🙊
关于作者
  • 个人简历
  • 联系作者
  • 运维日常记录
    • RAID 磁盘阵列
    • MBR 与 GPT 分区
    • Linux 命令行判断GPT和MBR分区
    • CentoS 7 系统 扩容根分区
  • Linux运维学习笔记
    • 计算机网络基础知识
    • Linux 系统启动过程
    • Linux 命令基本格式
    • Linux 文件删除原理
    • Linux 目录结构说明
    • Linux 查看命令帮助信息
    • Linux Yum 命令
    • Linux Apt 命令
  • Linux 运维管理
    • Linux 硬件管理
    • Linux 软件管理
    • Linux 磁盘管理
    • Linux 系统管理
    • Linux 网络管理
    • Linux 用户和组管理
    • Linux 文件与目录管理
    • Linux 文件压缩与解压缩管理
    • Linux SSL证书自动更新管理
  • 运维环境搭建
    • CentOS 7 安装与优化
    • CentOS 安装高版本Node.js
    • CentOS 升级安装Python2.7.X
    • CentOS 安装 Python3.8.X
    • CentOS 安装 PHP7.4.X
    • CentOS 安装 Mysql 8.0
    • CentOS 安装 Zabbix 5.0
    • Windows Server 部署 IIS
    • Cronsun 任务管理器部署
    • Teltport 堡垒机部署
    • Jump Server 堡垒机搭建及使用
    • CI & CD 持续集成部署
    • ELK6.5.0+Filebeat 日志系统部署
    • Lustre 分布式并行文件系统部署
  • 系统安全加固
    • Linux 操作系统加固
    • Windows 操作系统安全加固
    • Password 安全加固
    • OpenSSL 安全加固
    • NFS 服务安全加固
    • Rsync 服务安全加固
    • IIS 服务安全加固
    • PHP 语言环境安全加固
    • Apache 服务安全加固
    • Nginx 服务安全加固
    • Tomcat 服务安全加固
    • MySQL 服务安全加固
    • PostgreSQL 服务安全加固
    • Redis 服务安全加固
    • MongoDB 服务安全加固
    • 暴力破解攻击和防御
  • 云原生运维教程
    • Docker 理论
    • Docker 基本架构
    • Docker 基本概念
    • Docker 基本使用
      • 容器
      • 镜像
      • 仓库
    • Docker 存储
    • Docker 网络
    • Docker 安装
  • Linux 系统故障排查
    • Linux 系统重置密码方法
    • Linux 系统误操作修改目录权限为 777 修复方法
  • Windows 系统故障排查
    • Windows 和 Windows Server 中启用/禁用 SMBv1、SMBv2 和 SMBv3
    • Windows10建立映射网络驱动器报错,无法挂载共享文件系统,解决办法
  • 运维工具使用
    • 常用 Git 命令简介及使用
    • 常用 SVN 命令简介及使用
    • 常用 Vi / Vim 文本编辑工具简介及使用
    • 国内常用加速源使用及配置
    • 软碟通制作U启动和再生龙恢复Linux系统及备份
    • 常用JetBrains系列IDE快捷键
  • 中间件教程学习
    • Nginx 极简教程
    • Nginx 安装
    • Nginx 配置
    • Nginx 问题集
    • Mysql 教程
    • Mysql 运维
    • Mysql 原理
    • Redis 教程
    • Redis 持久化
    • Redis 复制
    • Redis 哨兵
    • Redis 集群
    • Redis 运维
    • PostgreSQL 教程
    • H2 教程
    • SqLite 教程
    • 数据库中间件 flyway
  • Nginx 入门教程
  • MySQL 入门教程
  • Nosql 数据库
  • 常用工具快捷键
    • Windows10常用快捷键大全
  • Group 1
由 GitBook 提供支持
在本页
  • IIS简介:
  • 1. 适用情况
  • 2. 技能要求
  • 3. 前置条件
  • 4. 详细操作
  • 4.1 限制目录执行权限
  • 4.2 开启日志审计
  • 4.3 自定义404错误页面
  • 4.4 防止.mdb数据库文件被下载
  • 4.5 访问源IP限制
  • 4.6 关闭WebDAV
  • 4.7 关闭目录浏览
  • 4.8 关闭FTP匿名访问
  • 4.9 解决IIS短文件名漏洞
  • 5 停用或删除默认站点
  • 5.1 删除不必要的脚本映射
  • 5.2 设置最大并发连接数
  • 5.3 独立站点帐户
  • 5.4 独立应用程序池
  • 5.5 卸载不需要的IIS角色服务

这有帮助吗?

  1. 系统安全加固

IIS 服务安全加固

上一页Rsync 服务安全加固下一页PHP 语言环境安全加固

最后更新于3年前

这有帮助吗?

