IIS系统安全加固规范
IIS安全加固策略应对攻击入侵策略WEB安全-电脑资料
IIS安全加固策略应对攻击入侵策略WEB安全-电脑资料1.缓冲区溢出简单解释一下,缓冲区溢出主要因为提交的数据长度超出了服务器正常要求,导致服务器检查代码错误,。
而溢出的方法有可以分为:基于堆栈的溢出和基于堆的溢出。
在IIS 6以前的版本,Web服务是运行在LocalSystem账户下,当某个利用缓冲区溢出的漏洞入侵后,当然就可以执行大部分的管理员命令了。
利用该漏洞比较名的病毒是“红色代码(Redcode)”和“尼姆达(Nimda)”。
eEye Digital Security 公司早于1996年就发现了这类漏洞的代表作HTR缓冲区漏洞。
eEye发现,IIS抵抗力十分脆弱。
如果攻击传递给IIS,那么输入值将不是一串字母而是可以执行的系统命令。
HTR文件的解释程序是将一个以.htr结尾的超长文件在ism.dll 中造成输入缓冲区溢出。
我们早已用不到HTR了(笔者个人的理解),那只是早些时候,微软脚本编程用到的,早已经被ASP技术取代。
说明:根据上文的说明我们知道一个漏洞的根源就是.htr文件与System32目录下的ism.dll存在着关联,如果将ism.dll和.htr文件之间存在的映射关系断开,或者删除了ism.dll,就可以解决了。
2.臭名昭著的Unicode首先要知道什么是Unicode二次解码漏洞?打开IE,选择“查看→编码→Unicode(UTF-8)”,在没有创造Unicode之前,没有一个编码可以包含足够的字符来容纳数百种的数字编码。
比如我们要看一个繁体中文(BIG5)的网页,在你的简体中文版的Windows 系统上,没有Unicode的支持就不可能实现。
如果非法用户提交一些特殊的编码,将导致IIS错误地打开或者执行某些Web根目录以外的文件。
那么,未经授权的用户可以利用IUSR_machinename账号访问用户目录的任何文件。
同时,我们有知道这个账号在默认情况下属于Everyone和Users组,Windows 2000Server默认的安全权限是“Everyone完全控制”因此任何能被这些用户组访问的文件都可能被删除、修改或执行。
iis加固标准
iis加固标准IIS(Internet Information Services)加固标准主要包括以下几个方面:1. Web内容位置:Web内容应存储在非系统分区,以防止系统磁盘空间被占满,以及文件信息泄露。
2. 目录浏览:应关闭目录浏览功能,以防止信息泄露。
如果IIS启用了目录浏览功能,且默认文档功能在IIS中被禁用,IIS无法在目录中找到与IIS默认文档列表中指定的名称匹配的文件,则显示目录信息。
3. WebDav功能:应关闭WebDav功能,因为它有严重的安全问题,可能导致未经授权的文件被修改。
4. 错误页面:应替换错误页面,以隐藏敏感信息。
IIS在默认产生错误的时候,会给客户端反馈详细的错误信息,这将导致服务器的一些敏感信息文件被泄露。
5. 上传执行:应禁止上传执行。
网站安全中,对目录的执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的。
6. 日志审计:应开启日志审计,并对日志进行定期备份。
这有助于追踪和记录网站的活动,以便于故障排查和安全审计。
7. 权限管理:对IIS和站点文件夹的权限进行严格管理,只授予必要的权限,避免不必要的权限提升或误操作导致的安全问题。
8. 定期更新补丁:保持IIS和操作系统的更新,及时安装补丁和安全更新,以修复已知的安全漏洞。
9. 内容安全:配置合适的防火墙和安全组,对进入和离开的数据包进行过滤,防止恶意攻击和数据泄露。
10. SSL加密:使用SSL加密来保护传输的数据,防止数据被窃取或篡改。
以上是一些常见的IIS加固标准,具体的实施可能会根据实际需求和环境有所不同。
建议在进行IIS配置时,参考微软官方文档和安全最佳实践,确保系统安全。
IIS6安全与安固
新建应用池工作进程
我们首先添 加系统用户 帐号分配到 IIS_WPG用 户组,此方 法与前面讲 到的“创建 新的系统帐 户”方法一 样,我们就 不重复讲解。
新建IIS应用池 应用池 新建
鼠标反键 点击应用 程序池, 新建应用 程序池, 输入应用 池的名称。
为新建应用池分配工作进程
鼠标反键点击 新建应用池属 性,选择标识 选项。
计算机管理-本地用户与组 计算机管理 本地用户与组
创建新的系统帐户
输入用 户名和 密码, 取消 “用户 下次登 录时须 更改密 码”复 选勾, 打上下 面两者 的复选 勾。
分配新用户到GUESTS组 组 分配新用户到
删除原 有的 USERS 系统用 户组, 添加 GUEST S系统 用户组。
身份验证与访问控制
