首页 » 应用安全 » Web 服务器 » IIS » 正文

IIS 7.0/7.5 常见加固

1. 删除不必要的IIS角色

从“服务管理器”中点击左侧导航栏的“角色”,然后点击右侧的“删除角色”,删除所有实际应用不需要的角色。通常下列角色可以删除:

另外,如果应用使用的是asp脚本,则可以删除“ASP.NET”相关的角色;如果使用的是aspx脚本,则可以删除“asp”角色。

 

2. 身份验证设置

 根据站点的应用需求来设置身份验证方法,将不需要使用的身份验证方法设置为禁用。例如:如果站点未部署ASP.NET应用,则可以将“ASP.NET 模拟”设置为禁用。

在Internet信息服务管理器中点击要设置的站点,在主窗口中双击“身份验证”,然后选择要设置的身份验证方法,从右侧窗口中选择启用或禁用。

3. 禁止目录浏览

 目录浏览可以通过删除角色的方式来禁止(参见“删除不必要的IIS角色”),也可以在不删除对应角色的情况下通过下面的方法设置。

在Internet信息服务管理器中单击要设置的站点,在主窗口中双击“目录浏览”,然后点击右侧的“禁用”链接。

5. 程序映射设置

在Internet信息服务管理器中,单击要设置的站点,在主窗口中双击“处理程序映射”,然后选中某个映射项,点击右侧操作窗口中的“编辑功能权限”,避免勾选“执行”权限;根据应用的需要,双击某个映射项,在打开的新窗口中点击“请求限制”按钮打开请求限制设置,注意删除“谓词”选项卡中除了“GET、HEAD、POST”之外的其它HTTP方法,注意删除“访问”选项卡中的执行权限,如果是asp及ASP.NET相关脚本以外的其它文件,还要注意删除脚本权限。

编辑功能权限:

设置访问限制:

6. 设置IP访问限制

 在Internet信息服务管理器中点击要设置的站点,在主窗口中双击“IPv4地址或域名限制”图标,在打开的窗口中点击右侧窗口中的“添加允许条目”或“添加拒绝条目”来设置允许或拒绝访问的地址。

7. 自定义错误页面

 自定义错误页面可以避免当网站报错时敏感信息的泄露。

在Internet信息服务管理器中选中要设置的站点,从主窗口中双击“错误页面”图标,打开如下设置页面,双击需要设置的错误代码行,将响应操作修改为“在此网站执行URL”或者“以302重定向响应”。

8. 开启日志记录

 在Internet信息服务管理器中选中要设置的站点,从主窗口中双击“日志”图标,打开如下设置页面,注意从右侧操作栏中“启用”日志记录,并根据实际情况设置日志的更新周期等。

 

发表评论