IIS-安全加固
01
—
删除不必要的组件-FTP/SMTP
删除FTP服务:
运行services.msc,打开服务,检查是否有msftpsvc服务。
删除ftp角色服务:开始->控制面板->管理工具->服务器管理器,角色->Web服务器(IIS),选择ftp角色服务,点击“删除角色服务”。
删除SMTP服务:
运行services.msc,打开服务,检查是否有SMTPSVC服务。
删除SMTP角色服务:开始->控制面板->管理工具->服务器管理器,角色->Web服务器(IIS),选择SMTP角色服务,点击“删除角色服务”。
02
—
调整网站目录权限
网站目录权限限制,网站目录只保留system和网站启动用户的修改
03
—
IIS访问账户权限调整(如有)
计算机管理-用户IUSERXXX-删除管理员组,添加普通至普通用户组
04
—
开启日志审核
网站主页-日志-勾选日志文件和ETW事件
05
—
日志留存配置
网站主页-日志-计划-选择每周-使用本地时间命名和滚动更新
06
—
禁用短文件名
未关闭可能导致短文件名泄露漏洞被利用,导致敏感文件被访问。
在命令行输入以下命令查看:
dir /x
如下图,为短文件名截图
禁用windows系统中的短文件名功能。
打开注册表并打开此目录
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
修改 NtfsDisable8dot3NameCreation 的值为1 ,修改完成后,需要重启系统生效。原web内容需要剪切到别处后,重新复制回来才可去除短文件名。
07
—
删除IIS风险文件(如有)
删除文件夹%systemdrive%\inetpub\iissamples
删除文件夹%systemdrive%\inetpub\AdminScripts
删除文件夹%CommonProgramFiles%\System\msadc\Samples
删除文件夹%systemroot%\system32\inetsrv\adminsamples
删除文件夹%systemroot%\system32\inetsrv\iisadmpwd
删除文件夹%systemroot%\system32\inetsrv\iisadmin
08
—
禁止 IIS 列表显示文件
开始->控制面板->管理工具->Internet 信息服务(IIS)管理器,选择相应站点,在“功能视图”中,双击“目录浏览”。在“操作”窗格中,禁用“目录浏览”功能
09
—
配置错误页面重定向
IIS7参考配置:
开始->控制面板->管理工具->Internet信息服务管理器,在“功能视图” 双击“错误页”,自定义错误消息为指定的URL或文件指针。
10
—
删除 IIS 不必要的脚本映射
开始->控制面板->管理工具->Internet 信息服务(IIS)管理器,打开IIS服务器后,选择相应站点,在右边视图选择(双击)“处理程序映射”,删除htr,idc,stm,shtm,shtml.printer,htw,ida,idq等映射文件。
说明:IIS7需要修改主机节点以及每个目录下的配置内容的说明。
11
—
禁止 ASP.NET 服务扩展
打开服务器管理器,移除 Web 服务器角色的 ASP.NET 服务组件。配置此项可能需要重启 IIS。