IIS 服务器的安全设置
1、IIS 服务器介绍
微软的Internet信息服务(IIS)提供了可用于Intranet和Internet或Extranet上的集成Web服务器能力,这种服务器具有可靠性、可扩展性、安全性等特点。任何规模的组织都可以使用IIS管理Intranet或Internet上的网页及文件传输(FTP)站点,IIS7.0是Windows Server 2008 R2的Web服务器角色。用户通过浏览,可以搜索自己所需的资料、图片和视频,所有这些都是基于WWW服务实现的,WWW服务也称为Web服务。WWW(World Wide Web)服务也叫万维网服务,是指在网上发布并可以通过浏览器观看的图形化页面服务。万维网服务是通过建立Web站点来实现的,目前应用较多的软件主要有IIS和Apache。
2、身份验证和访问控制
IIS 的身份验证概述:
Web站点建成后,就可以对用户提供信息浏览服务,通常是允许匿名访问的;但有些特殊网站或虚拟目录出于安全性考虑,要求用户提供用户账户和密码后才能访问,或者限定某些IP地址访问。
IIS 身份验证有如下四种:
- 匿名身份验证:
系统默认只启用匿名身份验证,另外三个需要通过添加角色服务的方法进行添加。启用匿名身份验证后用户无须输入用户名和密码,当用户试图连接到网站时,Web服务器将连接分配给账户IUSR,用户实际上是使用IUSR这个账户访问站点的
- Windows身份验证:
Windows身份验证也会要求输入用户名与密码,而且用户名与密码在通过网络发送之前会经过哈希处理,因此可以确保安全性。Windows使用NTLM或Kerberos协议对客户端进行身份验证,由于Kerberos会被防火墙阻挡且代理服务器不支持NTLM,所以Windows身份验证适用于连接内部网络(Intranet)的网站。
- 基本身份验证:
基本身份验证要求用户提供有效的用户名和密码才能访问,它是工业标准验证方法;但是用户发送给网站的用户名和密码并没有被加密,所以容易被恶意拦截并得知这些数据。若要使用基本身份验证,应该搭配其他可以确保发送数据安全性的措施
- 摘要式身份验证:
摘要式身份验证也要求输入用户名和密码,它比基本身份验证更安全。在使用摘要式身份验证时,密码不是以明文形式发送的。与Windows身份验证相比,摘要式身份验证可以通过代理服务器使用。
实际操作:
3、设置单独应用程序
给网站设置独立运行的程序池,这样每个网站与错误就不会互相影响。要新建应用程序池,在IIS 管理控制台中右击应用程序池文件夹,指向新建,选择应用程序池。然后在对话框中输入名字点击确认即可。然后就可以把web站点分配到应用程序池了。
4、限制目录执行权限
5、开启日志审计
6、IIS 服务器常见漏洞
- 文件解析漏洞
1、目录解析漏洞
2、 文件名解析漏洞
3、 畸形解析漏洞 - IIS 短文件漏洞
- PUT 任意文件写入
- HTTP.SYS远程代码执行
- RCE-CVE-2017-7269
IIS 服务器常见漏洞攻防
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/178361.html原文链接:https://javaforall.net
