IIS-安全加固

01

—

 

删除不必要的组件-FTP/SMTP

 

 

删除FTP服务：

运行services.msc，打开服务，检查是否有msftpsvc服务。

删除ftp角色服务：开始->控制面板->管理工具->服务器管理器，角色->Web服务器（IIS），选择ftp角色服务，点击“删除角色服务”。

 

删除SMTP服务：

运行services.msc，打开服务，检查是否有SMTPSVC服务。

删除SMTP角色服务：开始->控制面板->管理工具->服务器管理器，角色->Web服务器（IIS），选择SMTP角色服务，点击“删除角色服务”。

 

 

 

 

02

—

 

调整网站目录权限

 

网站目录权限限制，网站目录只保留system和网站启动用户的修改

 

 

 

03

—

 

IIS访问账户权限调整（如有）

 

计算机管理-用户IUSERXXX-删除管理员组，添加普通至普通用户组

 

 

 

04

—

 

开启日志审核

 

网站主页-日志-勾选日志文件和ETW事件

 

 

05

—

 

日志留存配置

 

网站主页-日志-计划-选择每周-使用本地时间命名和滚动更新

 

 

06

—

 

禁用短文件名

 

未关闭可能导致短文件名泄露漏洞被利用，导致敏感文件被访问。

 

在命令行输入以下命令查看：

dir /x

如下图，为短文件名截图

 

禁用windows系统中的短文件名功能。

打开注册表并打开此目录

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

修改 NtfsDisable8dot3NameCreation 的值为1 ，修改完成后，需要重启系统生效。原web内容需要剪切到别处后，重新复制回来才可去除短文件名。

 

 

07

—

 

删除IIS风险文件（如有）

 

删除文件夹%systemdrive%\inetpub\iissamples

删除文件夹%systemdrive%\inetpub\AdminScripts

删除文件夹%CommonProgramFiles%\System\msadc\Samples

删除文件夹%systemroot%\system32\inetsrv\adminsamples

删除文件夹%systemroot%\system32\inetsrv\iisadmpwd

删除文件夹%systemroot%\system32\inetsrv\iisadmin

 

 

08

—

 

禁止 IIS 列表显示文件

 

开始->控制面板->管理工具->Internet 信息服务(IIS)管理器,选择相应站点，在“功能视图”中，双击“目录浏览”。在“操作”窗格中，禁用“目录浏览”功能

 

 

09

—

 

配置错误页面重定向

 

IIS7参考配置:

开始->控制面板->管理工具->Internet信息服务管理器，在“功能视图” 双击“错误页”，自定义错误消息为指定的URL或文件指针。

 

 

10

—

 

删除 IIS 不必要的脚本映射

 

开始->控制面板->管理工具->Internet 信息服务(IIS)管理器，打开IIS服务器后，选择相应站点，在右边视图选择（双击）“处理程序映射”，删除htr,idc,stm,shtm,shtml.printer,htw,ida,idq等映射文件。

说明：IIS7需要修改主机节点以及每个目录下的配置内容的说明。

 

 

11

—

 

禁止 ASP.NET 服务扩展

 

打开服务器管理器，移除 Web 服务器角色的 ASP.NET 服务组件。配置此项可能需要重启 IIS。