学会十个“如何”打造安全IIS服务器 安全, IIS, 服务器

admin

1、如何让asp脚本以system权限运行+ G5 {6 _6 r3 D0 k
修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
. {# E/ g+ y  T. ~2、如何防止asp木马 7 L; C2 _$ U6 K1 y% f% ]0 a+ u8 g
基于FileSystemObject组件的asp木马
; ^/ W9 R8 g; P2 c6 X7 W2 Y. C  Q$ mcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用$ s1 S  j& w- }# A
regsvr32 scrrun.dll /u /s //删除$ m, ]: T1 Q5 K7 B# q: Z
基于shell.application组件的asp木马+ y6 q9 I. h) B9 [: p0 q# v# F
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 9 k) R- ?# i/ \) |( M
regsvr32 shell32.dll /u /s //删除
/ `0 }4 Y$ q  A5 r: c" W. [) x3、如何加密asp文件
, A4 |0 x$ H1 c; V从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
& Y& K5 B  y" v: E安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。& c2 J) T  Z8 n* t# b6 G9 O
运行screnc - l vbscript source.asp destination.asp
3 C" X8 Y+ S8 ^# b$ j% e5 t! N! C/ n生成包含密文ASP脚本的新文件destination.asp
9 F8 e% a# p' Z2 Q- r/ I用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了
* F( D! g/ J2 P* W6 C; `" N& h但无法加密中文。& @, {8 w* ?# y' A- v6 o# M5 I
4、如何从IISLockdown中提取urlscan 4 \8 O( X  T, D- t( J( }7 b
iislockd.exe /q /c /t:c:/urlscan
# P) n( P& ~3 f8 t, S: l5 V/ G5、如何防止Content-Location标头暴露了web服务器的内部IP地址 . m7 C/ ?$ s( V. M5 r. o: E. s
执行 7 U) {, y% i& I# N& B+ M
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True " o0 [! I) G+ [5 C) P+ y/ u8 p
最后需要重新启动iis
# \2 d; W' c- N) O( {$ B6、如何解决HTTP500内部错误
6 u2 F" ^( x7 Y" B4 Fiis http500内部错误大部分原因
2 t- \5 n: [* c7 Y  q5 |4 x$ a主要是由于iwam账号的密码不同步造成的。
! k6 R/ z0 G0 A- e9 c我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
  g7 I! c8 @8 |执行 - |" b8 G2 o' r- ~
cscript c:/inetpub/adminscripts/synciwam.vbs -v
' F7 N' F8 P2 I( Z8 h( m7、如何增强iis防御SYN Flood的能力
$ ~. g; a5 c2 V  w) [  [4 ]Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 7 L2 E, r7 d: R
启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后 安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。, y% J3 y: t3 F8 J/ r8 A5 ?, v
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
3 n7 Y4 q: w" _0 d# W- R"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
5 L+ ^8 a- }, h( F  o3 ]/ k# @设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
1 B5 J& }; I( ~/ h" \* H: o项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。9 o  k  z- {. r/ M
微软站点安全推荐为2。! E' q. a  Q: |5 I
"TcpMaxConnectResponseRetransmissions"=dword:00000001
3 d. m7 M# A0 h  T/ _" @/ }设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
& }4 H' ?# z. _6 p: {"TcpMaxDataRetransmissions"=dword:00000003
- @; D  t; p8 w5 O% U设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
3 I. f+ o: t2 I+ s9 y3 r9 D"TCPMaxPortsExhausted"=dword:00000005 7 C1 k0 G2 t! g- Z
禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的源路由包，微软站点安全推荐为2。 9 \9 J, o: r" S
"DisableIPSourceRouting"=dword:0000002/ X, C0 e  Z9 B6 P( l% H
限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。: b# j+ w* e( M3 A
"TcpTimedWaitDelay"=dword:0000001e
0 ]  q. t  x+ a1 L- C, @& J' c/ W: l  F& F$ Z
8、如何避免*mdb文件被下载
7 P$ e4 ]9 I% }- x8 F4 Q! a* l安装ms发布的urlscan工具，可以从根本上解决这个问题。
1 I; _% D+ F. y1 L1 I3 b5 \同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。
2 K8 L1 V7 g! a. X) M5 X1 r# W) q4 ]9、如何让iis的最小ntfs权限运行 ) z, Y: H+ q6 G! C6 q& S
依次做下面的工作:
  t' q, T4 ]3 s* z+ X  a$ \6 aa、选取整个硬盘：
: K2 k( R" e' A' s& l+ r! Psystem：完全控制
5 h$ R  `! E" T  Y/ M4 Q; Dadministrator：完全控制
7 `  S7 q. S, @1 J% F0 A(允许将来自父系的可继承性权限传播给对象) b、/program files/common files：
  g/ n* n, ~# {everyone：读取及运行列出文件目录读取 * `0 W/ {9 A( `& E: X
(允许将来自父系的可继承性权限传播给对象)
2 V/ h( q- o: s, N' \c、/inetpub/wwwroot：
8 N% z3 v" O! v! _8 v* C/ ciusr_machine：读取及运行列出文件目录读取+ A  q6 [/ f3 D& ?7 d
(允许将来自父系的可继承性权限传播给对象)
1 }8 J$ T& v) X. T0 `e、/winnt/system32：" X- Q3 g+ Q( B; A, \9 t8 N2 Y
选择除inetsrv和centsrv以外的所有目录，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。 . _' U- O( `$ b4 l  h& y5 ]* E
f、/winnt：
  F3 h/ R! o6 j9 u% Z& K选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框，复制。& m1 {3 T5 _( {, ?/ p! J
g、/winnt：
, _1 `0 l9 _( |5 v* o: Y( ~　　! Z& k  I# i8 i) S, O/ g: _
everyone：读取及运行列出文件目录读取' h& n# [5 I6 F4 `% @/ V! Y
(允许将来自父系的可继承性权限传播给对象)
& i7 ^$ n; Y- C; I8 oh、/winnt/temp：（允许访问数据库并显示在asp页面上）
* e' M3 {" e- c: @- I2 s6 H3 Y- a% V7 ^everyone：修改 9 V4 h' Z7 f0 s3 C9 i% V
(允许将来自父系的可继承性权限传播给对象)
( z8 z5 e$ @7 H. k& }/ |10、如何隐藏iis版本 # o' B% [' ~  L) ^& N5 P
一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息
& y4 w" v' E' Q3 u/ k/ L8 Oiis存放IIS BANNER的所对应的dll文件如下：
' v. b2 ^& _! N* bWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
- I$ C! M! q( U" vFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
, C7 v* U6 O* \* T- k' {3 rSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL . p  E6 _7 `, F0 {  s  Z1 |$ {
你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0 ( b$ s% E( B% X. T+ g0 k; P+ x
具体过程如下：
( M, ]! N$ p9 P5 [( l1、停掉iis iisreset /stop
% C2 }8 C$ i5 k% @7 e; i7 U2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
5 a- x. U; @: a; L3、修改