学会十个“如何”打造安全IIS服务器 安全, IIS, 服务器

admin

1、如何让asp脚本以system权限运行: F6 H1 I  ?) i, P3 A4 S
修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
, g  Y0 C! d# p6 z, J& P2、如何防止asp木马
0 W; H# P; I9 c/ U$ |) K5 C基于FileSystemObject组件的asp木马
! ^8 O; J( z% K" ncacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
! n9 ]* |& S- W4 ^- uregsvr32 scrrun.dll /u /s //删除1 u1 h: @/ u" H0 [7 M! v/ o
基于shell.application组件的asp木马
4 }8 d+ g3 Z7 |. R1 scacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 6 b, g: u* e( G( b. H. C
regsvr32 shell32.dll /u /s //删除 7 q( a$ Y1 u; x) d" g" }7 l
3、如何加密asp文件
; D" X4 ~7 r( K* i* h4 M0 w从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 " Z' @4 U! `8 d" k& f, Z( o7 x6 U& R
安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。: g# [! P6 C/ t  T
运行screnc - l vbscript source.asp destination.asp
% \. U6 S# v$ A/ ^: `: D8 `1 k生成包含密文ASP脚本的新文件destination.asp
, s6 ~0 b" e1 N0 |8 [5 t: u: o用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了
! C/ y+ m6 _+ T" z) H但无法加密中文。. b9 H7 s1 j/ G1 e/ a) I3 b
4、如何从IISLockdown中提取urlscan
- W  W+ H/ c# g3 tiislockd.exe /q /c /t:c:/urlscan
! L0 p; L+ R( r+ R: I$ ~: `9 y5、如何防止Content-Location标头暴露了web服务器的内部IP地址
& Q) y5 d5 l- s1 _( e执行
% o: p. w) \6 _( Q, L3 dcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 9 Z4 G6 u3 l3 H
最后需要重新启动iis
! ], ?2 p$ d; O; ~8 h6、如何解决HTTP500内部错误% u# h) b# X& ^3 F5 _
iis http500内部错误大部分原因
4 D* e; s/ G# H主要是由于iwam账号的密码不同步造成的。
9 J5 e) ^4 a* H5 B  l$ ]/ }我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。8 d+ s$ ~2 O; |& P7 `3 Z
执行
; P4 ^. Z& A1 d2 E6 s. ycscript c:/inetpub/adminscripts/synciwam.vbs -v
. I+ V% ?' T, [" T; K+ P4 O7、如何增强iis防御SYN Flood的能力) W4 u0 s( T7 }+ U+ Z0 j" s
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] * m* s2 K2 m7 g. J. C% ^9 F% i8 k) C
启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后 安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
& b) O9 L0 p8 J"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。5 @9 \& ^6 G. {# ^  H& V
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
' A1 s! j+ g  e7 n设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。 ( P2 f2 u! b8 i0 ~  r9 x6 {$ ^: ^
项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。' t! H' W7 e/ |" w- S
微软站点安全推荐为2。: ]7 v* S& [4 o4 G' @
"TcpMaxConnectResponseRetransmissions"=dword:00000001   b4 L- s/ b/ w- ^% P- z3 j1 L
设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。   }2 B- m- u4 f
"TcpMaxDataRetransmissions"=dword:00000003' J, Q' V  J: K# y
设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
! f7 S/ i5 C+ M4 {' y. b5 N0 M"TCPMaxPortsExhausted"=dword:00000005
3 X4 K1 C$ s0 L! b: g9 q禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的源路由包，微软站点安全推荐为2。 , }" W) L& H, [  P
"DisableIPSourceRouting"=dword:0000002
4 `+ U+ I; O+ y; z" O限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
' {/ w0 d0 J+ O9 z" |"TcpTimedWaitDelay"=dword:0000001e
" p+ K$ u* s. V+ m% e' L. }  I5 O  J) c! U
8、如何避免*mdb文件被下载
- a6 Y+ _; Q1 v" A+ O: l: L; Y+ O# }安装ms发布的urlscan工具，可以从根本上解决这个问题。
8 s8 ^# g0 e: K) ?# A8 D" _# R5 Q同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。
/ N: ^0 i' c" `: p# o3 R* e9、如何让iis的最小ntfs权限运行 8 r# k1 R4 \# _* S" _6 L1 b
依次做下面的工作:
3 w% }4 O) Q. f+ aa、选取整个硬盘： ' Q7 J9 b0 T  r1 M" ]5 Y
system：完全控制
, |3 B( Y) w2 |+ Q1 c5 e" qadministrator：完全控制, Z! a) Q" |* p
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files： / H4 ]! P0 d  Z. g  G) P4 |
everyone：读取及运行列出文件目录读取
9 F% z9 ?+ u1 h$ V. |5 {(允许将来自父系的可继承性权限传播给对象) . a2 A% L% ~# Y& M3 B( J4 ^; e, D
c、/inetpub/wwwroot： ' d; m% K3 t  X  h& W
iusr_machine：读取及运行列出文件目录读取
3 ?7 c2 P5 u, U- v  E(允许将来自父系的可继承性权限传播给对象)
9 q! ~; D: t0 V7 X: \6 M1 R$ Te、/winnt/system32：. v, y" ]8 Q) [: a
选择除inetsrv和centsrv以外的所有目录，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
3 r( D1 U3 Q: cf、/winnt： 9 G' F0 d# }6 n
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框，复制。  E1 M4 _- B, W4 g' P" s2 F
g、/winnt：
# }- `) V6 i5 u2 v$ c　　
5 M+ A; g" K2 s) F- peveryone：读取及运行列出文件目录读取
6 D0 N# g: |' t& H! K(允许将来自父系的可继承性权限传播给对象) $ V! X5 G7 {: ~( q( a' I: z
h、/winnt/temp：（允许访问数据库并显示在asp页面上） ! i; {( i5 i1 e9 \
everyone：修改
. G7 c. W% j1 }(允许将来自父系的可继承性权限传播给对象)6 l7 J: U4 ]* Q. Q% P
10、如何隐藏iis版本
- e' s; I' Q2 l一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息
/ R! r6 o3 S, S! f# h/ P- Niis存放IIS BANNER的所对应的dll文件如下：
% J! `' T) W! M9 S3 NWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
4 N& z! G( U8 O$ J. XFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL  ~0 N$ b9 r% ]+ Z7 R: K, W
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 9 P0 ?& i- \1 F  G* z" ~4 P  E. U1 N
你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0
- n. l- C, ]1 P9 _) f3 F/ @3 q# n4 Y具体过程如下：
2 Y0 Z4 @: f8 [1、停掉iis iisreset /stop & |1 ?# q6 y) H. x
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
/ G- y- i* V% J5 S3、修改