记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

[原]IIS安全配置参考

2018-01-06 17:45

0x01 账号管理

一、 应按照用户分配账号。避免不同用户间共享账号

    避免用户账号和设备间通信使用的账号共享(对于IIS用户定义分为两个层次:一、IIS自身操作用户,二、IIS发布应用访问用户)。
操作: 
       1. 为不同维护人员创建账号:进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的账户和账户组.对应设置IIS系统管理员的权限。
      2. 为创建账号设置权限:进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”:其中分为“匿名访问身份”及“基本(Basic)验证”。“基本(Basic)验证”包含:“集成windows身份验证”、“Windows域服务器的摘要身份验证”、“基本身份验证”、“.NET Passport身份验证”;可依据维护人员进行不同权限访问控制配置。
检测:
1.进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:查看根据系统的要求,设定不同的账户和账户组。
2.进入IIS管理器->相应网站“属性”->“目录安全性”->“身份访问及访问控制”查看相应配置。
3 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组。

二、应删除或锁定与设备运行、维护等工作无关的账号

操作:
1. 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:删除或锁定与设备运行、维护等与工作无关的账号。IIS安装后生成账号: IUSR_主机名、IWAM_主机名、ASPNET三用户,依据应用情况建议只保留系统维护账号。
(1)IUSR_主机名:Internet 来宾帐户, 匿名访问 Internet 信息服务的内置帐户。如果删除影响页面浏览,建议保留。 
(2)IWAM_主机名: 启动 IIS 进程帐户, 用于启动进程外应用程序的 Internet 信息服务的内置帐户。建议保留。
(3)ASPNET: ASP.NET 计算机帐户, 用于运行 ASP.NET 辅助进程(aspnet_wp.exe)的帐户。IIS系统安装后会默认支持ASP,如网站无动态内容,可禁用该帐户,如网站有动态内容需保留此账户。
检测:
1. 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:查看是否删除或锁定与设备运行、维护等与工作无关的账号。如网站无动态内容,系统只保留管理员、IUSR_主机名、IWAM_主机名、维护人员账号,无其他账号,如网站有动态内容系统保留管理员、IUSR_主机名、IWAM_主机名、ASPNET、维护人员账号,无其他账号。
2 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。

0x02 口令

一、口令复杂度

对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类(IIS基于Windows系统,可通过提升Windows自身密码安全等级实现)
操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”
检测:进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”

二、口令的生存期

对于采用静态口令认证技术的设备,维护人员使用的账户口令的生存期不长于90天(IIS基于Windows系统,可通过提升Windows帐户策略实现)
操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码最长存留期”设置为“90天”
判定:“密码最长存留期”设置为“90天”

三、口令重复限制

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令(IIS基于Windows系统,可通过提升Windows帐户策略实现)
操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“强制密码历史”设置为“记住5个密码”
检测: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“强制密码历史”设置为“记住5个密码”
判定: “强制密码历史”设置为“记住5个密码”

0x03 授权

一、最小权限

在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限(对于IIS用户定义分为两个层次:一、IIS自身操作用户,二、IIS发布应用访问用户;设备权限的配置基于上述两方面考虑)
1.原理:
(1)文件夹和文件的访问权限:安放在NTFS文件系统上的文件夹和文件,一方面要对其权限加以控制,对不同的用户组和用户进行不同的权限设置;另外,可利用NTFS的审核功能对某些特定用户组成员 读文件的企图等方面进行审核,有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆,及时加以预防制止。
(2)目录的访问权限:已经设置成Web目录的文件夹,可以通过操作Web站点属性页面实现对www目录访问权限的控制,而该目录下的所有文件和子 文件夹都将继承这些安全性。www服务除了提供NTFS文件系统提供的权限外,还提供读取权限,允许用户读取或下载WWW目录中的文件;执行权限,允许用户运行www目录下的程序和脚本。
2.操作:
(1)启动“域用户管理器”-> “规则”选单下的“审核”选项->  “审核规则”
(2)启动ISM(Internet服务器管理器)->  启动Web属性页面并选择“目录”选项卡;->  选择www目录;->  选择“编辑属性”中的“目录属性”进行设置:“脚本资源访问”、“读取”、“写入”“目录浏览”、“记录访问”、“索引资源”。  
检测:
1.启动“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”,检测 “审核规则”配置状态。
2.启动ISM(Internet服务器管理器)->启动Web属性页面并选择“目录”选项卡;->选择www目录;-> “编辑属性”中的“目录属性”,查看配置状态。
判定条件:1.检测用户权限审核及ISM目录安全属性。

0x04 日志
一、启用日志

操作:打开IIS管理工具,右击要管理的站点,选择“属性”。在“Web Site”选择“启用日志记录”,从下拉菜单中选择“Microsoft IIS日志文件格式”。“W3C”日志格式存在日志记录时间与服务器时间不统一的问题,所以应尽量采用IIS日志格式。

检测:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性”检查是否“启用日志记录”

采用“Microsoft IIS日志文件格式”。

判定:启用日志记录,并采用IIS日志格式。

二、 更改日志默认路径

1. 将IIS的网页访问日志独立存放在一个独立的分区中,并且系统管理员要定期对该目录进行查看和维护,确保日志内容不会溢出,并可以及早的发现网络异常行为。
检测方法:进入“开始->管理工具->资源管理器”,查看日志文件存放路径。
判定: IIS的网页访问日志独立存放在一个独立的分区中

