信息安全资料IIS安全加固 (2).pdfVIP

目录01系统加固

Windows操作系统加固

Linux操作系统加固

02中间件加固

IIS加固

Apache加固

Nginx加固

03数据库加固

Mysql加固

Mongodb加固

IIS安全加固

目录

01IIS网站搭建

02IIS安全加固

IIS网站搭建

IIS新建网站

网站描述

设置IP地址和端口

设置主目录路径

设置网站访问权限

启用匿名访问

启用父路径

添加默认内容页

IIS安全加固

IIS安装及版本的选择

在IIS安装过程中，根据具体的业务需求，只安装必要的组件，以避

免安装其他一切不必要的组件带来的安全风险。如网站正常运行只需

要ASP环境，那我们就没必要安装.net组件。

对于IIS版本，至少要在6.0以上，IIS5.0存在严重的安全漏洞，不过

现在运行IIS5.0的服务器已经非常少了，对于这一点不用太过担心。

删除默认网站

把IIS默认安装的站点删除或禁用掉

禁用不必要的Web服务扩展

打开IIS管理器，检查是否有不必要的“Web服务扩展”，如果有则禁用掉。

删除不使用的应用程序扩展

在IIS管理器中，右击网站“属性”，点击主目录选项卡，点击“应用程序设置”的配置按钮

根据网站的实际情况，只保留必要的应用程序扩展，其他的一律删除，尤其是像cer、asa这样极其危

险的扩展，而且一般网站也不需要它

IIS访问权限配置

如果IIS中有多个网站，建议为每个网站配置不同的匿名访问账户。

方法：

a.新建一个账号，加入Guests组

b.“网站属性”—“目录安全性”—“身份验证和访问控制”，把“启用匿名访问”处，用刚新建的

账户代替默认账户

正确设置网站目录的权限和IIS权限

网站分区为NTFS分区。网站目录出system和administrator组有完全控制权限外，其他用户只需要有读

取权限。

IIS6管理器中设置：

只选择“读取、记录访问、索引资源”

禁止“写入”和“脚本资源访问”，避免IISPut上传攻击

禁止“目录浏览”，避免目录遍历攻击

正确设置网站目录的权限和IIS权限

应用程序设置中的执行权限设置为“纯脚本”

原则：

目录有写入权限，一定不要分配执行权限

目录有执行权限，一定不要分配写入权限

网站上传目录和数据库目录一般需要分配“写入”权限，

但一定不要分配执行权限

其他目录一般只分配“读取”和“记录访问”权限即可

设置IP访问限制

访问测试

正确设置IIS日志

在IIS管理器中，右击网站“属性”，点击网站选项卡，确定已经选择“启用日志记录”，活动日志格式为

“W3C扩充日志文件格式”

接着修改IIS日志文件保存路径，默认保存在“C:\WINDOWS\system32\LogFiles”目录下，这里修改为

自定义路径。建议保存在非系统盘路径，并且IIS日志文件所在目录只允许Administrators组用户和

SYSTEM用户访