L003001033IIS安全加固Word格式文档下载.docx
- 文档编号:21298055
- 上传时间:2023-01-29
- 格式:DOCX
- 页数:12
- 大小:1.12MB
L003001033IIS安全加固Word格式文档下载.docx
《L003001033IIS安全加固Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《L003001033IIS安全加固Word格式文档下载.docx(12页珍藏版)》请在冰豆网上搜索。
实验环境
VPC1(虚拟PC)
操作系统类型:
windowsserver2003和windowsXPprofessional,网络接口:
本地连接
VPC1
连接要求
PC
网络接口,本地连接与实验网络直连
软件描述
无
实验环境描述
1、
学生机与实验室网络直连;
2、
VPC1与实验室网络直连;
3、
学生机与VPC1物理链路连通;
预备知识
Web服务器直接与Internet相连,而提供Windows服务器一般提供Web服务的就是IIS,所以IIS自身的安全性至关重要。
IIS是InternetInformationServices的缩写,是一个WorldWideWebserver。
Gopherserver和FTPserver全部包容在里面。
IIS意味着你能发布网页,并且有ASP(ActiveServerPages)、JAVA、VBscript产生页面,有着一些扩展功能。
IIS支持一些有趣的东西,像有编辑环境的界面(FRONTPAGE)、有全文检索功能的(INDEXSERVER)、有多媒体功能的(NETSHOW)其次,IIS是随WindowsNTServer4.0一起提供的文件和应用程序服务器,是在WindowsNTServer上建立Internet服务器的基本组件。
它与WindowsNTServer完全集成,允许使用WindowsNTServer内置的安全性以及NTFS文件系统建立强大灵活的Internet/Intranet站点。
IIS(InternetInformationServer,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。
实验内容
IIS的安全加固
实验步骤
学生登录实验场景的操作
学生单击“网络拓扑”进入实验场景,单击windows2003中的“打开控制台”按钮,进入目标主机。
如图所示:
2、学生输入账号administrator,密码123456,登录到实验场景中的Windowsserver2003,在该机器上默认已经搭建一个网站,并且能够正常访问。
如图所示:
3、学生输入账号administrator,密码123456,登录到实验场景中的WindowsXPProfessional。
4、在IIS安装过程中,根据具体的业务需求,只安装必要的组件,以避免安装其他一切不必要的组件带来的安全风险。
如网站正常运行只需要ASP环境,那我们就没必要安装.net组件。
对于IIS版本,至少要在6.0以上,IIS5.0存在严重的安全漏洞,不过现在运行IIS5.0的服务器已经非常少了,对于这一点不用太过担心。
5、关闭并删除默认站点,默认FTP站点
,默认Web站点等默认的东西,一般也不建议在默认站点上建立自己地站点,图中只是个示范,无需真正删除。
如下图:
6、禁用不必要的Web服务扩展。
打开IIS
管理器,检查是否有不必要的“Web服务扩展”,如果有则禁用掉。
7、新站点的网站文件,不要放在系统盘,要放在其他分区里。
8、IIS访问权限配置。
如果IIS中有多个网站,建议为每个网站配置不同的匿名访问账户。
新建一个账号test,加入Guests组。
9、在
“网站属性”--->
“目录安全性”--->
“身份验证和访问控制”,把“启用匿名访问”处,用刚新建的账户代替默认账户,如下图:
10、网站目录权限配置也是很重要的一部分,某些目录有写入权限,一定不要分配执行权限;
某些目录有执行权限,一定不要分配写入权限;
网站上传目录和数据库目录一般需要分配“写入”权限,但一定不要分配执行权限;
其他目录一般只分配“读取”和“记录访问”权限即可。
网站整体目录权限设置如上图
某些需要保存用户上传的图片等目录,必须在执行权限里设为无,否则上传的木马文件或者变形木马都有可能被调用执行。
11、只保留必要的应用程序扩展。
根据网站的实际情况,只保留必要的应用程序扩展,其他的一律删除,尤其是像cer、asa这样极其危险的扩展,而且一般网站也不需要它,如下图:
12、修改IIS日志文件配置。
无论是什么服务器,日志都是应该高度重视的部分。
当发生安全事件时,我们可以通过分析日志来还原攻击过程,否则将无从查起。
有条件的话,可以将日志发送到专门的日志服务器保存。
先检查是否启用了日志记录,如未启用,则启用它。
日志格式设置为W3C扩展日志格式,IIS中默认是启用日志记录的。
接着修改IIS日志文件保存路径,默认保存在“C:
\WINDOWS\system32\LogFiles”目录下,这里修改为自定义路径。
建议保存在非系统盘路径,并且IIS日志文件所在目录只允许Administrators组用户和SYSTEM用户访问,如下图:
13、防止信息泄露禁止向客户端发送详细的ASP错误信息。
可以在“IIS管理器”--->
“属性”--->
“主目录”--->
“配置”--->
“调试”,选择“向客户端发送下列文本错误消息”项,自定义出错时返回的错误信息。
14、
修改默认错误页面。
“IIS管理器”--->
“自定义错误”,用自定义的错误页面替换默认的默认页面。
下面是我自定义的一个404错误页面,当网站发生404错误时,将向客户端返回这个页面,如下图:
15、自定义IISBanner信息。
默认Banner信息会泄露服务器类型、版本等相关信息,我们需要对其进修改,这样可以防止信息泄露,还可以骗过一些自动化扫描、攻击工具。
修改默认HTTP头信息方法:
在修改之前,我们先来看下默认的HTTP头信息是什么样的。
我们向IIS服务器发一个请求,然后用抓包工具分析它返回的数据,就可以发现HTTP头信息,
抓包工具HttpDebug位于D\tools\IIS安全加固中。
16、在网站-属性-HTTP头里选择X-Power-By:
ASP.NET,改为aa和bb,如下图:
17、重新请求,抓包分析,HTTP信息已经改变了,如下图:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- L003001033IIS 安全 加固