IIS7安全加固1.1补丁安装操作目的安装系统补丁,修补漏洞检查方法使用极光远程扫描漏洞,或安装微软安全基准分析器MicrosoftBaselineSecurityAnalyzer扫描漏洞加固方法手动安装补丁是否实施备注补丁安装后可能影响业务系统的稳定性1.2IIS角色服务操作目的卸载不需要的IIS角色服务检查方法“开始”-“所有程序”-“管理工具”-“服务器管理器”双击“角色”,在右边最下方可以看见角色服务加固方法双击“角色”,在右边最下方可以看见角色服务,点击“删除角色服务”将不需要的服务前面的勾去掉,然后“下一步”,然后点击“删除”就可以写在不需要的扩展服务注:按实际业务环境删除不必要的角色服务是否实施备注1.3IIS用户操作目的检查IIS服务的用户所属组是否正确检查方法(1)在命令行下使用netuser命令查看IIS服务的用户信息查看IIS匿名访问用户是否属于guest组:netuserIUSR_主机名查看asp.net用户是否属于user组:netuseraspnet(2)在IIS7管理器中,双击站点名称,在右边的视图中找到“IIS”-“身份验证”。双击进入,可以看到当前的IIS身份情况,并可在“视图”右方的“操作”窗口进行“启用”、“禁用”或“编辑”加固方法根据实际情况启用或禁用身份认证情况,比如如果没有开启asp.net应用,则禁用asp.net模拟。查看是否启用了匿名身份认证,IIS7匿名身份为IUSR,可点击“编辑”查看是否实施备注1.4监听地址操作目的服务器有多个IP地址时,只监听提供服务的IP地址检查方法在IIS7管理器中,找到相应的站点,在最右边“操作”视图中,点击“绑定”,可以看到已经绑定的IP地址。加固方法点击“编辑”,可以修改为要绑定的IP地址是否实施备注1.5SSL加密操作目的对敏感数据的传输,应该使用SSL加密,防止数据被嗅探检查方法在IIS7管理器中,找到相应站点,在网站主页视图中双击“SSL设置”图标,可以查看是否设置SSL加密。如果没有在绑定的时候绑定为“https”的话,会在右上角显示“无法接受SSL”连接加固方法在新建网站的时候,选择“绑定”-“https”,并且选择相应的证书,如下图:然后在网站主页视图中双击“SSL设置”图标,可以设置开启SSL,如下图:是否实施备注1.6目录浏览操作目的禁止目录浏览检查方法在IIS7管理器中,找到相应站点,在网站主页视图中双击“目录浏览”图标,可以查看到目录浏览的相应配置信息加固方法在“操作”视图中,禁用目录浏览是否实施备注1.7应用程序扩展操作目的删除不使用的应用程序扩展检查方法在IIS7管理器中,找到相应站点,在网站主页视图中双击“ISAPI筛选器”图标,可以查看已经添加到筛选器的内容加固方法若要增强Web服务器的功能,可以添加ISAPI筛选器。例如,您可以设置一个ISAPI筛选器来捕获有关HTTP请求的信息,并将该信息保存在数据库中。注:虽然IIS7.0支持ISAPI筛选器,但建议使用模块而不是ISAPI筛选器来扩展Web服务器的功能。是否实施备注与开发工程师确认,避免影响业务系统1.8网站权限操作目的正确设置网站目录权限和IIS权限检查方法(1)检查网站目录的文件系统权限(2)在IIS7管理器中,找到相应站点,在网站主页视图中双击“处理程序映射”图标,可以查看处理特定请求类型的响应资源。这里有两个设置权限的地方“编辑功能权限”和“请求限制”:1.“操作”视图中的“编辑功能权限”2.双击每个条目,点击“请求限制”-“访问”,与“编辑功能权限”对话框上设置的功能的访问策略一起确定处理程序是否能够运行。3.“请求限制”中的“谓词”选项卡,可以查看HTTP请求的方法。加固方法(1)网站目录所在磁盘应该是NTFS格式,网站目录除SYSTEM用户和administrators组有完全控制权限外,其余用户和组都只应设置为读取和执行权限(2)IIS7管理器中设置:1.“编辑功能权限”,不赋予“执行”2.“访问”中不赋予“写入”、“执行”权限3.“谓词”中不赋予“WRITE,DELETE,PUT”等方法是否实施备注权限设置与开发工程师确认,避免影响业务系统1.9授权规则操作目的对用户访问网站或应用程序进行相应限制检查方法在IIS7管理器中,找到相应站点,在网站主页视图中双击“授权规则”图标,可以查看相应规则,如下图:加固方法根据网站实际情况对特定用户添加允许或拒绝规则是否实施备注1.10限制IP访问操作目的对网站或敏感目录的访问IP进行限制检查方法在IIS7管理器中,找到相应站点,在网站主页视图中双击“IPv4地址和域限制”图标,可以查看允许或被禁止的ip地址,如下图:加固方法在“IPv4地址和域限制”设置相关允许或禁止的IP地址是否实施备注1.11日志设置操作目的正确设置IIS日志检查方法在IIS7管理器中,在IIS7管理器中,找到相应站点,在网站主页视图中双击“日志”图标,可以查看日志设置情况,如下图:点击“选择字段”按钮,查看记录的字段加固方法如果没有启用日志记录,请立即启用;可以修改日志文件的目录及日志记录的内容;还可以“记录字段”选项中勾选上“Cookie(Cookie)”和“引用站点(Referer)”,但需要确定此操作是否影响IIS服务性能是否实施备注1.12自定义错误信息操作目的自定义IIS返回的错误信息检查方法在IIS7管理器中,在IIS7管理器中,找到相应站点,在网站主页视图中双击“错误页面”图标,可以查看错误页设置情况,如下图:加固方法双击其中一个HTTP错误,可以设置该HTTP错误的消息类型,管理员设置错误发生时,返回自定义错误页面,或者定向到指定地址常见错误代码:403禁止访问;404找不到页面;500是服务器内部错误是否实施备注