标题:
学会十个“如何”打造安全IIS服务器
[打印本页]
作者:
admin
时间:
2008-1-25 02:15
标题:
学会十个“如何”打造安全IIS服务器
1、如何让asp脚本以system权限运行
) d# W0 |6 V5 H* I: Z' C8 s6 D! Q
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
4 {- a7 M- A& A# {$ W7 W
2、如何防止asp木马
$ R" _' Q5 v4 U8 V# d& ?7 J
基于FileSystemObject组件的asp木马
9 C/ H. n8 Y f( x! r
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
. N% n! [( T3 U) a) ]# Y
regsvr32 scrrun.dll /u /s //删除
9 b' A7 Q- ~2 m" W
基于shell.application组件的asp木马
, G& o) ~; e/ ~7 s
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
) S G- k; X8 r4 n9 g& Z
regsvr32 shell32.dll /u /s //删除
2 x) R" p5 Z; h6 @ k+ V: @
3、如何加密asp文件
( \8 a( c6 L$ [+ k, N, x
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
3 A) |- g# P ~( B2 k
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
8 f* w4 C& q2 e* {
运行screnc - l vbscript source.asp destination.asp
# r& Y. e1 S7 v9 H
生成包含密文ASP脚本的新文件destination.asp
% e S( N1 h3 k- q
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
5 ?/ }/ O/ i. f+ W5 T: ~4 v
但无法加密中文。
' W* `8 h- @* F4 s I2 C
4、如何从IISLockdown中提取urlscan
" @0 I- I( k3 I8 K4 F
iislockd.exe /q /c /t:c:/urlscan
/ u( m5 e! f7 ^6 m" y
5、如何防止Content-Location标头暴露了web
服务器
的内部IP地址
* g9 j/ T% S& s
执行
- e+ Q; e: a" g3 T
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
4 N* H2 b5 w8 E2 \2 H$ \% d
最后需要重新启动iis
% I* K! a2 [4 `6 d
6、如何解决HTTP500内部错误
, z4 P8 N2 t5 C" B( p; l
iis http500内部错误大部分原因
' }& X V) h" {
主要是由于iwam账号的密码不同步造成的。
5 P/ [7 v" S, @; v6 p, U2 z: H: @
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
" F! Y( A) R3 l5 m0 Y
执行
: U8 L; K6 I/ w) V1 o; }
cscript c:/inetpub/adminscripts/synciwam.vbs -v
: g2 z9 y4 U: R2 @8 v
7、如何增强iis防御SYN Flood的能力
$ _9 i- C5 g$ O7 n% d
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
! r* q' c& C5 W/ `8 C
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
/ q$ D! J) e: N4 V0 C
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
* e* U s2 ]! F
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
# i5 P1 Y" \! B# a, l% ?
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
1 l/ p* o( g$ Y" [) o
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
4 h) N. p0 i/ D1 t; E
微软站点安全推荐为2。
& _ y/ c9 k: M4 `2 d) v4 x, L
"TcpMaxConnectResponseRetransmissions"=dword:00000001
. {$ I8 H4 j( ^) t0 P$ j4 S# j
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
7 G& A( A1 m) P- t- |
"TcpMaxDataRetransmissions"=dword:00000003
, a+ J' u7 b6 q4 r9 Z
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
/ D* R6 Y1 d2 O4 y9 g3 \- a6 U
"TCPMaxPortsExhausted"=dword:00000005
0 o2 e7 r. \9 T3 N' R, o
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
& D8 W. A6 G/ C2 A* y0 T8 z
"DisableIPSourceRouting"=dword:0000002
# V. k9 X; V* J& c
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
6 d6 s7 {: G. n, g% ?! z+ Q5 G+ U
"TcpTimedWaitDelay"=dword:0000001e
& V( W" J: k9 }! k; Q: ^! P3 o
. P8 m! @) D6 D( }& Q! [5 [
8、如何避免*mdb文件被下载
$ |1 Y. s. N" ^6 O4 f# {7 u) J4 h
安装ms发布的urlscan工具,可以从根本上解决这个问题。
9 O: K3 q$ F1 N: _/ Q$ ~6 z3 O
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) X4 Z6 c* @. f# C
9、如何让iis的最小ntfs权限运行
* U/ M, I7 |5 N2 |) a; b. D
依次做下面的工作:
+ Y- @4 f* V6 L, Z; \6 q. m
a、选取整个硬盘:
5 J6 w" E7 Q H9 \
system:完全控制
8 @1 P* x" ~0 v& A3 ]- Q
administrator:完全控制
5 s* _" Y0 N, ~0 @ L
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
: }% I v E# F* b7 W
everyone:读取及运行列出文件目录读取
2 C" r8 S. t ~ c# F# v/ j, v
(允许将来自父系的可继承性权限传播给对象)
$ A$ ?* R z8 [4 i0 W$ f' ]
c、/inetpub/wwwroot:
5 C8 O* \9 T' k R/ K6 Z
iusr_machine:读取及运行列出文件目录读取
0 D2 o7 L+ N0 d' t$ X [: I1 u
(允许将来自父系的可继承性权限传播给对象)
2 }& M0 b2 V$ O1 b( V+ K
e、/winnt/system32:
: C2 {3 e, w$ r& e2 n
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# R. T: n4 x: e8 F+ y
f、/winnt:
2 T0 H9 r1 a8 Z: U
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. e" U1 F2 `5 W" e( j
g、/winnt:
! P( H' a) ?; l a% g) \# N
% V/ d3 g R' s" J& }
everyone:读取及运行列出文件目录读取
, S8 X, t6 m2 e
(允许将来自父系的可继承性权限传播给对象)
$ J+ ~3 g4 y9 I9 }: Y- Z
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
4 T! `* q: S1 O7 _7 v( F, Z
everyone:修改
/ }( @5 x1 E% U/ E3 s$ S+ L6 _
(允许将来自父系的可继承性权限传播给对象)
9 I0 \' j! [8 X5 X( `
10、如何隐藏iis版本
( g e! C" Z/ u
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
$ H% Q& B; R C4 C% t
iis存放IIS BANNER的所对应的dll文件如下:
) _0 l; n7 s: d; e& M/ |+ V8 c, E
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
! K0 `. j1 E+ M) l" |
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
+ b! H1 a" U! l( {2 S) i
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
# M1 J. d! I6 |
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
1 w" N: R, G4 C$ L% D T
具体过程如下:
0 J$ J p0 H' m' f& z$ h
1、停掉iis iisreset /stop
0 _* p- V& G/ b; Y( x( n5 J5 C; F& r
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
3 ^! T' `# S9 c; y* J4 L& G
3、修改
欢迎光临 捌玖网络工作室 (http://89w.org/)
Powered by Discuz! 7.2
