【中介軟體安全】IIS6安全加固規範

1. 適用情況

適用於使用IIS6進行部署的Web網站。

2. 技能要求

熟悉IIS配置操作，能夠利用IIS進行建站，並能針對站點使用IIS進行安全加固。

3. 前置條件

1、 根據站點開放埠、程式ID、確認站點採用IIS進行部署；

2、 啟用IIS

方法一：按Win鍵+R開啟Windows執行，輸入inetmgr,回車即可開啟；

方法二：開始->管理工具->Internet 資訊服務(IIS)管理器。

4. 詳細操作

4.1      限制目錄執行許可權

右鍵網站目錄，對網站使用者對目錄的許可權進行必要的限制，常用於對圖片目錄、上傳目錄進行指令碼執行許可權限制。

 

4.2      開啟日誌審計

開啟IIS管理工具，右擊要管理的站點，選擇“屬性”。在“網站”選擇“啟用日誌記錄”。

PS：IIS預設採用的W3C日誌格式採用的是UTC時間，系統時間與UTC的時差為8，也就是UTC+8。

預設情況下Web日誌存放於系統目錄"%systemroot%/system32/LogFiles"，將Wb日誌檔案放在非網站目錄和非作業系統分割槽，並定期對Web日誌進行異地備份。

點選網站-右鍵屬性-選擇網站選項卡-點選屬性 如下圖：

4.3      自定義404錯誤頁面

點選網站-右鍵屬性-選擇自定義錯誤選項卡出現如下圖：

 

4.4      最佳經驗實踐

因IIS配置不當，可能導致的安全問題，常見安全漏洞如：WebDAV、目錄瀏覽、FTP匿名訪問、IIS短檔名資訊洩露、mdb資料庫被下載、後臺對外開放等。

4.4.1      防止.mdb資料庫檔案被下載

很多網站都是使用的是asp+access資料庫，mdb路徑可能被猜解，資料庫很容易就被別人下載了，利用IIS設定可有效防止mdb資料庫被下載。

步驟一：新建一記事本檔案，裡面不要填寫任何內容，將檔名改為nodownload.dll，拷貝到C:\Windows\System32\

步驟二：開啟IIS服務管理器，選擇需要設定的站點，點選右鍵，選擇“屬性”，開啟站點屬性對話方塊，切換到“主目錄”選項卡，點選中 下方的“配置”按鈕

步驟三：彈出應用程式配置視窗，在“對映”選項卡中點選下方的“新增”按鈕，彈出新增/編輯應用程式副檔名對映視窗，點選“瀏覽”按鈕，找到剛才那個nodownload.dll檔案，“副檔名”文字框中輸入“.mdb”，動作設為：全部動作，點“確定”儲存設定。

4.4.2      訪問源IP限制

在條件允許的條件下，對IIS訪問源進行IP範圍限制。只有在允許的IP範圍內的主機才可以訪問WWW服務。常用於限制網站管理後臺對外開放。

開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點目錄，然後右鍵點選“屬性”->目錄安全性->IP地址和域名限制->新增允許訪問的IP地址。

4.4.3      關閉WebDAV

開始->管理工具->Internet 資訊服務(IIS)管理器 選擇Web服務擴充套件->WebDAV，然後右鍵點選“禁止”，確認選擇是，關閉WebDAV。

4.4.4      關閉目錄瀏覽

1、 開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點目錄，然後右鍵點選“屬性”->目錄瀏覽->去掉勾選

 

4.4.5      關閉FTP匿名訪問

1、開始->管理工具->Internet 資訊服務(IIS)管理器 選擇FTP站點，然後右鍵點選“屬性”->安全賬戶->去掉允許匿名連線。

4.4.6      解決IIS短檔名漏洞

利用URLScan工具過濾URL中的特殊字元（僅針對IIS6）-- 解決IIS短檔名漏洞
1、 URLScan 3.1下載地址：http://www.iis.net/downloads/microsoft/urlscan
2、 看系統位數選擇安裝程式（32或64位），雙擊執行urlscan程式

3、 安裝完成以後，我們可以在System32/InetSvr/URLScan目錄下找到以下檔案：
log：日誌目錄，開啟日誌記錄功能，會在此目錄下生成日誌檔案； urlscan.dll：動態連線庫檔案；
urlscan.ini：軟體配置檔案，這個檔案很只要，因為對URLScan的所有配置，均有這個檔案來完成。

4、 IIS管理--網站（右擊屬性）---ISAPI篩選器--點選新增--輸入篩選器名稱和可執行檔案--點選確定即可。

5、在UrlScan.ini中進行安全設定，
A、以下兩個選項需要設定為一，防止因編碼、特殊資料夾導致的系統故障：
[options]節點中
AllowHighBitCharacters=1 ;default is 0
AllowDotInPath=1 ;default is 0
B、修復IIS短檔名漏洞:
[DenyUrlSequences]節點中新增波浪號

4.5      風險操作項

4.5.1      停用或刪除預設站點

1、IIS安裝後的預設主目錄是“c:\Inetpub\wwwroot”，為更好地抵抗踩點、刺探等攻擊行為，應該更改主目錄位置，禁用預設站點，新建立站點並進行安全配置。

開始->管理工具->Internet 資訊服務(IIS)管理器 選擇相應的站點，然後右鍵站點，選擇停止或者刪除。

4.5.2      刪除不必要的指令碼對映

1、開啟IIS服務管理器，選擇需要設定的站點，點選右鍵，選擇“屬性”，開啟站點屬性對話方塊，切換到“主目錄”選項卡，點選中 下方的“配置”按鈕，從列表中刪除以下不必要的指令碼，包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。

刪除的原則：只保留需要的指令碼對映。

根據需要可以在已經存在的指令碼上點選右鍵進行編輯和刪除，也可以自定義新增對映。

4.5.3      設定最大併發連線數

1、開啟IIS服務管理器，選擇需要設定的站點，點選右鍵，選擇“屬性”，開啟站點屬性對話方塊，切換到“效能”選項卡，點選中 下方的“網站連線”中，設定連線限制。

4.5.4      獨立站點帳戶

在Windows server 2003系統下，用IIS架設Web伺服器，合理的為每個站點配置獨立的Internet來賓賬號，這樣可以限制Internet 來賓賬號的訪問許可權，只允許其可以讀取和執行執行網站所的需要的程式。

1. 選中“我的電腦”右鍵，選擇“管理”，開啟“計算機管理”，選擇“本地使用者和組”，然後點選“使用者”，接著“右鍵”，新建一個使用者，如下圖：

最後點選“建立”，完成使用者建立。

2. 刪除新建立的使用者屬的使用者組“USERS”,然後點選“新增”，讓使用者屬於Guests組，如下圖：

3、網站設定獨立執行使用者，加強網站安全

 

4.5.5      獨立應用程式池

給網站設定獨立執行的程式池，這樣每個網站與錯誤就不會互相影響：

最後

歡迎關注個人微信公眾號：Bypass--，每週原創一篇技術乾貨。 

posted @ 2018-12-24 09:28 Bypass 閱讀(...) 評論(...) 編輯 收藏