2024年4月3日发(作者:)

IIS的安全加固

1.关闭并删除默认站点

默认FTP站点

默认Web站点

管理Web站点

2.建立自己的站点,与系统不在一个分区

如:D:wwwroot3.建立 E:Logfiles 目录,以后建立站点时的日志文件均位于此目

录,确保此目录

上的访问控制权限是: Administrators(完全控制)System(完全控制)

3.删除IIS的部分目录

IISHelp C:winnthelpiishelp

IISAdmin C:system32inetsrviisadmin

MSADC C:Program FilesCommon FilesSystemmsadc

删除 C:inetpub

4、网站下的图片文件目录及UPLOAD相关用户上传目录中网站属性由“纯脚本”改

成“无”这样能很有效的防止用户非法上传一些ASA文件来执行上传木马。

5、 所有网站IUSR-PCNAME用户权限减去“遍历文件夹-运行文件。

6、建议使用DeerField对各种注入等手段通过URL提交的命令的关键字以及敏感文

件的扩展名进行过滤,如.MDB、‘、--、NULL、 select、 %5c、c:、cmd、system32、

xp_ cmdshell、exec、@a、dir、alert()、’or’’=’、Where、count(*)、between、

and、inetpub、 wwwroot、nchar、,%2B、%25等。对于提交有上述字串请示的IP,

一般都是人为有意进行,因此可令防火墙对这类访问的IP进行较长时间的屏蔽。

7、其他安全工具安装安全工具: 如Urlscn、IISLock等

2)日志的安全管理

1、启用操作系统组策略中的审核功能,对关键事件进行审核记录;

2、启用IIS、FTP服务器等服务本身的日志功能;并对所有日志存放的默认位置进行

更改同时作好文件夹权限设置!

3、安装Portreport对所有网络访问操作进行监视(可选,可能增大服务器负荷);

4、安装自动备份工具,定时对上述日志进行异地备份,起码是在其他分区的隐蔽位置

进行备份,并对备份目录设置好权限(仅管理员可访问)。

5、准备一款日志分析工具,以便随时可用。