行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
服务器的IIS怎么进行安全加固?
2020-11-12 16:55:00 【

服务器IIS是什么?怎么进行安全加固?服务器IIS通俗一点说就是做动态网站时候的一个运行环境,如果没有它那么你做的网站就测试不了。而Windows®Server的Internet信息服务(IIS)是一种灵活,安全且可管理的World Wide Web server,用于承载Web上的任何内容。从媒体流到Web应用程序,IIS的可扩展和开放式体系结构随时可以处理最苛刻的任务。



安全加固:


1、删除默认站点:

IIS安装完成之后会在建立一个默认站点,一般建立网站时不需要这个站点,一方面该站点默认占用80端口,一方面可能该站点安全性配置较低。


2、禁用不必要的Web服务拓展

ISAPI(Internet服务器应用程序编程接口)拓展或CGI(通用网关接口)拓展。

如果允许未知的ISAPI和CGI拓展在Web服务器上运行,则服务器可能容易遭受利用这些技术的计算机病毒或蠕虫程序的攻击。

Active Server Pages扩展

支持asp页面功能,假设网站是asp,此拓展不必开启。

ASP.Net V1.1 V2.0等

支持ASP.NET技术开发的aspx动态页面,假设网站是asp,此拓展不必开启。

FrontPage Server Extensions 2002

支持管理,创建以及浏览FrontPage扩展的网站,不需要此扩展可以禁用。

WebDAV(Web Distributed Authoring and Versioning)

WebDAV扩展了HTTP.1.1通信协议的功能,让具备适当权限的用户,可以直接通过浏览器、网上邻居来管理服务器上的webDAV文件夹内的文件。如无必要,应当禁止WebDAV。


3、IIS访问权限配置

为每个网站配置不同的匿名访问账户,这样能有效的把网站的权限分隔开。

新建一个匿名用户:

用户(右键)->添加新用户


站点(右键)->目录安全性->身份验证和访问控制


4、网站目录权限配置

目录有写入权限,一定不要分配执行权限,当目录有了写入权限之后,如果还拥有执行权限的话,黑客上传木马后还能执行就会让服务器成为肉鸡。目录有执行权限,一定不要分配写入权限,分配执行权限的同时,要保证没有写入权限,原理和上述相同,网站上传目录和数据库目录一般需要分配“写入”权限,但一定不要分配执行权限,因为网站需要通过后台来管理数据,包括上传图片和文件,因此需要给数据库和上传目录写入权限。其他目录没有特别的权限一般只分配“读取”和“记录访问”权限。

站点(右键)->添加->Anonymous1的权限(只允许列出文件夹目录和读取权限)

网站上传点的权限


5、删除不必要的应用程序扩展

IIS默认支持.asp、.cdx等8种扩展名的映射,除了.asp之外其他的扩展几乎用不到。这些拓展加重了服务器的负担,而且我们知道,没有限制.asa或者.cer等拓展名,攻击者可以更改文件后缀突破上传限制从而得到webshell。

站点(右键)->设置如下


配置->删除.asa和.cer等拓展


只允许管理员控制日志文件


6、修改IIS日志文件配置

默认的日志不会为我们搜索黑客记录提供很大的帮助,所以我们必须扩展W3C日志记录格式。

站点(右键)->网站->属性


7、防止信息泄露

单引号或者其他特殊字符会使asp页面产生报错信息,攻击者将会获得网站目录等敏感信息,因此需要取消asp报错。

配置->调试


8、自定义IIS Banner信息

面对攻击者的端口扫描,我们能做的就是修改banner信息来迷惑攻击者。

输入services.msc进入服务控制台->关闭IIS服务同时找到w3core.dll文件


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇数据安全标识技术及其应用研究 下一篇Windows10安全基本操作,提升系统..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800