IIS安全加固手册


0x00 IIS介绍

由于不同的 Windows 版本,iis日志路径不一样,所以分别介绍如下:

Windows Server 2003 iis6日志路径:C:\Windows\System32\LogFiles Windows
Server 2008 R2、2012、2016、2019 iis7以上日志路径:C:\inetpub\logs\LogFiles

下面是常见的HTTP状态码:

200 - 请求成功
301 - 资源(网页等)被永久转移到其它URL
404 - 请求的资源(网页等)不存在
500 - 内部服务器错误

0x01 安全加固手册

(一)IIS安全配置
1.删除iis默认站点:
【开始】——【管理工具】——【internet信息服务(IIS)管理器】
选中IIS自带的站点default web site 右击删除。

2.关闭iis目录浏览:
会导致信息泄露,【开始】——【管理工具】——【internet信息服务(IIS)管理器】
找到我们的web站点,点击目录浏览,点击禁用

3.修改默认主页
【右击】——【添加】输入根目录下的起始页 index.html


4.修改网站默认路径
IIS默认路径是非常危险的漏洞,攻击者获得程序发布目录后,便可以利用其他漏洞直接在发布目录中写入木马,访问对应目录即可获得主机权限,应用程序存在于系统盘下的C:\Inetpub\wwwroot下点击基本设置修改物理路径,将我们的网站放到一个自己创建的目录下

5.自定义错误页
默认的iis访问错误页会回显报错信息,有时会发生信息泄露,我们要自定义一个静态的错误页面。
选择站点,在功能视图页面,双击错误页,进入错误页配置页面

6.解决IIS短文件名漏洞
【开始】——【Internet 信息服务(IIS)管理器】选中web站点,双击请求筛选。
在URL添加拒绝序列URL序列设置为【~】

7.卸载不需要的IIS服务
【开始】——【管理工具】-—【服务器管理器】 双击“角色”,在右边最下方可以看见角色服务,点击““删除角色服务”,可对不需要的IIS角色服务进行删除

8.禁用Trace
在一定条件下,攻击者可以利用trace方法进行跨站脚本构造,形成钓鱼网站。Trace在.NET Framework 2.0 应用程序中不显示配置,打开目录C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG下的web.config文件,添加<deployment retail=true>进行禁用

(二)系统安全配置

1.关闭webdav
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。

开始->管理工具->Internet 信息服务(IIS)管理器, 选择一个站点,在功能视图中找到WebDAV创作规则,双击
WebDAV创作规则。点击禁用WebDAV

2.禁用wscript.shell
很危险的服务使用wscript.shell可以实现脚本直接执行exe文件,由于IIS权限默认是SYSTEM,攻击者经常利
用此服务提权最终成为administrators账户。
在cmd下运行

regsvr32 C:\WINNT\System32\WSHom.Ocx /u


3.禁用FSO对象
很危险的服务使用FSO对象,可以实现脚本直接对文件的操作,由于IIS权限默认是SYSTEM,攻击者经常利用
此服务写入一句话木马提权最终成为administrators账户。
在cmd下运行: regsvr32.exe C:\window\System32\scrrun.dll /u

4.添加独立站点账户
在Windows server 2008R2系统下,用IIS架设Web服务器,合理的为每个站点配置独立的Internet来宾账号,这样可以限制Internet 来宾账号的访问权限,只允许其可以读取和执行运行网站所的需要的程序。
【开始】——【管理工具】——【计算机管理】,选择“本地用户和组”,然后点击“用户”,接着“右键”,新建一个用户,如下图,右击刚创建的用户,选中属性,点击隶属于,删除原来的users组,添加一个Guests组。【开始】——【管理工具】——【internet信息服务(IIS)管理器】找到web站点,点击身份验证。右击匿名身份验证,选中编辑,点击设置,输入我们刚刚创建的用户名和密码



5.限制目录执行权限
在IIS中设置需要上传文件的目录,双击处理程序映射,在处理程序映射中,把编辑功能权限中的脚本去掉,这样即使上传了木马文件在此目录,也是无法执行的。

IIS加固完毕!


文章作者: 告白
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 告白 !
  目录