這篇文章主要介紹了IIS7.5 安全配置研究(推薦),需要的朋友可以參考下
操作系統(tǒng)：Windows Server 2008 R2 Enterprise Service Pack 1 x64 IIS版本：IIS7.5 程序：asp.net

IIS7.5的安裝

2014030611270847744.jpg

http 常見(jiàn)功能：開(kāi)啟靜態(tài)內(nèi)容，默認(rèn)文檔，HTTP錯(cuò)誤；目錄瀏覽，WebDAV發(fā)布如無(wú)特殊要求，不要開(kāi)啟；HTTP重定向可根據(jù)需要開(kāi)啟。

應(yīng)用程序開(kāi)發(fā)：這個(gè)可根據(jù)實(shí)際情況開(kāi)啟，如為asp.net的開(kāi)啟ASP.NET，.NET擴(kuò)展性，ISAPI擴(kuò)展，ISAPI篩選；在服務(wù)器端的包含文件根據(jù)需要開(kāi)啟。如果服務(wù)器安裝sql server 2008 好像需要選擇安裝asp.net、net擴(kuò)展性

健康和診斷：建議開(kāi)啟HTTP日志記錄，日志記錄工具，請(qǐng)求監(jiān)視；其他可根據(jù)需要開(kāi)啟。

安全性：建議開(kāi)啟URL授權(quán)，請(qǐng)求篩選，IP和域限制；其他根據(jù)需要開(kāi)啟。

性能，管理工具，ftp服務(wù)器，IIS可承載的Web核心可根據(jù)開(kāi)啟。
IIS7站長(zhǎng)之家小編注：如果需要按照服務(wù)器安全狗需要安裝 IIS 6 管理兼容性

IIS7.5權(quán)限配置介紹

---

IIS7.5涉及兩個(gè)賬戶(hù)，一個(gè)為匿名賬戶(hù)，一個(gè)為應(yīng)用程序池賬戶(hù)。在磁盤(pán)的NTFS權(quán)限設(shè)置中，匿名賬戶(hù)只需要擁有對(duì)網(wǎng)站目錄的讀取權(quán)限即可；而應(yīng)用程序池賬戶(hù)需要根據(jù)程序?qū)嶋H情況給予相應(yīng)權(quán)限，比如：需要去寫(xiě)文件，則要給予寫(xiě)權(quán)限，需要去調(diào)用一個(gè)程序（如cmd.exe）則需要給予執(zhí)行權(quán)限?？傊?#xff0c;對(duì)文件的訪(fǎng)問(wèn)，首先需要有匿名賬戶(hù)的訪(fǎng)問(wèn)權(quán)限，然后再根據(jù)程序的操作需要什么樣的權(quán)限給予應(yīng)用程序池賬戶(hù)相應(yīng)的權(quán)限。

研究發(fā)現(xiàn)的幾個(gè)基本問(wèn)題：

上傳目錄的寫(xiě)入權(quán)限由應(yīng)用程序池賬戶(hù)決定；

應(yīng)用程序池默認(rèn)對(duì)于的賬戶(hù)為IIS APPPOOL{app pool name}，且屬于IIS_IUSRS組；

默認(rèn)的匿名賬戶(hù)為IUSR賬戶(hù)，且屬于authenticated users 組；

任何用戶(hù)都屬于USERS組，且手工刪除后仍然屬于USERS組；

上傳木馬之后，能夠看到的目錄是由應(yīng)用程序池賬戶(hù)決定的；

在此測(cè)試環(huán)境下，USERS組默認(rèn)擁有網(wǎng)站目錄的寫(xiě)入權(quán)限；

一個(gè)aspx文件的運(yùn)行跟NTFS的運(yùn)行權(quán)限無(wú)關(guān)；

對(duì)于網(wǎng)站的匿名賬戶(hù)只需要對(duì)網(wǎng)站目錄有讀取權(quán)限；

應(yīng)用程序池賬戶(hù)運(yùn)行aspx也只需要讀取權(quán)限，但是如果要寫(xiě)文件需則寫(xiě)權(quán)限，要執(zhí)行其他程序則需要執(zhí)行權(quán)限；

常見(jiàn)服務(wù)器被入侵威脅及解決措施

常見(jiàn)服務(wù)器入侵威脅：

webdav直接上傳webshell

通過(guò)程序文件上傳漏洞上傳webshell

webshell的權(quán)限過(guò)高導(dǎo)致被提權(quán)

解決常見(jiàn)問(wèn)題措施：

解決webdav問(wèn)題
在安裝的時(shí)候直接不安裝webdav組件

2.防止上傳的木馬文件執(zhí)行
可以在IIS中設(shè)置需要上傳文件的目錄，處理程序映射中的編輯功能權(quán)限中的腳本去掉，這樣即使上傳了木馬文件在此目錄，也是無(wú)法執(zhí)行的。

上傳目錄取消應(yīng)用程序池賬戶(hù)的執(zhí)行權(quán)限如何起名

防止木馬執(zhí)行后看到網(wǎng)站目錄之外的文件

可以設(shè)置進(jìn)程池賬戶(hù)對(duì)其他文件夾無(wú)讀取權(quán)限。

防止木馬執(zhí)行后可執(zhí)行cmd

取消進(jìn)程池賬戶(hù)的NTFS執(zhí)行權(quán)限。

防止木馬執(zhí)行后運(yùn)行cmd權(quán)限過(guò)高

總結(jié)

以上是生活随笔為你收集整理的IIS7.5 安全配置研究(推荐)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。