IIS 6
在Windows Server 2003 中发布,其特性主要为: 1)、改进的体系结构。 * 新模式——工作进程隔离模式,增强稳定性。 * Web园——多个进程处理一个应用程序。允许 将工作进程 分配给SMP系统上的单个CPU。 * IIS 5兼容性——可以切换到IIS 5 隔离模式。 * 新的配置数据库——使用XML格式的文本文件。 2)、增强的安全性。 * IIS 6 是以锁定状态而不是开放状态配置安装的, 安装完 IIS 6 后需通过WSE( Web 服务器扩展) 进一步打开相应的功能。 3)、改进的性能。 * 将HTTP侦听程序移到内核中,从而显著提高性能。 4)、改进的管理。 * 可以用多种方式来管理IIS 。 5)、其他增强。 * FTP用户隔离,增强FTP的安全性。
加密
您可以允许用户以一种安全的方法(使用加密)与您 的服务器交换个人信息,如信用卡号或电话号码。信 息在发送前由加密对其进行“编码”,接收后由解密 进行“解码”。IIS 中这种加密的基础是 SSL 3.0 协议, 它提供了一种与用户建立加密通讯链接的安全方法。 SSL 确认您的网站的真实性同时可有选择地确认正在 访问受限制网站用户的身份。 证书包括用于建立 SSL 安全连接的“密钥”。“密钥” 是在建立 SSL 连接时验证服务器和客户端的唯一值。 “
IIS加固
IIS加固以及ASP木马防护运行环境:windows server 2003IIS版本:IIS 6.0IIS安全主要还是对权限的设置,防止黑客将ASP木马等写入系统。
首先先要了解到IIS WEB服务器的权限设置有两个地方:一个是NTFS文件系统本身的权限设置,另一个是IIS下网站—>站点—>属性—>主目录(或站点下目录—>属性—>目录)面板上。
这两个地方时密切相关的。
IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:脚本资源访问、读取、写入、浏览、记录访问、索引资源6个选项。
这6个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。
但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。
另外在这6个选项下面的执行权限下拉列表中还有:无、纯脚本、纯脚本和可执行程序、3个选项。
而网站目录如果在NTFS 分区(推荐用这种)的话,还需要对NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置everyone 的权限,实际上这是不好的,其实只要设置好Internet 来宾帐号(IUSR_xxxxxxx)或IIS_WPG 组的帐号权限就可以了。
如果是设置ASP、PHP 程序的目录权限,那么设置Internet 来宾帐号的权限,而对于 程序,则需要设置IIS_WPG 组的帐号权限。
在后面提到NTFS 权限设置时会明确指出,没有明确指出的都是指设置IIS 属性面板上的权限。
ASP、PHP、 程序所在目录的权限设置如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。
不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。
NTFS 权限中不要给IIS_WPG 用户组和Internet 来宾帐号设置写和修改权限。
如果有一些特殊的配置文件(而且配置文件本身也是ASP、PHP 程序),则需要给这些特定的文件配置NTFS 权限中的Internet 来宾帐号( 程序是IIS_WPG 组)的写权限,而不要配置IIS 属性面板中的“写入”权限。
IIS安全配置规范
IIS安全配置规范1.概述1.1. 目的本规范明确了IIS安全配置方面的基本要求。
为了提高IIS的安全性而提出的。
1.2. 范围本规范适用于XXXX使用的IIS5&6。
2.配置规范2.1. 传统IIS设置IIS 5.0和5.1默认包括不安全的功能,从Windows2003 开始微软尝试确保默认安装的IIS就是安全的。
2.1.1.默认安装文件【说明】IIS5和5.1默认安装了一些样例和文件,会给IIS带来安全隐患。
建议不使用“默认Web站点”,并创建一个新的站点。
删除所有缺省的虚拟目录,一下列举了可以删除的缺省虚拟目录和默认安装的文件:【具体配置】删除以下内容:inetpub\wwwroot 文件夹inetpub/scripts 文件夹/scripts虚拟目录映射inetpub/scripts/IISSamples文件夹/iissamples虚拟目录映射/IISHelp虚拟目录映射/Printers虚拟目录映射限制对iisadmpwd虚拟目录的访问,使用Windows的验证2.1.2.远程数据服务(Remote Data Services-RDS)【说明】RDS是MDAC的组件,具有msadc虚拟目录的IIS系统最易受到攻击,这可导致非法用户访问ODBC数据库、访问受限制文件或远程执行命令。
