下载文档原格式
IIS安全加固策略应对攻击入侵策略WEB安全-电脑资料1.缓冲区溢出简单解释一下,缓冲区溢出主要因为提交的数据长度超出了服务器正常要求,导致服务器检查代码错误,。
而溢出的方法有可以分为:基于堆栈的溢出和基于堆的溢出。
在IIS 6以前的版本,Web服务是运行在LocalSystem账户下,当某个利用缓冲区溢出的漏洞入侵后,当然就可以执行大部分的管理员命令了。
利用该漏洞比较名的病毒是“红色代码(Redcode)”和“尼姆达(Nimda)”。
eEye Digital Security 公司早于1996年就发现了这类漏洞的代表作HTR缓冲区漏洞。
eEye发现,IIS抵抗力十分脆弱。
如果攻击传递给IIS,那么输入值将不是一串字母而是可以执行的系统命令。
HTR文件的解释程序是将一个以.htr结尾的超长文件在ism.dll 中造成输入缓冲区溢出。
我们早已用不到HTR了(笔者个人的理解),那只是早些时候,微软脚本编程用到的,早已经被ASP技术取代。
说明:根据上文的说明我们知道一个漏洞的根源就是.htr文件与System32目录下的ism.dll存在着关联,如果将ism.dll和.htr文件之间存在的映射关系断开,或者删除了ism.dll,就可以解决了。
2.臭名昭著的Unicode首先要知道什么是Unicode二次解码漏洞?打开IE,选择“查看→编码→Unicode(UTF-8)”,在没有创造Unicode之前,没有一个编码可以包含足够的字符来容纳数百种的数字编码。
比如我们要看一个繁体中文(BIG5)的网页,在你的简体中文版的Windows 系统上,没有Unicode的支持就不可能实现。
如果非法用户提交一些特殊的编码,将导致IIS错误地打开或者执行某些Web根目录以外的文件。
那么,未经授权的用户可以利用IUSR_machinename账号访问用户目录的任何文件。
同时,我们有知道这个账号在默认情况下属于Everyone和Users组,Windows 2000Server默认的安全权限是“Everyone完全控制”因此任何能被这些用户组访问的文件都可能被删除、修改或执行。
iis加固标准IIS(Internet Information Services)加固标准主要包括以下几个方面:1. Web内容位置:Web内容应存储在非系统分区,以防止系统磁盘空间被占满,以及文件信息泄露。
2. 目录浏览:应关闭目录浏览功能,以防止信息泄露。
如果IIS启用了目录浏览功能,且默认文档功能在IIS中被禁用,IIS无法在目录中找到与IIS默认文档列表中指定的名称匹配的文件,则显示目录信息。
3. WebDav功能:应关闭WebDav功能,因为它有严重的安全问题,可能导致未经授权的文件被修改。
4. 错误页面:应替换错误页面,以隐藏敏感信息。
IIS在默认产生错误的时候,会给客户端反馈详细的错误信息,这将导致服务器的一些敏感信息文件被泄露。
5. 上传执行:应禁止上传执行。
网站安全中,对目录的执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的。
6. 日志审计:应开启日志审计,并对日志进行定期备份。
这有助于追踪和记录网站的活动,以便于故障排查和安全审计。
7. 权限管理:对IIS和站点文件夹的权限进行严格管理,只授予必要的权限,避免不必要的权限提升或误操作导致的安全问题。
8. 定期更新补丁:保持IIS和操作系统的更新,及时安装补丁和安全更新,以修复已知的安全漏洞。
9. 内容安全:配置合适的防火墙和安全组,对进入和离开的数据包进行过滤,防止恶意攻击和数据泄露。
10. SSL加密:使用SSL加密来保护传输的数据,防止数据被窃取或篡改。
以上是一些常见的IIS加固标准,具体的实施可能会根据实际需求和环境有所不同。
建议在进行IIS配置时,参考微软官方文档和安全最佳实践,确保系统安全。
IIS加固以及ASP木马防护运行环境:windows server 2003IIS版本:IIS 6.0IIS安全主要还是对权限的设置,防止黑客将ASP木马等写入系统。
首先先要了解到IIS WEB服务器的权限设置有两个地方:一个是NTFS文件系统本身的权限设置,另一个是IIS下网站—>站点—>属性—>主目录(或站点下目录—>属性—>目录)面板上。
这两个地方时密切相关的。
IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:脚本资源访问、读取、写入、浏览、记录访问、索引资源6个选项。
这6个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。
但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。
