游客您好
  • 点击联系客服

    在线时间:8:30-18:00

    客服微信

    Wkr-3000y-kf

    电子邮件

    3000y@wenkeruan.com
  • 手机版

    随时掌握游戏动态

  • 扫一扫二维码

    添加微信客服

Lv.7 版主
8号会员,9活跃值,2022.09.01 加入
  • 127发帖
  • 123主题
  • 0关注
  • 0粉丝
这个人很懒,什么也没有留下。
独家推荐 更多>

[安全防护] IIS 安全设置

[复制链接]
异仟年认证商人 发表于 2022-9-5 18:04:23 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
1.关闭并删除默认站点. _, X, N1 o" `7 f( i, v" q
默认FTP站点 默认Web站点管理Web站点2 `& E5 c9 f/ W
3 O! H" o; H9 N( \5 z
2.建立自己的站点,与系统不在一个分区
$ m$ |' t0 U( H; G6 z
如:D:\wwwroot3.建立 E:\Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是: Administrators(完全控制)System(完全控制)1 H' S8 k5 N0 y: ^) o) Q

& C8 I  W$ w" Y/ d
3.删除IIS的部分目录
; t# x+ \$ d3 K$ P5 ~. z' C3 R9 F: g+ }
IISHelp C:\winnt\help\iishelp IISAdmin C:\system32\inetsrv\iisadmin MSADC C:\Program Files\Common Files\System\msadc\ 删除 C:\\inetpub
1 ^8 F1 Q3 z2 Y: b) `! V
& d- n2 r5 n  ^3 z
4.删除不必要的IIS映射和扩展& ^( O. T! v+ e4 }3 A
IIS 被预先配置为支持常用的文件名扩展如 .asp .shtm 文件。IIS 接收到这些类型 的文件请求时,该调用由 DLL 处理。如果您不使用其中的某些扩展或功能,则应删除该映射,步骤如下: 打开 Internet 服务管理器: 选择计算机名,点鼠标右键,选择属性:然后选择编辑然后选择主目录, 点击配置 选择扩展名 \".htw\", \".htr\",\".idc\",\".ida\",\".idq\"和,点击删除如果不使用server side include,则删除\".shtm\" \".stm\" \".shtml\"0 Q2 R2 Y) N4 K/ q2 v
+ _% L7 l6 G, A7 L
5.禁用父路径 (有可能导致某些使用相对路径的子页面不能打开)
2 S- K3 s0 K. m* b9 y
父路径选项允许您在对诸如 MapPath 函数调用中使用“..”。在默认情况下,该选项 处于启用状态,应该禁用它。禁用该选项的步骤如下:右键单击该 Web 站点的根,然后从上下文菜单中选择属性。 单击主目录选项卡。单击配置。单击应用程序选项选项卡。取消选择启用父路径复选框。
6 q1 r9 G4 ?4 E
! i) q4 q9 D( m3 a+ \& p5 v% k* u- I
6.在虚拟目录上设置访问控制权限1 A; k6 f, a" a1 C) x9 n
iis里把所有的目录,不包括asp等文件的目录 ,比如img,image,pic,upload等等这些目录,里面一般是没有asp文件的目录的执行许可设置为无,这样就算你用的程序被发现了新的漏洞,传了马上来了,它也执行不了,不过要看仔细了,有些目录里也是有asp,asa文件的!
9 a8 `1 T0 R" N+ D: p
0 Y8 [$ b8 h; x$ e' C) I  ?
主页使用的文件按照文件类型应使用不同的访问控制列表:CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators(完全控制)System(完全控制)脚本文件 (.asp) Everyone (X) Administrators(完全控制)System(完全控制)include文件 (.inc, .shtm, .shtml) Everyone (X) Administrators(完全控制)System(完全控制)静态内容 (.txt, .gif, .jpg, .html) Everyone (R) Administrators(完全控制)System(完全控制)在创建Web站点时,没有必要在每个文件上设置访问控制权限,应该为每个文件类型创建一个新目录,然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。 例如,目录结构可为以下形式:D:\wwwroot\myserver\static (.html) D:\wwwroot\myserver\include (.inc) D:\wwwroot\myserver \script (.asp) D:\wwwroot\myserver \executable (.dll) D:\wwwroot\myserver \images (.gif, .jpeg)
2 e0 `: e+ v: q: w9 j

