1 刪除iis預設站點
把iis預設安裝的站點刪除或禁用掉。
2 禁用不必要的web服務擴充套件
開啟iis 管理器,檢查是否有不必要的「web服務擴充套件」,如果有則禁用掉。如下圖所示:
3 iis訪問許可權配置
如果iis中有多個**,建議為每個**配置不同的匿名訪問賬戶。
方法:a. 新建乙個賬號,加入guests組
b. 「**屬性」--->「目錄安全性」--->「身份驗證和訪問控制」,把「啟用匿名訪問」處,用剛新建的賬戶代替預設賬戶,下圖所示。
4 **目錄許可權配置
原則(如圖10):
目錄有寫入許可權,一定不要分配執行許可權
目錄有執行許可權,一定不要分配寫入許可權
**上傳目錄和資料庫目錄一般需要分配「寫入」許可權,但一定不要分配執行許可權
其他目錄一般只分配「讀取」和「記錄訪問」許可權即可
5 只保留必要的應用程式擴充套件
根據**的實際情況,只保留必要的應用程式擴充套件,其他的一律刪除,尤其是像cer、asa這樣極其危險的擴充套件,而且一般**也不需要它,如圖11。
6 修改iis日誌檔案配置
無論是什麼伺服器,日誌都是應該高度重視的部分。當發生安全事件時,我們可以通過分析日誌來還原攻擊過程,否則將無從查起。有條件的話,可以將日誌傳送到專門的日誌伺服器儲存。
先檢查是否啟用了日誌記錄,如未啟用,則啟用它。日誌格式設定為w3c擴充套件日誌格式,iis中預設是啟用日誌記錄的。
接著修改iis日誌檔案儲存路徑,預設儲存在「c:\windows\system32\logfiles」目錄下,這裡修改為自定義路徑。建議儲存在非系統盤路徑,並且iis日誌檔案所在目錄只允許administrators組使用者和system使用者訪問,如圖12。
7 防止資訊洩露
a. 禁止向客戶端傳送詳細的asp錯誤資訊
「iis管理器」--->「屬性」--->「主目錄」--->「配置」--->「除錯」,選擇「向客戶端傳送下列文字錯誤訊息」項,自定義出錯時返回的錯誤資訊,如圖13。
b. 修改預設錯誤頁面
「iis管理器」--->「屬性」--->「自定義錯誤」,用自定義的錯誤頁面替換預設的預設頁面。下面是我自定義的乙個404錯誤頁面,當**發生404錯誤時,將向客戶端返回這個頁面,如圖14。
8 自定義iis banner資訊
預設banner資訊會洩露伺服器型別、版本等相關資訊,我們需要對其進行修改,這樣可以防止資訊洩露,還可以騙過一些自動化掃瞄、攻擊工具。
a. 修改預設http頭資訊
在修改之前,我們先來看下預設的http頭資訊是什麼樣的。我們向iis伺服器發乙個請求,然後用抓包工具分析它返回的資料,就可以發現http頭資訊,如圖15所示:
IIS與SQL伺服器安全加固詳解
iis web伺服器安全加固步驟 步驟 安裝和配置 windows server 2003。注意 1.將 system32 cmd.exe轉移到其他目錄或更名 2.系統帳號盡量少,更改預設帳戶名 如administrator 和描述,密碼盡量複雜 3.拒絕通過網路訪問該計算機 匿名登入 內建管理員帳...
資訊保安 安全加固
為了防止黑客獲取伺服器中 php 版本資訊,如x powered by php 5.3.7,最好關閉顯示 php 版本資訊,在配置檔案中追加以下資訊 expose php off預設情況下,php錯誤資訊會將程式出錯的原因顯示到瀏覽器上,容易造成敏感資訊洩露。關閉錯誤顯示 display error...
Tomcat安全加固
1.公升級到最新穩定版,這個是老生常談了。目前tomcat支援6.0和7.0兩個版本。1 出於穩定性考慮,不建議進行跨版本公升級,如果之前是6.0系列版本,最好還是使用該系列的最新版本。2.從監聽埠上加固 1 如果tomcat不需要對外提供服務,則監聽在本地回環,前面放nginx。如果需要對外提供訪...