博客作者:联系请,搬运不易,希望请作者喝咖啡,可以点击

IIS简介:

Windows®Server的Internet信息服务(IIS)是一种灵活,安全且可管理的World Wide Web server,用于承载Web上的任何内容。从媒体流到Web应用程序,IIS的可扩展和开放式体系结构随时可以处理最苛刻的任务。

1. 适用情况

适用于使用 IIS7 进行部署的Web网站。

2. 技能要求

熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。

3. 前置条件

1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署;

2、 启用IIS

方法一:按Win键+R打开Windows运行,输入inetmgr,回车即可打开;

方法二:开始->管理工具->Internet 信息服务(IIS)管理器。

4. 详细操作

4.1 限制目录执行权限

1、在IIS中设置需要上传文件的目录,双击处理程序映射

2、在处理程序映射中,把编辑功能权限中的脚本去掉,这样即使上传了木马文件在此目录,也是无法执行的。

4.2 开启日志审计

1、打开IIS管理工具,选择需要设置日志的站点,切换到功能视图,双击日志,进入日志配置界面。

2、默认情况下Web日志存放于系统目录" %SystemDrive%\inetpub\logs\LogFiles",将Wb日志文件放在非网站目录和非操作系统分区,并定期对Web日志进行异地备份。

双击日志,可进行日志属性的设置如下图:

4.3 自定义404错误页面

1、选择站点,在功能视图页面,双击错误页,进入错误页配置页面:

2、选择404状态代码,进入自定义错误页编辑状态:

4.4 防止.mdb数据库文件被下载

很多网站都是使用的是asp+access数据库,mdb路径可能被猜解,数据库很容易就被别人下载了,利用IIS设置可有效防止mdb数据库被下载。

步骤一:在 C:\Windows\System32\inetsrv\config目录下找到applicationHost文件;

步骤二:打开applicationHost文件,选择requestFiltering 下的节点: <add fileExtension=".mdb" allowed="false" />,修改allowed的值为“false”,mdb文件不能被下载。

步骤三:保存后,即无法下载.mdb数据库文件。

4.5 访问源IP限制

在条件允许的条件下,对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。常用于限制网站管理后台对外开放。

1、开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录,然后在功能视图中找到IP地址和域名限制,双击IP地址和域名限制进入设置。

2、在IP地址和域限制中,添加允许条目

4.6 关闭WebDAV

开始->管理工具->Internet 信息服务(IIS)管理器, 选择一个站点,在功能视图中找到WebDAV创作规则,双击 WebDAV创作规则,进入设置:

2、在WebDAV创作规则中,选择禁用WebDAV

4.7 关闭目录浏览

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录,然后在功能视图页面找到“目录浏览”,双击进入目录浏览设置页面:

2、在最右边,操作栏进行“禁用”,即可禁用目录浏览

4.8 关闭FTP匿名访问

开始->管理工具->Internet 信息服务(IIS)管理器 点击WIN-主机名后在中间位置FTP栏找到FTP身份验证,双击进入;

右键匿名身份验证->禁用,即可关闭FTP匿名访问

4.9 解决IIS短文件名漏洞

1、打开Internet 信息服务(IIS)管理器,选择站点,在功能视图界面,双击请求筛选

2、在URLà添加拒绝序列àURL序列设置为【~】

5 停用或删除默认站点

IIS安装后的默认主目录是“C:\inetpub\wwwroot”,为更好地抵抗踩点、刺探等攻击行为,应该更改主目录位置,禁用默认站点,新建立站点并进行安全配置。

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键站点,选择停止或者删除。

5.1 删除不必要的脚本映射

打开IIS服务管理器,选择需要设置的站点,找到“处理程序映射”双击,从列表中删除以下不必要的脚本。

包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。

删除的原则:只保留需要的脚本映射。

根据需要可以在已经存在的脚本上点击右键进行编辑和删除,也可以自定义添加映射。

5.2 设置最大并发连接数

打开IIS服务管理器,选择需要设置的站点,点击浏览网站下的“高级设置“,打开高级设置对话框,切换到“连接限制”选项卡,设置连接限制,包括最大并发连接数等的设置。

5.3 独立站点帐户

在Windows server 2008R2系统下,用IIS架设Web服务器,合理的为每个站点配置独立的Internet来宾账号,这样可以限制Internet 来宾账号的访问权限,只允许其可以读取和执行运行网站所的需要的程序。

1. 选中“我的电脑”右键,选择“管理”,打开“计算机管理”,选择“本地用户和组”,然后点击“用户”,接着“右键”,新建一个用户,如下图:

最后点击“创建”,完成用户创建。

2. 删除新建立的用户属的用户组“USERS”,然后点击“添加”,让用户属于Guests组,如下图:

3、网站设置独立运行用户,加强网站安全

5.4 独立应用程序池

给网站设置独立运行的程序池,这样每个网站与错误就不会互相影响:

5.5 卸载不需要的IIS角色服务

开始->管理工具->服务器管理器” 双击“角色”,在右边最下方可以看见角色服务,点击““删除角色服务”,可对不需要的IIS角色服务进行删除。

点击
联系博客作者