IIS服务器安全加固
IIS服务器安全加固
一、基本设置检查
A、检查Web内容是否在非系统分区上
前言:如果站点在系统分区上,比如C盘,如果存在任意文件下载就可能泄露一些资源;
判断依据:站点存在与系统分区上则不符合
检查方式:
CMD方式一:%systemroot%\system32\inetsrv\appcmd\list vdir powershell;
Powershell方式二:Get-Website | Format-List Name, PhysicalPath;
加固方式:更改站点位置
B、检查“目录浏览“是否开启
判断依据:开启则不符合
检查方式:
CMD方式:%systemroot%system32\inetsrv\appcmd lisi config/section:directoryBrowse
加固方式:可采用图形化的方式
C、检查WebDav功能是否开启
判断依据:开启则不符合
检查方式:
Powershell方式:Get-WindowsFeature web-Dav-publishing(有的话会出现一个Install)
加固方式:
命令:Remove-WindowsFeature Web-Dav-publishing
D、检查错误页面是否替换
判断依据:没有替换则不符合
检查方式:在IIS错误页面功能中,查看默认的错误状态对应的响应页面是否被替换
加固方式:在IIS错误页面功能中,对不同的错误状态设置不同的响应页面
E、检查是否禁止上传执行
判断依据:禁止则符合
检查方式:处理程序映射——编辑功能权限——执行(看是否✔)
加固方式:去掉脚本执行功能
二、身份验证和授权检查
A、检查“全局授权规则”是否被设置为“限制访问”
判断依据:有配置则符合
检查方式:IIS管理器可进行查看
加固方式:如果没有则进行授权规则的添加
B、检查对敏感站点特性的访问仅限于经过身份验证的主体
判断依据:有配置则合理
检查方式:IIS管理器可进行查看
加固方式:如果没有则进行添加相关的授权访问验证
C、检查表单身份验证是否需要SSL
判断依据:有配置则合理
检查方式:IIS管理器可进行查看
加固方式:IIS管理器内进行SSL验证的添加
D、检查是否开启SSL设置
判断依据:有配置则合理
检查方式:IIS管理器可进行查看
加固方式:IIS管理器内进行SSL验证的添加
三、ASP.Net配置检查
A、检查“debug“功能是否关闭
判断依据:开启则不符合
检查方式:可以以图形化的方式
加固方式:NET编译——调试——False
B、检查“ASP.NET自定义错误消息“是否被关闭
判断依据:关闭则不符合
检查方式:图形化设置
加固方式:图形化方式进行配置,设置为RemoteOnly
C、检查“HTTP自定义错误”是否被关闭
判断依据:显示详细信息则不符合
检查方式:图形化
加固方式:错误页——编辑错误页设置——设置为:本地请求的详细信息和远程请求的自定义错误页
D、检查“X-Powered-By”头部是否移除
判断依据:存在则不符合
检查方式:curl -I http://example.com
加固方式:取消该字段
E、检查服务器头部信息是否被移除
判断依据:存在则不符合
检查方式:直接进行查看
加固方式:取消该字段
四、请求过滤和限制检查
A、检查是否配置“最大允许内容长度”(备注:减少了缓冲区溢出攻击的风险)
判断依据:存在则符合
检查方式:图形化
加固方式:IIS管理器——请求筛选进行配置
B、检查是否配置了“最大允许查询字符串长度”
判断依据:存在则符合
检查方式:IIS管理器——请求筛选——最大允许查询字符串长度
加固方式:IIS管理器——请求筛选——最大允许查询字符串长度
C、检查是否允许“高位字符”
判断依据:允许则不符合
检查方式:IIS管理器——请求筛选——高位字符
加固方式:IIS管理器——请求筛选——高位字符
D、检查是否允许“双重转义”
判断依据:存在则不符合
检查方式:IIS管理器——请求筛选——编辑功能——双重转义
加固方式:IIS管理器——请求筛选——编辑功能——双重转义
E、检查是否拒绝“TRACE谓词
前言:谓词:例如:get、post、add等
判断依据:存在则符合
检查方式:IIS管理器——请求筛选——HTTP谓词——拒绝谓词
加固方式:IIS管理器——请求筛选——HTTP谓词——拒绝谓词
F、检查是否允许“没有被列出的文件扩展名”
判断依据:允许则不符合
检查方式:IIS管理器——请求筛选——文件扩展名——允许或者不允许
加固方式:IIS管理器——请求筛选——文件扩展名——允许或者不允许
G、检查是启用“动态IP地址限制”(备注:可防止DOS攻击)
判断依据:存在则符合
检查方式:IIS管理器——IP地址和域名限制
加固方式:IIS管理器——IP地址和域名限制
H、检查是否配置最大连接数
判断依据:不为默认则符合
检查方式:IIS管理器——IIS主页——高级设置——限制栏——最大并发连接数字段,
如果该字段的值为4294967295则不符合
加固方式:按照站点的规模修改为不同的值
五、IIS日志记录检查
A、检查默认日志的位置是否更改
判断依据:默认位置则不符合
检查方式:IIS——日志
加固方式:修改成其它位置
B、检查是否启用高级IIS日志记录
判断依据:无
检查方式:IIS管理器——日志——选择字段——选择需要的字段
加固方式:按照需求配置即可