7進行部署的Web網站。

2. 技能要求

熟悉IIS配置操作,能夠利用IIS進行建站,並能針對站點使用IIS進行安全加固。

3. 前置條件

1、 根據站點開放埠、程序ID、確認站點採用IIS進行部署;

2、 啟用IIS

方法一:按Win鍵+R開啟Windows執行,輸入inetmgr,回車即可開啟;

方法二:開始->管理工具->Internet 資訊服務(IIS)管理器。

4. 詳細操作

4.1      限制目錄執行許可權

1、在IIS中設定需要上傳檔案的目錄,雙擊處理程式對映

 

2、在處理程式對映中,把編輯功能許可權中的指令碼去掉,這樣即使上傳了木馬檔案在此目錄,也是無法執行的。

4.2      開啟日誌審計

 1、開啟IIS管理工具,選擇需要設定日誌的站點,切換到功能檢視,雙擊日誌,進入日誌配置介面。

2、預設情況下Web日誌存放於系統目錄" %SystemDrive%\inetpub\logs\LogFiles",將Wb日誌檔案放在非網站目錄和非作業系統分割槽,並定期對Web日誌進行異地備份。

雙擊日誌,可進行日誌屬性的設定如下圖:

4.3      自定義404錯誤頁面

 

1、選擇站點,在功能檢視頁面,雙擊錯誤頁,進入錯誤頁配置頁面:

2、選擇404狀態程式碼,進入自定義錯誤頁編輯狀態:

4.4      最佳經驗實踐

4.4.1      防止.mdb資料庫檔案被下載

很多網站都是使用的是asp+access資料庫,mdb路徑可能被猜解,資料庫很容易就被別人下載了,利用IIS設定可有效防止mdb資料庫被下載。

步驟一:在 C:\Windows\System32\inetsrv\config目錄下找到applicationHost檔案;

步驟二:開啟applicationHost檔案,選擇requestFiltering 下的節點:    <add fileExtension=".mdb" allowed="false" />,修改allowed的值為“false”,mdb檔案不能被下載。

 

步驟三:儲存後,即無法下載.mdb資料庫檔案。

4.4.2      訪問源IP限制

在條件允許的條件下,對IIS訪問源進行IP範圍限制。只有在允許的IP範圍內的主機才可以訪問WWW服務。常用於限制網站管理後臺對外開放。

1、開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點目錄,然後在功能檢視中找到IP地址和域名限制,雙擊IP地址和域名限制進入設定。

2、在IP地址和域限制中,新增允許條目

 

4.4.3      關閉WebDAV

開始->管理工具->Internet 資訊服務(IIS)管理器, 選擇一個站點,在功能檢視中找到WebDAV創作規則,雙擊 WebDAV創作規則,進入設定:

2、在WebDAV創作規則中,選擇禁用WebDAV

4.4.4      關閉目錄瀏覽

開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點目錄,然後在功能檢視頁面找到“目錄瀏覽”,雙擊進入目錄瀏覽設定頁面:

 

2、在最右邊,操作欄進行“禁用”,即可禁用目錄瀏覽

4.4.5      關閉FTP匿名訪問

開始->管理工具->Internet 資訊服務(IIS)管理器 點選WIN-主機名後在中間位置FTP欄找到FTP身份驗證,雙擊進入;

 

右鍵匿名身份驗證->禁用,即可關閉FTP匿名訪問

4.4.6      解決IIS短檔名漏洞

1、開啟Internet 資訊服務(IIS)管理器,選擇站點,在功能檢視介面,雙擊請求篩選

2、在URLà新增拒絕序列àURL序列設定為【~

4.5      風險操作項 

4.5.1      停用或刪除預設站點

IIS安裝後的預設主目錄是“C:\inetpub\wwwroot”,為更好地抵抗踩點、刺探等攻擊行為,應該更改主目錄位置,禁用預設站點,新建立站點並進行安全配置。

開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點,然後右鍵站點,選擇停止或者刪除。

4.5.2      刪除不必要的指令碼對映

開啟IIS服務管理器,選擇需要設定的站點,找到“處理程式對映”雙擊,從列表中刪除以下不必要的指令碼。

包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。

刪除的原則:只保留需要的指令碼對映。

根據需要可以在已經存在的指令碼上點選右鍵進行編輯和刪除,也可以自定義新增對映。

4.5.3      設定最大併發連線數

開啟IIS服務管理器,選擇需要設定的站點,點選瀏覽網站下的“高階設定“,開啟高階設定對話方塊,切換到“連線限制”選項卡,設定連線限制,包括最大併發連線數等的設定。

