关灯
《文稿,还能这样写》作者雄文《笔杆子碎语》作者王一端《机关文稿写作入门》作者杨新宇《机关文字工作五十讲》作者何新国
最新《公文写作培训课程》直播间《公文写作百法例讲》作者房立洲老秘网站长、《老秘笔记》作者老猫《公文高手的自我修养》作者胡森林
开启左侧

iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

[复制链接]
中国老秘 发表于 2010-5-10 17:00:09 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
文稿修改演播室众筹计划,点击了解详情
 

一位高手整理的IIS FAQ

; x- S1 M1 V7 r

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

& m0 p- K. G1 p2 h( M" s

1.如何让asp脚本以system权限运行

8 @% Q& Y: a( u! F

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

& g3 \1 v. V2 ~1 q" G& c" h

2.如何防止asp木马

+ J+ h7 ?3 C( W! W6 \+ E

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

& S9 ~$ x3 M/ q6 I

  regsvr32 scrrun.dll /u /s //删除

* E/ d2 o' b( r! ^7 O3 D; ^; z- d

  基于shell.application组件的asp木马

# n8 u+ F! ]+ Z7 c$ G8 c; D" G, C

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

+ P5 `+ s( l+ e

  regsvr32 shell32.dll /u /s //删除

! ^4 k, m8 x' D. | F- N

3.如何加密asp文件

8 ^/ v. N( g v# }0 m' Y

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

" s# }6 X2 k& f) K5 D

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

6 ~- s7 W5 ?; @1 Q. `

  运行screnc - l vbscript source.asp destination.asp

. E9 q: {/ F1 H" M3 e/ e

  生成包含密文ASP脚本的新文件destination.asp

. A) y; V9 }* G

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

1 ]$ f Z) F5 d

  但无法加密中文。

* b# \+ [4 j9 C' N8 N# a, z. }( {4 ?' G

4.如何从IISLockdown中提取urlscan

7 _8 C. W9 H9 i! y6 B

  iislockd.exe /q /c /t:c:\urlscan

+ B* T. V S9 i' Z5 I+ [: [

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

$ z; g) h8 T: @8 G3 i% y

  执行

5 F1 c/ ?% G3 F0 Q+ m" z& d

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

1 h# J8 a, b9 }5 M

  最后需要重新启动iis

, D b. |; @ v8 _

6.如何解决HTTP500内部错误

0 Z3 o2 c* r( t- y% ~% g

  iis http500内部错误大部分原因

8 C0 A" Z& o1 c0 R) h2 P+ O

  主要是由于iwam账号的密码不同步造成的。

$ c4 m6 V( |! T. I5 f

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

1 |- V& O, }: M. H

  执行

: L# f% D% |3 A0 f3 ]

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

; M% J. M5 }# A

7.如何增强iis防御SYN Flood的能力

" W, Z0 y# y5 n" R: E# g

  Windows Registry Editor Version 5.00

6 I4 u) D. u% A* E }$ Z

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

* j" B* r8 Y9 Z8 W( y

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

3 N; t0 G9 X, u2 Q: x& s$ z

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

( A5 M5 v' B% f& ^0 S

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

8 @/ v' c& Z" F

  "TcpMaxHalfOpen"=dword:00000064

1 \/ m0 c) q/ T+ W# W: \

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

& e3 ~6 l! \# _& q$ u3 j$ w& i

  "TcpMaxHalfOpenRetried"=dword:00000050

) m6 P6 o8 c. R* s

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

3 y: n; \( d' ?9 x

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

$ L# ^6 z; _* q( y1 k! ]2 A, w; l

  微软站点安全推荐为2。

& ? C v. T* k$ h: r5 N, r. `

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

; N$ M; j3 t1 f. |

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

: U! I# X8 `4 i. T( [

  "TcpMaxDataRetransmissions"=dword:00000003

8 ?" f7 E- H/ Q- Q+ F: X- l5 z

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

8 w- g& G* s- Y; X; H4 @ Y

  "TCPMaxPortsExhausted"=dword:00000005

8 G: B, @8 k( W

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

, ^2 @) M+ C I% r, ?

