IIS 基线安全加固操作

news2024/11/15 23:57:21

目录

 账号管理、认证授权  ELK-IIS-01-01-01

 ELK-IIS-01-01-02

ELK-IIS-01-01-03

 ELK-IIS-01-01-04

日志配置  ELK-IIS-02-01-01

 ELK-IIS-02-01-02

​​​​​​​ ELK-IIS-02-01-03

通信协议  ELK-IIS-03-01-01

设备其他安全要求 ELK-IIS-04-01-01

​​​​​​​ ELK-IIS-04-01-02

​​​​​​​ELK-IIS-04-01-03

​​​​​​​ ELK-IIS-04-01-04

​​​​​​​ELK-IIS-04-01-05


本文档是Windows 操作系统的对于IIS服务IIS应用服务在安全等方面的安全配置要求,对系统的安全配置审计、加固操作起到指导性作用。

 账号管理、认证授权  ELK-IIS-01-01-01

编号

ELK-IIS-01-01-01

名称

为不同的网站分配不同的账号权限

实施目的

根据不同类型用途设置不同的帐户账号,提高系统,网站程序安全性。

问题影响

账号混淆,权限不明确,存在越权使用的可能。

系统当前状态

  1. 启动ISM(Internet Server Manager);  

2、启动WWW服务属性页;  

实施步骤

Cmd下创建一个账号Users用户组的账号,然后网站属性,目录安全性,身份验证和访问权限,编辑,把刚才创建的账号加到匿名访问那里。

回退方案

删除新增加的帐户

判断依据

标记用户用途,定期建立用户列表,比较是否有非法用户

实施风险

重要等级

★★★

备注

 ELK-IIS-01-01-02

编号

ELK-IIS-01-01-02

名称

登陆认证的安全性

实施目的

取消Web的匿名服务

问题影响

Web服务器带来安全性问题。

系统当前状态

  1. 启动ISM(Internet Server Manager); 
  2. 启动WWW服务属性页;  
  3. 取消其匿名访问服务。  

实施步骤

安装IIS后产生的匿名用户IUSR_Computername(密码随机产生),其匿名访问给Web服务器带来潜在的安全性问题,应对其权限加以控制。如无匿名访问需要,可取消Web的匿名服务。具体方法:  
①启动ISM(Internet Server Manager);  
②启动WWW服务属性页;  
③取消其匿名访问服务。

回退方案

恢复匿名访问

判断依据

查看服务看是否取消了

实施风险

重要等级

备注

ELK-IIS-01-01-03

编号

ELK-IIS-01-01-03

名称

IP地址的控制

实施目的

阻止非法IP访问

问题影响

Web服务器带来安全性问题。

系统当前状态

查看Internet 信息服务(IIS)管理器配置是否与原来相同

实施步骤

  1. 参考配置操作

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性”

回退方案

取消IP访问控制

判断依据

1、判定条件

需要限制访问源的话进行ip范围限制。

2、检测操作

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性”。检查是否进行了ip的限制。

实施风险

重要等级

备注

 ELK-IIS-01-01-04

编号

ELK-IIS-01-01-04

名称

密码复杂度

实施目的

防止非法访问。

问题影响

非法访问攻击。

系统当前状态

查看密码必须符合复杂性要求是否与原来配置相同。

实施步骤

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”

回退方案

恢复到原来默认的状态。

判断依据

1、判定条件

“密码必须符合复杂性要求”选择“已启动”

2、检测操作

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”

实施风险

重要等级

备注

日志配置  ELK-IIS-02-01-01

编号

ELK-IIS-02-01-01

名称

调整IIS日志

实施目的

默认的日志不会为我们搜索黑客记录提供很大的帮助,所以我们必须扩展W3C日志记录格式

问题影响

给Web服务器带来安全性问题。

系统当前状态

  1. 启动ISM(Internet Server Manager);  
  2. 启动WWW服务属性页;  

