IISセキュリティの強(qiáng)化には、5つのステップが必要です。1。WebDav、FTPなどの不必要な機(jī)能とサービスを無(wú)効にします。 2.デフォルトのWebサイトとテストページを閉じ、役に立たないスクリプトディレクトリへのアクセスを削除または禁止します。 3.違法な拡張、ディレクトリトラバーサル、および超長(zhǎng)のURLを防止するように要求フィルタリングルールを構(gòu)成し、URLを使用して実際のパスを書き直して非表示にします。 4. HTTPSとフォースジャンプを有効にし、HSTS、X-Content-Type-Optionsなどのセキュリティ応答ヘッダーを設(shè)定します。 5.システムパッチを定期的に更新し、ロギングを有効にし、ツールを使用して異常なアクセス動(dòng)作を分析します。これらの測(cè)定により、SQLインジェクション、XSS、ディレクトリトラバーサルなどの一般的な攻撃方法を効果的に防止し、サーバーの全體的なセキュリティを改善できます。

ウェブサイトのセキュリティは大したことではありませんが、問題がある場(chǎng)合は面倒です。 IIS（インターネット情報(bào)サービス）は、Windowsプラットフォームで一般的に使用されるWebサーバーソフトウェアです。あなたがそれをうまく保護(hù)しなければ、攻撃の標(biāo)的になるのは簡(jiǎn)単です。 SQLインジェクション、XSS、ディレクトリトラバーサルなどの一般的な脆弱性。悪用されると、少なくともデータの漏れが発生する可能性があり、サーバーが落ちる可能性があります。したがって、IISのセキュリティ設(shè)定を構(gòu)成する必要があります。

以下は、IISを効果的に強(qiáng)化し、一般的な脆弱性が悪用されるのを防ぐのに役立ついくつかの重要なポイントです。

不要な機(jī)能とサービスを無(wú)効にします

デフォルトでIISをインストールする場(chǎng)合、WebDAV、FTPサービス、CGIサポートなど、使用できない機(jī)能モジュールをまったく有効にする場(chǎng)合があります。これらの機(jī)能が有用でなく、引き付けられている場(chǎng)合、攻撃面が増加します。

• サーバーマネージャーを確認(rèn)するか、PowerShellコマンドを使用して、未使用の役割と機(jī)能をアンインストールします
• デフォルトのウェブサイトを閉じてページをテストして、機(jī)密情報(bào)への露出を避ける
• ASP.NETが不要な場(chǎng)合は、関連するコンポーネントをインストールしないでください

たとえば、多くの攻撃者は/scriptsディレクトリ內(nèi)の古いスクリプトファイルにアクセスしようとします。これらをまったく使用しない場(chǎng)合、アクセスを削除または禁止することが最も便利な方法です。

リクエストフィルタリングとURLの書き換えルールを構(gòu)成します

IISに付屬するリクエストフィルタリングモジュール（リクエストフィルタリング）は、特殊文字、過度に長(zhǎng)いURL、違法な拡張などを含むパスなど、いくつかの悪意のあるリクエストをブロックするのに役立ちます。

次の種類のフィルタリングルールを追加できます。

• .phpや.aspなどの現(xiàn)在の環(huán)境でサポートされていない拡張リクエストを拒否します（特に純粋な靜的サイトで）
• ブロックパスを含む../ディレクトリトラバーサル攻撃を防ぐため
• URLの長(zhǎng)さを制限して、バッファオーバーフロー攻撃を防ぎます

さらに、URL書き換えモジュール（URL書き換え）と組み合わせることで、ターニング/user?id=123 Into /user/123などの実際のパス構(gòu)造を隠すことができます。

HTTPSを有効にし、セキュリティ応答ヘッダーを構(gòu)成します

HTTP Plantextでデータを送信することは危険です?，F(xiàn)在、基本的にすべてのWebサイトはHTTPSを有効にする必要があります。証明書を申請(qǐng)することに加えて、他にもいくつかのことがあります。

• 強(qiáng)制HTTPSジャンプ。これは、IISのURL書き換えルールを介して実裝できます。
• HSTS（HTTP Strict Transport Security）Responseヘッダーを使用して、將來(lái)HTTPSを介してWebサイトにのみアクセスできることをブラウザに伝えます
• X-Content-Type-Options、X-Frame-Options、Content-Security-Policyなどのセキュリティヘッダーを追加して、MIMEタイプのスニッフィングを防ぎ、ハイジャック、クロスサイトスクリプティング、その他の問題をクリックします

これらの応答ヘッダーは、IIS web.configファイルで構(gòu)成するか、IIS管理インターフェイスを介して設(shè)定できます。

定期的な更新とログの監(jiān)視が欠落してはいけません

IISをインストールした後、多くの人がそれを無(wú)視します。実際、IIS自體へのシステムパッチと更新は非常に重要です。 Microsoftは多くの場(chǎng)合、さまざまな脆弱性を修正し、時(shí)間內(nèi)に更新しないことは、バックドアを離れるのと同等です。

さらに、ログの監(jiān)視は無(wú)視できません。提案：

• 定期的にIISロギングとアーカイブをオンにします
• ログ分析ツール（ELK、SPLUNK、SIMPLE LOGPARSERなど）をセットアップして、例外アクセスモードを識(shí)別します
• 頻繁に404のエラー、郵便リクエストの急増などを監(jiān)視します。

一部の攻撃者は、最初にディレクトリ構(gòu)造をスキャンして、 /adminや/backupなどのパスがあるかどうかを確認(rèn)します。ログにそのような定期的なリクエストが見つかった場(chǎng)合は、警戒する必要があります。

基本的にそれだけです。 IIS自體は強(qiáng)力ですが、デフォルトの構(gòu)成は必ずしも安全ではありません。実際のビジネスニーズに応じてアクセス許可を調(diào)整し、冗長(zhǎng)サービスを拡大し、セキュリティヘッドを追加し、定期的にログを確認(rèn)します。これらの手順の後、最も一般的な攻撃方法をブロックできます。

以上が一般的なWebの脆弱性に対してIIを保護(hù)しますの詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。