4.5.4      獨立站點帳戶

在Windows server 2008R2系統下,用IIS架設Web伺服器,合理的為每個站點配置獨立的Internet來賓賬號,這樣可以限制Internet 來賓賬號的訪問許可權,只允許其可以讀取和執行執行網站所的需要的程式。

1. 選中“我的電腦”右鍵,選擇“管理”,開啟“計算機管理”,選擇“本地使用者和組”,然後點選“使用者”,接著“右鍵”,新建一個使用者,如下圖:

最後點選“建立”,完成使用者建立。

2. 刪除新建立的使用者屬的使用者組“USERS”,然後點選“新增”,讓使用者屬於Guests組,如下圖:

3、網站設定獨立執行使用者,加強網站安全

4.5.5      獨立應用程式池

給網站設定獨立執行的程式池,這樣每個網站與錯誤就不會互相影響:

4.5.6      解除安裝不需要的IIS角色服務

開始->管理工具->伺服器管理器”  雙擊“角色”,在右邊最下方可以看見角色服務,點選““刪除角色服務”,可對不需要的IIS角色服務進行刪除。

最後 

歡迎關注個人微信公眾號:Bypass--,每週原創一篇技術乾貨。 

 

1、開啟Internet 資訊服務(IIS)管理器,選擇站點,在功能檢視介面,雙擊請求篩選

 

2、在URLà新增拒絕序列àURL序列設定為【~

 

相關推薦

中介軟體安全IIS7.0 安全加固規範

1. 適用情況 適用於使用IIS7進行部署的Web網站。 2. 技能要求 熟悉IIS配置操作,能夠利用IIS進行建站,並能針對站點使用IIS進行安全加固。 3. 前置條件 1、 根據站點開放埠、程序ID、確認站點採用IIS進行部署;

中介軟體安全Apache 安全加固規範

1. 適用情況 適用於使用Apahce進行部署的Web網站。 2. 技能要求 熟悉Apache配置檔案,能夠利用Apache進行建站,並能針對站點使用Apache進行安全加固。 3. 前置條件 1、 根據站點開放埠,程序ID,確認站點採用Apache進行部署; 2、 找到Apache配置檔案 4

中介軟體安全Tomcat 安全加固規範

1. 適用情況 適用於使用Tomcat進行部署的Web網站。 2. 技能要求 熟悉Tomcat配置操作,能夠利用Tomcat進行建站,並能針對站點使用Tomcat進行安全加固。 3. 前置條件 1、根據站點開放埠,程序ID,程序名稱,確認站點採用Tomcat進行部署; 2、找到Tomcat路徑:

中介軟體安全Weblogic 安全加固規範

1. 適用情況 適用於使用Weblogic進行部署的Web網站。 2. 技能要求 熟悉Weblogic安裝部署,熟悉Weblogic常見漏洞利用方式,並能針對站點使用Weblogic進行安全加固。 3. 前置條件 1、根據站點開放埠,程序ID,確認站點採用Weblogic進行部署;2、找到Weblo

中介軟體安全Nginx 安全加固規範

1. 適用情況 適用於使用Nginx進行部署的Web網站。 2. 技能要求 熟悉Nginx配置,能夠Nginx進行部署,並能針對站點使用Nginx進行安全加固。 3. 前置條件 1、 根據站點開放埠,程序ID,確認站點採用Nginx進行部署

中介軟體安全IIS6安全加固規範

1. 適用情況 適用於使用IIS6進行部署的Web網站。 2. 技能要求 熟悉IIS配置操作,能夠利用IIS進行建站,並能針對站點使用IIS進行安全加固。 3. 前置條件 1、 根據站點開放埠、程序ID、確認站點採用IIS進行部署; 2、 啟用IIS 方法一:按Win鍵+R開啟Windows執行