非法访问的接口由Msadcs.dll文件提供,该文件位于Program Files\Common Files\System\Msadc。
这个功能中的漏洞可以被蠕虫攻击,如红色代码和尼姆达。
确保该功能安全或者如果不用的话删除该功能。
【具体配置】加强RDS:1、删除MSADC 样例,位于\Progam Files\CommonFiles\System\Msadc\Samples2、删除注册表键值HKLM\System\CurrentControlSet\Services\W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls3、创建HandlerRequired registry key,位于HKLM\Software\Microsoft\DataFactory\HandlerInfo\4、创建 DWORD = 1 value.删除MSADC功能:1、删除/MSADC虚拟目录映射2、删除RDS文件和子目录,位于\Program Files\CommonFiles\System\Msadc2.1.3.Internet Printing协议【说明】Windows服务器上的共享打印机可以使得非授权访问者通过此协议访问所有的计算机。
IIS的安全加固
IIS的安全加固1.关闭并删除默认站点默认FTP站点默认Web站点管理Web站点2.建立自己的站点,与系统不在一个分区如:D:\wwwroot3.建立E:\Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是:Administrators(完全控制)System(完全控制)3.删除IIS的部分目录IISHelp C:\winnt\help\iishelpIISAdmin C:\system32\inetsrv\iisadminMSADC C:\Program Files\Common Files\System\msadc\删除C:\inetpub4、网站下的图片文件目录及UPLOAD相关用户上传目录中网站属性由“纯脚本”改成“无”这样能很有效的防止用户非法上传一些ASA文件来执行上传木马。
5、所有网站IUSR-PCNAME用户权限减去“遍历文件夹-运行文件。
6、建议使用DeerField对各种注入等手段通过URL提交的命令的关键字以及敏感文件的扩展名进行过滤,如.MDB、…、--、NULL、select、%5c、c:、cmd、system32、xp_ cmdshell、exec、@a、dir、alert()、‟or‟‟=‟、Where、count(*)、between、and、inetpub、wwwroot、nchar、,%2B、%25等。
对于提交有上述字串请示的IP,一般都是人为有意进行,因此可令防火墙对这类访问的IP进行较长时间的屏蔽。
7、其他安全工具安装安全工具:如Urlscn、IISLock等2)日志的安全管理1、启用操作系统组策略中的审核功能,对关键事件进行审核记录;2、启用IIS、FTP服务器等服务本身的日志功能;并对所有日志存放的默认位置进行更改同时作好文件夹权限设置!3、安装Portreport对所有网络访问操作进行监视(可选,可能增大服务器负荷);4、安装自动备份工具,定时对上述日志进行异地备份,起码是在其他分区的隐蔽位置进行备份,并对备份目录设置好权限(仅管理员可访问)。
IIS7 安全加固介绍
IIS7安全加固
1.1 补丁安装
1.2 IIS角色服务
双击“角色”,在右边最下方可以看见角色服务,点击“删除角色服务”
1.3 IIS用户
1.4 监听地址
服务器有多个IP地址时,只监听提供服务的IP地址
1.5 SSL加密
然后在网站主页视图中双击“SSL设置”图标,可以设置开启SSL,如下图:
1.6 目录浏览
在“操作”视图中,禁用目录浏览
1.7 应用程序扩展
若要增强Web 服务器的功能,可以添加ISAPI 筛选器。
例如,您可以
1.8 网站权限
3. “请求限制”中的“谓词”选项卡,可以查看HTTP请求的方
法。
1.9 授权规则
1.10 限制IP访问
1.11 日志设置
点击“选择字段”按钮,查看记录的字段
1.12 自定义错误信息
双击其中一个HTTP错误,可以设置该HTTP错误的消息类型,管理员
设置错误发生时,返回自定义错误页面,或者定向到指定地址。
加固NT和IIS的安全
5.安装最新的MDAC (2.6 RTM as of 10/30/00)
二、配置NT