实施步骤

1、右检查是否启用了日志记录,右键单击所述站点,然后从上菜单中选择启用“属性→Web 站点→启用日志记录”复选框。

2、开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性”。

IIS安装后的默认主目录是“%system%Inetpubwwwroot”,为更好地抵抗踩点、刺探等攻击行为,应该更改主目录位置,如下图所示:

回退方案

恢复IIS日志路径到C:\WINDOWS\system32\LogFiles目录。

判断依据

是否启用了W3C日志记录,和日志路径是否更改。

实施风险

重要等级

备注

​​​​​​​ ELK-IIS-02-01-02

编号

ELK-IIS-02-01-02

名称

IIS记录安全事件安全基线要求项

实施目的

设备应配置日志功能,记录与设备相关的安全事件。

问题影响

非法访问攻击。

系统当前状态

查看本地策略是否与原来相同。

实施步骤

1、参考配置操作

(1)进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应 “审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核帐号管理”、“审核过程追踪”选项。

(2)运行IIS管理器->“Internet信息服务”->“应用相关站点”属性->“网站”->“属性”->“高级”,选择“时间”、“日期”、“扩展属性”是否选择

回退方案

恢复到原来默认的状态。

判断依据

1、判定条件

确定系统相关“审核策略”。

确定IIS相关“站点属性”日志详细记录。

2、检测操作

进入“控制面板->管理工具->本地安全策略”,查看“本地策略->审核策略”配置“成功”、“失败”的选择记录。

实施风险

重要等级

备注

​​​​​​​ ELK-IIS-02-01-03

编号

ELK-IIS-02-01-03

名称

日志访问权限

实施目的

设备应配置权限,控制对日志文件读取、修改和删除等操作。

问题影响

恶意修改日志。

系统当前状态

查看审核策略更改是否与原来相同

实施步骤

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核策略更改”配置相应选项。

回退方案

恢复到原来默认的状态。

判断依据

1、判定条件

确定系统相关“审核策略”

2、检测操作

进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核策略更改”选项选择状态。

实施风险

重要等级

备注

通信协议  ELK-IIS-03-01-01

编号

ELK-IIS-03-01-01

名称

IIS服务SSL身份访问认证

实施目的

非法访问。

问题影响

恶意访问,非法攻击。

系统当前状态

查看Internet信息服务”->“Web站点的属性页” ->“目录安全性”选项->单击“密钥管理器配置是否与原来相同。

实施步骤

IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外,还有一种安全性更高的认证:通过SSL(Security Socket Layer)安全机制使用数字证书,以此提升IIS应用的身份访问安全性。

启动“Internet信息服务”->“Web站点的属性页” ->“目录安全性”选项->单击“密钥管理器”通过密钥管理器生成密钥对文件和请求文件;从身份认证权限中申请一个证书; 通过密钥管理器在服务器上安装证书激活Web站点的SSL安全性。  

回退方案

恢复到原来默认的状态。

判断依据

1、判定条件

登录“Internet信息服务”->“Web站点的属性页” ->“目录安全性”->“编辑”查看SSL相应选项选择状态。

2、检测操作

(1)登录“Internet信息服务”->“Web站点的属性页” ->“目录安全性”->“编辑”查看SSL相应选项选择状态。

(2)配置相应SSL身份认证后,分别以普通身份及基于SSL证书方式分别登录Web应用,查看登录状态。

实施风险

重要等级

备注

设备其他安全要求 ELK-IIS-04-01-01

编号

ELK-IIS-04-01-01

名称

文件安全配置要求:删除不必要的脚本影射。

实施目的

阻止除指定文件外非法运行

问题影响

给Web服务器带来安全性问题。

系统当前状态

  1. 启动ISM(Internet Server Manager);  
  2. 启动WWW服务属性页;  
  3. 删除不必要的应用程序映射。 

实施步骤

1、参考配置操作

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性” -〉编辑 -〉根目录 -〉配置,然后从列表中删除以下不必要的脚本,包括:.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida 和.idq。

删除的原则:只保留需要的脚本映射。

配置方法:

从“Internet 服务管理器”中:选择计算机名,点鼠标右键,选择属性:

