iis安全
0x01 账号管理
一、 应按照用户分配账号。避免不同用户间共享账号
避免用户账号和设备间通信使用的账号共享(对于IIS用户定义分为两个层次:一、IIS自身操作用户,二、IIS发布应用访问用户)。操作:
1. 为不同维护人员创建账号:进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的账户和账户组.对应设置IIS系统管理员的权限。
2. 为创建账号设置权限:进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”:其中分为“匿名访问身份”及“基本(Basic)验证”。“基本(Basic)验证”包含:“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NET Passport身份验证”;可依据维护人员进行不同权限访问控制配置。
检测:
1.进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:查看根据系统的要求,设定不同的账户和账户组。
2.进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”查看相应配置。
3 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组。
二、应删除或锁定与设备运行、维护等工作无关的账号
操作:
1. 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:删除或锁定与设备运行、维护等与工作无关的账号。IIS安装后生成账号: IUSR_主机名、IWAM_主机名、ASPNET三用户,依据应用情况建议只保留系统维护账号。
(1)IUSR_主机名:Internet 来宾帐户, 匿名访问 Internet 信息服务的内置帐户。如果删除影响页面浏览,建议保留。
(2)IWAM_主机名: 启动 IIS 进程帐户, 用于启动进程外应用程序的 Internet 信息服务的内置帐户。建议保留。
(3)ASPNET: ASP.NET 计算机帐户, 用于运行 ASP.NET 辅助进程(aspnet_wp.exe)的帐户。IIS系统安装后会默认支持ASP,如网站无动态内容,可禁用该帐户,如网站有动态内容需保留此账户。
检测:
1. 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:查看是否删除或锁定与设备运行、维护等与工作无关的账号。如网站无动态内容,系统只保留管理员、IUSR_主机名、IWAM_主机名、维护人员账号,无其他账号,如网站有动态内容系统保留管理员、IUSR_主机名、IWAM_主机名、ASPNET、维护人员账号,无其他账号。
2 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。
0x02 口令
一、口令复杂度
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类(IIS基于Windows系统,可通过提升Windows自身密码安全等级实现)
操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”
检测:进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”
二、口令的生存期
对于采用静态口令认证技术的设备,维护人员使用的账户口令的生存期不长于90天(IIS基于Windows系统,可通过提升Windows帐户策略实现)操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码最长存留期”设置为“90天”
判定:“密码最长存留期”设置为“90天”
三、口令重复限制
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令(IIS基于Windows系统,可通过提升Windows帐户策略实现)操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“强制密码历史”设置为“记住5个密码”
检测: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“强制密码历史”设置为“记住5个密码”
判定: “强制密码历史”设置为“记住5个密码”
0x03 授权
一、最小权限
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限(对于IIS用户定义分为两个层次:一、IIS自身操作用户,二、IIS发布应用访问用户;设备权限的配置基于上述两方面考虑)
1.原理:
(1)文件夹和文件的访问权限:安放在ntfs文件系统上的文件夹和文件,一方面要对其权限加以控制,对不同的用户组和用户进行不同的权限设置;另外,可利用NTFS的审核功能对某些特定用户组成员 读文件的企图等方面进行审核,有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆,及时加以预防制止。
(2)目录的访问权限:已经设置成Web目录的文件夹,可以通过操作Web站点属性页面实现对www目录访问权限的控制,而该目录下的所有文件和子 文件夹都将继承这些安全性。www服务除了提供NTFS文件系统提供的权限外,还提供读取权限,允许用户读取或下载WWW目录中的文件;执行权限,允许用户运行www目录下的程序和脚本。
2.操作:
(1)启动“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”
(2)启动ISM(Internet服务器管理器)-> 启动Web属性页面并选择“目录”选项卡;-> 选择www目录;-> 选择“编辑属性”中的“目录属性”进行设置:“脚本资源访问”、“读取”、“写入”“目录浏览”、“记录访问”、“索引资源”。
检测:
1.启动“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”,检测 “审核规则”配置状态。
2.启动ISM(Internet服务器管理器)->启动Web属性页面并选择“目录”选项卡;->选择www目录;-> “编辑属性”中的“目录属性”,查看配置状态。
判定条件:1.检测用户权限审核及ISM目录安全属性。
0x04 日志
一、启用日志
操作:打开IIS管理工具,右击要管理的站点,选择“属性”。在“Web Site”选择“启用日志记录”,从下拉菜单中选择“Microsoft IIS日志文件格式”。“W3C”日志格式存在日志记录时间与服务器时间不统一的问题,所以应尽量采用IIS日志格式。
检测:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性”检查是否“启用日志记录”
采用“Microsoft IIS日志文件格式”。
判定:启用日志记录,并采用IIS日志格式。
二、 更改日志默认路径
1. 将IIS的网页访问日志独立存放在一个独立的分区中,并且系统管理员要定期对该目录进行查看和维护,确保日志内容不会溢出,并可以及早的发现网络异常行为。
检测方法:进入“开始->管理工具->资源管理器”,查看日志文件存放路径。
判定: IIS的网页访问日志独立存放在一个独立的分区中
三、记录与设备相关的安全事件
操作:
1.进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应 “审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核账号管理”、“审核过程追踪”选项。
