欢迎您访问 最编程 本站为您分享编程语言代码,编程技术文章!

热门搜索/Hot Search

您现在的位置是: 首页

保障 IIS 服务器的安全性配置

最编程 2024-08-14 12:44:13
...

IIS 服务器的安全设置

    • 1、IIS 服务器介绍
    • 2、身份验证和访问控制
      • IIS 的身份验证概述:
      • IIS 身份验证有如下四种:
      • 实际操作:
    • 3、设置单独应用程序
    • 4、限制目录执行权限
    • 5、开启日志审计
    • 6、IIS 服务器常见漏洞

1、IIS 服务器介绍

微软的Internet信息服务(IIS)提供了可用于Intranet和Internet或Extranet上的集成Web服务器能力,这种服务器具有可靠性、可扩展性、安全性等特点。任何规模的组织都可以使用IIS管理Intranet或Internet上的网页及文件传输(FTP)站点,IIS7.0是Windows Server 2008 R2的Web服务器角色。用户通过浏览,可以搜索自己所需的资料、图片和视频,所有这些都是基于WWW服务实现的,WWW服务也称为Web服务。WWW(World Wide Web)服务也叫万维网服务,是指在网上发布并可以通过浏览器观看的图形化页面服务。万维网服务是通过建立Web站点来实现的,目前应用较多的软件主要有IIS和Apache。

2、身份验证和访问控制

IIS 的身份验证概述:

Web站点建成后,就可以对用户提供信息浏览服务,通常是允许匿名访问的;但有些特殊网站或虚拟目录出于安全性考虑,要求用户提供用户账户和密码后才能访问,或者限定某些IP地址访问。

IIS 身份验证有如下四种:

  • 匿名身份验证:

系统默认只启用匿名身份验证,另外三个需要通过添加角色服务的方法进行添加。启用匿名身份验证后用户无须输入用户名和密码,当用户试图连接到网站时,Web服务器将连接分配给账户IUSR,用户实际上是使用IUSR这个账户访问站点的

  • Windows身份验证:

Windows身份验证也会要求输入用户名与密码,而且用户名与密码在通过网络发送之前会经过哈希处理,因此可以确保安全性。Windows使用NTLM或Kerberos协议对客户端进行身份验证,由于Kerberos会被防火墙阻挡且代理服务器不支持NTLM,所以Windows身份验证适用于连接内部网络(Intranet)的网站。

  • 基本身份验证:

基本身份验证要求用户提供有效的用户名和密码才能访问,它是工业标准验证方法;但是用户发送给网站的用户名和密码并没有被加密,所以容易被恶意拦截并得知这些数据。若要使用基本身份验证,应该搭配其他可以确保发送数据安全性的措施

  • 摘要式身份验证:

摘要式身份验证也要求输入用户名和密码,它比基本身份验证更安全。在使用摘要式身份验证时,密码不是以明文形式发送的。与Windows身份验证相比,摘要式身份验证可以通过代理服务器使用。

实际操作:

匿名身份验证:
系统默认只启用了匿名身份验证,即用户访问站点时,不需要提供身份认证信息就可以正常访问站点,另外三个需要通过添加角色服务的方法进行添加:
在这里插入图片描述Windows 集成身份验证:
如果使用NTLM 或者Kerberos 协议进行身份验证,则应使用Windows 身份验证。Windows身份验证适用于连接内部网络(Intranet)的网站。
基本身份验证:
如果网站启用了基本身份验证(需先将匿名身份禁用),访问站点时,要求用户输入账号密码。一般在网站后台等目录使用。
在这里插入图片描述
先禁用匿名身份验证,然后再启用基本身份验证,就可以进行编辑了。可以添加域账号或者留空。
在这里插入图片描述摘要式身份验证:
摘要式身份验证和基本身份验证一样需要输入账号密码,但比基本身份认证更加安全,因为基本身份是使用的是不加密的base64 编码进行传输,而摘要式身份验证的用户密码是使用MD5。
使用摘要式身份验证必须具备三个条件:
1、 浏览器支持HTTP 1.1 IE 5 以上
2、 IIS服务器必须是windows 域控成员或者域控。
3、 用户登录必须是域控制器账号,而且是同IIS 服务器用以或者信任域。
所以说摘要式身份验证是使用windows 域控制器对请求访问web 服务器内容的用户进行身份验证。
Windows 集成身份验证:
如果使用NTLM 或者Kerberos 协议进行身份验证,则应使用Windows 身份验证。Windows身份验证适用于连接内部网络(Intranet)的网站。

3、设置单独应用程序

给网站设置独立运行的程序池,这样每个网站与错误就不会互相影响。要新建应用程序池,在IIS 管理控制台中右击应用程序池文件夹,指向新建,选择应用程序池。然后在对话框中输入名字点击确认即可。然后就可以把web站点分配到应用程序池了。

在这里插入图片描述

4、限制目录执行权限

在IIS中设置需要上传文件的目录,双击处理程序映射,然后在处理程序映射中,把编辑功能权限中的脚本去掉,这样即使上传了木马文件在此目录,也是无法执行的。
在这里插入图片描述在这里插入图片描述

5、开启日志审计

1、打开IIS管理工具,选择需要设置日志的站点,切换到功能视图,双击日志,进入日志配置界面。
2、默认情况下Web日志存放于系统目录" %SystemDrive%\inetpub\logs\LogFiles",将Web日志文件放在非网站目录和非操作系统分区,并定期对Web日志进行异地备份。
双击日志,可进行日志属性的设置如下图:
在这里插入图片描述

6、IIS 服务器常见漏洞

  • 文件解析漏洞
    1、目录解析漏洞
    2、 文件名解析漏洞
    3、 畸形解析漏洞
  • IIS 短文件漏洞
  • PUT 任意文件写入
  • HTTP.SYS远程代码执行
  • RCE-CVE-2017-7269

IIS 服务器常见漏洞攻防

上一篇: 加强Linux SSH登录的安全设置

下一篇: RouterOS(ROS)软路由安全性配置指南:服务说明

推荐阅读