這篇文章主要介紹了IIS7.5 安全配置研究(推薦),需要的朋友可以參考下
操作系統(tǒng):Windows Server 2008 R2 Enterprise Service Pack 1 x64 IIS版本:IIS7.5 程序:asp.net
IIS7.5的安裝
2014030611270847744.jpg
http 常見功能:開啟靜態(tài)內容,默認文檔,HTTP錯誤讯柔;目錄瀏覽猩谊,WebDAV發(fā)布如無特殊要求献酗,不要開啟话速;HTTP重定向可根據(jù)需要開啟雄可。
應用程序開發(fā):這個可根據(jù)實際情況開啟扶镀,如為asp.net的開啟ASP.NET蕴侣,.NET擴展性,ISAPI擴展臭觉,ISAPI篩選昆雀;在服務器端的包含文件根據(jù)需要開啟。如果服務器安裝sql server 2008?好像需要選擇安裝asp.net蝠筑、net擴展性
健康和診斷:建議開啟HTTP日志記錄狞膘,日志記錄工具,請求監(jiān)視什乙;其他可根據(jù)需要開啟客冈。
安全性:建議開啟URL授權,請求篩選稳强,IP和域限制场仲;其他根據(jù)需要開啟。
性能退疫,管理工具渠缕,ftp服務器,IIS可承載的Web核心可根據(jù)開啟褒繁。
IIS7站長之家小編注:如果需要按照服務器安全狗需要安裝 IIS 6 管理兼容性
IIS7.5權限配置介紹
IIS7.5涉及兩個賬戶亦鳞,一個為匿名賬戶,一個為應用程序池賬戶棒坏。在磁盤的NTFS權限設置中燕差,匿名賬戶只需要擁有對網站目錄的讀取權限即可;而應用程序池賬戶需要根據(jù)程序實際情況給予相應權限坝冕,比如:需要去寫文件徒探,則要給予寫權限,需要去調用一個程序(如cmd.exe)則需要給予執(zhí)行權限喂窟〔獍担總之央串,對文件的訪問,首先需要有匿名賬戶的訪問權限碗啄,然后再根據(jù)程序的操作需要什么樣的權限給予應用程序池賬戶相應的權限质和。
研究發(fā)現(xiàn)的幾個基本問題:
上傳目錄的寫入權限由應用程序池賬戶決定;
應用程序池默認對于的賬戶為IIS APPPOOL{app pool name}稚字,且屬于IIS_IUSRS組饲宿;
默認的匿名賬戶為IUSR賬戶,且屬于authenticated users 組胆描;
任何用戶都屬于USERS組瘫想,且手工刪除后仍然屬于USERS組;
上傳木馬之后袄友,能夠看到的目錄是由應用程序池賬戶決定的殿托;
在此測試環(huán)境下,USERS組默認擁有網站目錄的寫入權限剧蚣;
一個aspx文件的運行跟NTFS的運行權限無關支竹;
對于網站的匿名賬戶只需要對網站目錄有讀取權限;
應用程序池賬戶運行aspx也只需要讀取權限鸠按,但是如果要寫文件需則寫權限礼搁,要執(zhí)行其他程序則需要執(zhí)行權限;
常見服務器被入侵威脅及解決措施
常見服務器入侵威脅:
webdav直接上傳webshell
通過程序文件上傳漏洞上傳webshell
webshell的權限過高導致被提權
解決常見問題措施:
解決webdav問題
在安裝的時候直接不安裝webdav組件
2.防止上傳的木馬文件執(zhí)行
可以在IIS中設置需要上傳文件的目錄目尖,處理程序映射中的編輯功能權限中的腳本去掉嬰兒起名http://www.bbqmw.net/qm_yeqm馒吴,這樣即使上傳了木馬文件在此目錄,也是無法執(zhí)行的瑟曲。
上傳目錄取消應用程序池賬戶的執(zhí)行權限
防止木馬執(zhí)行后看到網站目錄之外的文件
可以設置進程池賬戶對其他文件夾無讀取權限饮戳。
防止木馬執(zhí)行后可執(zhí)行cmd
取消進程池賬戶的NTFS執(zhí)行權限。
防止木馬執(zhí)行后運行cmd權限過高