三、记录与设备相关的安全事件 

操作:
1.进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应 “审核对象访问”、“审核目录服务器访问”、“审核系统事件”、“审核账号管理”、“审核过程追踪”选项。
2.运行IIS管理器->“Internet信息服务”->“应用相关站点”属性->“网站”->“属性”->“高级”,选择“时间”、“日期”、“扩展属性”是否选择
检测方法:进入“控制面板->管理工具->本地安全策略”,查看“本地策略->审核策略”配置“成功”、“失败”的选择记录。
判定条件:确定系统相关“审核策略”;确定IIS相关“站点属性”日志详细记录。

四、配置权限,控制对日志文件读取、修改和删除

操作:进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核策略更改”配置相应选项。
检测:进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中配置相应“审核策略更改”选项选择状态。
判定:确定系统相关“审核策略”

0x05 其他事项

1 IP协议:IP转发的安全性

IIS服务可提供IP数据包转发功能,此时,充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中,以此提升IIS服务安全性
操作:IIS服务器启动“网络属性”-> “协议”选项卡->在“TCP/IP属性”中去除 “路由选择”选项。
检测:IS服务器启动“网络属性”-> “协议”选项卡->在“TCP/IP属性”查看 “路由选择”选项。
判定:判断IIS所属服务器“路由选择”选项状态。

2 超时操作 

对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定(参考Windows相关配置:设置带密码的屏幕保护,并将时间设定为5分钟。)

操作:进入“控制面板->显示->屏幕保护程序”:启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”
检测:进入“控制面板->显示->屏幕保护程序”:查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
判定:启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。

3 更改默认安装路径:

操作:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性”。
IIS安装后的默认主目录是“%system%Inetpubwwwroot”,为更好地抵抗踩点、刺探等攻击行为,应该更改主目录位置,更改主目录位置操作
检测:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性”。查看是否更改IIS默认安装路径。
判定:更改IIS默认安装路径。

4 删除实例

文件安全配置要求:删除可能带来风险的实例文件。
操作:进入相应目录,删除实例文件
IIS   c:\inetpub\iissamples
Admin Scripts     c:\inetpub\scripts
Admin Samples %systemroot%\system32\inetsrv\adminsamples
IISADMPWD %systemroot%\system32\inetsrv\iisadmpwd
IISADMIN       %systemroot%\system32\inetsrv\iisadmin
Data access   c:\Program Files\Common Files\System\msadc\Samples
MSADC c:\program files\common files\system\msadc
检测:进入c:\inetpub;c:\Program Files\Common Files\System\msadc\Samples 查看是否删除可能带来风险的实例文件。
判定:删除可能带来风险的实例文件。

5 删除脚本

删除不必要的脚本影射
操作:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性” -〉编辑 -〉根目录 -〉配置,然后从列表中删除以下不必要的脚本,包括:.htr、idc、.stm、.shtm、.shtml、.printer、.htw、.ida 和.idq。
删除的原则:只保留需要的脚本映射。
配置方法:
从“Internet 服务管理器”中:选择计算机名,点鼠标右键,选择属性,属性界面如下图2所示:


然后选择编辑,编辑界面图如下图3所示:


然后选择主目录,点击配置,配置图如图4所示:


选择需要删除的扩展名,点击删除,删除操作图如图5所示:(以下图示仅供参考,依据实际需求操作)

检测:开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“属性” -〉编辑 -〉根目录 -〉配置:
查看是否删除不必要的脚本影射。
判定:删除不必要的脚本影射。

6 账号所属日志

按账号分配日志文件读取、修改和删除权限,从而防止日志文件被篡改或非法删除。
操作: 通过“资源管理器”,修改文件权限,除管理员组用户外,其他用户不得修改、删除日志文件。
检测:资源管理器->日志文件->“属性”。
判定: 非管理员组的用户不得修改、删除日志文件。

7 IIS升级

操作: 下载IIS补丁包
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS7.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665
并安装,或升级到IIS7.5
检测:控制面板->添加或删除程序->显示更新打钩,查看是否安装IIS补丁包。
判定条件:已安装IIS最新 补丁包。

8 禁止开启其他服务

IIS 是架设 WEB、FTP、SMTP 服务器的一套整合软件,如果不是必要,不得安装FTP、SMTP服务。
操作: 可以通过“控制面板” -> “添加/删除程序” ->“添加删除IIS组件” ->“internet信息服务(IIS)”中删除FTP、SMTP服务组件。
检测:可以通过“控制面板” -> “添加/删除程序” ->“添加删除IIS组件” ->“internet信息服务(IIS)”中检查是否删除FTP、SMTP服务组件。
判定: 查看FTP、SMTP服务没有被安装。

9 禁止web服务扩展

对于IIS6.0 对于“web服务扩展”,默认只启用了“asp.net”功能。如果业务系统不需要ASP支持,应按照下图的方法将相应的服务扩展禁止。
操作: 禁止“asp.net”功能操作图如下图6所示:
检测:如果网站页面为静态界面,则开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点,然后右键点击“web服务扩展”。检查是否禁用“asp.net”功能。
判定:如果网站页面均为静态界面,则不需要ASP支持,禁用“asp.net”功能。如果网站页面有动态内容,则该项不用配置。


欢迎大家分享更好的思路,热切期待^^_^^ !
作者:qq_29277155发表于2018/1/6 10:48:46 原文链接
阅读:24评论:0查看评论
知识来源: blog.csdn.net/qq_29277155/article/details/78986834

阅读:125687 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“[原]IIS安全配置参考”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词