关灯
《文稿,还能这样写》作者雄文《笔杆子碎语》作者王一端《机关文稿写作入门》作者杨新宇《机关文字工作五十讲》作者何新国
最新《公文写作培训课程》直播间《公文写作百法例讲》作者房立洲老秘网站长、《老秘笔记》作者老猫《公文高手的自我修养》作者胡森林
开启左侧

iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

[复制链接]
中国老秘 发表于 2010-5-10 17:00:09 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
文稿修改演播室众筹计划,点击了解详情
 

一位高手整理的IIS FAQ

- V+ x# D! [5 t% m3 S

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

4 W1 s$ m% k; C4 j% g* h( t; y1 z

1.如何让asp脚本以system权限运行

* m2 d/ y9 X" d; f$ m5 {/ Q

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

3 [$ ?( N% g/ j! B" o6 s

2.如何防止asp木马

H* j( f- T4 w `7 Z# \

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

1 l A! U# p% n: S

  regsvr32 scrrun.dll /u /s //删除

/ S. N) O b2 n$ h4 @* r

  基于shell.application组件的asp木马

& S* ^6 u: ?7 w

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

0 R1 o" q9 _& l: I2 z

  regsvr32 shell32.dll /u /s //删除

& l, \ h- Z" e2 e! g* _: D

3.如何加密asp文件

! f; l* |' D8 F

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

" P% ~: i/ E, y, v

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

$ P# @* c' `8 p2 l, J

  运行screnc - l vbscript source.asp destination.asp

; U8 E) e! A; c, t% t; X5 t4 B

  生成包含密文ASP脚本的新文件destination.asp

. X( d/ `; U8 }8 Z5 D( J

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

3 A+ C2 R8 G9 u+ s7 i! m" q

  但无法加密中文。

1 p& w. p$ W; ~; s; f3 X# a3 v

4.如何从IISLockdown中提取urlscan

) d/ E; z8 S0 J) q0 y, X# l

  iislockd.exe /q /c /t:c:\urlscan

) i! I3 {: R: Z% K8 t& }3 y

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

+ b8 w* b( G( e( F

  执行

7 y% M4 }% y$ ?. I

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

+ O) K2 Q; E# G7 ~# R4 w

  最后需要重新启动iis

& F8 R+ l) @( X! q8 H0 `

6.如何解决HTTP500内部错误

$ ^7 L- F' ^) t8 w7 k

  iis http500内部错误大部分原因

, y6 ~: s( F9 e6 Q: h: s: G4 S5 F

  主要是由于iwam账号的密码不同步造成的。

- M% }: P9 h' D8 x

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

5 ~1 X& ]2 U- q' Y+ i

  执行

. Y4 V" P8 J/ t2 [# o& ^

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

( k. l. ^. s1 S0 p' B7 ~

7.如何增强iis防御SYN Flood的能力

" P7 t2 m" h: x: D1 k8 }

  Windows Registry Editor Version 5.00

. c$ D- r5 F! s0 f8 ^ {( {. }

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

( j5 z. w1 J3 Z6 ]

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

. O8 M; _" [& g' ], T. m4 h5 t

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

4 b: ~0 L$ T, H9 \1 g( Y, J

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

) B/ S5 @( X7 }- f3 T

  "TcpMaxHalfOpen"=dword:00000064

9 u, S* E S/ G& e: e; E$ p

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

4 s. ]0 L/ Q7 \3 X3 a

  "TcpMaxHalfOpenRetried"=dword:00000050

1 x3 D7 K- Z7 T$ y7 x( j' K

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

2 W0 b2 H" d y( J# |

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

, g3 O: H, Q% ?9 E

  微软站点安全推荐为2。

; ], Y8 |5 @% \

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

- S9 E! O) a- I

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

# U; w1 q1 {# w' k, g

  "TcpMaxDataRetransmissions"=dword:00000003

4 m* A5 E3 q6 z1 f! G& y7 F

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

+ v1 h: N* }! o; g# \

  "TCPMaxPortsExhausted"=dword:00000005

" ]5 ^0 F; O" G) Y/ T% q! {" M

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

5 t+ k- q. H. V! f9 M" L

  "DisableIPSourceRouting"=dword:0000002

o# u4 ^8 \) V/ i% X- \

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

3 Z* V9 P" R7 j, V* f

  "TcpTimedWaitDelay"=dword:0000001e

! s: Y- B6 v* o, X3 W9 ^0 s

8.如何避免*mdb文件被下载

; n9 ~, y7 f* Y

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

% U4 v5 x: t1 j7 n' P

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

# a/ C- J# X+ X: V) m1 t

9.如何让iis的最小ntfs权限运行

0 Y6 X' E' b' Y y$ G

  依次做下面的工作:

