标题:
学会十个“如何”打造安全IIS服务器
[打印本页]
作者:
admin
时间:
2008-1-25 02:15
标题:
学会十个“如何”打造安全IIS服务器
1、如何让asp脚本以system权限运行
+ S: R* q6 |2 u0 p9 X
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! @7 ?2 K! Q; J+ T4 J/ M+ w( `
2、如何防止asp木马
% L& s$ c, }% Y X0 `8 U
基于FileSystemObject组件的asp木马
3 o) w8 b# N) ^% W* e
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
3 d% ~6 s! S0 V, X
regsvr32 scrrun.dll /u /s //删除
9 G R }/ x4 k! M
基于shell.application组件的asp木马
4 {! k/ w% P% q5 M
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
- e& {: J, F6 l; z& e
regsvr32 shell32.dll /u /s //删除
4 R/ F7 Q0 ~% F) p e% o
3、如何加密asp文件
& j5 U- ], r" c) P# E# I3 a
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
& k8 {& d! c3 a; g1 _6 S% V
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
4 k: P: e1 i [' @# h2 v3 h
运行screnc - l vbscript source.asp destination.asp
+ E" r0 ~+ b. D& |
生成包含密文ASP脚本的新文件destination.asp
& z8 x ?6 J$ I% P. F) H5 W! y
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* A1 G1 e7 D& [4 W, r
但无法加密中文。
$ j3 c2 J4 |$ M8 h/ S+ |: K
4、如何从IISLockdown中提取urlscan
$ L& T: A. ?' X
iislockd.exe /q /c /t:c:/urlscan
7 H% T0 c8 B) ]3 g
5、如何防止Content-Location标头暴露了web
服务器
的内部IP地址
9 C2 |8 b, d9 _: g" f4 H
执行
3 M, E! {6 }0 C0 o2 V O
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
9 j0 p T3 }! P0 ~) j* K
最后需要重新启动iis
4 W+ I; o" b! F& W% z
6、如何解决HTTP500内部错误
% l5 C$ {3 D. ?# z' Y" }: @
iis http500内部错误大部分原因
% U+ W# S. {9 O9 Y* m, @& p
主要是由于iwam账号的密码不同步造成的。
& j4 H: f$ W; n7 ]. w
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
2 M! C& V' u2 u" J4 h, B
执行
! J- d- i. X8 V; Z. o4 [9 P. T2 a
cscript c:/inetpub/adminscripts/synciwam.vbs -v
3 @' F& O+ B/ }; I A8 s% b O: O
7、如何增强iis防御SYN Flood的能力
: Z" K2 }3 m4 ?
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
$ c. m* [) S' O& z: U# M9 a
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
6 U5 E( y0 P. O
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
! a: ]! o# d5 c# H: {
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
; L+ Z7 [8 m" [& S7 W& |6 P. G
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
C$ ?/ I5 T% _" a' R4 o8 N: ~3 }
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
" y$ |' n0 @; d
微软站点安全推荐为2。
8 g' R I; g5 L/ v
"TcpMaxConnectResponseRetransmissions"=dword:00000001
: K7 v' ~, h( F+ b# w) W
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
( e( G6 u. U8 ~2 }" d( @+ U0 ~
"TcpMaxDataRetransmissions"=dword:00000003
7 A+ m$ E2 m# T4 k" m2 x
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
6 J, X- ^4 ~: E7 |( {+ |
"TCPMaxPortsExhausted"=dword:00000005
$ D1 U9 c' y3 L( `; J; B
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
4 {7 m3 ?: h7 ^2 ], o
"DisableIPSourceRouting"=dword:0000002
, ], T4 w1 M8 S" v# q, X
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
5 M2 H- [2 g( y4 G& P
"TcpTimedWaitDelay"=dword:0000001e
7 \; X9 }- }( G
2 G$ r$ r9 G2 }' q* y
8、如何避免*mdb文件被下载
& }9 u6 M9 P+ x: `4 |$ m
安装ms发布的urlscan工具,可以从根本上解决这个问题。
2 t( M5 M+ f# I3 p$ K/ g
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
% [* l8 w p; E2 e( g1 F
9、如何让iis的最小ntfs权限运行
+ _- @3 h- g) Q" w
依次做下面的工作:
/ h& E" R! v/ }; J7 o
a、选取整个硬盘:
, c" a/ F0 Z5 V3 Q: a. o
system:完全控制
7 E' M; X% v5 c1 U
administrator:完全控制
( K: I. g% h- a1 Q
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
1 J) K0 q k) q* W1 M8 w3 G
everyone:读取及运行列出文件目录读取
7 s! j* Z0 Y3 F3 M2 v5 x
(允许将来自父系的可继承性权限传播给对象)
+ i: T% w* w' }; H
c、/inetpub/wwwroot:
: l7 P- J0 m4 v+ U( D+ I
iusr_machine:读取及运行列出文件目录读取
: O2 ], x% l( Y$ p! ~
(允许将来自父系的可继承性权限传播给对象)
9 U: T7 _1 h9 I8 I' H! A- h6 O+ D
e、/winnt/system32:
/ P+ Q2 M+ v: M5 s K# {) A1 r k' K
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
a* S7 q; L" k& ?& s
f、/winnt:
W6 K: O; y% j% H' ]4 C/ U
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% c2 w0 M) l9 d1 ^
g、/winnt:
" \! ?# c. X! x4 ^
; D1 b# Z9 T7 Y5 E- H/ ]
everyone:读取及运行列出文件目录读取
, J7 k( |5 D3 A0 b
(允许将来自父系的可继承性权限传播给对象)
; s7 ?& G& B! |1 O% C+ r; `3 z
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
3 B1 \& C N8 M9 n j- `/ @1 Z
everyone:修改
/ p' H! D$ |2 d4 h+ s
(允许将来自父系的可继承性权限传播给对象)
" ~1 W) Q, \* g# y! L/ t# R; Z" D4 v
10、如何隐藏iis版本
" Q/ i0 B; S. E& w" o
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
, l5 x2 N Y9 u8 ^) \
iis存放IIS BANNER的所对应的dll文件如下:
- K1 r/ i, k. z* O
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
/ _1 |; n, l. K, ?, Q- ^" b
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
6 H# c1 R* A: J6 D
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
, b2 ^" O1 K- _
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
; n* k5 ^- X. M/ w
具体过程如下:
! T' L. a( f4 D: L/ a& B2 q* W
1、停掉iis iisreset /stop
6 o$ Y; |' x, B0 @
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
R& \4 w5 u2 ^! p2 o D6 o9 k
3、修改
欢迎光临 捌玖网络工作室 (http://www.89w.org/)
Powered by Discuz! 7.2
