IIS介绍

IIS是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面。

IIS加固

1、删除默认站点

IIS安装完成之后会存在一个默认站点，安全性配置较低，可直接删除。

2、禁用不必要的Web服务拓展

WebDAV（Web Distributed Authoring and Versioning）WebDAV扩展了HTTP.1.1通信协议的功能，让具备适当权限的用户，可以直接通过浏览器、网上邻居来管理服务器上的webDAV文件夹内的文件。如无必要，应当禁止WebDAV。

3、IIS访问权限配置

如果IIS中有多个网站，建议为每个网站配置不同的匿名访问账户。

方法：

a. 新建一个账号，加入Guests组

4、网站目录权限配置

目录有写入权限，一定不要分配执行权限

目录有执行权限，一定不要分配写入权限

网站上传目录和数据库目录一般需要分配“写入”权限，但一定不要分配执行权限

其他目录一般只分配“读取”和“记录访问”权限即可

5、删除不必要的应用程序扩展

IIS默认支持.asp、.cdx等扩展名的映射，除了.asp之外其他的扩展几乎用不到。这些拓展加重了服务器的负担，而且我们知道，没有限制.asa或者.cer等拓展名，黑客可以利用上传漏洞进行攻击。

站点属性->主目录-配置->删除.asa和.cer等拓展

6、错误信息配置

特殊字符会使页面产生报错信息，攻击者将会获得网站目录等敏感信息，因此需要取消报错信息显示。

7、IIS日志文件配置

默认的日志修改为扩展W3C日志记录格式。

作者：safe6安全

原文链接：https://www.toutiao.com/article/6813711286346449412/?channel=&source=search_tab