关灯
《文稿,还能这样写》作者雄文《笔杆子碎语》作者王一端《机关文稿写作入门》作者杨新宇《机关文字工作五十讲》作者何新国
最新《公文写作培训课程》直播间《公文写作百法例讲》作者房立洲老秘网站长、《老秘笔记》作者老猫《公文高手的自我修养》作者胡森林
开启左侧

iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

[复制链接]
中国老秘 发表于 2010-5-10 17:00:09 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
文稿修改演播室众筹计划,点击了解详情
 

一位高手整理的IIS FAQ

) L$ _3 P- j6 x

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

2 K8 }" b, ~, R+ ~ O1 |

1.如何让asp脚本以system权限运行

7 A$ |. {% o- K3 ^

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

$ `' W) f" v" i3 n- N

2.如何防止asp木马

0 u3 j" m3 y4 z3 l

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

! _/ e" ~; M, u9 u

  regsvr32 scrrun.dll /u /s //删除

$ y, j1 `$ Q3 f% R

  基于shell.application组件的asp木马

: \- G' x4 r. k

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

" `2 ^* D0 r4 o3 G

  regsvr32 shell32.dll /u /s //删除

2 [$ x9 }5 M* y/ o+ C

3.如何加密asp文件

' z I" ^* Q- e2 x$ X& v6 F

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

4 d+ ]) [' j# T# x3 b1 }* P

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

, k$ Q5 W! @) X9 v

  运行screnc - l vbscript source.asp destination.asp

/ ]9 `% a8 m7 T% S8 _! ^7 H: E; }! U

  生成包含密文ASP脚本的新文件destination.asp

5 E8 J5 ?+ O7 L: v+ v2 g9 Y E

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

" u2 U5 F, M/ z v# p

  但无法加密中文。

0 R V8 I" e8 J$ Q3 i8 `8 O

4.如何从IISLockdown中提取urlscan

3 ?* a- G# L# Z

  iislockd.exe /q /c /t:c:\urlscan

4 ?, N* W7 j3 _

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

8 v7 U& Q. v4 J/ A S* U# ~

  执行

' n. c; t# u, ]4 w

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

, ^6 A7 l( _: C2 Q8 v

  最后需要重新启动iis

! R$ F: H; w# u; B: J9 S

6.如何解决HTTP500内部错误

3 Y3 ?# [6 h/ z1 V: U$ ]+ q

  iis http500内部错误大部分原因

N5 w( `4 B( C- K! u

  主要是由于iwam账号的密码不同步造成的。

2 `3 i. {; m$ D$ ]- n9 J! ?

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

) j8 v/ L* O, `% N1 a- S: @

  执行

- X' j* J" N( m& u. h* @/ \ v

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

6 N# A& i1 M7 J( J( q( E) G3 C

7.如何增强iis防御SYN Flood的能力

* j, y7 h% R/ m) p/ p1 R

  Windows Registry Editor Version 5.00

! ~' p' G3 S/ B4 o8 l$ a1 d

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

) F5 _7 q- y9 E8 G/ U& r' a+ l7 m$ ]

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

! s& V5 B! k+ p1 ]" g6 b

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

; t) } r" L' T; h

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

# E$ w! R# {9 K! P! }8 y/ w

  "TcpMaxHalfOpen"=dword:00000064

3 d( W, I6 ^, r0 g' e

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

' Y6 A. y/ x# a- {

  "TcpMaxHalfOpenRetried"=dword:00000050

! C+ @# x! [5 m* \2 m

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

7 B( w+ E% K4 ?

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

! X y) P2 Y' U! C7 t. Q8 x

  微软站点安全推荐为2。

5 m* A' d& O0 y1 ^

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

; A- j5 g. o7 `/ m8 W2 o

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

6 ?9 k! H$ j4 H( i9 O7 y3 S

  "TcpMaxDataRetransmissions"=dword:00000003

! m5 z1 d" H% l) N3 _! Z

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

7 P4 T% K, t# J7 X. s: H

  "TCPMaxPortsExhausted"=dword:00000005

) s. x' b R( O9 p# D B% @ D# S4 m, Z

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

4 _) H+ ` c$ O9 L* T. L

  "DisableIPSourceRouting"=dword:0000002

7 ~( Q4 o0 j) W, V% O

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

4 f" n2 X! y) A

  "TcpTimedWaitDelay"=dword:0000001e

1 S" d% N; r0 [: l

8.如何避免*mdb文件被下载

' h0 b- V) @# \: E( I* D" \

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

+ W% b. w+ r2 U; @4 Z X

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

3 L& d [1 u6 j

9.如何让iis的最小ntfs权限运行

+ f i: W; Z( k4 T( i6 L6 _

  依次做下面的工作:

