iis7 安全加固介绍.pdfVIP

IIS7 安全加固 1.1 补丁安装 操作目的 安装系统补丁，修补漏洞 检查方法 使用极光远程扫描漏洞，或安装微软安全基准分析器 Microsoft Baseline Security Analyzer 扫描漏洞 加固方法 手动安装补丁 是否实施 备注 补丁安装后可能影响业务系统的稳定性 1.2 IIS 角色服务 操作目的 卸载不需要的 IIS 角色服务 检查方法 “开始”－“所有程序”－“管理工具”－“服务器管理器” 双击“角色”，在右边最下方可以看见角色服务 加固方法 双击“角色”，在右边最下方可以看见角色服务，点击“删除角色服务” 将不需要的服务前面的勾去掉，然后“下一步”，然后点击“删除”就可以写 在不需要的扩展服务 注：按实际业务环境删除不必要的角色服务 是否实施 备注 1.3 IIS 用户 操作目的 检查 IIS 服务的用户所属组是否正确 检查方法 （1）在命令行下使用 net user 命令查看 IIS 服务的用户信息 查看 IIS 匿名访问用户是否属于 guest 组：net user IUSR_主机名 查看 用户是否属于 user 组：net user aspnet （2 ）在 IIS7 管理器中，双击站点名称，在右边的视图中找到 “IIS”- “身份验 证”。双击进入，可以看到当前的 IIS 身份情况，并可在 “视图”右方的 “操作” 窗口进行“启用”、“禁用”或“编辑” 加固方法 根据实际情况启用或禁用身份认证情况，比如如果没有开启 应用，则禁 用 模拟。 查看是否启用了匿名身份认证，IIS7 匿名身份为 IUSR，可点击“编辑”查看 是否实施 备注 1.4 监听地址 操作目的 服务器有多个 IP 地址时，只监听提供服务的 IP 地址 检查方法 在 IIS7 管理器中，找到相应的站点，在最右边“操作”视图中，点击“绑 定”，可以看到已经绑定的 IP 地址。 加固方法 点击“编辑”，可以修改为要绑定的 IP 地址 是否实施 备注 1.5 SSL 加密 操作目的 对敏感数据的传输，应该使用 SSL 加密，防止数据被嗅探 检查方法 在 IIS7 管理器中，找到相应站点，在网站主页视图中双击“SSL 设置” 图标，可以查看是否设置SSL 加密。如果没有在绑定的时候绑定为“https” 的话，会在右上角显示“无法接受 SSL”连接 加固方法 在新建网站的时候，选择“绑定”- “https”，并且选择相应的证书， 如下图： 然后在网站主页视图中双击 “SSL 设置”图标，可以设置开启 SSL，如 下图： 是否实施 备注 1.6 目录浏览 操作目的 禁止目录浏览 检查方法 在 IIS7 管理器中，找到相应站点，在网站主页视图中双击“目录浏览” 图标，可以查看到目录浏览的相应配置信息 加固方法 在“操作”视图中，禁用目录浏览 是否实施 备注 1.7 应用程序扩展 操作目的 删除不使用的应用程序扩展 检查方法 在 IIS7 管理器中，找到相应站点，在网站主页视图中双击“ISAPI 筛选 器”图标，可以查看已经添加到筛选器的内容 加固方法 若要增强 Web 服务器的功能，可以添加 ISAPI 筛选器。例如，您可以 设置一个 ISAPI 筛选器来捕获有关 HTTP 请求的信息，并将该信息保