然后选择编辑:

然后选择主目录,点击配置:

选择需要删除的扩展名,点击删除:(以下图示仅供参考,依据实际需求操作)

选择需要删除的扩展名,点击删除:(以下图示仅供参考,依据实际需求操作)

回退方案

恢复IIS扩展映射。

判断依据

指定的映射外是否能运行。

实施风险

重要等级

备注

​​​​​​​ ELK-IIS-04-01-02

编号

ELK-IIS-04-01-02

名称

关闭并删除默认站点

实施目的

阻止除指定文件外运行。

问题影响

给Web服务器带来安全性问题。

系统当前状态

  1. 启动ISM(Internet Server Manager);  

实施步骤

默认FTP站点
默认Web站点
管理Web站点

回退方案

重新启动默认的FTP、WEB站点。

判断依据

访问默认的站点

实施风险

重要等级

★★

备注

​​​​​​​ELK-IIS-04-01-03

编号

ELK-IIS-04-01-03

名称

更改内容或文件的内容属性

实施目的

防止非法用户非法进入网站。

问题影响

非法用户非法进入网站

系统当前状态

  1. 启动ISM(Internet Server Manager);  

2、启动WWW服务属性页;

实施步骤

  1. 启动ISM(Internet服务器管理器);  
  2. 跳到主目录。
  3. 去掉脚本资源访问,写入,目录浏览

回退方案

恢复到原来默认的状态。

判断依据

尝试写入文件。

实施风险

重要等级

★★

备注

​​​​​​​ ELK-IIS-04-01-04

编号

ELK-IIS-04-01-04

名称

设置WEB目录所在的文件系统为NTFS

实施目的

为防止目录和文件的非法修改,和对访问控制的实现

问题影响

非法修改文件、目录、非法访问。

系统当前状态

查看WEB目录所在分区属性

实施步骤

将 FAT 卷转换成 NTFS。

CONVERT volume /FS:NTFS [/V] [/CvtArea:filename] [/NoSecurity] [/X]

  volume      指定驱动器号(后面跟一个冒号)、

              装载点或卷名。

  /FS:NTFS    指定要被转换成 NTFS 的卷。

  /V          指定 Convert 应该用详述模式运行。

  /CvtArea:filename

              将根目录中的一个接续文件指定为

              NTFS 系统文件的占位符。

  /NoSecurity 指定每个人都可以访问转换的文件

              和目录的安全设置。

  /X          如果必要,先强行卸载卷。

              该卷的所有打开的句柄则无效。

回退方案

判断依据

尝试非法修改文件、目录。

实施风险

重要等级

★★

备注

​​​​​​​ELK-IIS-04-01-05

编号

ELK-IIS-04-01-05

名称

重定义错误信息

实施目的

防止泄露网站信息。

问题影响

被黑客得到网站有用信息、

系统当前状态

1、启动ISM(Internet服务器管理器);  
2、启动Web属性页中“自定义错误信息”选项卡

3、设置各错误信息的页面。

实施步骤

也可以在WEB的配置文件中自行定义

ASP.net 

<configuration>
<system.web>
<customErrors mode=”On” defaultRedirect=”error.asp”>
<error statusCode=”404″ redirect=”notfound.asp” />
</customErrors>
</system.web>
</configuration>

很多文章讲了怎样防止数据库不被下载都不错的,只要记住一点 .不要改成asp就可以了,不然给你放一个一句话木马让你死的很难看,再着在IIS中将HTTP404.500等 Object Not Found出错页面通过URL重定向到一个定制HTM文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据库的地址还能防止一些菜鸟sql 注射。
对于服务器管理员,既然你不可能挨个检查每个网站是否存在SQL注入漏洞,那么就来个一个绝招。这个绝招能有效防止SQL注入入侵而且\"省心又省力,效果真好! \"SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的,如果你把IIS设置成不管出什么样的ASP错误,只给出一种错误提示信息,即http 500错误,那么人家就没办法入侵了。具体设置请参看图2。主要把500:100这个错误的默认提示页面 C:\WINDOWS\Help\iisHelp\common0-100.asp改成
C:\WINDOWS\Help\iisHelp\common0.htm即可,这时,无论ASP运行中出什么错,服务器都只提示HTTP 500错误。
还可更改C:\WINDOWS\Help\iisHelp\common4b.htm内容改为这样,出错了自动转到首页。

