在众多网站环境中目前用IIS做运行环境的不在少数,那么关于IIS安全设置以及如何防止不
被入侵和攻击是众多网友比较关注的,像目前的IIS6.0,IIS7.5,IIS8.0等着几个版本都存在着很多
安全问题,接下来由SINESAFE的安全工程师为大家分享下具体的安全防护重点。
IIS的安全性分析和增强。信息系统安全分析。未经授权的访问(通过错误配置或系统漏洞非法
定位IIS资源)网络蠕虫(缓冲区溢出漏洞)网页篡改(网站漏洞)拒绝服务(HTTP协议漏洞)IIS软件
漏洞(CVE涉及拒绝服务、代码执行、特权提升、安全旁路、XSS、内存泄漏等。(IIS安全机
制。IIS认证机制。匿名身份验证(匿名身份验证)基本身份验证(基本身份验证)证书认证(证书
映射认证)数字签名认证(摘要认证)IIS证书身份验证(IIScertificate身份验证)windows身份验证
(windows身份验证)
定位IIS资源)网络蠕虫(缓冲区溢出漏洞)网页篡改(网站漏洞)拒绝服务(HTTP协议漏洞)IIS软件
漏洞(CVE涉及拒绝服务、代码执行、特权提升、安全旁路、XSS、内存泄漏等。(IIS安全机
制。IIS认证机制。匿名身份验证(匿名身份验证)基本身份验证(基本身份验证)证书认证(证书
映射认证)数字签名认证(摘要认证)IIS证书身份验证(IIScertificate身份验证)windows身份验证
(windows身份验证)
IIS访问控制。访问控制方法:请求过滤(请求过滤)网址授权控制(网址授权)知识产权地址限制
文件授权。访问控制流程:用户浏览器的IP地址是否受限?用户认证通过了吗?是否允许用
户访问在IIS中指定的Web权限?用户正在进行的操作请求是否符合相应Web文件或文件夹
的NTFS权限?用户可以通过上述访问控制来访问他们所请求的资源。
文件授权。访问控制流程:用户浏览器的IP地址是否受限?用户认证通过了吗?是否允许用
户访问在IIS中指定的Web权限?用户正在进行的操作请求是否符合相应Web文件或文件夹
的NTFS权限?用户可以通过上述访问控制来访问他们所请求的资源。
信息系统日志审计。IIS日志审计机制还包括操作系统、数据库和应用服务的日志审计。
及时安装IIS补丁。启用动态IP限制(动态IP限制)启用URLScan。启用IISWeb应用程序防
火墙(Webapplicationfirewall)启用SSL服务。
及时安装IIS补丁。启用动态IP限制(动态IP限制)启用URLScan。启用IISWeb应用程序防
火墙(Webapplicationfirewall)启用SSL服务。
