前言
大家好,本章节我将复现一次web加固阶段的操作,给大家看看该怎么操作和截图的具体事项,懂的大佬可以在评论区留言改进,感谢大家的支持!接下来就跟随我的步伐一起来操作吧!
阶段题目概览
环境搭建
底层系统:Windows server 2008 R2 |
Web中间件:IIS7 |
环境要求: IIS7正常运行即可,picture和upload目录存在因素,网站若未启动,则这两个文件只需自行创建在桌面即可,若正常启动,则在网站根目录下。
还是老样子,在模拟加固题目时还是先创建快照,以便多次练习:
准备阶段完成,现在进入实战阶段。
实战阶段
1.为了防止 web 中.mdb 数据库文件非法下载,请对Web 配置文件进行安全加固,将 C:\Windows\System32\inetsrv\config\applicationHost 配置文件中对应的部分截图;
截此图:
2.限制目录执行权限,对 picture 和 upload 目录设置执行权限为无,将编辑功能权限的配置界面截图;
因为我没有启动网站,所以我直接在桌面创建了这两个文件夹。
截此图:
删除里面所有的用户,添加一个Everyone的变量,意为所有人,或者:
3.开启 I IS 的日志审计记录(日志文件保存格式为 W3C,只记录日期、时间、客 户端 IP 地址、用户名、方法),将 W3C 日志记录字段的配置界面截图;
截此图:
4.为了减轻网站负载,设置网站最大并发连接数为 1000,将编辑网站限制的 配置界面截图;
截此图:
或
5.防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS 短文件名泄露,将配置命令截图;
需要进入网站的根目录,默认目录在:
c:/inepub/wwwroot
在此目录下执行命令:
fsutil 8dot3name set 1
截图即可
6.关闭 IIS 的 WebDAV 功能增强网站的安全性,将警报提示信息截图。
操作:
截此图:
结尾
好了,本章节到此就结束了,感兴趣的大佬们可以在评论区留言,大家一起学习。