, C% Q( K2 F% k9 j/ l
7.启用日志记录
  ~8 B) u3 X6 m  E5 [
1)日志的审核配置确定服务器是否被攻击时,日志记录是极其重要的。应使用 W3C 扩展日志记录格式,步骤如下: 打开 Internet 服务管理器: 右键单击站点,然后从上下文菜单中选择属性。单击“Web 站点选项卡。 选中启用日志记录复选框。从活动日志格式下拉列表中选择“W3C 扩展日志文件格式。单击属性。单击扩展属性选项卡,然后设置以下属性:* 客户 IP 地址 * 用户名* 方法* URI 资源* HTTP 状态* Win32 状态* 用户代理* 服务器 IP 地址 * 服务器端口2)日志的安全管理1、启用操作系统组策略中的审核功能,对关键事件进行审核记录;2、启用IISFTP服务器等服务本身的日志功能;并对所有日志存放的默认位置进行更改同时作好文件夹权限设置!3、安装Portreport对所有网络访问操作进行监视(可选,可能增大服务器负荷);4、安装自动备份工具,定时对上述日志进行异地备份,起码是在其他分区的隐蔽位置进行备份,并对备份目录设置好权限(仅管理员可访问)。5、准备一款日志分析工具,以便随时可用。6、要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。
+ z8 t- N9 e- G# l
% x1 e1 d& y' w# t
8.备份IIS配置
* V+ d1 k% o3 j& Z3 K  K+ s
可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复
8 s& k; y2 V% j5 K: \

3 y' o; J9 ]( `; s1 W
9.修改IIS标志% ?3 d+ z  ?$ m4 \0 R& K
1)使用工具程序修改IIS标志修改IIS标志Banner的方法:下载一个修改IIS Banner显示信息的软件——IIS/PWS Banner Edit。利用它我们可以很轻松地修改IISBanner。但要注意在修改之前我们首先要将IIS停止(最好是在服务中将World Wide Web Publishing停止),并要将DLLcache下的文件全部清除。否则你会发现即使修改了一点改变也没有。IIS/PWS Banner Edit其实是个傻瓜级的软件,我们只要直接在New Banner中输入想要的Banner信息,再点击Save to file就修改成功了。用IIS/PWS Banner Edit简单地修改,对菜鸟黑客来说他可能已被假的信息迷惑了,可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IISBanner信息,这样才能做到万无一失。高版本Windows的文件路径为 C:\WINDOWS\system32\inetsrv\w3svc.dll,可以直接用Ultraedit打开W3SVC.DLL,然后以“Server为关键字查找。利用编辑器将原来的内容替换成我们想要的信息,比如改成Apache的显示信息,这样入侵者就无法判断我们的主机类型,也就无从选择溢出工具了。2)修改IIS的默认出错提示信息等。" _, V2 u( A- Z+ r

( W) N( k2 R, X( u! V4 J
10.重定义错误信息9 r# R7 x, J- C2 N7 l" ?
很多文章讲了怎样防止数据库不被下载都不错的,只要记住一点 .不要改成asp就可以了,不然给你放一个一句话木马让你死的很难看,再着在IIS中将HTTP404.500Object Not Found出错页面通过URL重定向到一个定制HTM文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据库的地址还能防止一些菜鸟sql注射。
' D6 V3 D3 H  o% Z8 E" p
, [; `: j: h- H- D7 M1 Q
对于服务器管理员,既然你不可能挨个检查每个网站是否存在SQL注入漏洞,那么就来个一个绝招。这个绝招能有效防止SQL注入入侵而且"省心又省力,效果真好!"SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的,如果你把IIS设置成不管出什么样的ASP错误,只给出一种错误提示信息,即http 500错误,那么人家就没办法入侵了。具体设置请参看图2。主要把500:100这个错误的默认提示页面 C:\WINDOWS\Help\iisHelp\common\500-100.asp改成" v4 q6 N8 |9 Q' L
C:\WINDOWS\Help\iisHelp\common\500.htm即可,这时,无论ASP运行中出什么错,服务器都只提示HTTP 500错误。
( H  T. d! A1 t  i$ h. c
还可更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">这样,出错了自动转到首页。

# w2 ~: }$ d# `) w6 H0 Z
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

三千游戏官方客服

扫一扫二维码

添加qq客服

Powered by Discuz!X3.4 ©2001-2013 Comsenz Inc.闽公网安备 35099902000100号增值电信业务经营许可证 闽B2-20220593 闽ICP备2023014375号