学会十个“如何”打造安全IIS服务器 安全, IIS, 服务器

admin

1、如何让asp脚本以system权限运行: S* x, S+ o8 {  T2 J7 c9 e/ B
修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
9 G6 ~3 ^2 D" y, R/ y* V2 A" v2、如何防止asp木马
4 t) ]# n) p  ?, q基于FileSystemObject组件的asp木马 / Q& [. |; _) }2 T% X* ^/ c8 b" O
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
: u7 B: z5 ~* R* g8 v6 Uregsvr32 scrrun.dll /u /s //删除
5 J0 d6 {$ @% y) }; @; L基于shell.application组件的asp木马
) u) p: ^3 C# f) O* s$ o  fcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 0 Q9 N- w. J1 z% q7 O) C$ J
regsvr32 shell32.dll /u /s //删除 % [8 L$ P, F( r& T8 g  h
3、如何加密asp文件
9 M8 C0 _! T4 S. ?% N从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
; j( u7 J' {9 H" I7 @9 }1 s安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。9 ?- F* e9 {! D+ N3 }6 k' D+ S
运行screnc - l vbscript source.asp destination.asp# W4 z9 b, i+ A2 a  s- A( a
生成包含密文ASP脚本的新文件destination.asp
3 E$ G; y9 H  y. Q3 H& K用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了: N5 A  h2 N- W0 ~3 B6 t9 W
但无法加密中文。3 F1 @) o0 @2 b' E" U. |* X: T& y( B
4、如何从IISLockdown中提取urlscan
7 M# U& E* e3 g5 \$ t; I. Biislockd.exe /q /c /t:c:/urlscan
  _# K+ k! x7 ?2 V# ]2 G. V3 r5、如何防止Content-Location标头暴露了web服务器的内部IP地址
; H7 C8 w9 P( e. s, d0 H执行 : Z7 j" }/ [( m/ j
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
, S- r+ M8 |. I! H  p最后需要重新启动iis
, x# B3 u6 G8 ^- L6 a  w6、如何解决HTTP500内部错误
8 {! \- A3 W( }2 n: Uiis http500内部错误大部分原因
: Z' ^  t( M* s' c: b0 r0 l* P主要是由于iwam账号的密码不同步造成的。
# v% q+ b/ R& N, x4 M* L1 W" g# z我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。  B$ o* y; Q& ^" P! E. r
执行 9 |8 t* G' `* {
cscript c:/inetpub/adminscripts/synciwam.vbs -v
! C+ L( g& o0 w; w7、如何增强iis防御SYN Flood的能力# z6 p) }( \! `; `  j
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] * q$ M4 V  S$ d
启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后 安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
* S3 T1 W% }) g9 s: s+ v, j"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。2 g! N, m4 I: Y
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
* i* M4 q1 a8 O- D$ D& {) L# h  w! @设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
3 m; a. I4 N& B. g9 X, d7 ]项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
" t8 r+ ~' O: X( d/ T' s$ @微软站点安全推荐为2。
; v: n* B! n1 H& R"TcpMaxConnectResponseRetransmissions"=dword:00000001 # _# k0 |0 D8 |; W7 K
设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
, n" b3 |4 x; J$ ?- J"TcpMaxDataRetransmissions"=dword:00000003% w; Z% q! q4 c8 D" g1 ^
设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。# U" e6 Y' u5 v6 a0 B
"TCPMaxPortsExhausted"=dword:00000005
7 h/ S5 C& v& e0 ^- g9 ?禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的源路由包，微软站点安全推荐为2。
! N! }* b# Z, e9 }' a( s9 k% ?"DisableIPSourceRouting"=dword:0000002
3 |) b3 r) N  {限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
6 z) u0 m7 E5 }3 L9 U7 D7 ^"TcpTimedWaitDelay"=dword:0000001e
- ^" a! I, _! T  g
, n* L- m; L$ `8、如何避免*mdb文件被下载4 ~9 w3 R, \  I0 I: j4 e6 ?) b
安装ms发布的urlscan工具，可以从根本上解决这个问题。
- W1 l" D- Q( \; G5 _" j7 E- ^同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。
3 q1 M( ~! N7 j8 |0 k: r' o% r* c; V9、如何让iis的最小ntfs权限运行
8 \2 d. B0 {9 o  O依次做下面的工作:
$ {, f: \' J% N7 ]' w" aa、选取整个硬盘： + s+ y3 ?3 f: B& O, S
system：完全控制, y, o; u# Y" R$ D, ?
administrator：完全控制5 b( f! g- a2 T
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files： 4 ?; Q1 T' n- J* F' I, V& _
everyone：读取及运行列出文件目录读取 ! p7 [9 v& K8 ?
(允许将来自父系的可继承性权限传播给对象)
3 I! P  i, _- q) ]c、/inetpub/wwwroot：
, I: [! b! J  Hiusr_machine：读取及运行列出文件目录读取$ E. f+ @2 Q% R" P
(允许将来自父系的可继承性权限传播给对象)
/ l5 X& h, r1 ~. Xe、/winnt/system32：
1 u; k( W& Y$ h9 v6 _" }选择除inetsrv和centsrv以外的所有目录，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
2 E6 ?! o3 R7 Q" m7 e$ ]# {f、/winnt： & x. V9 e7 R+ ^; n8 h2 i. C
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框，复制。- U5 a3 |8 o' X% x
g、/winnt：( G, o% y! J; z4 y1 T" Q
　　0 ?. I9 B  T3 v( r7 |! p
everyone：读取及运行列出文件目录读取6 U8 H; U) y; P; u: K4 q7 b4 X) c; w
(允许将来自父系的可继承性权限传播给对象)
* J! {% L! x) i0 N; b0 u. dh、/winnt/temp：（允许访问数据库并显示在asp页面上） ! Y8 Q% q  X. T$ a
everyone：修改 ; S# F$ n+ T8 r$ a0 \/ ~
(允许将来自父系的可继承性权限传播给对象)7 Y5 P/ Z9 m+ r; t. e: f
10、如何隐藏iis版本
9 w6 [. L; d5 d( D. _一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息 . s* [  b. Q; }  F# |
iis存放IIS BANNER的所对应的dll文件如下：' u6 k/ J# d, V$ V" O  S7 J7 F
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
- D. J3 H1 m7 _FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL0 W+ U# z/ k; n4 B2 T+ f
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
5 v% ?0 q8 k: J' U. v9 s2 \& Z你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0 4 n" \$ r! g6 q' ]+ m) _- b" f4 h% J
具体过程如下：; N5 q9 A: w" X
1、停掉iis iisreset /stop ' C2 z' R' C; L- D
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
0 G+ j* j. ]# m% z% e3、修改