老秘网_材夜思范文

标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ [打印本页]
作者: 中国老秘    时间: 2010-5-10 17:00
标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

一位高手整理的IIS FAQ

# X1 ~6 V8 [% n x2 O- ]

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

5 |# [, J8 }/ }" B' a% ^" f8 Z9 B8 u

1.如何让asp脚本以system权限运行

& S0 A ]6 r, j% V0 @+ u5 \4 q

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

" y1 t/ x- O2 k7 R/ }

2.如何防止asp木马

: Y. O0 D W. G& y0 j$ I! k7 s

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

0 T7 V/ n1 k9 k& x

  regsvr32 scrrun.dll /u /s //删除

+ ^) q4 p% R/ ]/ ?4 \

  基于shell.application组件的asp木马

; G0 Q5 I, f! Q

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

6 D% ]! f% _% i @% t

  regsvr32 shell32.dll /u /s //删除

* }- w1 w" U: I$ b" ~7 X6 Z

3.如何加密asp文件

4 q. \5 @- T$ v% V' ~

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

: j/ w8 P' q* V. \

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

+ s/ ?$ q! g3 i& P3 ]) z: v( o

  运行screnc - l vbscript source.asp destination.asp

% b0 a4 T, N, o& q

  生成包含密文ASP脚本的新文件destination.asp

' z5 A6 [. W! v* |9 Z/ N6 R# D

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

2 h: x% _+ j. V# t

  但无法加密中文。

6 d! p' `9 g0 R1 e5 t

4.如何从IISLockdown中提取urlscan

: r3 B" ^* t6 N8 U

  iislockd.exe /q /c /t:c:\urlscan

! P& t" s1 b$ W+ N$ d* d9 c" w2 V

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

; K( W% D! E7 A) o8 k

  执行

- T2 o. o: X9 ?; U

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

( N4 q& a# J( e, H; e; y

  最后需要重新启动iis

9 m/ ^, E2 j7 L. |* g& P- Z

6.如何解决HTTP500内部错误

- `( k, d. e, l; D

  iis http500内部错误大部分原因

( ^; s% W3 ~2 y' z& ?+ w

  主要是由于iwam账号的密码不同步造成的。

, F6 \1 K$ J6 X* i+ a! \, Y

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

, {) G" G/ i% @" l; v4 q

  执行

+ m! B3 m, Z7 y! q+ `- h

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

2 _3 f- U b" B0 ?- z' r

7.如何增强iis防御SYN Flood的能力

) L$ u" Q+ Y6 {/ L+ ?

  Windows Registry Editor Version 5.00

4 B5 ~7 _0 g5 Z; v5 ?4 G/ r3 O

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

/ {# \( s( J' y1 Q$ G

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

4 I, ]% v S, B w# u

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

' ^; j+ a' j$ }: b

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

7 @" U8 {8 M/ v6 O$ g- P7 @

  "TcpMaxHalfOpen"=dword:00000064

$ L A! c0 P& { R

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

) ?8 U) s7 n$ [* ]& _# l0 T

  "TcpMaxHalfOpenRetried"=dword:00000050

7 ^4 o* R: U! ~2 x/ O& V9 e

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

+ N% f7 K& V1 b+ J' J4 B

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

- r5 D, g9 G* c+ n) |0 N; W

  微软站点安全推荐为2。

9 b% Y1 D) x1 e. N9 ?/ x% r+ N

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

0 v2 }! w& b- a7 d5 {- \

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

- W! e) u: E% P

  "TcpMaxDataRetransmissions"=dword:00000003

& a* t8 d1 b2 [

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

# J% ^5 l- i) R+ O. y

  "TCPMaxPortsExhausted"=dword:00000005

) p: j7 }2 B" o( \

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

. E& q0 r3 k% c9 [

  "DisableIPSourceRouting"=dword:0000002

) r. W, f/ x+ x" x3 ?$ x

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

" C1 Y5 B$ R& v& e7 L8 p" m

  "TcpTimedWaitDelay"=dword:0000001e

% L8 |9 m8 h k- F( G% A

8.如何避免*mdb文件被下载

! d" q7 a& ?) R8 p- j

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

7 @4 Q, b6 \* x: x+ k! x# z @

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

7 i8 C. N5 [- K, c( z B" z

9.如何让iis的最小ntfs权限运行

0 _) h. |+ ~; s, q& c. J# M# ~1 b

  依次做下面的工作:

( a z; d" \5 N, n! `

  a.选取整个硬盘:

( X2 r+ a0 y; E7 ~/ k) ~$ s; c; w

  system:完全控制

9 K- p' j& M* c* e! l( R% X/ q

  administrator:完全控制

6 |% y- Z' v q6 x

  (允许将来自父系的可继承性权限传播给对象)

7 S2 v$ \0 ~* W! W2 b

  b.\program files\common files:

$ X7 T6 X! X, c. n4 I

  everyone:读取及运行

2 Q1 ^0 E& k- I

  列出文件目录

" ?; t- J( v; P9 f" \2 p5 t

  读取

' [/ N( v! y0 u; g1 I7 @4 p

  (允许将来自父系的可继承性权限传播给对象)

* B5 V( N7 y7 p/ C) r- ?7 K

  c.\inetpub\wwwroot:

% {; l8 K7 R. N7 T) @ a8 x

  iusr_machine:读取及运行

6 x. L# f; l) k

  列出文件目录

3 [. d1 X1 p. f0 i

  读取

" r2 V6 W3 t% A3 @+ K/ F

  (允许将来自父系的可继承性权限传播给对象)

/ t9 a: P4 o8 E2 i7 p4 C

  e.\winnt\system32:

$ E: m" w# d# s3 M, ^

  选择除inetsrv和centsrv以外的所有目录,

* u! u% B& q' i

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

% c" A- h* l4 [1 n, q

  f.\winnt:

* ^5 D' k% p# k, |5 x5 |% ~: ~" g. l& r

  选择除了downloaded program files、help、iis temporary compressed files、

, ~: h4 ?8 Z( I( B/ u F" h

  offline web pages、system32、tasks、temp、web以外的所有目录

: \2 L" E( M* y# r h' l9 R: U

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

4 [3 y# k o5 G( e+ @; [

  g.\winnt:

( F2 {& B w% S- `

  everyone:读取及运行

2 R! ~* X$ i: W' c3 ~4 K

  列出文件目录

0 ~9 [: L. Y" H: ~ l7 T& J. h

  读取

* f1 @) {6 Q W- ^' V( _& S) S

  (允许将来自父系的可继承性权限传播给对象)

9 _8 L `& j) U8 e+ l4 `3 Y1 I

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

! b% w9 Q" y$ t$ C" W. T+ [# o

  everyone:修改

' K' L* X) S# T

  (允许将来自父系的可继承性权限传播给对象)

+ R d i: O6 W- @; Y

10.如何隐藏iis版本

, W+ V4 y/ u2 w4 {" _' x& `

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

1 T4 y3 C8 \: ?. o

  iis存放IIS BANNER的所对应的dll文件如下:

( N; o& X+ C$ f) A/ K

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

& x' K: G7 w R

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

/ F! N( @) O a( g

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

, |+ W% t+ L) z2 D. o

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

8 D9 V/ b% p$ {& u

  具体过程如下:

; W- ^) U& J- `7 W- k( U

  1.停掉iis iisreset /stop

+ X; p) a: ]( O5 X1 ]' ]& ]

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

: x. Q H2 Y+ P* V6 E- T% \4 A7 @( @, c

  3.修改





欢迎光临 老秘网_材夜思范文 (http://www.caiyes.cn/) Powered by Discuz! X3.4