阅读量:0
IIS7.5 安全配置研究是推荐进行的,以确保服务器的安全性。
IIS7.5安装与基本功能
1. 常见功能设置
| 功能 | 推荐配置 |
| 静态内容 | 开启 |
| 默认文档 | 开启 |
| HTTP错误 | 开启 |
| 目录浏览 | 如无特殊要求,不要开启 |
| WebDAV发布 | 如无特殊要求,不要开启 |
| HTTP重定向 | 根据需要开启 |
2. 应用程序开发设置
| 功能 | 推荐配置 |
| ASP.NET | 为asp.net的开启 |
| .NET扩展性 | 开启 |
| ISAPI扩展 | 根据实际情况开启 |
| ISAPI筛选 | 根据实际情况开启 |
| 服务器端包含文件 | 根据需要开启 |
3. 健康和诊断设置
| 功能 | 推荐配置 |
| HTTP日志记录 | 建议开启 |
| 日志记录工具 | 建议开启 |
| 请求监视 | 建议开启 |
4. 安全性设置
| 功能 | 推荐配置 |
| URL授权 | 建议开启 |
| 请求筛选 | 建议开启 |
| IP和域限制 | 建议开启 |
IIS7.5权限配置介绍
IIS7.5涉及两个账户:匿名账户和应用程序池账户,在NTFS权限设置中,匿名账户通常只需要读取权限,而应用程序池账户则需要根据实际需求赋予相应的权限,例如写入或执行权限。
常见服务器被入侵威胁及解决措施
1. 常见威胁
WebDAV直接上传webshell
通过程序文件上传漏洞上传webshell
webshell的权限过高导致被提权
2. 解决措施
解决WebDAV问题:在安装时不安装WebDAV组件。
防止木马文件执行:在IIS中设置上传目录的处理程序映射中的脚本去掉,即使上传了木马文件在此目录也无法执行。
取消应用程序池账户的执行权限:防止木马执行后看到网站目录之外的文件。
取消进程池账户的NTFS执行权限:防止木马执行后可执行cmd。
推荐安全配置方案
1. 简单配置
匿名账户使用默认的IUSR。
应用程序池使用默认的标识。
IIS中对上传目录设置为脚本不可执行。
2. 加强安全配置
匿名账户使用默认的“应用程序用户”,即IUSR。
应用程序池账户使用默认的IIS AppPool\应用程序池名称。
删除everyone,users在所有磁盘上的权限。
删除users在system32上的所有权限(需要先修改所有者为administrator)。
在网站目录下给予IUSR读取权限。
在网站目录下给予IIS AppPool\应用程序池名称读取权限,如有特殊需求则再赋予相应权限。
相关问题与解答
1、问题:在测试过程中发现,访问aspx程序时,如果匿名账户为自定义账户,则需要给自定义的匿名账户在文件夹C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files上的写入权限;但使用默认的匿名账户IUSR时,是否需要给应用程序池账户在此文件夹上的写入权限?
解答:当使用默认的匿名账户IUSR时,确实需要给应用程序池账户在此文件夹上的写入权限,这是因为在第一次访问aspx程序并编译时,应用程序池账户需要在此文件夹中创建临时文件。
2、问题:为什么在使用IIS7.5时,即使禁止了IUSR在某些文件夹上的写入权限,只要应用程序池账户在此文件夹上有写权限,程序仍然可以正常运行?
解答:这是因为在IIS7.5中,应用程序池账户负责处理aspx程序的执行和编译,即使禁止了IUSR的写入权限,只要应用程序池账户具有相应的权限,就可以正常处理aspx程序,这体现了IIS7.5中基于角色的访问控制机制,不同账户承担不同的职责。
小伙伴们,上文介绍了“IIS7.5 安全配置研究(推荐)”的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
