Windows®Server的Internet信息服務(wù)(IIS)是一種靈活，安全且可管理的World Wide Web server，用于承載Web上的任何內(nèi)容。從媒體流到Web應(yīng)用程序，IIS的可擴(kuò)展和開(kāi)放式體系結(jié)構(gòu)隨時(shí)可以處理最苛刻的任務(wù)。

服務(wù)器IIS安全加固防御的方法：

1、刪除默認(rèn)站點(diǎn)：

IIS安裝完成之后會(huì)在建立一個(gè)默認(rèn)站點(diǎn)，一般建立網(wǎng)站時(shí)不需要這個(gè)站點(diǎn)，一方面該站點(diǎn)默認(rèn)占用80端口，一方面可能該站點(diǎn)安全性配置較低。

2、禁用不必要的Web服務(wù)拓展：

ISAPI(Internet服務(wù)器應(yīng)用程序編程接口)拓展或CGI(通用網(wǎng)關(guān)接口)拓展。

如果允許未知的ISAPI和CGI拓展在Web服務(wù)器上運(yùn)行，則服務(wù)器可能容易遭受利用這些技術(shù)的計(jì)算機(jī)病毒或蠕蟲(chóng)程序的攻擊。

Active Server Pages擴(kuò)展

支持asp頁(yè)面功能，假設(shè)網(wǎng)站是asp，此拓展不必開(kāi)啟。

ASP.Net V1.1 V2.0等

支持ASP.NET技術(shù)開(kāi)發(fā)的aspx動(dòng)態(tài)頁(yè)面，假設(shè)網(wǎng)站是asp，此拓展不必開(kāi)啟。

FrontPage Server Extensions 2002

支持管理,創(chuàng)建以及瀏覽FrontPage擴(kuò)展的網(wǎng)站，不需要此擴(kuò)展可以禁用。

WebDAV(Web Distributed Authoring and Versioning)

WebDAV擴(kuò)展了HTTP.1.1通信協(xié)議的功能，讓具備適當(dāng)權(quán)限的用戶(hù)，可以直接通過(guò)瀏覽器、網(wǎng)上鄰居來(lái)管理服務(wù)器上的webDAV文件夾內(nèi)的文件。如無(wú)必要，應(yīng)當(dāng)禁止WebDAV。

3、IIS訪問(wèn)權(quán)限配置

為每個(gè)網(wǎng)站配置不同的匿名訪問(wèn)賬戶(hù)，這樣能有效的把網(wǎng)站的權(quán)限分隔開(kāi)。

新建一個(gè)匿名用戶(hù)：

用戶(hù)(右鍵)->添加新用戶(hù)

站點(diǎn)(右鍵)->目錄安全性->身份驗(yàn)證和訪問(wèn)控制

4 、網(wǎng)站目錄權(quán)限配置

目錄有寫(xiě)入權(quán)限，一定不要分配執(zhí)行權(quán)限，當(dāng)目錄有了寫(xiě)入權(quán)限之后，如果還擁有執(zhí)行權(quán)限的話，黑客上傳木馬后還能執(zhí)行就會(huì)讓服務(wù)器成為肉雞。目錄有執(zhí)行權(quán)限，一定不要分配寫(xiě)入權(quán)限，分配執(zhí)行權(quán)限的同時(shí)，要保證沒(méi)有寫(xiě)入權(quán)限，原理和上述相同，網(wǎng)站上傳目錄和數(shù)據(jù)庫(kù)目錄一般需要分配“寫(xiě)入”權(quán)限，但一定不要分配執(zhí)行權(quán)限，因?yàn)榫W(wǎng)站需要通過(guò)后臺(tái)來(lái)管理數(shù)據(jù)，包括上傳圖片和文件，因此需要給數(shù)據(jù)庫(kù)和上傳目錄寫(xiě)入權(quán)限。其他目錄沒(méi)有特別的權(quán)限一般只分配“讀取”和“記錄訪問(wèn)”權(quán)限。

站點(diǎn)(右鍵)->添加->Anonymous1的權(quán)限(只允許列出文件夾目錄和讀取權(quán)限)

網(wǎng)站上傳點(diǎn)的權(quán)限

5 、刪除不必要的應(yīng)用程序擴(kuò)展

IIS默認(rèn)支持.asp、.cdx等8種擴(kuò)展名的映射，除了.asp之外其他的擴(kuò)展幾乎用不到。這些拓展加重了服務(wù)器的負(fù)擔(dān)，而且我們知道，沒(méi)有限制.asa或者.cer等拓展名，攻擊者可以更改文件后綴突破上傳限制從而得到webshell。

站點(diǎn)(右鍵)->設(shè)置如下

配置->刪除.asa和.cer等拓展

只允許管理員控制日志文件

6 、修改IIS日志文件配置

默認(rèn)的日志不會(huì)為我們搜索黑客記錄提供很大的幫助，所以我們必須擴(kuò)展W3C日志記錄格式。

站點(diǎn)(右鍵)->網(wǎng)站->屬性

7 、防止信息泄露

單引號(hào)或者其他特殊字符會(huì)使asp頁(yè)面產(chǎn)生報(bào)錯(cuò)信息，攻擊者將會(huì)獲得網(wǎng)站目錄等敏感信息，因此需要取消asp報(bào)錯(cuò)。

配置->調(diào)試

8 、自定義IIS Banner信息

面對(duì)攻擊者的端口掃描，我們能做的就是修改banner信息來(lái)迷惑攻擊者。

輸入services.msc進(jìn)入服務(wù)控制臺(tái)->關(guān)閉IIS服務(wù)同時(shí)找到w3core.dll文件