Sécuriser IIS contre les vulnérabilités Web communes

TorunMultiplewebsitesonasingleiisserverwithoutSeparateipAddress, usehostheaders.1.assignallSiteSameIpandport (comme80or443) iniisbindings.2.SetUniquehostherseachdomsiteviatthebindingsmenu.3SurenSareCordeachdomDomEnTotHesServer'SshareDip.Co

Les accidents de pool d'applications peuvent rapidement localiser les causes en analysant le journal IIS. 1. Vérifiez d'abord le journal W3SVC au moment de l'accident, recherchez 503 erreurs et déterminez si elle est causée par un accident de pool d'applications ou un recyclage fréquent; 2. Combinez le journal httperr pour vérifier s'il existe des entrées d'erreur sous-jacentes telles que Connection_Dropped ou RequestQueuefull, et confirmez que le backend ne peut pas répondre; 3. Vérifiez les journaux d'application et système dans la visionneuse d'événements, recherchez des événements tels que 5002, 5015, 5017 à partir de sources WAS ou IIS-WMSVC, et confirmez que l'anomalie du cycle de vie du pool de pool d'application; 4. Dépanner les causes courantes, telles que les exceptions de code, l'indisponibilité des ressources de dépendance, le déclenchement de défaillance rapide, les fuites de mémoire, etc., et combiner des outils de débogage

Les journaux IIS sur plusieurs serveurs peuvent être implémentés de la manière suivante: 1. Utilisez le transfert d'événements Windows, adapté aux scénarios où les journaux ont été écrits dans les journaux d'événements, créez des abonnements sur le serveur central et configurez des règles de transfert sur chaque serveur IIS; 2. Utilisez des scripts de partage de fichiers pour collecter régulièrement, adaptés aux petits environnements, utilisez des scripts pour copier régulièrement les fichiers journaux de chaque serveur, combinant Robocopy ou XCopy avec l'exécution de la tâche planifiée; 3. Déployer des outils de collecte de journaux tels que Logstash, NXLOG, FLUENTD, adapté aux environnements à grande échelle, prennent en charge la collecte automatique, le filtrage, la compression et le transfert, et ont échoué de réessayer et de retirer les fonctions de transmission continue. De plus, il est nécessaire d'unifier le chemin du journal, de configurer les autorisations d'accès, de faire attention au mécanisme de rotation du journal et de considérer la compression

La clé pour configurer la journalisation IIS dans un environnement d'équilibrage de charge est d'assurer l'intégrité du journal et la traçabilité. 1. Activer et configurer la journalisation IIS, utiliser W3C pour étendre le format de journal, unifier le chemin de stockage du journal et définir la fréquence de défilement du journal raisonnable. 2. Enregistrez la véritable IP du client, définissez l'en-tête X-Forwarded via l'équilibreur de charge et configurez le module de réécriture d'URL et ARR sur IIS pour l'écrire dans le journal. 3. Implémentez la gestion centralisée des journaux et la synchronisation du temps, utilisez des outils tels que Elk ou Splunk pour collecter des journaux de manière centralisée et s'assurer que tous les fuseaux horaires du serveur sont cohérents et que la synchronisation NTP est activée. 4. Évitez la duplication du journal et manquante, les liens de demande de suivi via X-Request-ID et enregistrez des informations supplémentaires à partir de la couche d'application.

Le code d'état 200064 indique que la demande est réussie et qu'il n'y a pas d'erreur système, mais le volume de transmission des données est faible. L'explication spécifique est la suivante: 1.200 signifie que la demande HTTP est traitée avec succès; 2.0 signifie qu'aucune erreur au niveau de Windows ne s'est produite; 3.64 signifie que le serveur a envoyé 64 octets de données, généralement les informations d'en-tête de réponse. Couramment utilisé dans les demandes de tête, un petit accès statique, une détection du robot ou une redirection de page. Si ce code d'état apparaît fréquemment dans le journal, il peut indiquer qu'il existe un grand nombre de petites demandes, des comportements de numérisation ou des pages de redirection. Il n'est généralement pas nécessaire de s'inquiéter, mais si la source est anormale ou si le nombre de demandes augmente soudainement, il est recommandé de vérifier davantage s'il existe des risques de sécurité ou des besoins d'optimisation.

TosetupurlrewRiterulesiniis, premierInstalltheurlrewRiteModuleviaWebpi, WindowsFeatures, Orpowershellwithinstall-windowsfeatura-nameweb-url-uth

Le module iiSrequestFiltering peut améliorer la sécurité du site Web en configurant les extensions de liste noire, en limitant les URL et en interrogeant les longueurs de chaîne, et en interdisant la cachette HTTP. Les étapes spécifiques sont les suivantes: 1. Ajouter des extensions telles que .php et définies pour rejeter pour empêcher les vulnérabilités de téléchargement dans l'onglet "Extension de fichier"; 2. Définissez l'URL pas plus de 2KB et la chaîne de requête ne dépassant pas 1024 octets dans la "limite de demande" pour éviter les demandes anormales; 3. Dentez les méthodes non essentielles telles que Put, Delete, Trace et d'autres méthodes dans l'onglet "Méthode HTTP" pour réduire la surface d'attaque. Ces paramètres sont simples et efficaces et conviennent au renforcement de la protection de la sécurité IIS.

Pour trouver l'adresse IP supérieure dans le journal IIS, 1. Utilisez LogParserSUDIO: Chargez le fichier journal et exécutez la requête SQL pour compter la fréquence IP, générer une sortie de tri CSV; 2. Utilisez PowerShell: Lisez le contenu du journal, sautez l'en-tête, extraire les champs IP et les statistiques de groupe et organisez-les par ordre décroissant du nombre de fois; 3. Utilisez AWK SORT: Extractez IP, tri, comptez le nombre de fois et organisez-le par ordre décroissant du nombre de fois; Notez que les positions des champs IP dans différents formats de journal peuvent être différentes, et il doit être ajusté en fonction de la situation réelle pour garantir que l'extraction est exacte.