IIS安全加固

文章源自【字节脉搏社区】-字节脉搏实验室

作者-Jadore

IIS简介：

Windows®Server的Internet信息服务（IIS）是一种灵活，安全且可管理的World Wide Web server，用于承载Web上的任何内容。从媒体流到Web应用程序，IIS的可扩展和开放式体系结构随时可以处理最苛刻的任务。

安全加固：

1、删除默认站点：

IIS安装完成之后会在建立一个默认站点，一般建立网站时不需要这个站点，一方面该站点默认占用80端口，一方面可能该站点安全性配置较低。

2、禁用不必要的Web服务拓展：

ISAPI（Internet服务器应用程序编程接口）拓展或CGI（通用网关接口）拓展。 如果允许未知的ISAPI和CGI拓展在Web服务器上运行，则服务器可能容易遭受利用这些技术的计算机病毒或蠕虫程序的攻击。 Active Server Pages扩展 支持asp页面功能，假设网站是asp，此拓展不必开启。 ASP.Net V1.1 V2.0等 支持ASP.NET技术开发的aspx动态页面，假设网站是asp，此拓展不必开启。 FrontPage Server Extensions 2002 支持管理,创建以及浏览FrontPage扩展的网站，不需要此扩展可以禁用。 WebDAV（Web Distributed Authoring and Versioning） WebDAV扩展了HTTP.1.1通信协议的功能，让具备适当权限的用户，可以直接通过浏览器、网上邻居来管理服务器上的webDAV文件夹内的文件。如无必要，应当禁止WebDAV。

3、IIS访问权限配置

为每个网站配置不同的匿名访问账户，这样能有效的把网站的权限分隔开。 新建一个匿名用户： 用户（右键）->添加新用户

站点（右键）->目录安全性->身份验证和访问控制

4 、网站目录权限配置

目录有写入权限，一定不要分配执行权限，当目录有了写入权限之后，如果还拥有执行权限的话，黑客上传木马后还能执行就会让服务器成为肉鸡。目录有执行权限，一定不要分配写入权限，分配执行权限的同时，要保证没有写入权限，原理和上述相同，网站上传目录和数据库目录一般需要分配“写入”权限，但一定不要分配执行权限，因为网站需要通过后台来管理数据，包括上传图片和文件，因此需要给数据库和上传目录写入权限。其他目录没有特别的权限一般只分配“读取”和“记录访问”权限。 站点（右键）->添加->Anonymous1的权限（只允许列出文件夹目录和读取权限）

网站上传点的权限

5 、删除不必要的应用程序扩展

IIS默认支持.asp、.cdx等8种扩展名的映射，除了.asp之外其他的扩展几乎用不到。这些拓展加重了服务器的负担，而且我们知道，没有限制.asa或者.cer等拓展名，攻击者可以更改文件后缀突破上传限制从而得到webshell。 站点（右键）->设置如下

配置->删除.asa和.cer等拓展

只允许管理员控制日志文件

6 、修改IIS日志文件配置

默认的日志不会为我们搜索黑客记录提供很大的帮助，所以我们必须扩展W3C日志记录格式。 站点（右键）->网站->属性

7 、防止信息泄露

单引号或者其他特殊字符会使asp页面产生报错信息，攻击者将会获得网站目录等敏感信息，因此需要取消asp报错。 配置->调试

8 、自定义IIS Banner信息

面对攻击者的端口扫描，我们能做的就是修改banner信息来迷惑攻击者。 输入services.msc进入服务控制台->关闭IIS服务同时找到w3core.dll文件

把w3core.dll选择16进制打开，搜索banner

将6.0修改为8.5