IIS7.5 安全配置研究(推荐)
这篇文章主要介绍了IIS7.5 安全配置研究(推荐),需要的朋友可以参考下
操作系统:Windows Server 2008 R2 Enterprise Service Pack 1 x64 IIS版本:IIS7.5 程序:asp.net
IIS7.5的安装
2014030611270847744.jpg
http 常见功能:开启静态内容,默认文档,HTTP错误;目录浏览,WebDAV发布如无特殊要求,不要开启;HTTP重定向可根据需要开启。
应用程序开发:这个可根据实际情况开启,如为asp.net的开启ASP.NET,.NET扩展性,ISAPI扩展,ISAPI筛选;在服务器端的包含文件根据需要开启。如果服务器安装sql server 2008 好像需要选择安装asp.net、net扩展性
健康和诊断:建议开启HTTP日志记录,日志记录工具,请求监视;其他可根据需要开启。
安全性:建议开启URL授权,请求筛选,IP和域限制;其他根据需要开启。
性能,管理工具,ftp服务器,IIS可承载的Web核心可根据开启。
IIS7站长之家小编注:如果需要按照服务器安全狗需要安装 IIS 6 管理兼容性
IIS7.5权限配置介绍
IIS7.5涉及两个账户,一个为匿名账户,一个为应用程序池账户。在磁盘的NTFS权限设置中,匿名账户只需要拥有对网站目录的读取权限即可;而应用程序池账户需要根据程序实际情况给予相应权限,比如:需要去写文件,则要给予写权限,需要去调用一个程序(如cmd.exe)则需要给予执行权限。总之,对文件的访问,首先需要有匿名账户的访问权限,然后再根据程序的操作需要什么样的权限给予应用程序池账户相应的权限。
研究发现的几个基本问题:
- 上传目录的写入权限由应用程序池账户决定;
- 应用程序池默认对于的账户为IIS APPPOOL{app pool name},且属于IIS_IUSRS组;
- 默认的匿名账户为IUSR账户,且属于authenticated users 组;
- 任何用户都属于USERS组,且手工删除后仍然属于USERS组;
- 上传木马之后,能够看到的目录是由应用程序池账户决定的;
- 在此测试环境下,USERS组默认拥有网站目录的写入权限;
- 一个aspx文件的运行跟NTFS的运行权限无关;
- 对于网站的匿名账户只需要对网站目录有读取权限;
- 应用程序池账户运行aspx也只需要读取权限,但是如果要写文件需则写权限,要执行其他程序则需要执行权限;
常见服务器被入侵威胁及解决措施
常见服务器入侵威胁:
- webdav直接上传webshell
- 通过程序文件上传漏洞上传webshell
- webshell的权限过高导致被提权
解决常见问题措施:
- 解决webdav问题
在安装的时候直接不安装webdav组件
2.防止上传的木马文件执行
可以在IIS中设置需要上传文件的目录,处理程序映射中的编辑功能权限中的脚本去掉,这样即使上传了木马文件在此目录,也是无法执行的。
上传目录取消应用程序池账户的执行权限如何起名
- 防止木马执行后看到网站目录之外的文件
可以设置进程池账户对其他文件夹无读取权限。
- 防止木马执行后可执行cmd
取消进程池账户的NTFS执行权限。
- 防止木马执行后运行cmd权限过高
IIS7.5 安全配置研究(推荐)相关推荐
- IIS7.5安全配置研究
http://drops.wooyun.org/papers/1019
- iis7 php5 isapi配置,Windows7 IIS7下以FastCgi和ISAPI方法安装配置PHP5教程
说到PHP环境配置与安装,通常以Apache搭载PHP配置为主,随着PHP版本不断更新,对Windows IIS平台的支持也越来越好,在Windows IIS平台上配置安装PHP环境也越来越方便. 在 ...