% d* T* {5 L' ~3 e

  a.选取整个硬盘:

7 x( \- C9 V( x- y" _4 P

  system:完全控制

: w6 [" o. g! ?1 w0 e" P. X: T

  administrator:完全控制

+ ~& q/ a* z3 Q; w' x/ y. W

  (允许将来自父系的可继承性权限传播给对象)

. P' ^% M1 W x% ?9 Y* y( U

  b.\program files\common files:

. s6 W2 g M u2 }

  everyone:读取及运行

, z7 q, Y; s& I& Y1 o

  列出文件目录

/ x. X% }, \6 c& O4 _: B- B

  读取

7 t9 X' P0 d6 j! f1 a4 Q

  (允许将来自父系的可继承性权限传播给对象)

/ ~4 y( D1 G1 y

  c.\inetpub\wwwroot:

8 ^7 c7 M9 ^% x# c

  iusr_machine:读取及运行

; M) A# M3 @9 x( p Q; `9 ^# v q

  列出文件目录

' z& r6 o! x& | S: P

  读取

2 e: M4 g8 m5 I1 T

  (允许将来自父系的可继承性权限传播给对象)

# k9 \2 Y d3 i$ b, P" {9 r

  e.\winnt\system32:

: Q( U! N- l! x) P1 j& Q

  选择除inetsrv和centsrv以外的所有目录,

7 R1 @% D% K% {( Y6 w: C: Z( V; [

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

# i4 P+ Z2 l* a5 P) ~/ x

  f.\winnt:

- Z- n/ T) G* {: U: _# m

  选择除了downloaded program files、help、iis temporary compressed files、

1 F( g% z4 y) F

  offline web pages、system32、tasks、temp、web以外的所有目录

$ C+ L! x! M8 C; O' Z2 ]/ S

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

1 _1 O+ T J7 C3 M7 T$ I' s4 U

  g.\winnt:

* e2 N% S4 C& y- |

  everyone:读取及运行

0 W( f* C( g& n. g- G) |6 ?3 \3 J

  列出文件目录

: p; k3 I% X, ]; n; r+ D. Q/ E6 [& K

  读取

# s9 ]5 o+ ?8 h+ Y

  (允许将来自父系的可继承性权限传播给对象)

- w0 T2 P7 G! k! X2 n

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

, c6 z2 w" Q; c, E- T# e$ Z- x

  everyone:修改

8 |6 m' @" n, d& ~( b" u

  (允许将来自父系的可继承性权限传播给对象)

) F1 y+ T# z( p: ]

10.如何隐藏iis版本

# X A6 W5 ]& w

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

+ e5 r. p- L6 D+ V

  iis存放IIS BANNER的所对应的dll文件如下:

$ n6 {3 r& Y- D

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

+ [9 D5 e6 Q% @$ w! C2 Y

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

J$ o2 C; N0 g

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

; V) z6 S d/ W$ v N+ F

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

6 |# l5 |# C5 E/ h

  具体过程如下:

- n, B4 k4 M& Q$ N4 v' ~. c

  1.停掉iis iisreset /stop

; I" G( q! k. B& `9 e

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

% ~* a8 N( r( P8 S4 o

  3.修改

 
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


0关注

25粉丝

2229帖子

排行榜
作者专栏

关注我们:微信订阅号

官方微信公众号

客服个人微信号

全国服务热线:

0595-22880819

公司地址:泉州秘途文化传媒有限公司

运营中心:福建省泉州市

Email:506070961#qq.com

Copyright   ©2015-2025  老秘网 责任编辑:释然Powered by©Discuz!技术支持:秘途文化  备案号   ( 闽ICP备19022590号-1 闽公网安备35050302000919号 )