站点安全加固:IIS短文件名漏洞修复
【漏洞背景说明】
Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。
Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。
危害:攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。
IIS短文件名是操作系统设置问题,不是云星空问题,修复建议百度搜索“IIS短文件名泄露漏洞修复”关键词可以获取很多解决方案。
【场景介绍】
为了防范此类安全漏洞问题,和帮助客户现场快速配置和通过第三方安全扫描工具认证。金蝶云星空在V7.X版本后,根据用户反馈的安全漏洞问题,陆续增加站点安全配置参数,不断加强星空产品访问安全。
安全参数生效产品版本:7.6.0.202105 / PT-146876及以上版本(构建号:7.6.2171.1)
【手工处理与解决方案】
请升级金蝶云星空环境到安全参数生效产品版本,并对安全参数进行配置,重启IIS后生效。
一. 详细操作
1. CMD关闭NTFS 8.3文件格式的支持
命令行:fsutil 8dot3name set 1
2. 修改注册表禁用短文件名功能
(以上需要重启系统生效)
3. 修改IIS根节点的请求筛选-拒绝序列-URL,增加拒绝的url为~的请求
设置参考下图:
4. 重启IIS,清理缓存,重启电脑
1)停止IIS: iisreset /stop
2) 清空以下IIS缓存目录(删除Temporary ASP.NET Files目录中的文件):
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
与
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files
3)重启电脑
【延伸阅读】
站点安全加固:IIS短文件名漏洞修复
本文2024-09-23 03:48:17发表“云星空知识”栏目。
本文链接:https://wenku.my7c.com/article/kingdee-k3cloud-161206.html