IIS安全配置基线的操作指南

这是一份详细的 IIS 安全配置基线操作指南。本指南遵循“最小权限原则”和“纵深防御”理念，适用于 IIS 7.0 及以上版本，涵盖了从安装、配置到维护的主要安全环节。

核心原则

• 最小权限： 应用程序池、网站目录、服务账户仅被授予完成其功能所必需的最低权限。
• 精简安装： 仅安装必需的模块和功能。
• 持续更新： 保持操作系统、IIS、.NET Framework 和应用程序的更新。
• 日志审计： 启用并妥善保护日志，定期分析。

一、 安装与基本架构安全

操作系统加固

• 在部署 IIS 前，确保 Windows 服务器已进行安全加固（如禁用不必要的服务、配置防火墙、安装防病毒软件等）。
• 使用服务器核心版本（Server Core）可以极大减少攻击面。

选择性安装 IIS 功能

• 通过“服务器管理器”或 PowerShell 安装，只勾选必需的功能。
• 必需模块示例：
  • Web 服务器 > 安全性：请求筛选、URL 授权、IP 和域限制（根据需要）。
  • Web 服务器 > 应用程序开发：根据实际使用的技术选择（如 .NET Extensibility、ASP.NET）。
  • Web 服务器 > 常见 HTTP 功能：静态内容、默认文档、HTTP 错误。
  • 管理和工具：IIS 管理控制台、IIS 管理脚本和工具。
• 避免安装（除非明确需要）： FTP 服务器、WebDAV 发布、SMTP 服务器、不必要的应用程序开发功能（如 CGI、服务器端包含）。

使用专用应用程序池

• 为每个网站或应用创建独立的应用程序池。实现进程隔离，防止一个应用被攻破后影响其他应用。
• 应用程序池标识：
  • 避免使用内置高权限账户（如 LocalSystem、NetworkService）。
  • 为每个应用程序池创建唯一的低权限本地用户或组托管服务账户，并仅授予其对应网站目录的必要权限（读取、执行）。

二、 配置安全 (IIS 管理器与配置文件)

请求筛选

• 文件扩展名： 仅允许已知安全的扩展名（如 .html， .aspx），阻止 .config， .log， .bak， .old 等敏感或可执行文件。
• HTTP 谓词： 仅允许应用需要的谓词（如 GET， POST），阻止 PUT， DELETE， TRACE 等。
• URL 序列： 拒绝包含双转义序列（如 %252e）或 UTF-8 编码异常的请求。
• 隐藏段： 阻止对 web.config、bin 等系统目录的访问。

SSL/TLS 配置

• 强制使用 HTTPS， 将 HTTP 请求重定向到 HTTPS。
• 禁用旧的、不安全的协议（SSL 2.0/3.0， TLS 1.0/1.1），仅启用 TLS 1.2 和 TLS 1.3。
• 使用强密码套件，禁用弱加密算法（如 RC4， DES）。
• 申请并配置受信任的 CA 颁发的证书，避免自签名证书用于生产环境。

HTTP 响应头安全

• X-Frame-Options: 设置为 DENY 或 SAMEORIGIN， 防止点击劫持。
• X-Content-Type-Options: 设置为 nosniff， 防止 MIME 类型混淆攻击。
• Strict-Transport-Security (HSTS): 启用 HSTS， 强制浏览器使用 HTTPS 连接。
• Referrer-Policy: 控制 Referer 头的信息泄露。
• Content-Security-Policy (CSP): 根据应用内容源策略进行配置，有效防范 XSS。
• 配置方法： 可在 web.config 的 <system.webServer><httpProtocol><customHeaders> 节中设置，或使用 URL Rewrite 等模块。

授权与身份验证

• 禁用匿名身份验证，除非网站有公开部分。
• 根据需要使用 Windows 身份验证（内网）或 表单身份验证（外网）。避免使用基本身份验证，除非配合 HTTPS。
• 配置 IP 和域限制，仅允许受信任的 IP 范围访问管理后台或敏感接口。

