安装 IIS 时应该如何注意些什么来提高安全性?


发现错别字 2个月前 提问
回答
1
浏览
45
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
回答数量: 1
信息安全保障人员-安全集成(专业级) CISP-IRE CISP-ICSSE CISP_PIP

Microsoft Internet信息服务被视为Microsoft的强大产品,但其默认安装和配置远非安全。在Windows服务器上安装IIS服务器后,应非常仔细地查看其配置。这不是IIS的唯一问题-安装后还必须加固nginx和Apache。

1.将Inetpub文件夹移动到其他驱动器

Inetpub文件夹是Web内容、IIS日志等的默认位置。默认情况下,IIS 7和更新版本会在系统驱动器中安装Inetpub文件夹。最好将Inetpub文件夹移动到文件系统的另一个分区,以便Web内容与操作系统分开。

此文件夹可以在IIS安装完成后移动。IIS首席项目经理Thomas Deml提供了此批处理文件来帮助迁移。

2.安装合适的IIS模块

IIS包含30多个模块–您仅应安装Web应用程序所需的模块。禁用不需要减少潜在攻击面的任何模块。定期检查已安装和启用的模块,并删除不再需要的模块。您可以使用IIS管理器列出所有已启用的模块。

  1. 打开IIS管理器
  2. 选择计算机的名称以查看整个计算机的模块,或更改为特定的网站以查看为所选站点启用的模块
  3. 双击模块
  4. 要禁用模块,请从列表中单击该模块,然后从“操作”窗格中选择“删除”
  5. 按Yes确认删除

从IIS管理器中查看所有启用的模块

3.禁用选项方法

该OPTIONS方法提供了由Web服务器所支持的方法的列表。尽管这似乎是有益的,但它也可以在侦察阶段为攻击者提供有用的信息。因此,我们建议您完全禁用OPTIONS方法。这可以通过在IIS中拒绝HTTP动词请求过滤规则中的OPTIONS动词来完成。

  1. 打开IIS管理器
  2. 选择机器名称以进行全局配置(或更改为您需要配置此名称的特定网站)
  3. 双击请求过滤
  4. 更改为HTTP Verbs选项卡
  5. 在“Actions”窗格中,选择“Deny Verb”
  6. 在 Verb字段中插入 OPTIONS ,然后单击OK以保存更改

4.启用动态IP地址限制

动态IP限制模块有助于阻止对超过指定请求数的IP地址的访问,从而有助于防止拒绝服务(DoS)攻击。此模块将检查发送到Web服务器的每个请求的IP地址,并过滤这些请求,以便临时拒绝遵循特定攻击模式的IP地址。

动态IP限制模块可以配置为在多个并发请求之后阻止IP地址,或者阻止在一段时间内执行多个请求的IP地址。根据您的IIS版本,您需要启用IP安全功能或IP和域限制。

启用“ IP安全性”功能以允许IIS中的动态IP限制

设置或修改动态IP限制:

  1. 打开IIS管理器
  2. 选择机器名称以进行全局配置(或更改为您需要配置此名称的特定网站)
  3. 双击IP地址和域限制
  4. 在“操作”窗格中,选择“编辑动态限制设置”
  5. 根据需要修改和设置动态IP限制设置,然后单击“确定”以保存更改

IIS图4

5.启用和配置请求过滤规则

限制IIS处理的HTTP请求的类型也是一个好主意。设置排除规则和规则可以防止潜在的有害请求传递到服务器,因为IIS可以根据定义的请求筛选规则阻止这些请求。

例如,您可以设置一个规则以过滤SQL注入尝试的流量。虽然应从源头上修复SQL注入漏洞,但对SQL注入攻击进行过滤可作为初始缓解措施。可以从IIS管理器中“请求筛选”页上的“规则”选项卡中进行设置。

  1. 打开IIS管理器
  2. 选择机器名称以进行全局配置(或更改为您需要配置此名称的特定网站)
  3. 双击请求过滤
  4. 转到规则选项卡
  5. 在“操作”窗格中,选择“添加过滤规则”
  6. 设置所需的规则,然后单击“确定”以保存更改

下面的屏幕快照中的规则集将指示IIS检查对.asp.aspx页的请求中提供的字符串。如果找到这些字符串中的任何一个,IIS就会阻止该请求。

请求检查SQL注入攻击的过滤规则

您还可以过滤包含高位字符或双转义字符等元素的请求。

6.启用日志记录

你后配置IIS日志记录,您将能够登录从http服务器接收到请求的各种信息。这将派上用场,可以让您更好地了解发生问题时网站上可能发生的问题。在这种情况下,您可以在此开始故障排除过程。

还可以连续或定期监视服务器日志,以便查看服务器性能并在需要时提供优化。可以使用各种服务器监视工具将其自动化。确保保留日志的备份。Microsoft还提供了Log Parser,该工具可用于查询和检索IIS日志中的特定数据。此外,日志合并工具被证明对于以更有意义的方式合并和归档日志中的数据很有用。

可以从IIS管理器中启用和配置IIS日志记录:选择要配置的计算机名称或特定站点,然后单击Logging。由于这些日志文件可能会变得很大,因此最好定期启动一个新文件。

IIS中的日志记录选项

7.使用安全配置向导(SCW)和安全合规性管理器(SCM)

这两个Microsoft工具均可用于测试IIS安全性。在安全配置向导(SCW)运行不同的检查,并提供建议,并就如何提高你的服务器的安全建议。该安全合规管理器(SCM)服务器上的工具执行安全测试和服务器配置与预定义的模板,因为每个行业的最佳实践和安全指南建议。

Microsoft安全合规性管理器(SCM)工具

8.记住要安装IIS和Windows更新

最后,请确保您了解最新的更新和安全补丁。影响Web服务器的大多数黑客攻击都发生在未修补的服务器上。这仅说明了始终保持Microsoft Windows和IIS Web服务器最新状态的重要性。

2个月前 / 评论