1.设置权限:
使用用户管理器在所有分区上的根目录上设置如下:
* Administrators::FULL CONTROL
选择扩展名 ".HTA", ".HTR" 和 ".IDC" ,点击删除
如果不使用server side include,则删除".shtm" ".stm" 和 ".shtml"
8.禁止缺省的www站点
9.禁止管理员从网络登陆
使用NT resouce kit中的工具passprop,执行如下命令:
DHCP Client (disable)
Directory Replicator (disable)
FTP publishing service (disable)
License Logging Service (disable)
Messenger (disable)
Netlogon (disable)
d:\admin
将system32目录下的如下文件移动到上面创建的目录:
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe,
telnet.exe,arp.exe, edlin.exe, ping.exe,
route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,qbasic.exe,runonce.exe,syskey.exe,cacls.exe,
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IIS系统安全基线规范
2022年4月
目录
1账号管理、认证授权 (1)
1.1.1ELK-IIS-01-01-01 (1)
1.1.2ELK-IIS-01-01-02 (2)
1.1.3ELK-IIS-01-01-03 (2)
1.1.4ELK-IIS-01-01-04 (4)
2日志配置 (5)
2.1.1ELK-IIS-02-01-01 (5)
2.1.2ELK-IIS-02-01-02 (6)
2.1.3ELK-IIS-02-01-03 (7)
3通信协议 (8)
3.1.1ELK-IIS-03-01-01 (8)
4设备其他安全要求 (10)
4.1.1ELK-IIS-04-01-01 (10)
4.1.2ELK-IIS-04-01-02 (13)
4.1.3ELK-IIS-04-01-03 (14)
4.1.4ELK-IIS-04-01-04 (14)
4.1.5ELK-IIS-04-01-05 (15)
本文档是Windows 操作系统的对于IIS服务IIS应用服务在安全等方面的安全配置要求,对系统的安全配置审计、加固操作起到指导性作用。
1账号管理、认证授权
1.1.1E L K-I I S-01-01-01
1.1.2E L K-I I S-01-01-02
1.1.3E L K-I I S-01-01-03
实施目的阻止非法IP访问
问题影响Web服务器带来安全性问题。
系统当前状态查看Internet 信息服务(IIS)管理器配置是否与原来相同
实施步骤1、参考配置操作
开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”
回退方案取消IP访问控制
判断依据1、判定条件
需要限制访问源的话进行ip范围限制。
2、检测操作
开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”。
检查是否进行了ip的限制。
实施风险低
1.1.4E L K-I I S-01-01-04
2日志配置
2.1.1E L K-I I S-02-01-01
回退方案恢复IIS日志路径到C:\WINDOWS\system32\LogFiles目录。
判断依据是否启用了W3C日志记录,和日志路径是否更改。
实施风险高
重要等级★
备注
2.1.2E L K-I I S-02-01-02
编号ELK-IIS-02-01-02
名称IIS记录安全事件安全基线要求项
实施目的设备应配置日志功能,记录与设备相关的安全事件。
问题影响非法访问攻击。
系统当前状态查看本地策略是否与原来相同。
2.1.3E L K-I I S-02-01-03
3通信协议
3.1.1E L K-I I S-03-01-01
4设备其他安全要求4.1.1E L K-I I S-04-01-01
然后选择编辑:
然后选择主目录,点击配置:
选择需要删除的扩展名,点击删除:(以下图示仅供参考,依据实际需求操作)
4.1.2E L K-I I S-04-01-02
4.1.3E L K-I I S-04-01-03
4.1.4E L K-I I S-04-01-04
4.1.5E L K-I I S-04-01-05。