回退方案

恢复到原来默认的状态。

判断依据

访问错误页面。

实施风险

重要等级

备注

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1246701.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

App Inventor 2 数字转文本

App Inventor 2 是弱语言类型,文本和数字之间不用刻意去转换,之间赋值就可以了。 案例:数字转文本 App Inventor 2 是弱语言类型,同理数字也能直接赋值给文本变量: 更多请参考:App Inventor 2 文本代码块…

表格视图,支持数据直接编辑丨三叠云

表格视图 路径 表单设置 >> 视图设置 功能简介 新增用户可以直接表格视图中直接点击编辑数据。管理员开启「列表编辑」后,用户无需再点击进入数据详情,可直接在列表中编辑数据,节约用户修改数据的时间。 使用场景: 通…

Win10系统Steam错误代码118的解决教程

在Win10系统中,用户可以打开Steam平台搜索喜欢的游戏,点击开始畅玩。但是,有用户反映自己在Steam平台上操作的时候,收到了错误代码118的提示,导致自己没有办法正常进行操作。接下来小编给大家详细介绍关于解决Win10系统…

详解Rust编程中的生命周期

1.摘要 生命周期在Rust编程中是一个重要概念, 它能确保引用像预期的那样一直有效。在Rust语言中, 每一个引用都有其生命周期, 通俗讲就是每个引用在程序执行的过程中都有其自身的作用域, 一旦离开其作用域, 其生命周期也宣告结束, 值不再有效。幸运的是, 在绝大多数时间里, 生…

Dockerfile-CentOS7.9+Python3.11.2

本文为CentOS7.9下安装Python3.11.2环境的Dockerfile # CentOS with Python3.11.2 # Author xxmail.com# build a new image with basic centos FROM centos:centos7.9.2009 # who is the author MAINTAINER xxmail.comRUN ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/…

Stable Video Diffusion(SVD)安装和测试

Stable Video Diffusion(SVD)安装和测试 官网 github | https://github.com/Stability-AI/generative-modelsHugging Face | https://huggingface.co/stabilityai/stable-video-diffusion-img2vid-xtPaper | https://stability.ai/research/stable-vid…

可以ping通IP但是无法远程连接-‘telnet‘ 不是内部或外部命令,也不是可运行的程序或批处理文件

起因 一开始远程连接IP,报错,怀疑是自己网络原因,但是同事依旧无法连接 怀疑是自己防火墙的原因,查看关闭依旧无法连接 问题 两个地址可以ping通排除防火墙缘故 怀疑端口,测试端口 然 解决方案 winR 输入control…

关于数据库,JetBrains 最新的开发者报告里说了些什么

最近 JetBrains 也发布了一年一度的开发者生态报告。 这次是从全球 196 个国家的 35000 问卷中,选取了 26348 份(工程师就是严谨,有零有整)。 相比于领域内的另两大报告,Google 的 DORA 和 Stack Overflow Developer…

Vue基础入门(二):Vue3的创建与分析

Vue3的创建 ​ vue3 是基于 es6 的一些新特性的支持而从 vue2 升级上来的版本&#xff0c;但是 vue3 是兼容 vue2 的。 一、Vue的使用 1.1 通过CDN使用Vue ​ 你可以借助 script 标签直接通过 CDN 来使用 Vue&#xff1a; <script src"https://unpkg.com/vue3/dist…

详解Java中的异常体系机构(throw,throws,try catch,finally)

目录 一.异常的概念 二.异常的体系结构 三.异常的处理 异常处理思路 LBYL&#xff1a;Look Before You Leap EAFP: Its Easier to Ask Forgiveness than Permission 异常抛出throw 异常的捕获 提醒声明throws try-catch捕获处理 finally的作用 四.自定义异常类 一.异…

