IIS安全配置手册安全加固手册

IIS安全配置手册此安全配置标准适用于IIS 的5.0以上版本。1 为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如: 静态文件文件夹:包括所有静态文件，如HTM 或HTML，给予允许读取、拒绝写的权限。 ASP脚本文件夹:包含站点的所有脚本文件，如cgi、vbs、asp等等，给予允许执行、拒绝写和读取的权限。 EXE等可执行程序:包含站点上的二进制执行文件，给予允许执行、拒绝写和拒绝读取的权限。2 删除危险的IIS组件默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，以下是一些“黑名单”，大家可以根据自己的需要决定是否需要删除。 Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。 SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务，就可以删除这两项，否则，可能因为它们的漏洞带来新的不安全。 样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，建议删除。3 删除不必要的应用程序映射 IIS中默认存在很多种应用程序映射，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是，在这些程序映射中，除了.asp的这个程序映射，其它的文件在网站上都很少用到。而且在这些程序映射中，.htr、.idq/ida、.printer、.cer、.cdx等多个程序映射都已经被发现存在缓存溢出问题，入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序，仍然没法保证安全。 所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击“配置”按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补程序以解决程序映射存在的问题，并且选中相应的程序映射，再点击“编辑”按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。4 保护日志安全日志是系统安全策略的一个重要坏节，IIS带有日志功能，能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。打开“internet信息服务”控制台，右键点击所管理的网站，选择“属性”；选择”web站点“标签，查看“启用日志记录”复选框是否选中；查看“活动日志格式”下拉框中是否选择“W3C扩充日志文件格式”；并点击“属性”；在打开的“扩充日志记录属性“对话框中，点击“常规属性”标签，查看“日志文件路径”，查看日志文件所在的分区及其文件格式，查看日志文件的NTFS权限；在打开的“扩充日志记录属性“对话框中，点击“扩充的属性”标签，查看是否选中“用户代理”和“参照”复选框。 5 IIS banner信息限制用扫描器检查返回的banner信息或telnet ipaddress 80 get http/1.1；进入C:WINNTsystem32inetsrv目录，使用Ultraedit打开w3svc.dll，查找“microsoft-iis/5.0”,把他替换成你想要的banner就行了。实施风险：无可预见的风险。6 没有限制连接数打开“internet信息服务”控制台，右键点击所管理的网站，选择“属性”，选择“web站点”标签，查看“启用日志记录”复选框是否