【中间件安全】IIS6安全加固规范

1. 适用情况

适用于使用IIS6进行部署的Web网站。

2. 技能要求

熟悉IIS配置操作，能够利用IIS进行建站，并能针对站点使用IIS进行安全加固。

3. 前置条件

1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署；

2、 启用IIS

方法一：按Win键+R打开Windows运行，输入inetmgr,回车即可打开；

方法二：开始->管理工具->Internet 信息服务(IIS)管理器。

4. 详细操作

4.1      限制目录执行权限

右键网站目录，对网站用户对目录的权限进行必要的限制，常用于对图片目录、上传目录进行脚本执行权限限制。

4.2      开启日志审计

打开IIS管理工具，右击要管理的站点，选择“属性”。在“网站”选择“启用日志记录”。

PS：IIS默认采用的W3C日志格式采用的是UTC时间，系统时间与UTC的时差为8，也就是UTC+8。

默认情况下Web日志存放于系统目录"%systemroot%/system32/LogFiles"，将Wb日志文件放在非网站目录和非操作系统分区，并定期对Web日志进行异地备份。

点击网站-右键属性-选择网站选项卡-点击属性 如下图：

4.3      自定义404错误页面

点击网站-右键属性-选择自定义错误选项卡出现如下图：

4.4      最佳经验实践

因IIS配置不当，可能导致的安全问题，常见安全漏洞如：WebDAV、目录浏览、FTP匿名访问、IIS短文件名信息泄露、mdb数据库被下载、后台对外开放等。

4.4.1      防止.mdb数据库文件被下载

很多网站都是使用的是asp+access数据库，mdb路径可能被猜解，数据库很容易就被别人下载了，利用IIS设置可有效防止mdb数据库被下载。

步骤一：新建一记事本文件，里面不要填写任何内容，将文件名改为nodownload.dll，拷贝到C:\Windows\System32\

步骤二：打开IIS服务管理器，选择需要设置的站点，点击右键，选择“属性”，打开站点属性对话框，切换到“主目录”选项卡，点击中 下方的“配置”按钮

步骤三：弹出应用程序配置窗口，在“映射”选项卡中点击下方的“添加”按钮，弹出添加/编辑应用程序扩展名映射窗口，点击“浏览”按钮，找到刚才那个nodownload.dll文件，“扩展名”文本框中输入“.mdb”，动作设为：全部动作，点“确定”保存设置。

4.4.2      访问源IP限制

在条件允许的条件下，对IIS访问源进行IP范围限制。只有在允许的IP范围内的主机才可以访问WWW服务。常用于限制网站管理后台对外开放。

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录，然后右键点击“属性”->目录安全性->IP地址和域名限制->添加允许访问的IP地址。

4.4.3      关闭WebDAV

开始->管理工具->Internet 信息服务(IIS)管理器 选择Web服务扩展->WebDAV，然后右键点击“禁止”，确认选择是，关闭WebDAV。

4.4.4      关闭目录浏览

1、 开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点目录，然后右键点击“属性”->目录浏览->去掉勾选

4.4.5      关闭FTP匿名访问

1、开始->管理工具->Internet 信息服务(IIS)管理器 选择FTP站点，然后右键点击“属性”->安全账户->去掉允许匿名连接。

4.4.6      解决IIS短文件名漏洞

利用URLScan工具过滤URL中的特殊字符（仅针对IIS6）-- 解决IIS短文件名漏洞
1、 URLScan 3.1下载地址：http://www.iis.net/downloads/microsoft/urlscan
2、 看系统位数选择安装程序（32或64位），双击运行urlscan程序

3、 安装完成以后，我们可以在System32/InetSvr/URLScan目录下找到以下文件：
log：日志目录，开启日志记录功能，会在此目录下生成日志文件； urlscan.dll：动态连接库文件；
urlscan.ini：软件配置文件，这个文件很只要，因为对URLScan的所有配置，均有这个文件来完成。

4、 IIS管理--网站（右击属性）---ISAPI筛选器--点击添加--输入筛选器名称和可执行文件--点击确定即可。

5、在UrlScan.ini中进行安全设置，
A、以下两个选项需要设置为一，防止因编码、特殊文件夹导致的系统故障：
[options]节点中
AllowHighBitCharacters=1 ;default is 0
AllowDotInPath=1 ;default is 0
B、修复IIS短文件名漏洞:
[DenyUrlSequences]节点中新增波浪号

4.5      风险操作项

4.5.1      停用或删除默认站点

1、IIS安装后的默认主目录是“c:\Inetpub\wwwroot”，为更好地抵抗踩点、刺探等攻击行为，应该更改主目录位置，禁用默认站点，新建立站点并进行安全配置。

开始->管理工具->Internet 信息服务(IIS)管理器 选择相应的站点，然后右键站点，选择停止或者删除。

4.5.2      删除不必要的脚本映射

1、打开IIS服务管理器，选择需要设置的站点，点击右键，选择“属性”，打开站点属性对话框，切换到“主目录”选项卡，点击中 下方的“配置”按钮，从列表中删除以下不必要的脚本，包括 .asa .cer .cdx .idq .htw .ida .shtml .stm .idc .htr .printer等。

删除的原则：只保留需要的脚本映射。

根据需要可以在已经存在的脚本上点击右键进行编辑和删除，也可以自定义添加映射。

4.5.3      设置最大并发连接数

1、打开IIS服务管理器，选择需要设置的站点，点击右键，选择“属性”，打开站点属性对话框，切换到“性能”选项卡，点击中 下方的“网站连接”中，设置连接限制。

4.5.4      独立站点帐户

在Windows server 2003系统下，用IIS架设Web服务器，合理的为每个站点配置独立的Internet来宾账号，这样可以限制Internet 来宾账号的访问权限，只允许其可以读取和执行运行网站所的需要的程序。

1. 选中“我的电脑”右键，选择“管理”，打开“计算机管理”，选择“本地用户和组”，然后点击“用户”，接着“右键”，新建一个用户，如下图：

最后点击“创建”，完成用户创建。

2. 删除新建立的用户属的用户组“USERS”,然后点击“添加”，让用户属于Guests组，如下图：

3、网站设置独立运行用户，加强网站安全

 

4.5.5      独立应用程序池

给网站设置独立运行的程序池，这样每个网站与错误就不会互相影响：

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。