返回
iis安全 检查清单

iis安全 检查清单

ID:6056049

大小:38.50 KB

页数:6页

时间:2018-01-01

iis安全 检查清单_第1页
iis安全 检查清单_第2页
iis安全 检查清单_第3页
iis安全 检查清单_第4页
iis安全 检查清单_第5页
资源描述:

《iis安全 检查清单》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、iis安全检查清单原文:http://windows.stanford.edu/docs/IISsecchecklist.htm译文:http://www.iisutm.com下面是安全要点的简要清单,在检查这些安全要点之前需要确保IIS服务器在线。在违反下面安全要点的情况下,管理员可能需要了解安全文档中对已知的安全问题应该发生的安全危害的介绍。一般性假设1.域控制器上没有IIS。2.仅安装需要的服务(FTP,WWW,SMTP,NNTP)发送邮件不需要SMTP服务;可以使用CDOSYS.DLL(一个Win

2、dows提供的COM组件)或者使用第三方的Web应用程序例如:blat.exe来发送邮件。3.从不使用跨服务器的虚拟目录。4.底层的Windows操作系统是可以靠的。5.仅系统管理员是本地管理员。设计指南1.网站绝不应该在系统驱动器上。2.如果传播的信息是敏感的需要安装SSL,如果SSL已经启用则请求SSL(通过访问端口80的删除能力)。3.所有的FTP站点和需要的万维网站点需要启用对“stanford-only”的站点进行IP筛选。IPSec筛选器可用于实现这一目标。4.虚拟目录应尽少使用,除非您需要跨

3、驱动器否则不需要使用虚拟目录。如果需要跨驱动器,需要基于安全隐患重新考虑。5.移除NTFS驱动器下所有可移除的写入权限。6.不要让其他人很容易地找到脚本和代码。黑客通过这些代码寻找漏洞,他们可以使用这些漏洞来控制服务器.下面是一些好的防范方法:不要为您的Scripts目录使用明显的名称,考虑重命名您的脚本的扩展名为不寻常的字符。例如,将myscript.asp重命名为myscript.dum。这将需要在ISAPI扩展名映射(MIME)增加一个映射.dum到特定的代码处理器(在这种情况下是改变到“asp.d

4、ll”代码处理器)。这样会使您的脚本难以找到。顺便说一下一种特殊情况,重命名所有的.asp为.html不需要修改ISAPI扩展名映射。考虑编译所有的到DLL文件中。这不仅保护了源代码,也大大提高了性能。编译过的代码运行比原来的脚本将近快20倍。Web应用程序(即脚本和可执行文件)只需要有限的权限就能正常运行。提供更多的权限将会被黑客利用来下载文件和分析您的代码的漏洞,以及允许黑客下载你的代码。所需的最低权限是:NTFS:读取,IIS:执行,IIS:不需要读取。7.小心使用IIS服务器上的添加/删除控制面板

5、。如果您打开Windows组件,Windows会无意中重置所有ISAPI筛选器和扩展为默认值并可以重置其它事情。这是Microsoft的其中一个你需要小心的有问题的设计。安装和配置1.删除所有默认虚拟目录(带有世界顶部的文件夹的图标)和应用程序根(带有绿球在框中的图标)删除iisadmin删除iissamples删除msadc删除iishelp删除scripts删除printers2.删除所有默认内容删除%systemdirectory%inetsrviisadmin删除%systemdirector

6、y%inetsrviisadmpwd删除inetpubwwwroot(orftprootorsmtproot)删除inetpubscripts删除inetpubiissamples删除inetpubadminscripts删除%systemroot%helpiishelpiis删除%systemroot%webprinters删除%systemdrive%programfilescommonfilessystemmsadc.只有使用MicrosoftAccess数据库的网

7、站需要msadc。3.配置默认网站为极为安全设置(例如,需要SSL,仅集成Windows验证,只可从一个IP访问,NTFS权限主目录不能为空等),然后停止该网站。这样的结果是破坏默认网站,80%黑客会盲目地攻击,而不是您的真实网站。4.配置所有与主机头的DNS名称相匹配的网站。打开ISM,网站选项卡,点击高级按钮,选择对话框“全部未分配”(或特定的IP)然后点击编辑按钮,并指定了主机头在适当的栏位。对HTTP和HTTPS进行同样的操作。不配置默认网站的主机头。这将把90%的自动化黑客工具的工作转到瘫痪掉的

8、默认网站上。5.主目录的IIS权限:启用“读取”和“记录访问”。禁用"写入","索引资源","目录浏览",“脚本资源访问”(仅WebDAV使用此权限)以及FrontpageWeb权限。执行权限选择“无”。对目录包含脚本文件的目录启用执行权限。6.禁用所有不必要的ISAPI筛选器,执行此操作打开ISM,ISAPI筛选器选项卡。删除FrontpageISAPI筛选器(或较早的IIS服务器上的扩展)在不需要这些情况下。如果需要Fro

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。