关灯
《文稿,还能这样写》作者雄文《笔杆子碎语》作者王一端《机关文稿写作入门》作者杨新宇《机关文字工作五十讲》作者何新国
最新《公文写作培训课程》直播间《公文写作百法例讲》作者房立洲老秘网站长、《老秘笔记》作者老猫《公文高手的自我修养》作者胡森林
开启左侧

iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

[复制链接]
中国老秘 发表于 2010-5-10 17:00:09 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
文稿修改演播室众筹计划,点击了解详情
 

一位高手整理的IIS FAQ

6 E) q' A2 z+ h! A1 e. v

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

# C' p, E( Y7 D; a7 I

1.如何让asp脚本以system权限运行

2 S5 U n1 n Y! c$ ~+ T

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

# \2 x8 K* O$ }3 a; j

2.如何防止asp木马

9 c, q% e( h# M: k. Y+ Q( _

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

* [) x1 U+ D" z. t, E! h

  regsvr32 scrrun.dll /u /s //删除

2 W, ?+ r& I7 V) i+ M; O

  基于shell.application组件的asp木马

2 T/ b' _! w( C+ Y! r

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

8 q$ i2 Y$ Z6 D

  regsvr32 shell32.dll /u /s //删除

: u e5 v3 t; \+ N6 j0 R. `- {& V% @

3.如何加密asp文件

0 x6 ]; V: Y- e0 }8 v' h& `

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

( ?" `, W1 w- i9 }0 Y9 o, E

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

5 i+ }& p [ q; f% S& o+ [

  运行screnc - l vbscript source.asp destination.asp

- }% v* n2 u1 q5 A! q+ A& k: E

  生成包含密文ASP脚本的新文件destination.asp

9 y# J* \5 O) @

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

# R T/ E6 w! v

  但无法加密中文。

1 k6 K/ q& D8 W* l+ ~# D1 _' ^0 V2 ~! O

4.如何从IISLockdown中提取urlscan

W3 g5 V! A9 H: a

  iislockd.exe /q /c /t:c:\urlscan

' Y* n4 A) {9 V5 i% f, R, J2 q

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

2 n- Q% l6 l! m6 O3 l. k3 V

  执行

/ I" |* e, g3 k: {! _

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

. \0 r+ g0 A6 B E5 \ V

  最后需要重新启动iis

( j0 V! Y( D6 v, X! |( b. [

6.如何解决HTTP500内部错误

! g; i# C" w K1 B Z

  iis http500内部错误大部分原因

" K; g& r0 H3 Q" U2 z

  主要是由于iwam账号的密码不同步造成的。

# j8 y4 | R. R, C7 V: f

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

2 D: ~' C- Y8 c: d( n

  执行

( V5 ^6 K( Y1 \& U' p7 I8 `* U' z

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

& q: `8 M- R% J( j4 p, F

7.如何增强iis防御SYN Flood的能力

: f5 X. ~5 g. A7 O3 G. O5 m4 H" M# [

  Windows Registry Editor Version 5.00

" j( q, s7 c" ~* m7 [. G

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

' ?8 [ q1 u- f' Q& s, A

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

- s6 h/ [7 @8 Z; F

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

( k4 P d( ^; a% G, Y0 L

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

) U. j) H1 C; Q1 }: g

  "TcpMaxHalfOpen"=dword:00000064

5 K D0 I4 u) `1 z0 _& f* s+ C

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

( h5 R2 I0 Q* G4 b- Y, C

  "TcpMaxHalfOpenRetried"=dword:00000050

. e1 [' w7 o/ _' F! ^2 |7 z# i

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

1 L* I+ K8 m6 n8 J+ D

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

3 y% i, |& N( Y) k

  微软站点安全推荐为2。

- |% N- E2 d4 _$ _3 E

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

`- a \ W3 N

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

" [# [2 P, G2 C4 k& W# I+ Z

  "TcpMaxDataRetransmissions"=dword:00000003

3 z* s1 Q. O/ T. }/ u

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

; ?' Z( t( s) [( A# `0 _0 J$ `

  "TCPMaxPortsExhausted"=dword:00000005

0 h* X. M) L% \1 f5 O8 \7 P

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

9 v5 f0 V: p3 D! c6 s, v. O" ^8 \

  "DisableIPSourceRouting"=dword:0000002

" n- c1 a9 } p8 t9 f0 ?