另外在这6个选项下面的执行权限下拉列表中还有:无、纯脚本、纯脚本和可执行程序、3个选项。
而网站目录如果在NTFS 分区(推荐用这种)的话,还需要对NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置everyone 的权限,实际上这是不好的,其实只要设置好Internet 来宾帐号(IUSR_xxxxxxx)或IIS_WPG 组的帐号权限就可以了。
如果是设置ASP、PHP 程序的目录权限,那么设置Internet 来宾帐号的权限,而对于 程序,则需要设置IIS_WPG 组的帐号权限。
在后面提到NTFS 权限设置时会明确指出,没有明确指出的都是指设置IIS 属性面板上的权限。
ASP、PHP、 程序所在目录的权限设置如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。
不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。
NTFS 权限中不要给IIS_WPG 用户组和Internet 来宾帐号设置写和修改权限。
如果有一些特殊的配置文件(而且配置文件本身也是ASP、PHP 程序),则需要给这些特定的文件配置NTFS 权限中的Internet 来宾帐号( 程序是IIS_WPG 组)的写权限,而不要配置IIS 属性面板中的“写入”权限。
IIS安全配置规范1.概述1.1. 目的本规范明确了IIS安全配置方面的基本要求。
为了提高IIS的安全性而提出的。
1.2. 范围本规范适用于XXXX使用的IIS5&6。
2.配置规范2.1. 传统IIS设置IIS 5.0和5.1默认包括不安全的功能,从Windows2003 开始微软尝试确保默认安装的IIS就是安全的。
2.1.1.默认安装文件【说明】IIS5和5.1默认安装了一些样例和文件,会给IIS带来安全隐患。
建议不使用“默认Web站点”,并创建一个新的站点。
删除所有缺省的虚拟目录,一下列举了可以删除的缺省虚拟目录和默认安装的文件:【具体配置】删除以下内容:inetpub\wwwroot 文件夹inetpub/scripts 文件夹/scripts虚拟目录映射inetpub/scripts/IISSamples文件夹/iissamples虚拟目录映射/IISHelp虚拟目录映射/Printers虚拟目录映射限制对iisadmpwd虚拟目录的访问,使用Windows的验证2.1.2.远程数据服务(Remote Data Services-RDS)【说明】RDS是MDAC的组件,具有msadc虚拟目录的IIS系统最易受到攻击,这可导致非法用户访问ODBC数据库、访问受限制文件或远程执行命令。
非法访问的接口由Msadcs.dll文件提供,该文件位于Program Files\Common Files\System\Msadc。
这个功能中的漏洞可以被蠕虫攻击,如红色代码和尼姆达。
确保该功能安全或者如果不用的话删除该功能。
【具体配置】加强RDS:1、删除MSADC 样例,位于\Progam Files\CommonFiles\System\Msadc\Samples2、删除注册表键值HKLM\System\CurrentControlSet\Services\W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls3、创建HandlerRequired registry key,位于HKLM\Software\Microsoft\DataFactory\HandlerInfo\4、创建 DWORD = 1 value.删除MSADC功能:1、删除/MSADC虚拟目录映射2、删除RDS文件和子目录,位于\Program Files\CommonFiles\System\Msadc2.1.3.Internet Printing协议【说明】Windows服务器上的共享打印机可以使得非授权访问者通过此协议访问所有的计算机。
IIS的安全加固1.关闭并删除默认站点默认FTP站点默认Web站点管理Web站点2.建立自己的站点,与系统不在一个分区如:D:\wwwroot3.建立E:\Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是:Administrators(完全控制)System(完全控制)3.删除IIS的部分目录IISHelp C:\winnt\help\iishelpIISAdmin C:\system32\inetsrv\iisadminMSADC C:\Program Files\Common Files\System\msadc\删除C:\inetpub4、网站下的图片文件目录及UPLOAD相关用户上传目录中网站属性由“纯脚本”改成“无”这样能很有效的防止用户非法上传一些ASA文件来执行上传木马。
