【知識分享】伺服器IIS如何進行安全加固

伺服器IIS是什麼？如何進行安全加固？伺服器IIS通俗一點說就是做動態網站時候的一個執行環境，如果沒有它那麼你做的網站就測試不了。而WindowsServer的Internet資訊服務（IIS）是一種靈活，安全且可管理的World Wide Web server，用於承載Web上的任何內容。從媒體流到Web應用程式，IIS的可擴充套件和開放式體系結構隨時可以處理最苛刻的任務。那麼接下來壹基比小鑫就告訴你伺服器IIS如何進行安全加固。

　　安全加固：

　　1、刪除預設站點：

　　IIS安裝完成之後會在建立一個預設站點，一般建立網站時不需要這個站點，一方面該站點預設佔用80埠，一方面可能該站點安全性配置較低。

　　2、禁用不必要的Web服務擴充：

　　ISAPI（Internet伺服器應用程式程式設計介面）擴充或CGI（通用閘道器介面）擴充-----如果允許未知的ISAPI和CGI擴充在Web伺服器上執行，則伺服器可能容易遭受利用這些技術的計算機病毒或蠕蟲程式的攻擊。

　　Active Server Pages擴充套件-----支援asp頁面功能，假設網站是asp，此擴充不必開啟。

　　ASP.Net V1.1 V2.0等-----支援ASP.NET技術開發的aspx動態頁面，假設網站是asp，此擴充不必開啟。

　　FrontPage Server Extensions 2002-----支援管理，建立以及瀏覽FrontPage擴充套件的網站，不需要此擴充套件可以禁用。

　　WebDAV（Web Distributed AuthoringVersioning）----WebDAV擴充套件了HTTP.1.1通訊協議的功能，讓具備適當許可權的使用者，可以直接透過瀏覽器、網路上的芳鄰來管理伺服器上的webDAV資料夾內的檔案。如無必要，應當禁止WebDAV。

　　3、IIS訪問許可權配置

　　為每個網站配置不同的匿名訪問賬戶，這樣能有效的把網站的許可權分隔開。

　　新建一個匿名使用者：

　　使用者（右鍵）->新增新使用者

　　站點（右鍵）->目錄安全性->身份驗證和訪問控制

　　4、網站目錄許可權配置

　　目錄有寫入許可權，一定不要分配執行許可權，當目錄有了寫入許可權之後，如果還擁有執行許可權的話，駭客上傳木馬後還能執行就會讓伺服器成為肉雞。目錄有執行許可權，一定不要分配寫入許可權，分配執行許可權的同時，要保證沒有寫入許可權，原理和上述相同，網站上傳目錄和資料庫目錄一般需要分配“寫入”許可權，但一定不要分配執行許可權，因為網站需要透過後臺來管理資料，包括上傳圖片和檔案，因此需要給資料庫和上傳目錄寫入許可權。其他目錄沒有特別的許可權一般只分配“讀取”和“記錄訪問”許可權。

　　站點（右鍵）->新增->Anonymous1的許可權（只允許列出資料夾目錄和讀取許可權）

　　網站上傳點的許可權

　　5、刪除不必要的應用程式擴充套件

　　IIS預設支援。asp、。cdx等8種副檔名的對映，除了。asp之外其他的擴充套件幾乎用不到。這些擴充加重了伺服器的負擔，而且我們知道，沒有限制。asa或者。cer等擴充名，攻擊者可以更改檔案字尾突破上傳限制從而得到webshell。

　　站點（右鍵）->設定如下

　　配置->刪除。asa和。cer等擴充

　　只允許管理員控制日誌檔案

　　6、修改IIS日誌檔案配置

　　預設的日誌不會為我們搜尋駭客記錄提供很大的幫助，所以我們必須擴充套件W3C日誌記錄格式。

　　站點（右鍵）->網站->屬性

　　7、防止資訊洩露

　　單引號或者其他特殊字元會使asp頁面產生報錯資訊，攻擊者將會獲得網站目錄等敏感資訊，因此需要取消asp報錯。

　　配置->除錯

　　8、自定義IIS Banner資訊

　　面對攻擊者的埠掃描，我們能做的就是修改banner資訊來迷惑攻擊者。

　　輸入services.msc進入服務控制檯->關閉IIS服務同時找到w3core.dll檔案