iis安全配置。

iis安全配置精华,希望对大家有用

iis安全配置精华

*z

|)p’e?e

2e fkn2a-r希望能给大家带来一定的帮助

j*d^8[$a6gbbs.51cto.combbs.51cto.comrkkl(zg6j

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

7_m g)ip`bbs.51cto.comm/xx’v/f1c2w3`t

  1.如何让asp脚本以system权限运行? [e3c,ys

i$b ]4w

bbs.51cto.com:ed+f4ah

{0e

  修改你asp脚本所对应的虚拟目录,把”应用程序保护”修改为”低”….

2u|,r%c(]w:rh [r2fbbs.51cto.com

yid%sf  2.如何防止asp*? 51cto技术论坛4o&g`rdt*^xys

51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水(@l1s7]

y*jz u

  基于filesystemobject组件的asp*

9?)n8u@’p y&b%u?i^n8p”t

  cacls %systemroot%system32scrrun.dll /e /d guests //禁止guests使用

+k`7?*otwjr8xk i0r

  regsvr32 scrrun.dll /u /s //删除 bbs.51cto.com:|’f| u-i q

2jr5nj@(s51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  基于shell.applicati

j1@3@$d8rj0ck

ys;m6oe-f lw g  cacls %systemroot%system32shell32.dll /e /d guests //禁止guests使用

tf d-zc5qvx51cto技术论坛

e3i(i7d(v,z

@”w+_abbs.51cto.com  regsvr32 shell32.dll /u /s //删除

4pq3q9k5h’?.tv~

;g!l1kg#fbbs.51cto.com  3.如何加密asp文件? s(o4nnwn&c/qi

lh`(n#d51cto技术论坛  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

7`;{-n/at0ta5m3[51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水fd2s”igbo;t

  安装完毕后,将生成screnc.exe文件,这是一个运行在dos promapt的命令工具。 bbs.51cto.comylu

|

](`f^

bbs.51cto.comohr/c

o+ea

  运行screnc – l vbscript source.asp destination.asp

do6h”t6m51cto技术论坛

xe0[

k*_ q{wii51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  生成包含密文asp脚本的新文件destination.asp

$zfu]8b8^*z _

|-bvo5[ zbbs.51cto.com  用记事本打开看凡是””之内的,不管是否注解,都变成不可阅读的密文了

‘e#p s’g;kw%`w*@+m qwkd

  但无法加密中文。 q4_”s:w%^0@

;]h7~m!@,p’isi

  4.如何从iislockdown中提取urlscan? 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水 rvy;b|;s

w

bbs.51cto.com_ap2u.ev5j!ohi:h

  iislockd.exe /q /c /t:c:urlscan e%`jfc]#i2b5bnz

(};m+[*r!d

x51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  5.如何防止c

j`qx3f)v:hfo

`mr#l0_%p w  执行

)ipgj3j+[-?$n51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水m

gx(ck4m

  cscript c:inetpubadminscriptsadsutil.vbs set w3svc/usehostname true 8pfxn c fj

px1|0u-u8|(c51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  最后需要重新启动iis

n)r(a,qpk?#a51cto技术论坛

|)i

g(c{1z zuo51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  6.如何解决http500内部错误?

4`9j1m)l@hr5~k*c-tgb51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水/y~vs@}0h-u

d

  iis http500内部错误大部分原因 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水t)u:z%u

fr~”h.qm

b0^(t!e-jn)w  主要是由于iwam账号的密码不同步造成的。

r

p$c7|

6t

qr(l1f9a+g51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

vl$r1x9j@;j3k3dr51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水@#i4iiy

  执行 z^znb&g${sd

_,xpzay3pk51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  cscript c:inetpubadminscriptssynciwam.vbs -v

6fx+j+ns;bq|c]jbbs.51cto.com  7.如何增强iis防御syn flood的能力?

y vs3h)|+[51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水

8c&ayza  windows registry editor version 5.00

9c*^dgd*[;s51cto技术论坛51cto技术论坛-|(n]z)k*d?

wrh

  [hkey_local_machinesystemcurrentc bbs.51cto.comuzoah1`&epu3{

u’f”i*b _p;l1y”s@  ”启动syn*保护。缺省项值为0,表示不开启*保护,项值为1和2表示启动syn*保护,设成2之后 51cto技术论坛2@2v8rh-x

j

(nh/g1r0`8`] `7k4n  ”安全级别更高,对何种状况下认为是*,则需要根据下面的tcpmaxhalfopen和tcpmaxhalfopenretried值 ndsv j1~bl2p

.w7cg&_%j0mcl51cto技术论坛  ”设定的条件来触发启动了。这里需要注意的是,nt4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 atj

s`#l$r^v$}u f

^^qaiw^ h51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  ”synattackprotect”=dword:00000002 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水v”a9?.o}s~[