关于 Google AMP 和 SEO

Google 于 2015 年首次推出 AMP&#xff0c;即加速移动页面。借助开源 AMP 框架&#xff0c;网页设计师可以制作快速加载的移动网页。该框架的创建是为了应对使用移动设备访问互联网的个人数量的增加。从那时起&#xff0c;谷歌一直在推动使用 AMP 来增强移动设备上的 SEO 和用…

视频服务网关的三大部署(二)

视频网关是软硬一体的一款产品&#xff0c;可提供多协议&#xff08;RTSP/ONVIF/GB28181/海康ISUP/EHOME/大华、海康SDK等&#xff09;的设备视频接入、采集、处理、存储和分发等服务&#xff0c; 配合视频网关云管理平台&#xff0c;可广泛应用于安防监控、智能检测、智慧园区…

2016年10月4日 Go生态洞察:HTTP追踪介绍

&#x1f337;&#x1f341; 博主猫头虎&#xff08;&#x1f405;&#x1f43e;&#xff09;带您 Go to New World✨&#x1f341; &#x1f984; 博客首页——&#x1f405;&#x1f43e;猫头虎的博客&#x1f390; &#x1f433; 《面试题大全专栏》 &#x1f995; 文章图文…

精益生产中的周转箱优势:提升效率与质量的得力利器

在当今竞争激烈的制造业中&#xff0c;企业追求高效生产和卓越质量是至关重要的。精益生产理念提供了一套有效的工具和方法&#xff0c;其中周转箱作为一个关键的组成部分&#xff0c;在优化生产流程、提高效率和质量方面发挥着重要作用。下面谈谈精益生产中的周转箱优势&#…

Sectigo

随着互联网的普及和技术的飞速发展&#xff0c;网络安全问题引起重视。这时&#xff0c;有一家名为Sectigo(原Comodo CA)的公司应运而生&#xff0c;致力于为企业和个人提供最先进、最可靠的网络安全解决方案。 Sectigo(原Comodo CA) 成立于2008年&#xff0c;总部位于美国加利…

NX二次开发UF_CSYS_create_matrix 函数介绍

文章作者&#xff1a;里海 来源网站&#xff1a;https://blog.csdn.net/WangPaiFeiXingYuan UF_CSYS_create_matrix Defined in: uf_csys.h int UF_CSYS_create_matrix(const double matrix_values [ 9 ] , tag_t * matrix_id ) overview 概述 Creates a 3 x 3 matrix. 创建…

关于进制的转化

二进制转十进制&#xff1a; &#x1f530; 方法一&#xff1a;二进制转十进制&#xff0c;用各数的码位与位权的乘积之和&#xff0c;说白了就是用从右到左的每个数去乘以2的幂次方&#xff08;最右边是0&#xff09;&#xff0c;然后就所有的数相加。 补充&#xff1a;位权是…

uniapp高德、百度、腾讯地图配置 SHA1

uniapp高德、百度、腾讯地图配置 SHA1 当winr弹出cmd弹框后输入 keytool -list -v -keystore debug.keystore 显示keytool 不是内部或外部命令&#xff0c;也不是可运行的程序或批处理文件。可以先看看是否有下载jdk且配置了环境变量&#xff0c;具体操作如下&#xff1a;keyto…

JavaScript之DOM操作

第一章 API介绍 ​API是一种事先定义好的函数&#xff0c;用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程&#xff0c;而又无需访问源码&#xff0c;或理解内部工作机制的细节。 ​Web API接口&#xff1a;浏览器提供的一系列操作浏览器功能和页面元素的API(BO…

Android开发从0开始(广播)

应用广播 发送标准广播的三步骤 发送标准广播&#xff1a; //发送标准广播 Intent intent new Intent("com.dongnaoedu.chapter09.standard"); sendBroadcast(intent); 定义广播接受者: public class StanderdReceiver extends BroadcastReceiver { public s…