日志记录

• 启用 W3C 扩展日志记录格式。
• 确保日志记录了关键字段：Client IP， User-Agent， URI Query， Status Code， Time Taken。
• 将日志文件保存在非系统盘，并设置适当的 ACL（如仅允许 SYSTEM 和 Administrators 组访问）。
• 配置日志滚动更新策略，避免磁盘被撑满。

其他配置

• 自定义错误页： 使用友好的自定义错误页面（如 404， 500），避免向用户泄露堆栈跟踪等调试信息。
• 连接超时与限制： 调整连接超时、最大并发连接数、最大 URL 长度等，防范慢速攻击和 DDoS。
• MIME 类型： 只保留必要的 MIME 类型映射。

三、 文件系统与权限安全

网站目录权限

• 系统根目录（如 C:\inetpub）： 移除所有不必要的用户，保留：
  • SYSTEM（完全控制）
  • Administrators（完全控制）
  • 对应的 应用程序池标识（读取、执行、列出文件夹内容）
• 网站内容目录：
  • 应用程序池标识：读取、执行。
  • 如果应用需要写文件（如上传、日志），单独为特定子目录（如 /uploads/， /App_Data/）授予“写入”权限，切勿对整个网站目录授予写权限。
  • 移除 Everyone， Users 等组。

配置文件安全

• 保护 applicationHost.config 和 web.config 文件。
• 使用 aspnet_regiis 工具加密 web.config 中的敏感节（如连接字符串）。
• 在 web.config 中设置 <httpRuntime requestValidationMode="2.0" /> 以启用请求验证。

四、 .NET Framework 与 ASP.NET 安全

禁用调试和跟踪

• 在生产环境的 web.config 中确保：

  <compilation debug="false" />
  <trace enabled="false" />

关闭详细错误信息

• 确保：

  <customErrors mode="RemoteOnly" defaultRedirect="~/Error.html" />

  （RemoteOnly 表示本地访问看到详细错误，远程用户看到友好页面）。

设置信任级别

• 考虑使用较低信任级别：

  <trust level="Medium" />

五、 维护与监控

补丁管理

• 定期通过 Windows Update 或 WSUS 安装安全更新，涵盖 OS、IIS、.NET。
• 订阅 Microsoft 安全通告。

定期安全审计

• 使用 IIS 配置分析工具（如 Microsoft Security Compliance Toolkit 中的基线）进行检查。
• 使用漏洞扫描工具（如 Nessus， OpenVAS）或专用 Web 漏洞扫描器（如 Acunetix， AppScan）进行扫描。
• 定期手动或使用脚本检查配置是否符合基线。

备份与恢复

• 定期备份：
  • IIS 配置（%SystemDrive%\inetpub\history， applicationHost.config）
  • 网站内容文件
  • 证书
  • 建立并测试恢复流程。

自动化与工具

• PowerShell： 使用 WebAdministration 或 IISAdministration 模块编写脚本，实现配置的批量部署、检查和合规性验证。
• Desired State Configuration： 使用 DSC 资源（如 xWebAdministration）来声明和维持 IIS 的理想安全状态。
• 安全配置基线模板： 从 Microsoft Security Compliance Toolkit 下载官方的 IIS 安全基线（.GPO 文件），可导入组策略或作为参考。

检查清单摘要

• [ ] 仅安装必需模块
• [ ] 每个应用使用独立应用程序池和低权限标识
• [ ] 配置严格的请求筛选规则
• [ ] 启用强制 HTTPS 和强 TLS 配置
• [ ] 设置安全 HTTP 响应头
• [ ] 禁用不必要的身份验证方式
• [ ] 启用并保护详细的 W3C 日志
• [ ] 文件系统权限遵循最小权限原则
• [ ] ASP.NET 配置禁用调试和详细错误
• [ ] 建立了补丁更新和定期审计流程

通过遵循以上指南，您可以显著提升 IIS 服务器的安全性，构建一个能够抵御常见 Web 攻击的稳固基础。请务必根据您的具体应用需求和环境对配置进行调整和测试。