老秘网_材夜思范文

标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ [打印本页]
作者: 中国老秘    时间: 2010-5-10 17:00
标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

一位高手整理的IIS FAQ

" o: h/ U# _* f

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

( L, _, Y e3 X2 l* q% Z

1.如何让asp脚本以system权限运行

6 f' I8 |2 {0 w3 |7 L

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

+ V) z) I; o$ S$ n2 c

2.如何防止asp木马

9 g) \* g, Q9 a( g

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

o! x. j1 P/ F% N$ z# x

  regsvr32 scrrun.dll /u /s //删除

$ h8 |7 \% t" ]" n" c2 k( q

  基于shell.application组件的asp木马

3 f& ` E; `4 P6 l

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

7 P# o& _3 V9 I$ \: R8 _

  regsvr32 shell32.dll /u /s //删除

5 L) B* n9 q0 F# W2 ?1 ]

3.如何加密asp文件

2 L2 I3 P7 `) U' M) R

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

- G( o# a0 O6 F2 g$ v, j- u

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

; s. U+ m: V1 r& N/ t V3 q; |0 s

  运行screnc - l vbscript source.asp destination.asp

/ Y; y+ ]& w" U6 D# D

  生成包含密文ASP脚本的新文件destination.asp

) |: z& p l8 d

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

. M3 J7 {$ r+ R: g3 N

  但无法加密中文。

1 V7 g. ?1 h1 d1 d8 G0 b

4.如何从IISLockdown中提取urlscan

3 q; I+ z/ s$ \" ]

  iislockd.exe /q /c /t:c:\urlscan

! c4 z" _1 o$ t! A& O% o% ~6 g

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

0 E& g3 u! g$ t2 m2 R5 f

  执行

2 I: W6 y P y; s% k

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

9 L9 e/ A& Z `

  最后需要重新启动iis

" G* ?9 T. e( N8 ]

6.如何解决HTTP500内部错误

/ ?: Z5 }' X4 u, m! T

  iis http500内部错误大部分原因

- x3 m+ Z T D/ W

  主要是由于iwam账号的密码不同步造成的。

% L3 c* v h3 }+ D' ]- L

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

) X2 W' a# W8 K; ^( B( @ L4 p

  执行

6 s c7 u7 `1 [2 K W2 f+ R

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

3 j* m2 ]3 M. I9 d/ V3 B9 G! x. f

7.如何增强iis防御SYN Flood的能力

: {/ X& z% r1 W0 `

  Windows Registry Editor Version 5.00

3 n: {0 `" |0 U6 U

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

3 ~$ H5 {9 D* p2 m

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

3 N8 N* p" ^* S, C( c2 l: H

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

! A- k7 c- n6 ^9 q9 o/ }

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

, k' e6 u& K" ]0 ?

  "TcpMaxHalfOpen"=dword:00000064

+ A- u5 t3 w* I& g

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

- v& R* V5 h2 r4 A! s9 k. R# }

  "TcpMaxHalfOpenRetried"=dword:00000050

; O+ D# ?* L8 \2 g

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

; ]4 S0 l/ V; A& U% P$ ^2 ?. A, c

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

r' t9 S7 {4 L% b) M

  微软站点安全推荐为2。

: d) r! A% q( K. i9 M

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

& U) Y+ n/ Y) ?9 H% E9 f* V

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

4 E0 x6 N0 }1 B8 e' x

  "TcpMaxDataRetransmissions"=dword:00000003

2 c0 n, E5 d1 R. t

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

* W# Z( U0 m- s* E5 d

  "TCPMaxPortsExhausted"=dword:00000005

+ G; a; E- ?0 B" Z8 |' W" C! g7 H

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

( a+ t \" r4 _

  "DisableIPSourceRouting"=dword:0000002

i( B- d5 s% m0 Q G+ n

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

2 U- _2 `; Z+ L2 \1 [5 ^/ C

  "TcpTimedWaitDelay"=dword:0000001e

6 D* q; ]- [; @

8.如何避免*mdb文件被下载

9 `* r: v2 W6 X; `

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

' o% p w& `8 s- u# x- g# I

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

6 m7 M% [$ s6 U2 q8 Y/ E

9.如何让iis的最小ntfs权限运行

: F5 q4 c2 i' U6 r

  依次做下面的工作:

) p# ?) ?" b: |; J2 [& Z h: s0 l/ I: F5 i

  a.选取整个硬盘:

+ D9 S1 V6 _/ z

  system:完全控制

6 [2 X( z1 W# P2 k2 a

  administrator:完全控制

1 K" M# g8 _7 O3 l, k

  (允许将来自父系的可继承性权限传播给对象)

' r0 q1 S: B. |0 L3 b P

  b.\program files\common files:

1 i' F% L) y' q& N) a# y+ Y

  everyone:读取及运行

7 A4 L+ p; C W; y( h" A

  列出文件目录

; q) ~1 x. ^+ [5 t7 d

  读取

: n7 h) ^2 g) R* n( |( v

  (允许将来自父系的可继承性权限传播给对象)

; k- C" A" e) n9 s7 k6 I3 ]

  c.\inetpub\wwwroot:

" I8 @. H( [/ o" K

  iusr_machine:读取及运行

' x+ |" z# G; f/ n: c; U

  列出文件目录

( {$ X+ r. w& l; j# _" N) Q

  读取

) y9 l& x/ h5 C% A1 K

  (允许将来自父系的可继承性权限传播给对象)

5 F9 G% x9 w% g' ~# P0 Y) S3 P

  e.\winnt\system32:

/ z! |! Q( g) g1 f6 g

  选择除inetsrv和centsrv以外的所有目录,

4 y2 \8 Q5 F6 D- a0 t2 ^$ I

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

7 O, r6 U- n5 w e

  f.\winnt:

& H* a) _; Q" L5 o3 ?6 F

  选择除了downloaded program files、help、iis temporary compressed files、

/ N8 z6 H. l/ j5 S9 @' I

  offline web pages、system32、tasks、temp、web以外的所有目录

2 p+ N% @- W7 C! J. [$ e& t

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

) _$ o1 a$ {3 R0 U8 y$ B. B$ Y

  g.\winnt:

4 D: @! n1 [9 Z) S

  everyone:读取及运行

& Y4 e+ ~( e. t$ Z! w

  列出文件目录

; O `$ r) L, H' w5 r

  读取

2 g3 E9 a! ^% h0 S

  (允许将来自父系的可继承性权限传播给对象)

. E7 F( G: V; l$ W

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

" C) E6 l, d) n

  everyone:修改

( N0 n4 y! V; G! g2 k& A

  (允许将来自父系的可继承性权限传播给对象)

" |9 W: h' X4 W. e3 c

10.如何隐藏iis版本

7 R v2 c, p8 k" Z4 z

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

* b# S2 `* R7 T8 B( W" K

  iis存放IIS BANNER的所对应的dll文件如下:

4 z) W& l) z5 D- X6 D& [, H

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

* f8 g; a r+ S- P

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

4 ] j" {: O( k; y; Z R, P( f

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

0 T P u* L, H

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

8 ~& Q# e' a# y _# H/ r9 k0 i

  具体过程如下:

. M# m# g/ i T/ V8 k7 e$ F

  1.停掉iis iisreset /stop

% R K/ l( b2 C# \

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

i! x( S0 K! v V9 n1 R, x

  3.修改





欢迎光临 老秘网_材夜思范文 (https://laomiw.com/) Powered by Discuz! X3.4