2.运行IIS管理器->“Internet信息服务”->“应用相关站点”属性->“网站”->“属性”->“高级”,选择“时间”、“日期”、“扩展属性”是否选择
检测方法:进入“控制面板->管理工具->本地安全策略”,查看“本地策略->审核策略”配置“成功”、“失败”的选择记录。
判定条件:确定系统相关“审核策略”;确定IIS相关“站点属性”日志详细记录。
四、配置权限,控制对日志文件读取、修改和删除
操作:进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核策略更改”配置相应选项。检测:进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核策略更改”选项选择状态。
判定:确定系统相关“审核策略”
0x05 其他事项
1 IP协议:IP转发的安全性
IIS服务可提供IP数据包转发功能,此时,充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中,以此提升IIS服务安全性
操作:IIS服务器启动“网络属性”-> “协议”选项卡->在“TCP/IP属性”中去除 “路由选择”选项。
检测:IS服务器启动“网络属性”-> “协议”选项卡->在“TCP/IP属性”查看 “路由选择”选项。
判定:判断IIS所属服务器“路由选择”选项状态。
2 超时操作
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定(参考Windows相关配置:设置带密码的屏幕保护,并将时间设定为5分钟。)
操作:进入“控制面板->显示->屏幕保护程序”:启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”
检测:进入“控制面板->显示->屏幕保护程序”:查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
判定:启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
3 更改默认安装路径:
操作:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性”。
IIS安装后的默认主目录是“%system%Inetpubwwwroot”,为更好地抵抗踩点、刺探等攻击行为,应该更改主目录位置,更改主目录位置操作
检测:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性”。查看是否更改IIS默认安装路径。
判定:更改IIS默认安装路径。
4 删除实例
文件安全配置要求:删除可能带来风险的实例文件。操作:进入相应目录,删除实例文件
IIS c:\inetpub\iissamples
Admin Scripts c:\inetpub\scripts
Admin Samples %systemroot%\system32\inetsrv\adminsamples
IISADMPWD %systemroot%\system32\inetsrv\iisadmpwd
IISADMIN %systemroot%\system32\inetsrv\iisadmin
Data access c:\Program Files\Common Files\System\msadc\Samples
MSADC c:\program files\common files\system\msadc
检测:进入c:\inetpub;c:\Program Files\Common Files\System\msadc\Samples 查看是否删除可能带来风险的实例文件。
判定:删除可能带来风险的实例文件。
5 删除脚本
删除不必要的脚本影射
操作:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性” -〉编辑 -〉根目录 -〉配置,然后从列表中删除以下不必要的脚本,包括:.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida 和.idq。
删除的原则:只保留需要的脚本映射。
配置方法:
从“Internet 服务管理器”中:选择计算机名,点鼠标右键,选择属性,属性界面如下图2所示:
然后选择编辑,编辑界面图如下图3所示:
然后选择主目录,点击配置,配置图如图4所示:
选择需要删除的扩展名,点击删除,删除操作图如图5所示:(以下图示仅供参考,依据实际需求操作)
检测:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性” -〉编辑 -〉根目录 -〉配置:
查看是否删除不必要的脚本影射。
判定:删除不必要的脚本影射。
6 账号所属日志
按账号分配日志文件读取、修改和删除权限,从而防止日志文件被篡改或非法删除。操作: 通过“资源管理器”,修改文件权限,除管理员组用户外,其他用户不得修改、删除日志文件。
检测:资源管理器->日志文件->“属性”。
判定: 非管理员组的用户不得修改、删除日志文件。
7 IIS升级
操作: 下载IIS补丁包http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS7.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665
并安装,或升级到IIS7.5
检测:控制面板->添加或删除程序->显示更新打钩,查看是否安装IIS补丁包。
判定条件:已安装IIS最新 补丁包。
8 禁止开启其他服务
IIS 是架设 WEB、FTP、SMTP 服务器的一套整合软件,如果不是必要,不得安装FTP、SMTP服务。操作: 可以通过“控制面板” -> “添加/删除程序” ->“添加删除IIS组件” ->“internet信息服务(IIS)”中删除FTP、SMTP服务组件。
检测:可以通过“控制面板” -> “添加/删除程序” ->“添加删除IIS组件” ->“internet信息服务(IIS)”中检查是否删除FTP、SMTP服务组件。
判定: 查看FTP、SMTP服务没有被安装。
9 禁止web服务扩展
对于IIS6.0 对于“web服务扩展”,默认只启用了“asp.net”功能。如果业务系统不需要ASP支持,应按照下图的方法将相应的服务扩展禁止。操作: 禁止“asp.net”功能操作图如下图6所示:
检测:如果网站页面为静态界面,则开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“web服务扩展”。检查是否禁用“asp.net”功能。
判定:如果网站页面均为静态界面,则不需要ASP支持,禁用“asp.net”功能。如果网站页面有动态内容,则该项不用配置。
欢迎大家分享更好的思路,热切期待^^_^^ !
相关阅读
怎么让网站更安全?建立您网站的可信度与您的产品或服务一样重要。客户需要充满自信并相信您的在线界面足以考虑向您购买。SEO
详解如何下载JDK和如何配置JDK的环境变量--Windows10
目录 一.前言: 二.jdk安装 三.教你零基础配置环境变量 1.去哪里设置? 2.怎么设置?(先不讲缘由,后面再讲) (1)新建JAVA_HOME (2)新建CLASSPAT
7000元左右i7-7700配GTX1070高游戏电脑配置清单推荐
伴随者七代平台日益普及和流行,据小编了解到开始越来越多的用户考虑最新平台。相信很多用户跟小编一样存在买新不买旧的心理。是的
本章内容提要软件配置管理的作用软件配置管理的相关概念建立软件配置管理环境版本控制系统集成分支管理变更管理配置审计和配置状
文章为作者经历一个项目后对配置文件的思考总结,希望能够给你一些启发。一、为什么要了解配置文件?配置文件是技术童鞋在开发过程中