IIS-安全加固


01

 

删除不必要的组件-FTP/SMTP

 

 

删除FTP服务:

运行services.msc,打开服务,检查是否有msftpsvc服务。

删除ftp角色服务:开始->控制面板->管理工具->服务器管理器,角色->Web服务器(IIS),选择ftp角色服务,点击“删除角色服务”。

 

删除SMTP服务:

运行services.msc,打开服务,检查是否有SMTPSVC服务。

删除SMTP角色服务:开始->控制面板->管理工具->服务器管理器,角色->Web服务器(IIS),选择SMTP角色服务,点击“删除角色服务”。

 

 

 

 

02

 

调整网站目录权限

 

网站目录权限限制,网站目录只保留system和网站启动用户的修改

 

 

 

03

 

IIS访问账户权限调整(如有)

 

计算机管理-用户IUSERXXX-删除管理员组,添加普通至普通用户组

 

 

 

04

 

开启日志审核

 

网站主页-日志-勾选日志文件和ETW事件

 

 

05

 

日志留存配置

 

网站主页-日志-计划-选择每周-使用本地时间命名和滚动更新

 

 

06

 

禁用短文件名

 

未关闭可能导致短文件名泄露漏洞被利用,导致敏感文件被访问。

 

在命令行输入以下命令查看:

dir /x

如下图,为短文件名截图

图片

 

禁用windows系统中的短文件名功能。

打开注册表并打开此目录

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

修改 NtfsDisable8dot3NameCreation 的值为1 ,修改完成后,需要重启系统生效。原web内容需要剪切到别处后,重新复制回来才可去除短文件名。

 

 

07

 

删除IIS风险文件(如有)

 

删除文件夹%systemdrive%\inetpub\iissamples

删除文件夹%systemdrive%\inetpub\AdminScripts

删除文件夹%CommonProgramFiles%\System\msadc\Samples

删除文件夹%systemroot%\system32\inetsrv\adminsamples

删除文件夹%systemroot%\system32\inetsrv\iisadmpwd

删除文件夹%systemroot%\system32\inetsrv\iisadmin

 

 

08

 

禁止 IIS 列表显示文件

 

开始->控制面板->管理工具->Internet 信息服务(IIS)管理器,选择相应站点,在“功能视图”中,双击“目录浏览”。在“操作”窗格中,禁用“目录浏览”功能

 

 

09

 

配置错误页面重定向

 

IIS7参考配置:

开始->控制面板->管理工具->Internet信息服务管理器,在“功能视图” 双击“错误页”,自定义错误消息为指定的URL或文件指针。

 

 

10

 

删除 IIS 不必要的脚本映射

 

开始->控制面板->管理工具->Internet 信息服务(IIS)管理器,打开IIS服务器后,选择相应站点,在右边视图选择(双击)“处理程序映射”,删除htr,idc,stm,shtm,shtml.printer,htw,ida,idq等映射文件。

说明:IIS7需要修改主机节点以及每个目录下的配置内容的说明。

 

 

11

 

禁止 ASP.NET 服务扩展

 

打开服务器管理器,移除 Web 服务器角色的 ASP.NET 服务组件。配置此项可能需要重启 IIS。

posted on 2024-03-12 08:02  五官一体即忢  阅读(68)  评论(0编辑  收藏  举报

导航