- ISAPI在IIS7上的配置
主要介绍ISAPI的作用.ISAPI在IIS7上的配置.开发ISAPI的基本内容及使用VS 2008配置ISAPI DLL开发项目. 一.ISAPI介绍 缩写词=Internet Server App ...
- Nginx安全配置研究
Nginx安全配置研究 zhangsan · 2014/03/28 10:39 0x00 测试环境 操作系统:CentOS6.5 Web服务器:Nginx1.4.6 Php版本:Php5.4.26 0 ...
- 安装python应该先安装pycharm还是python_Pycharm及python安装详细步骤及PyCharm配置整理(推荐)...
首先我们来安装python 1.首先进入网站下载:点击打开链接(或自己输入网址: https://www.python.org/downloads/),进入之后如下图,选择图中红色圈中区域进行下载. ...
- iis7.5配置php环境,iis7.5安装配置php环境 - iis
前言 iis7.5是安装在win7.win8里的web服务器,win2003.win2000的web服务器使用的是iis6.0,由于win7.win8系统相比win2003.win2000有了改新革面 ...
- 文明游戏5的计算机配置,文明6配置要求高吗 文明6最低电脑配置与推荐电脑配置...
<文明6>是一款即将发布的战略游戏作品,预计将于10月上市,目前该游戏官方公布了<文明6>最低电脑配置与推荐电脑配置,如果想要画面流畅玩这款游戏的话,那么您的电脑硬件必须要满足 ...
- 家用计算机硬件升级方案,旧电脑如何升级?旧电脑配置升级推荐方案
不少用户对陪伴已久的电脑有了感情,不想去购买新的电脑.而是想为旧电脑升级配置继续使用.旧电脑升级配置并不简单,需要考虑到硬件性能和兼容性.那么下面就让小编为大家带来旧电脑配置升级推荐方案. 1.旧电脑 ...
- 计算机主机配置最好的,台式电脑最高配置倾心推荐
人们喜欢台式电脑的原因有很多,比如说台式电脑的屏幕大,使用方便,价格低廉.当然,也有一些高配置的台式电脑价格会"更上一步",但是相对于同等配置的笔记本而言,台式电脑的价格还是相对较 ...
最新文章
- redisson get()数据报错,missing type id property ‘@class’
- Prism V2之旅(1)
- java多线程之wait和notify
- centos 7 网络配置( 网关、dns、ip地址配置)
- 在建工程的管理是怎样在总帐中实现
- Kali Linux虚拟机安装完整安装过程及简单配置(视频)
- HDU - 3126 Nova(最大流+二分+简单几何)
- SAP 物料清单 BOM
- python文件读取写入实践_python文件写入实例分析
- centOS 6 和centOS 7 防火墙指令
- 关于Zookeeper来实现分布式锁的几个问题
- 如何设计一个实用的线程池?
- PyQt5多线程刷新界面防假死
- js 实现2的n次方计算函数_x的10的n次方解决js浮点数计算
- 基于ssm+java+sql企业名录综合统计系统
- 最常用的父子组件传值方式prop详解
- Having dreams is what makes life tolerable.
- 手机恢复出厂设置难防泄密:微信聊天记录可恢复
- 图像处理与计算机视觉-论文阅读笔记
- JAVAswing编写界面
热门文章
- 安装php时,configure: error: xml2-config not found. Please check your libxml2 installation
- 基于Mono跨平台移动应用开发框架发布Xamarin 3.0
- 监听程序配制及数据备份
- Linux后台进程管理以及ctrl+z(挂起)、ctrl+c(中断)、ctrl+\(退出)和ctrl+d(EOF)的区别
- linux星期六字符,linux shell系列10 判断某个月中的星期六和星期天
- mysql master-slave_mysql 同步 master-slave
- 为什么重复值高的字段不能建索引(比如性别字段等)
- mysql一张表两个索引字段是建两颗独立索引树吗?
- 010_数字内建函数
- 微博面试Java,微博java开发工程师面试题整理