标题:
学会十个“如何”打造安全IIS服务器
[打印本页]
作者:
admin
时间:
2008-1-25 02:15
标题:
学会十个“如何”打造安全IIS服务器
1、如何让asp脚本以system权限运行
9 E) h. `! V! Y
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
+ r5 D9 O9 c. G( W9 X
2、如何防止asp木马
1 [1 `! O+ d9 W0 V& K- O6 Y( }
基于FileSystemObject组件的asp木马
$ W' m8 C6 S) d& N6 d
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
% o" F! e$ P+ l
regsvr32 scrrun.dll /u /s //删除
) M- l: A1 K6 u* U8 I
基于shell.application组件的asp木马
- o/ z. e) y6 f6 a& m/ _8 E
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
* \% r5 O/ i& _2 j2 z
regsvr32 shell32.dll /u /s //删除
) w9 d. Q# B; x q3 k
3、如何加密asp文件
4 @# s, @+ p8 Z
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
& r5 N8 e& E% |2 ^& D* m
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
1 s8 o- Q W/ \2 r( d
运行screnc - l vbscript source.asp destination.asp
* \6 w0 X2 q* M0 K
生成包含密文ASP脚本的新文件destination.asp
; Z: k; g d2 K x+ s
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
6 L. w" {5 P# N/ r
但无法加密中文。
( s/ m' ^% u9 B$ O h. M3 _
4、如何从IISLockdown中提取urlscan
7 O2 ^: u9 L- q& U# J
iislockd.exe /q /c /t:c:/urlscan
1 x, L$ b2 W/ ]7 K+ |1 j& _
5、如何防止Content-Location标头暴露了web
服务器
的内部IP地址
1 |+ j z" b5 k: c' B, m3 F ^
执行
: h6 v; Q/ l5 d2 X: [
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
% n' m2 J3 I3 b- }5 Q
最后需要重新启动iis
B, R7 y3 J# p, L2 b5 v
6、如何解决HTTP500内部错误
. H; D( T% q: }% r9 L {) M; |
iis http500内部错误大部分原因
( r9 \* T4 z6 F9 R8 K; q/ t: B
主要是由于iwam账号的密码不同步造成的。
: o5 \! s0 _- [1 N' c
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
! b/ p: O6 _' r, C# \- Y9 D* H" I1 P
执行
: @4 ?: G& t" B4 c2 n0 d k# T
cscript c:/inetpub/adminscripts/synciwam.vbs -v
$ G& p4 s. x; T6 L7 L5 S- v6 \1 e
7、如何增强iis防御SYN Flood的能力
2 Z0 R% W/ Z3 y% Q) O8 n# W
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
3 p9 s+ r# U2 K2 M
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
0 R& z# w. _* F8 r. c2 ?
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
) v v5 V+ M. {) O/ t' c& G2 [. o
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
! n n2 L/ n* Q/ |2 a! z
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
" W7 C: r0 T; H* J0 T q9 S; i
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 s8 a# s6 @. Q; [8 H
微软站点安全推荐为2。
7 ~3 q% {5 h& |6 P% l8 r4 V0 d# Y5 F; M
"TcpMaxConnectResponseRetransmissions"=dword:00000001
9 }* ]$ U X5 y6 t2 D( b# L
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
- N8 \! R( o1 M7 g
"TcpMaxDataRetransmissions"=dword:00000003
$ C, h1 u( Z2 q1 ^0 m3 e' e
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
- i$ K) `- p/ h, E1 s; R3 W: M$ s$ l
"TCPMaxPortsExhausted"=dword:00000005
& f6 [6 w; n6 s/ l( V- z' A, [. D* ?
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
3 x* i- k% x% v5 Y+ y) p- o
"DisableIPSourceRouting"=dword:0000002
) e7 g, Q7 ?' }9 H' {* c$ ~) W
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
4 x( J0 A% o7 Y, j4 a
"TcpTimedWaitDelay"=dword:0000001e
5 s( K- _$ L( T( ~8 r! o8 M$ W4 R$ u
9 G+ y9 P/ `+ a" \
8、如何避免*mdb文件被下载
& Q4 a- `6 o E0 g
安装ms发布的urlscan工具,可以从根本上解决这个问题。
# ^; o8 x: Q+ ?" z3 r7 M
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
8 y/ i3 _. b' u) ~ d
9、如何让iis的最小ntfs权限运行
/ ?) d7 E) Q% r$ p) T! I4 H/ k
依次做下面的工作:
! u4 W& G; U5 V( }
a、选取整个硬盘:
u5 B7 Z z; ~) x f) K
system:完全控制
+ m6 A; c& S6 O) m' a" c7 e" m. N
administrator:完全控制
: x, ~. G- C+ Z4 Q9 U
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
' j% w9 V/ I7 J) d; \7 h% C
everyone:读取及运行列出文件目录读取
. y) D+ u5 U1 O% F
(允许将来自父系的可继承性权限传播给对象)
& t1 [+ w. }4 ?4 i7 Y
c、/inetpub/wwwroot:
, F* B1 ^; W" ?$ \8 I
iusr_machine:读取及运行列出文件目录读取
5 W+ {1 |; v, U9 \" G; ?
(允许将来自父系的可继承性权限传播给对象)
9 q; h, s; G( I& H2 N6 e
e、/winnt/system32:
1 B) s t2 h! N+ e" E4 j
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. n" x9 I: O# c6 t N. F6 K
f、/winnt:
6 y& e2 R( f+ i. S& f
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ c1 r/ r( a5 k- ~
g、/winnt:
4 i, G& C9 W- ` I( J2 R
; b" y& s2 [: O* u1 c2 D
everyone:读取及运行列出文件目录读取
/ ~2 ?$ M- _+ [+ V' B
(允许将来自父系的可继承性权限传播给对象)
! k% V/ Y9 R6 ]$ Q o
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
6 p+ A, f% e& T2 m( b( o6 |: H. c
everyone:修改
2 F Z& |5 s. Z5 G, a
(允许将来自父系的可继承性权限传播给对象)
3 }& ?0 q s& W4 ~
10、如何隐藏iis版本
& E8 H, d. X8 q3 b" H' R+ g
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
" Y* _! u5 V) a
iis存放IIS BANNER的所对应的dll文件如下:
6 l+ w/ e/ |6 e' ^4 F
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
`+ H! ?) x% w/ z+ H1 F
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
% k; ]# i/ ]' y8 }/ o/ A' c. j
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
! \$ j8 w/ h3 D+ Z/ n
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
' \9 @) K: b; q( a6 V6 x6 U
具体过程如下:
4 s2 V1 ]+ v% F9 @, @ Y
1、停掉iis iisreset /stop
3 I+ G1 G6 w( |- ]5 r$ k' `
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
% T; [; @+ \4 F @% u( {& T
3、修改
欢迎光临 捌玖网络工作室 (http://89w.org/)
Powered by Discuz! 7.2
