Microsoft Internet信息服务被视为Microsoft的强大产品,但其默认安装和配置远非安全。在Windows服务器上安装IIS服务器后,应非常仔细地查看其配置。这不是IIS的唯一问题-安装后还必须加固nginx和Apache。
Inetpub文件夹是Web内容、IIS日志等的默认位置。默认情况下,IIS 7和更新版本会在系统驱动器中安装Inetpub文件夹。最好将Inetpub文件夹移动到文件系统的另一个分区,以便Web内容与操作系统分开。
此文件夹可以在IIS安装完成后移动。IIS首席项目经理Thomas Deml提供了此批处理文件来帮助迁移。
IIS包含30多个模块–您仅应安装Web应用程序所需的模块。禁用不需要减少潜在攻击面的任何模块。定期检查已安装和启用的模块,并删除不再需要的模块。您可以使用IIS管理器列出所有已启用的模块。
该OPTIONS方法提供了由Web服务器所支持的方法的列表。尽管这似乎是有益的,但它也可以在侦察阶段为攻击者提供有用的信息。因此,我们建议您完全禁用OPTIONS方法。这可以通过在IIS中拒绝HTTP动词请求过滤规则中的OPTIONS动词来完成。
动态IP限制模块有助于阻止对超过指定请求数的IP地址的访问,从而有助于防止拒绝服务(DoS)攻击。此模块将检查发送到Web服务器的每个请求的IP地址,并过滤这些请求,以便临时拒绝遵循特定攻击模式的IP地址。
动态IP限制模块可以配置为在多个并发请求之后阻止IP地址,或者阻止在一段时间内执行多个请求的IP地址。根据您的IIS版本,您需要启用IP安全功能或IP和域限制。
设置或修改动态IP限制:
限制IIS处理的HTTP请求的类型也是一个好主意。设置排除规则和规则可以防止潜在的有害请求传递到服务器,因为IIS可以根据定义的请求筛选规则阻止这些请求。
例如,您可以设置一个规则以过滤SQL注入尝试的流量。虽然应从源头上修复SQL注入漏洞,但对SQL注入攻击进行过滤可作为初始缓解措施。可以从IIS管理器中“请求筛选”页上的“规则”选项卡中进行设置。
下面的屏幕快照中的规则集将指示IIS检查对.asp和.aspx页的请求中提供的字符串。如果找到这些字符串中的任何一个,IIS就会阻止该请求。
您还可以过滤包含高位字符或双转义字符等元素的请求。
你后配置IIS日志记录,您将能够登录从http服务器接收到请求的各种信息。这将派上用场,可以让您更好地了解发生问题时网站上可能发生的问题。在这种情况下,您可以在此开始故障排除过程。
还可以连续或定期监视服务器日志,以便查看服务器性能并在需要时提供优化。可以使用各种服务器监视工具将其自动化。确保保留日志的备份。Microsoft还提供了Log Parser,该工具可用于查询和检索IIS日志中的特定数据。此外,日志合并工具被证明对于以更有意义的方式合并和归档日志中的数据很有用。
可以从IIS管理器中启用和配置IIS日志记录:选择要配置的计算机名称或特定站点,然后单击Logging。由于这些日志文件可能会变得很大,因此最好定期启动一个新文件。
这两个Microsoft工具均可用于测试IIS安全性。在安全配置向导(SCW)运行不同的检查,并提供建议,并就如何提高你的服务器的安全建议。该安全合规管理器(SCM)服务器上的工具执行安全测试和服务器配置与预定义的模板,因为每个行业的最佳实践和安全指南建议。
最后,请确保您了解最新的更新和安全补丁。影响Web服务器的大多数黑客攻击都发生在未修补的服务器上。这仅说明了始终保持Microsoft Windows和IIS Web服务器最新状态的重要性。
Microsoft Internet信息服务被视为Microsoft的强大产品,但其默认安装和配置远非安全。在Windows服务器上安装IIS服务器后,应非常仔细地查看其配置。这不是IIS的唯一问题-安装后还必须加固nginx和Apache。