5、所有网站IUSR-PCNAME用户权限减去“遍历文件夹-运行文件。
6、建议使用DeerField对各种注入等手段通过URL提交的命令的关键字以及敏感文件的扩展名进行过滤,如.MDB、…、--、NULL、select、%5c、c:、cmd、system32、xp_ cmdshell、exec、@a、dir、alert()、‟or‟‟=‟、Where、count(*)、between、and、inetpub、wwwroot、nchar、,%2B、%25等。
对于提交有上述字串请示的IP,一般都是人为有意进行,因此可令防火墙对这类访问的IP进行较长时间的屏蔽。
7、其他安全工具安装安全工具:如Urlscn、IISLock等2)日志的安全管理1、启用操作系统组策略中的审核功能,对关键事件进行审核记录;2、启用IIS、FTP服务器等服务本身的日志功能;并对所有日志存放的默认位置进行更改同时作好文件夹权限设置!3、安装Portreport对所有网络访问操作进行监视(可选,可能增大服务器负荷);4、安装自动备份工具,定时对上述日志进行异地备份,起码是在其他分区的隐蔽位置进行备份,并对备份目录设置好权限(仅管理员可访问)。
IIS7安全加固
1.1 补丁安装
1.2 IIS角色服务
双击“角色”,在右边最下方可以看见角色服务,点击“删除角色服务”
1.3 IIS用户
1.4 监听地址
服务器有多个IP地址时,只监听提供服务的IP地址
1.5 SSL加密
然后在网站主页视图中双击“SSL设置”图标,可以设置开启SSL,如下图:
1.6 目录浏览
在“操作”视图中,禁用目录浏览
1.7 应用程序扩展
若要增强Web 服务器的功能,可以添加ISAPI 筛选器。
例如,您可以
1.8 网站权限
3. “请求限制”中的“谓词”选项卡,可以查看HTTP请求的方
法。
1.9 授权规则
1.10 限制IP访问
1.11 日志设置
点击“选择字段”按钮,查看记录的字段
1.12 自定义错误信息
双击其中一个HTTP错误,可以设置该HTTP错误的消息类型,管理员
设置错误发生时,返回自定义错误页面,或者定向到指定地址。
文档从互联网中收集,已重新修正排版,word 格式支持编辑,如有帮助欢迎下载支持。
- 1 -word 格式支持编辑,如有帮助欢迎下载支持。
IIS Web 服务器安全加固步骤:步骤注意:安装和配置 WindowsServer 2003。
1. 将<systemroot>\System32\cmd.exe 转移到其他目录或更名;2. 系统帐号尽量少,更改默认帐户名(如Administrator )和描述,密码尽量复杂;3. 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest ;所有非操作系统服务帐户)4.建议对一般用户只给予读取权限,而只给管理员和System 以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
5.NTFS 文件权限设定(注意文件的权限优先级别比文件夹的权限高):文件类型建议的 NTFS 权限 CGI 文件(.exe 、.dll 、.cmd 、.pl ) 脚本文件 (.asp)包含文件(.inc 、.shtm 、.shtml )静态内容(.txt 、.gif 、.jpg 、.htm 、.html ) Everyone (执行)Administrators (完全控制) System (完全控制)6.禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer 、REG_DWORD 、0x0 7.禁止ADMIN$缺省共享文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
- 2 -word格式支持编辑,如有帮助欢迎下载支持。
IIS安全配置手册此安全配置标准适用于IIS 的5.0以上版本。
1为IIS中的文件分类设置权限除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。
一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。
另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。
一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。
