您的位置:首页 > 其它

windows server 系统安全加固(IIS相关配置)

2019-05-31 21:28 302 查看

**

Web服务器的NTFS权限设置

**
WIN2000硬盘内的文件与文件夹,如果是NTFS磁盘分区,则可以通过所谓的NTFS权限来指派用户或组对这些文件或文件夹的使用权限。只ADMINISTRATORS组内的成员,才能有效地设置NTFS权限。
在外部的存储设备上(硬盘)管理组织存储文件的一种方法-----存储设备(U盘 硬盘 移动硬盘)没有文件系统是无法存储数据的,相当于电脑没有操作系统无法操作。
常见的文件系统 :

NTFS  新型文件传输系统(有安全性)
FAT  简单文件存储(FAT 16 、FAT32,无安全性)
EXT    (EXT3 ,EXT4  Linux系统下)

在这里我们要注意下:
就是我们在下一级设置的目录权限的执行效果要大于上一级的权限效果。也就是说假如我对某一个文件夹设置的权限是拒绝写入,但是我对文件夹下面的某一个页面设置了允许写入,那么我此页面的权限是允许写入。
如果我们修改不了权限我们需要勾选以下按钮:

**

IIS目录浏览权限设置

**


如果我们将目录浏览打上对勾,那么我们访问的时候就能够查看到目录,这就是目录浏览漏洞,我们直接可以看到目录下的文件如图(我们可以用谷歌查找目录浏览漏洞(搜索转到父目录)):
如果不打上对勾,那么我们就不能浏览到目录:

“主目录”属性中的权限设置

脚本资源访问,具有该权限,客户端就可以浏览网页代码,一般不启用。
读取,基本权限,具有该权限,客户端才可以浏览网页。
写入,具有该权限,客户端就可以上传或修改网页,一般不启用。
在IIS中设置执行权限
设置执行权限
执行权限,主要用于设置能否执行目录中的asp脚本文件
“无”权限
目录没有任何执行权限,客户端无法在目录中执行脚本文件,只能浏览静态网页或图片。
对于上传目录,建议将其执行权限设为“无”,这样黑客即使上传了ASP等脚本程序或者exe 程序,也不会执行。(出现文件上传漏洞,我们需要上传php、asp等脚本文件,即使我们上传文件,但是当前目录没有执行权限,webshell也执行不了)

“纯脚本”权限,客户端可以在目录中执行脚本文件,对于ASP脚本文件所在目录应给予“纯脚本”的执行权限。
纯脚本和可执行程序,客户端可以执行任意程序,一般很少设置。
禁止发送错误信息
通过自定义错误信息,可以防止攻击者得到服务器的敏感信息。
主目录/配置/调试/向客户端发送下列文本错误消息。
如果我们不想让服务器显示详细的信息,而让服务器显示我们自定义的信息,我们该如何处理?

其它安全设置
不建议使用默认的Web站点,如果使用也要将IIS主目录与系统磁盘分开。
将IIS默认创建的Inetpub目录删除。
网站备份与日志管理
开始\程序\附件\备份,打开备份还原向导。
备份完成后,会生成一个扩展名为bkf的文件。
如果要还原,同样打开备份还原向导。
日志管理

日志文件统一存放在“C:\WINDOWS\system32\LogFiles”文件夹中,每个网站在该文件夹之下有一个独立的子文件夹,日志文件统一按照exyymmdd.log的格式命名。。
在日志属性的“高级”选项卡中可以设置日志文件中要记录的内容。
日志格式默认为“W3C扩展日志文件格式”,可以根据需要修改成其他格式。

内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: