专栏首页小白帽学习之路​安全服务之安全基线及加固(五)IIS篇

​安全服务之安全基线及加固(五)IIS篇

此文章为原创连载文章,关注公众号,持续更新

欢迎投稿及转载,标明来源作者即可。

0x01 前言

又到了木偶人哈克尔的笔记分享~有人期待吗~

这次的内容接之前中间件方面的加固,分享一下IIS加固的笔记。就以手里的IIS6.0为例了。

0x02 卸载不需要的IIS组件

检查方法:

“控制面板”-“添加删除程序”-“Windows组件向导”-“应用程序服务器”-“Internet信息服务”

加固方法:

卸载不需要的IIS组件:

FontPage 2002 ServerExtensions

Internet打印

NNTP Service

SMTP Service

文件传输协议FTP服务

0x03 IIS用户

在命令行下使用netuser命令查看IIS服务的用户信息

查看IIS匿名访问用户是否属于guest组:netuser IUSR_主机名

查看IIS启动用户是否属于IIS_WPG组:netuser IWAM_主机名

查看asp.net用户是否属于user组:netuser aspnet

在IIS6管理器中,右键选择站点的“属性”,点击“目录安全性”选项卡,点击“身份验证和访问控制”的编辑按钮,查看匿名访问账号是否正确设置为IUSR_主机名

0x04 监听地址

操作目的:服务器有多个IP地址时,只监听提供服务的IP地址

检查方法:

在IIS6管理器中,右键选择站点的“属性”,点击“网站”选项卡,查看“IP地址”中是否绑定IP地址

0x05 SSL加密

操作目的:对敏感数据的传输,应该使用SSL加密,防止数据被嗅探

检查方法:

在IIS6管理器中,右键选择站点的“属性”,点击“目录安全性”选项卡,点击“安全通信”的编辑按钮,查看是否启用SSL

0x06 网站权限

操作目的:正确设置网站目录权限和IIS权限

检查方法:

(1)检查网站目录的文件系统权限

(2)在IIS6管理器中,右键选择站点的“属性”,点击“主目录”选项卡,查看设置

加固方法:

(1)网站目录所在磁盘应该是NTFS格式,网站目录除SYSTEM用户和administrators组有完全控制权限外,其余用户和组都只应设置为读取和执行权限

(2)IIS6管理器中设置:

只选择“读取、记录访问、索引资源”

禁止“写入”和“脚本资源访问”,避免IISPut上传攻击

禁止“目录浏览”,避免目录遍历攻击

应用程序设置中的“执行权限”设置为“纯脚本”

0x07 限制IP访问

操作目的:对网站或敏感目录的访问IP进行限制

检查方法:

在IIS6管理器中,右键选择站点的“属性”,点击“目录安全性”选项卡,点击“IP地址和域名限制”的编辑按钮,查看是否设置IP地址访问限制

0x08 应用程序扩展

操作目的:删除不使用的应用程序扩展

检查方法:

在IIS6管理器中,右键选择站点的“属性”,点击“主目录”选项卡,点击“应用程序设置”的配置按钮

加固方法:

删除不使用的应用程序扩展

例如:如果只使用xxx.asp的程序,则可以删除“.asa、.cdx、.cer”扩展名的映射;还有“.shtm、.shtml、.stm”映射,如果不使用也可以删除

0x09 Web应用扩展

操作目的:禁用不使用的web服务扩展

检查方法:在IIS6管理器中,点击左侧的“web服务扩展”菜单

0x10 上传目录设置

操作目的:禁止动态脚本在上传目录的运行权限,防止攻击者绕过过滤系统上传webshell

检查方法:询问开发工程师,找到存放上传文件的目录

加固方法:

在IIS6管理器中,右键选择站点中上传目录的“属性”,点击“主目录”选项卡,点击“应用程序设置”的“执行权限”下拉菜单,选择“无”

0x11 日志设置

操作目的:正确设置IIS日志

检查方法:

在IIS6管理器中,右键选择站点的“属性”,点击“网站”选项卡,确认已经选择“启用日志记录”,活动日志格式为“W3C扩充日志文件格式”

点击“属性”按钮可以查看新日志记录间隔和日志文件目录,如下:

切换到“高级”选项卡可以查看扩充日志记录的选项

加固方法:

如果没有启用日志记录,请立即启用;可以修改日志文件的目录及日志记录的内容;还可以在扩展日志选项中勾选上“Cookie(Cookie)”和“引用站点(Referer)”,但需要确定此操作是否影响IIS服务性能。

0x12 自定义错误信息

操作目的:自定义IIS返回的错误信息

检查方法:

在IIS6管理器中,右键选择站点的“属性”,点击“自定义错误”选项卡,查看HTTP错误信息

0x13 后记

只能尽我所能,把自己学习过的为大家分享一下,目的只是能够共同进步,又不恰当的地方欢迎指正,大佬轻喷~~

本文分享自微信公众号 - 程序员阿甘(gh_a2e36d69d566),作者:木偶人哈克尔

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 实战 | 记两个实战中遇见的逻辑漏洞

    http://***.test.com.cn/*/forgetPassword.html

    7089bAt@PowerLi
  • 小生归一(六)xss特殊绕过

    (https://github.com/aemkei/katakana.js/blob/master/annotated.js)

    7089bAt@PowerLi
  • 【原创工具】github监控工具

    前段时间朋友想要我写的github监控工具,我本着独乐乐不如众乐乐的心态,就答应我朋友说过几天发到公众号上,今天实现一下子诺言,工具获取方法在文章底部。如果您觉...

    7089bAt@PowerLi
  • Spring AOP 创建代理的源码解析

    在上篇文章 Spring AOP 注解方式源码解析 中已经获取到了 bean 的对应增强器,之后,就可以创建对应的代理了,Spring AOP 底层使用的是 ...

    Java技术大杂烩
  • 如何在虚拟机上安装centos7.4系统—靠谱的centos7.4系统安装教程

    前几天给大家分享了在虚拟机上安装Centos6.7系统的教程,感兴趣的童鞋们可以点击进去查看。今天小编给大家分享在虚拟机上安装Centos7.4...

    Python进阶者
  • Angular4记账webApp练手项目之五(Angular4项目中创建service(服务)和使用http模块)

    ng给我们创建的模块account.service.ts,内容如下。 有关@Injectable和@Component,都是angular中的关键字或者关键注...

    易兒善
  • Vue.js入门

    Vue.js是当下很火的一个JavaScript MVVM库,它是以数据驱动和组件化的思想构建的。

    Vincent-yuan
  • c# winfrom 可折叠的树形控件

    冰封一夏
  • 5最糟糕的大数据隐私风险(以及如何防范)

    大数据分析有巨大的收益,但也有巨大的潜在风险,可能会导致任何从尴尬到彻底歧视的事情。 这里有什么要注意的 - 以及如何保护自己和员工 ? 正如其支持者近十年来一...

    首席架构师智库
  • 移花接木:当泛型方法遇上抽象类----我的“内存数据库”诞生记

    之前,不怕“重复发明轮子”的我,搞了一个“PDF.NET框架”,即“PWMIS数据开发框架”(目前已经开源),自己用特殊的方式设计了一个实体类基类,然后又设计了...

    用户1177503

扫码关注云+社区

领取腾讯云代金券