例如:●静态文件文件夹:包括所有静态文件,如HTM 或HTML,给予允许读取、拒绝写的权限。
●ASP脚本文件夹:包含站点的所有脚本文件,如cgi、vbs、asp等等,给予允许执行、拒绝写和读取的权限。
●EXE等可执行程序:包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。
2删除危险的IIS组件默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下是一些“黑名单”,大家可以根据自己的需要决定是否需要删除。
●Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。
●SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。
●样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。
3删除不必要的应用程序映射IIS中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer 等,通过这些程序映射,IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。
但是,在这些程序映射中,除了.asp的这个程序映射,其它的文件在网站上都很少用到。
IIS系统安全基线规范
2022年4月
目录
1账号管理、认证授权 (1)
1.1.1ELK-IIS-01-01-01 (1)
1.1.2ELK-IIS-01-01-02 (2)
1.1.3ELK-IIS-01-01-03 (2)
1.1.4ELK-IIS-01-01-04 (4)
2日志配置 (5)
2.1.1ELK-IIS-02-01-01 (5)
2.1.2ELK-IIS-02-01-02 (6)
2.1.3ELK-IIS-02-01-03 (7)
3通信协议 (8)
3.1.1ELK-IIS-03-01-01 (8)
4设备其他安全要求 (10)
4.1.1ELK-IIS-04-01-01 (10)
4.1.2ELK-IIS-04-01-02 (13)
4.1.3ELK-IIS-04-01-03 (14)
4.1.4ELK-IIS-04-01-04 (14)
4.1.5ELK-IIS-04-01-05 (15)
本文档是Windows 操作系统的对于IIS服务IIS应用服务在安全等方面的安全配置要求,对系统的安全配置审计、加固操作起到指导性作用。
1账号管理、认证授权
1.1.1E L K-I I S-01-01-01
1.1.2E L K-I I S-01-01-02
1.1.3E L K-I I S-01-01-03
实施目的阻止非法IP访问
问题影响Web服务器带来安全性问题。
系统当前状态查看Internet 信息服务(IIS)管理器配置是否与原来相同
实施步骤1、参考配置操作
开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”
回退方案取消IP访问控制
判断依据1、判定条件
需要限制访问源的话进行ip范围限制。
2、检测操作
开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点,然后右键点击“属性”。
检查是否进行了ip的限制。
实施风险低
1.1.4E L K-I I S-01-01-04
2日志配置
2.1.1E L K-I I S-02-01-01
回退方案恢复IIS日志路径到C:\WINDOWS\system32\LogFiles目录。
判断依据是否启用了W3C日志记录,和日志路径是否更改。
实施风险高
重要等级★
备注
2.1.2E L K-I I S-02-01-02
编号ELK-IIS-02-01-02
名称IIS记录安全事件安全基线要求项
实施目的设备应配置日志功能,记录与设备相关的安全事件。
问题影响非法访问攻击。
系统当前状态查看本地策略是否与原来相同。
2.1.3E L K-I I S-02-01-03
3通信协议
3.1.1E L K-I I S-03-01-01
4设备其他安全要求4.1.1E L K-I I S-04-01-01
然后选择编辑:
然后选择主目录,点击配置:
选择需要删除的扩展名,点击删除:(以下图示仅供参考,依据实际需求操作)
4.1.2E L K-I I S-04-01-02
4.1.3E L K-I I S-04-01-03
4.1.4E L K-I I S-04-01-04
4.1.5E L K-I I S-04-01-05。