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

8 V4 W, k0 T% s

  "TcpTimedWaitDelay"=dword:0000001e

4 c8 Q: P2 v, `( q: U _

8.如何避免*mdb文件被下载

3 {8 n7 `% h( n, |

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

% \% D' y. e* C/ L

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

- X9 m. L) D7 q8 y0 d: D9 ^3 F

9.如何让iis的最小ntfs权限运行

+ O9 Q7 D; _3 {6 D, \* r1 y( t

  依次做下面的工作:

( r" J! t& o8 R; E

  a.选取整个硬盘:

/ S% |" U; o" [" K. b

  system:完全控制

! G0 F; ?4 }2 T6 A

  administrator:完全控制

; ~4 u. I: }4 x4 y

  (允许将来自父系的可继承性权限传播给对象)

* v$ a$ _" ?% v' v

  b.\program files\common files:

- [! b; p+ ]2 j

  everyone:读取及运行

% ?8 Q4 d V2 D- Q

  列出文件目录

8 y0 u2 i+ ^, r& |

  读取

5 }* l0 t+ ]% D( F- h ~

  (允许将来自父系的可继承性权限传播给对象)

6 ?6 h: u2 o4 H* D% N7 o

  c.\inetpub\wwwroot:

9 L7 P. e/ y1 ?" n2 g$ L" U2 n

  iusr_machine:读取及运行

9 j! I# V& P4 ]: G; K' \7 B$ n

  列出文件目录

0 g1 y- W e+ Q* P3 }% v" W, a$ X

  读取

: d/ C8 D6 f- Q

  (允许将来自父系的可继承性权限传播给对象)

, Q/ R; ]& l- p6 h

  e.\winnt\system32:

& |6 M$ d& M7 ]8 Q; C; ` L

  选择除inetsrv和centsrv以外的所有目录,

* y* G9 X! f7 K7 r# j

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

" c. a( ~* N/ Q/ N2 @$ c# t

  f.\winnt:

/ F# S; A1 D/ E4 {. F

  选择除了downloaded program files、help、iis temporary compressed files、

; H! ^5 ?0 n. N3 x" ]0 C |! ~

  offline web pages、system32、tasks、temp、web以外的所有目录

: U) h( |2 r7 N

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

. D( _. c& X4 z

  g.\winnt:

# i1 M/ T# o2 w

  everyone:读取及运行

! j# \+ r1 n& V& k

  列出文件目录

; e; i6 t4 V" H/ Y% m8 v

  读取

3 E9 n, l' U! i7 ]: A) ]

  (允许将来自父系的可继承性权限传播给对象)

; I: l) c6 ~2 I# z

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

* O: T [: P! K* i

  everyone:修改

/ ~5 J" F( [1 T6 I8 j4 ^- \5 H

  (允许将来自父系的可继承性权限传播给对象)

1 D# M# }. w" A7 H9 G

10.如何隐藏iis版本

8 s( C6 i+ o$ k7 u7 Y

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

* m1 Y5 c9 x7 L+ T6 m) J. V

  iis存放IIS BANNER的所对应的dll文件如下:

3 l |8 }& @: ?$ K d# _- g

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

2 }2 f2 `$ `2 o8 B' ]2 n4 I8 Y

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

+ A2 S- u( O w X$ Q

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

3 }6 B3 Y) ~" L

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

, r1 f7 e( t, u) z: h

  具体过程如下:

; k h3 z6 ~1 R& A, a

  1.停掉iis iisreset /stop

4 t/ m7 x0 P" o# M! k8 q

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

' W7 J/ P1 P! l/ R6 U$ Q$ {* m

  3.修改

 
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


0关注

25粉丝

2229帖子

排行榜
作者专栏

关注我们:微信订阅号

官方微信公众号

客服个人微信号

全国服务热线:

0595-22880819

公司地址:泉州秘途文化传媒有限公司

运营中心:福建省泉州市

Email:506070961#qq.com

Copyright   ©2015-2025  老秘网 责任编辑:释然Powered by©Discuz!技术支持:秘途文化  备案号   ( 闽ICP备19022590号-1 闽公网安备35050302000919号 )