web安全加固

IIS加固

管理工具-->IIS管理器-->網站-->dvbbs-->右鍵-->屬性（以下配置大多數都在這里修改）

修改默認日志路徑

默認日志路徑：c:\windows\system32\logfile

修改到其他路徑：d:\dvbbslog，可以設置為system讀寫,administrator只讀權限

修改日志屬性

網站-->屬性-->高級（日志記錄屬性）:勾選協議版本、勾選cookies（小技巧，查找日志的關鍵在于選擇關鍵字，如在日志里面搜索404關鍵字，因為如果攻擊者對網站進行猜后臺的時候肯定會嘗試提交不同的目錄，沒有攻擊者提交的文件目錄就會返回404錯誤，因此可以借助日志信息判斷遭受何種攻擊）

刪除所有不必要的映射（擴展名）

主目錄--配置--映射（如使用aspx、asp的就僅僅留下這兩個，其余的全部刪除，如cer，cdx等[這是為了防止上傳網馬]）

不要向客戶端發送詳細信息

想客戶端不要發送詳細信息，應該發送自定義的信息，如可以發送“110網站監控...”

主目錄-->配置-->選項（調試）

IIS權限

不給寫入和目錄瀏覽（寫入會上傳網馬，目錄瀏覽會導致目錄遍歷甚至下載）

限制后臺登錄的IP地址

登錄后臺地址：admin--右鍵--屬性--目錄安全性--允許特定的IP地址或IP地址段

刪除所有的自定義錯誤

c:\windwos\help\iishelp

數據庫加固

• 禁止webserver和數據庫服務器同臺，防止應用漏洞擴散到數據庫
  
• 修改默認庫表的位置和默認名字：admin修改為abcuser等
  
• 認證時保證口令足夠復雜；權限需要控制（最好能做到行、列的控制）；對存儲的數據進行加密，做好日志審計
  
• 防數據庫下載：可以將數據庫重定向到URL：網站--dvbbs--data--dvbbs7.mdb--右鍵--屬性--重定向到www.dvbbs.com（注意勾選“上面正確的URL”）
  

NTFS加固

• 在網站目錄的文件夾上面點擊右鍵進行操作,c:\bbs--右鍵--安全性
  
• 終極防webshell：能寫的不能執行，能執行的不能寫入
• 刪除所有的默認權限（配置權限時由小極大）,安全--高級--父集成權限全部取消
  
• 添加管理員administrator（注意不是administrators），完全控制
  
• 添加IIS_WPG：完全控制
  
• 添加iusr_xxx（xxx表示計算機名），設置只讀權限
  
• 確定哪些目錄需要寫入權限：data（數據庫需要寫入）、databackup（備份權限）、uploadfile（文件上傳目錄）、uploadface等，給iusr_xxx寫入權限
  
• 給以上具有寫入權限的目錄拒絕執行的權限:IIS管理器--網站--dvbbs--目錄（分別找到以上目錄）：右鍵--屬性（腳本執行權限選擇無）：權限：無