首页 » 应用安全 » Web 服务器 » IIS » 正文

IIS 6.0 常见加固

1. 卸载不需要的组件

IIS能够为用户提供多种服务,但通常仅用于提供Web服务,此时就可以删除不需要的服务组件。

打开“控制面板”中的“添加删除程序”,点击打开左侧的“Windows组件向导”,从-“应用程序服务器” -“Internet信息服务(IIS)”下面的下列服务项:

FontPage 2002 Server Extensions
Internet打印
NNTP Service
SMTP Service
文件传输协议FTP服务

IIS组件管理

2. 删除不必要的应用扩展

IIS 通过应用程序扩展来支持文件扩展名与处理程序之间的映射关系,默认情况下,扩展名cdx、cer、asa也是映射到asp脚本处理程序的。而开发人员往往会忽视这些不常见的扩展名,这就导致常被攻击者利用来实施文件上传攻击。

在“Internet 信息服务管理器”中要设置的站点上右击选择“属性”,切换到“主目录”标签页,点击页面上的”配置按钮“,删除如图所示扩展:

应用程序扩展配置

3. 禁止写入、目录浏览

Internet 信息服务管理器中要设置的站点或其各下级目录上右击选择属性,切换到主目录标签页(站点子目录的属性页中为“目录”标签页),将“脚本资源访问”、“写入”和“目录浏览”设置为未选中状态。

 

4. 关闭不需要的Web服务扩展

在“Internet 信息服务管理器”中选择“Web服务扩展”,将右侧出现的不需要使用的Web扩展设置为禁用。一般情况下,图中所标注的扩展应当禁用,如果网站运行的是asp.net应用,还建议禁用“Active Server Pages”。

5. 网站文件权限设置

网站应用文件需要存放在NTFS分区上,然后根据实际需要来设定来宾用户IUSER_XXXX(主机名)和服务用户组(IIS_WPG)权限,权限设置原则如下:

来宾用户对网站任何文件或目录都不能有写入相关权限
IIS 服务用户/组仅对需要运行脚本的目录或文件开放执行权限
IIS_服务用户/组仅对需要上传或写入文件的目录开放写入权限,并需要拒绝执行权限
IIS 服务用户/组除以上两类外所有文件均只有读取权限

6. 自定义错误页面

在”Internet信息服务管理器“中,右击要设置的站点后选择”属性“菜单,点击”自定义错误“选项卡,在错误信息列表中双击一个错误信息项,设置错误信息或者指定一个错误页面。常见需要设置错误页面的HTTP错误有 403、404、500。

7. 设置IP访问限制

对于非完全公开型Web站点,可能需要限制仅允许部分地址访问。

在”Internet信息服务管理器“中,右击要设置的站点后选择”属性“菜单,点击“目录安全性”选项卡,然后点击”IP地址或域名限制“后的”编辑“按钮,根据需要设置允许或拒绝访问的地址。

8. SSL加密

如果你的站点与客户端交互的信息比较敏感,则需要客户端与Web服务器之前的通讯是加密的,将站点设置为HTTPS站点可以解决这个问题。

首先需要创建一个服务器证书(你可以找可信证书颁发机构申请,或者使用openssl创建一个,格式为pfx),然后在”Internet 信息服务管理器“中右击要设置的站点,选择”属性“,切换到”目录安全性“选项卡,点击”安全通信“右侧的”服务器证书“按钮,根据向导导入证书,设置HTTPS通讯端口。

证书导入成功后,继续在”目录安全性“选项卡中点击”安全通信“右侧的”编辑“按钮,勾选”要求安全通道“后Web站点就只允许HTTS方式通信了。

 

 9. 正确设置日志记录

为了便于分析网站访问情况、排查网站出现的问题、分析攻击行为,建议网站开启访问日志记录。

在“Internet信息服务管理器”中右击要设置的站点,选择”属性“,在”网站“选项卡中勾选”启用日志记录“。

发表评论