  "DisableIPSourceRouting"=dword:0000002

% J9 i8 o9 F4 _* G

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

' C: p: i6 R" _. U0 l

  "TcpTimedWaitDelay"=dword:0000001e

7 \1 v4 b6 [0 Y4 y* C6 q

8.如何避免*mdb文件被下载

* L0 ]* S) r: K2 c* j; }% o2 m

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

3 q4 g" U! L' O( v

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

1 D J9 s, P( @$ |4 c! b' M6 R; @

9.如何让iis的最小ntfs权限运行

, \! C- k4 S# c% c& r1 T3 a; ^- S7 E

  依次做下面的工作:

) o- Z. [$ z2 C4 \& T8 B; _3 a

  a.选取整个硬盘:

3 p( y2 T9 W! w$ Y. A

  system:完全控制

# G5 ]9 m9 i$ D& _3 ^9 d% l6 N, X( J! Q8 u

  administrator:完全控制

+ |( f( ^4 P: Z& m% T* d9 d/ X

  (允许将来自父系的可继承性权限传播给对象)

- w6 |: t) z2 w+ J! y( p3 J8 I

  b.\program files\common files:

$ w4 q8 W$ }8 U. l* h, j

  everyone:读取及运行

( M6 _; k3 E* ^" e

  列出文件目录

) s2 t/ N: O( E! z: R1 m" O' ?

  读取

( @2 c7 z" Q) c4 @' z" f4 R

  (允许将来自父系的可继承性权限传播给对象)

+ Y/ m, m2 F% W

  c.\inetpub\wwwroot:

8 P- B* o& r% f+ b

  iusr_machine:读取及运行

E6 c4 A$ W( m2 h; O; U

  列出文件目录

3 G: C+ u3 ^& S) g9 Q

  读取

$ l" q& K) }0 B) a

  (允许将来自父系的可继承性权限传播给对象)

1 R* m2 c% Y! d! b$ _5 X

  e.\winnt\system32:

" l) t3 |% T$ S2 i

  选择除inetsrv和centsrv以外的所有目录,

* `- J+ K9 U2 `

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

; R5 W, d/ \' {1 t% F5 r7 k

  f.\winnt:

5 K% V: U: m5 V: c# l0 B, f

  选择除了downloaded program files、help、iis temporary compressed files、

# A" |& |, |. u( f! Y' V

  offline web pages、system32、tasks、temp、web以外的所有目录

# m/ ^/ K8 H4 {! [1 E; x- R

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

* `- L$ ^; l' x* H2 G4 Z

  g.\winnt:

; p" l7 u$ R2 h+ Y3 T8 g1 r# P9 M: Q

  everyone:读取及运行

7 z6 u* U) w+ c* s

  列出文件目录

. O1 T8 \) m& s4 e/ B

  读取

5 z1 `0 v: F! X, W! U4 Z. l. ^

  (允许将来自父系的可继承性权限传播给对象)

; v' w8 m9 m( F$ t& [* o

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

u! \2 W: o+ R9 z& E$ E

  everyone:修改

: K1 L( Q3 O0 `; m$ @ V- |

  (允许将来自父系的可继承性权限传播给对象)

5 w6 Z. S6 H9 O: O6 R0 ` K/ h, b

10.如何隐藏iis版本

; y m0 g' x! P1 G0 B

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

! b" g5 z3 o. f) a/ a

  iis存放IIS BANNER的所对应的dll文件如下:

, K5 S. @* z& ?9 q* x# j o

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

5 V; Y5 S/ P- p# R6 C! h$ Y. \

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

# M7 `3 [& L' D% |' e; N$ g

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

8 s2 O: Z/ M' U0 s

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

& l8 G5 Y& H3 G% @3 w7 a7 e

  具体过程如下:

) Z' [2 h5 g- Y" s: M& B' P

  1.停掉iis iisreset /stop

; O) K3 I/ P2 b/ [) a

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

2 f9 G! g. B% Q+ e1 E! s. [3 v

  3.修改

 
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


0关注

25粉丝

2229帖子

排行榜
作者专栏

关注我们:微信订阅号

官方微信公众号

客服个人微信号

全国服务热线:

0595-22880819

公司地址:泉州秘途文化传媒有限公司

运营中心:福建省泉州市

Email:506070961#qq.com

Copyright   ©2015-2025  老秘网 责任编辑:释然Powered by©Discuz!技术支持:秘途文化  备案号   ( 闽ICP备19022590号-1 闽公网安备35050302000919号 )