IIS 安全加固
IIS 服务器介绍:
微软的Internet信息服务(IIS)提供了可用于Intranet和Internet或Extranet上的集成Web服务器能力,这种服务器具有可靠性、可扩展性、安全性等特点。任何规模的组织都可以使用IIS管理Intranet或Internet上的网页及文件传输(FTP)站点,IIS7.0是Windows Server 2008 R2的Web服务器角色。用户通过浏览,可以搜索自己所需的资料、图片和视频,所有这些都是基于WWW服务实现的,WWW服务也称为Web服务。WWW(World Wide Web)服务也叫万维网服务,是指在网上发布并可以通过浏览器观看的图形化页面服务。万维网服务是通过建立Web站点来实现的,目前应用较多的软件主要有IIS和Apache。
身份验证和访问控制
1、IIS 的身份验证概述:
Web站点建成后,就可以对用户提供信息浏览服务,通常是允许匿名访问的;但有些特殊网站或虚拟目录出于安全性考虑,要求用户提供用户账户和密码后才能访问,或者限定某些IP地址访问。
2、IIS 身份验证有如下四种:
匿名身份验证:
系统默认只启用匿名身份验证,另外三个需要通过添加角色服务的方法进行添加。启用匿名身份验证后用户无须输入用户名和密码,当用户试图连接到网站时,Web服务器将连接分配给账户IUSR,用户实际上是使用IUSR这个账户访问站点的
Windows身份验证:
Windows身份验证也会要求输入用户名与密码,而且用户名与密码在通过网络发送之前会经过哈希处理,因此可以确保安全性。Windows使用NTLM或Kerberos协议对客户端进行身份验证,由于Kerberos会被防火墙阻挡且代理服务器不支持NTLM,所以Windows身份验证适用于连接内部网络(Intranet)的网站。
基本身份验证:
基本身份验证要求用户提供有效的用户名和密码才能访问,它是工业标准验证方法;但是用户发送给网站的用户名和密码并没有被加密,所以容易被恶意拦截并得知这些数据。若要使用基本身份验证,应该搭配其他可以确保发送数据安全性的措施
摘要式身份验证:
摘要式身份验证也要求输入用户名和密码,它比基本身份验证更安全。在使用摘要式身份验证时,密码不是以明文形式发送的。与Windows身份验证相比,摘要式身份验证可以通过代理服务器使用。
3、实际操作
匿名身份验证:
系统默认只启用了匿名身份验证,即用户访问站点时,不需要提供身份认证信息就可以正常访问站点,另外三个需要通过添加角色服务的方法进行添加:
基本身份验证:
如果网站启用了基本身份验证(需先将匿名身份禁用),访问站点时,要求用户输入账号密码。一般在网站后台等目录使用。
先禁用匿名身份验证,然后再启用基本身份验证,就可以进行编辑了。可以添加域账号或者留空。
摘要式身份验证:
摘要式身份验证和基本身份验证一样需要输入账号密码,但比基本身份认证更加安全,因为基本身份是使用的是不加密的base64 编码进行传输,而摘要式身份验证的用户密码是使用MD5。
使用摘要式身份验证必须具备三个条件:
浏览器支持HTTP 1.1 IE 5 以上
IIS服务器必须是windows 域控成员或者域控。
用户登录必须是域控制器账号,而且是同IIS 服务器用以或者信任域。
所以说摘要式身份验证是使用windows 域控制器对请求访问web 服务器内容的用户进行身份验证。
Windows 集成身份验证: 如果使用NTLM 或者Kerberos 协议进行身份验证,则应使用Windows 身份验证。Windows身份验证适用于连接内部网络(Intranet)的网站。
设置单独应用程序
给网站设置独立运行的程序池,这样每个网站与错误就不会互相影响
要新建应用程序池,在IIS 管理控制台中右击应用程序池文件夹,指向新建,选择应用程序池。然后在对话框中输入名字点击确认即可。然后就可以把web站点分配到应用程序池了。
限制目录执行权限
在IIS中设置需要上传文件的目录,双击处理程序映射,然后在处理程序映射中,把编辑功能权限中的脚本去掉,这样即使上传了木马文件在此目录,也是无法执行的。
开启日志审计
1、打开IIS管理工具,选择需要设置日志的站点,切换到功能视图,双击日志,进入日志配置界面。
2、默认情况下Web日志存放于系统目录" %SystemDrive%\inetpub\logs\LogFiles",将Web日志文件放在非网站目录和非操作系统分区,并定期对Web日志进行异地备份。
双击日志,可进行日志属性的设置如下图:
IIS 服务器常见漏洞
文件解析漏洞 1、目录解析漏洞 2、 文件名解析漏洞 3、 畸形解析漏洞
IIS 短文件漏洞
PUT 任意文件写入
HTTP.SYS远程代码执行
RCE-CVE-2017-7269
最后更新于
这有帮助吗?