中介軟體安全WebSphere安全加固規範

         1. 適用情況 適用於使用WebSphere進行部署的Web網站。 2. 技能要求 熟悉WebSphere安裝部署,熟悉WebSphere常見漏洞利用方式,並能針對站點使用WebSphere進行安全加固。

中介軟體安全Jboss安全加固規範

【中介軟體安全】Jboss安全加固規範 1. 適用情況 適用於使用Jboss進行部署的Web網站。 適用版本:5.x版本的Jboss伺服器 2. 技能要求 熟悉Jboss安裝配置,能夠Jboss進行部署,並能針

linux執行緒執行緒安全之條件變數

條件變數用法: 條件變數一般和互斥量配合,保護執行緒安全或者完成同步資料的功能。 #include <pthread.h> #define INFINITE 0xFFFFFFFF #ifndef ETIMEDOUT #define ETIMEDOUT 10060 #endif

linux安全服務器安全建議

linux server spa 設定 network style 防火 nbsp tro 引用自 《鳥哥的linux私房菜-服務器篇》 http://cn.linux.vbird.org/linux_server/0210network-secure_1.php 建立

應用安全微軟的安全開發生命週期(SDL)

0x01 SDL介紹         安全開發生命週期(SDL)即Security Development Lifecycle,是一個幫助開發人員構建更安全的軟體和解決安全合規要求的同時降低開發成本的軟體開發過程。

Java虛擬機器執行緒安全與鎖優化

執行緒安全與鎖優化 絕對執行緒安全 相對執行緒安全 執行緒安全的實現方式 互斥同步 非阻塞同步 鎖優化 參考 絕對執行緒安全 當多個執行緒訪問一個物件時,如果不用考慮這些執行緒在執行時環境

大資料安全Apache Kylin 安全配置(Kerberos)

1. 概述 本文首先會簡單介紹Kylin的安裝配置,然後介紹啟用Kerberos的CDH叢集中如何部署及使用Kylin。 Apache Kylin™是一個開源的分散式分析引擎,提供Hadoop/Spark之上的SQL查詢介面及多維分析(OLAP)能力以支援超大規模資料,最初由eBay Inc. 開發並貢獻至開

應用安全S-SDLC安全開發生命週期

0x01 S-SDLC簡介 OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP組織首個由OWASP中國團隊獨立釋出並主導的研究專案,並在全球範圍內正式釋出。S-SDLC被越來越多的企業所重視,

華為雲分散式資料庫中介軟體 DDMsidecar負載均衡配置

目錄 福利發放 產品介紹 配置方法 福利發放 目前華為雲分散式資料庫中介軟體DDM有試用體驗活動,申請華為雲賬號後可以單擊如下圖片一鍵體驗: 產品介紹 華為雲分散式資料庫中介軟體(Distributed Database Middleware,簡稱DDM),

中介軟體TOMCAT8支援HTTPS協議

預設情況下,Tomcat是不支援HTTPS協議的,當然該功能TOMCAT是有的  HTTPS協議的配置方法如下,參考網上文件完成,但是網上部分文件有錯誤或者版本不匹配的問題,改過程我是在TOMCAT8上做的,其他版本請自行試驗。 引用:http://blog.csdn.ne

中介軟體MQ Rabbitmq 和spring整合

例一、Xml配置檔案 定義連線、定義了佇列或交換機、可以設定Key、定義了消費者及路徑 <beans xmlns="http://www.springframework.org/schema/

實戰編程編寫0號中斷處理程序

查看 com col 長度 獲取 pre p s 更改 end 題目:編寫0號中斷處理程序,在除法溢出時,在屏幕中間顯示字符串“hacker by admin!” 之前先補充一個rep movsb的指令知識 movsb和movsw是相反的,

Django筆記四Django2.0中的表單

安裝 ads 分享圖片 操作 修改 and 9.png context blank 一、環境版本信息: 操作系統:windows10 Django版本:2.0.5 Python版本:3.6.4 Mysql版本: 5.

React 實戰教程0到1 構建 github star管理工具

前言 在日常使用github中,除了利用git進行專案版本控制之外,最多的用處就是遊覽各式的專案,在看到一些有趣或者有用的專案之後,我們通常就會順手star,目的是日後再看。但是當我們star了許多專案之後,回過頭想找一個的專案就會發現,很難在短時間內找到它,官方也並沒有提供很好的管理我們的star專案的功