1.将Inetpub文件夹移动到其他驱动器
Inetpub文件夹是Web内容、IIS日志等的默认位置。默认情况下,IIS 7和更新版本会在系统驱动器中安装Inetpub文件夹。最好将Inetpub文件夹移动到文件系统的另一个分区,以便Web内容与操作系统分开。
此文件夹可以在IIS安装完成后移动。IIS首席项目经理Thomas Deml提供了此批处理文件来帮助迁移。
2.安装合适的IIS模块
IIS包含30多个模块–您仅应安装Web应用程序所需的模块。禁用不需要减少潜在攻击面的任何模块。定期检查已安装和启用的模块,并删除不再需要的模块。您可以使用IIS管理器列出所有已启用的模块。
3.禁用选项方法
该OPTIONS方法提供了由Web服务器所支持的方法的列表。尽管这似乎是有益的,但它也可以在侦察阶段为攻击者提供有用的信息。因此,我们建议您完全禁用OPTIONS方法。这可以通过在IIS中拒绝HTTP动词请求过滤规则中的OPTIONS动词来完成。
4.启用动态IP地址限制
动态IP限制模块有助于阻止对超过指定请求数的IP地址的访问,从而有助于防止拒绝服务(DoS)攻击。此模块将检查发送到Web服务器的每个请求的IP地址,并过滤这些请求,以便临时拒绝遵循特定攻击模式的IP地址。
动态IP限制模块可以配置为在多个并发请求之后阻止IP地址,或者阻止在一段时间内执行多个请求的IP地址。根据您的IIS版本,您需要启用IP安全功能或IP和域限制。
设置或修改动态IP限制:
5.启用和配置请求过滤规则
限制IIS处理的HTTP请求的类型也是一个好主意。设置排除规则和规则可以防止潜在的有害请求传递到服务器,因为IIS可以根据定义的请求筛选规则阻止这些请求。
例如,您可以设置一个规则以过滤SQL注入尝试的流量。虽然应从源头上修复SQL注入漏洞,但对SQL注入攻击进行过滤可作为初始缓解措施。可以从IIS管理器中“请求筛选”页上的“规则”选项卡中进行设置。
下面的屏幕快照中的规则集将指示IIS检查对.asp和.aspx页的请求中提供的字符串。如果找到这些字符串中的任何一个,IIS就会阻止该请求。
您还可以过滤包含高位字符或双转义字符等元素的请求。
6.启用日志记录
你后配置IIS日志记录,您将能够登录从http服务器接收到请求的各种信息。这将派上用场,可以让您更好地了解发生问题时网站上可能发生的问题。在这种情况下,您可以在此开始故障排除过程。
还可以连续或定期监视服务器日志,以便查看服务器性能并在需要时提供优化。可以使用各种服务器监视工具将其自动化。确保保留日志的备份。Microsoft还提供了Log Parser,该工具可用于查询和检索IIS日志中的特定数据。此外,日志合并工具被证明对于以更有意义的方式合并和归档日志中的数据很有用。
可以从IIS管理器中启用和配置IIS日志记录:选择要配置的计算机名称或特定站点,然后单击Logging。由于这些日志文件可能会变得很大,因此最好定期启动一个新文件。
7.使用安全配置向导(SCW)和安全合规性管理器(SCM)
这两个Microsoft工具均可用于测试IIS安全性。在安全配置向导(SCW)运行不同的检查,并提供建议,并就如何提高你的服务器的安全建议。该安全合规管理器(SCM)服务器上的工具执行安全测试和服务器配置与预定义的模板,因为每个行业的最佳实践和安全指南建议。
8.记住要安装IIS和Windows更新
最后,请确保您了解最新的更新和安全补丁。影响Web服务器的大多数黑客攻击都发生在未修补的服务器上。这仅说明了始终保持Microsoft Windows和IIS Web服务器最新状态的重要性。