9 a- t) n8 z+ U+ _

  a.选取整个硬盘:

' c, A E' o3 |/ @5 ^) q2 F9 o

  system:完全控制

& w. `$ b0 ^- J7 i! U& K& ]3 @

  administrator:完全控制

3 p- `2 o7 A" K% v

  (允许将来自父系的可继承性权限传播给对象)

$ o B2 _0 `2 t: I8 L9 w

  b.\program files\common files:

9 O; u! }- [7 r; w

  everyone:读取及运行

' \0 Z3 ~; I8 B, a0 c5 [

  列出文件目录

- F1 A- z1 _; m1 H) X) h/ v

  读取

0 D0 j+ M. V2 u% [. g- B G

  (允许将来自父系的可继承性权限传播给对象)

/ ?) p6 z. d f

  c.\inetpub\wwwroot:

# y; v# T6 b$ G; k; z; }2 k

  iusr_machine:读取及运行

0 l1 {8 ^% E; d9 r R

  列出文件目录

0 f0 g0 {3 K% M" ]/ M

  读取

" f+ H, ^6 h5 d

  (允许将来自父系的可继承性权限传播给对象)

% ~" ?9 i7 g: ~ T$ K4 C

  e.\winnt\system32:

% t3 M3 U- B, ^6 v- t

  选择除inetsrv和centsrv以外的所有目录,

! O$ X: y5 b0 R; ~) P

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

z" |; ?; E H8 X6 E% a$ N" ^

  f.\winnt:

6 M, Y! K1 n* {

  选择除了downloaded program files、help、iis temporary compressed files、

& @1 {( U8 r5 r' q

  offline web pages、system32、tasks、temp、web以外的所有目录

: e8 h( i7 ]* w5 ?5 ^( G

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

0 `1 z. R! N9 D- d" d6 l

  g.\winnt:

A" v: K. Q8 R

  everyone:读取及运行

9 @7 ~* f' @: q3 ` j& `

  列出文件目录

7 G2 ?% }$ v# e( |

  读取

9 V4 a, O# d3 Q* Z9 ^2 a/ Q; b8 O

  (允许将来自父系的可继承性权限传播给对象)

1 p, _) E+ Q$ [7 Z3 Z. H

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

# g1 {# w! d. |& W8 s. [

  everyone:修改

" r/ i, j. o" u0 A- u8 r; ~0 I

  (允许将来自父系的可继承性权限传播给对象)

. i# B7 d i; ?- y

10.如何隐藏iis版本

' }0 H- m& w8 Q2 M

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

7 D. l7 i+ P3 }% L8 L) `

  iis存放IIS BANNER的所对应的dll文件如下:

a: Y$ p) w6 y! _% M( D( ~2 F5 W

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

6 G! ^6 u( n! H0 i# U& X

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

7 J5 N9 A3 u i) I+ i

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

7 F( J; J% M$ F& a) p/ R2 q# b

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

* a4 R7 E) D& ~5 H" \

  具体过程如下:

5 j1 `5 n% t: l) z

  1.停掉iis iisreset /stop

0 |% I& O: J- h( t( d; }0 V

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

' F6 }' E. F* w2 s7 b

  3.修改

 
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


0关注

25粉丝

2229帖子

排行榜
作者专栏

关注我们:微信订阅号

官方微信公众号

客服个人微信号

全国服务热线:

0595-22880819

公司地址:泉州秘途文化传媒有限公司

运营中心:福建省泉州市

Email:506070961#qq.com

Copyright   ©2015-2025  老秘网 责任编辑:释然Powered by©Discuz!技术支持:秘途文化  备案号   ( 闽ICP备19022590号-1 闽公网安备35050302000919号 )