51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水&dbu&o{ f*s

  ”同时允许打开的半连接数量。所谓半连接,表示未完整建立的tcp会话,用netstat命令可以看到呈syn_rcvd状态 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水a/ns’m/ji{(uo1m

y

@^.`k”d.ch*y]251cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  ”的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

#}k6opm-nk+ibbs.51cto.com’uhc$u8j+cxa~2p

  ”tcpmaxhalfopen”=dword:00000064 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水&}zk*h?@m

bbs.51cto.com x!v5czt1hb$m

  ”判断是否存在*的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

m!r8o3` rv51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水

7l5ei^0h-}51cto技术论坛  ”tcpmaxhalfopenretried”=dword:00000050

us ut`s(qybbs.51cto.com

‘|#c6q’,~3nc51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  ”设置等待syn-ack时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

‘s5c,a

{,g*u j]51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水

:{_

~)zc  ”项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受*规模修改。 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水0{q8nwy

`)ij

&g+c)jbt1? i51cto技术论坛  ”微软站点安全推荐为2。 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水r7[q]’tq-bzdf

|&ws

m k2o [

va?u51cto技术论坛  ”tcpmaxc

vwy|zkid`y51cto技术论坛

q+kgm]zw~[51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  ”设置tcp重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 tc2f/q.w6ba

ecjpx#t-o

  ”tcpmaxdataretransmissi

y8gb6x:}(p0obbs.51cto.com51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水0na]4l’ q4}7nipe

  ”设置syn*保护的临界点。当可用的backlog变为0时,此参数用于控制syn*保护的开启,微软站点安全推荐为5。

tpj|ivr51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水s g|ggp(u{

  ”tcpmaxportsexhausted”=dword:00000005

2a2w#xei%}4a*ibbs.51cto.coma/a6r”o5d’epq’|&y

  ”禁止ip源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的 na @b;n/r

51cto技术论坛 uuoc x5s2t:nmb!s

  ”源路由包,微软站点安全推荐为2。

6] @){b.ign51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水51cto技术论坛$g&ce d~k5mh’yrqw

  ”disableipsourcerouting”=dword:0000002 bbs.51cto.com0m)h

n;njbw{w

51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水e@u c `”g-`

  ”限制处于time_wait状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

“g9k_&c!bmey51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水bbs.51cto.com6eneju:@

x

  ”tcptimedwaitdelay”=dword:0000001e

c?’vj?:[bbs.51cto.com  8.如何避免*mdb文件被下载? 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水’|$oc7z4xi+r

b

f@ i!j~y{51cto技术论坛  安装ms发布的urlscan工具,可以从根本上解决这个问题。

.y/wh|,@51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水k!t _aasv

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水1t5x3tsk3z

zlej]  9.如何让iis的最小ntfs权限运行? 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水uzc1p”k:r^!is

u5i)ll1}t51cto技术论坛  依次做下面的工作:

+~%s(]”il[u1|51cto技术论坛

sy!i3z,vf

yo/v51cto技术论坛  a.选取整个硬盘:

o.p2wm2g&m51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水

vm c’ix_f  system:完全控制 m ryh$l

+n ct2ysvpv/`3o51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  administrator:完全控制 _.tu d&`n

51cto技术论坛vh|4bdz)z u7~

  (允许将来自父系的可继承性权限传播给对象) ;g,j3v2be ]h

+r9b

t3jl4s}oc51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  b.program filescommon files:

p:[(q h i*s

3bdg?~k;e0lf51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  every

t |

[fs@51cto技术论坛51cto技术论坛1j!o1h%|o

  列出文件目录 bbs.51cto.coma5e(gy

]3r

y$hf

0t(pwvl%p(h

  读取

d]vc2obt$}d%ym0z5z(j$@5q

  (允许将来自父系的可继承性权限传播给对象) 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水5|g#f2_*[

lc}8tvxx5]7`  c.inetpubwwwroot: 51cto技术论坛3` r

pq’j;c]n”rt

y0g1~ |4[5lv y)k  iusr_machine:读取及运行 &x7{j*l+a

|

w wh”t

jjl_#a#b

  列出文件目录 51cto技术论坛’kdex

z2yv(r_e’pel

bbs.51cto.comb`k xkj8o

  读取 bbs.51cto.com q’a_pd1r atj|?6p^

` h2d ox y1y  (允许将来自父系的可继承性权限传播给对象)

o”j!b$n-]|4k%r51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水bbs.51cto.com3n&yazj

  e.winntsystem32: 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水*hqen’c-s8a

e1p!j1o`io:g$s:g{51cto技术论坛  选择除inetsrv和centsrv以外的所有目录, 51cto技术论坛*x:ysd)iug)r

51cto技术论坛0qa@

j4r2u9{“l

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

a6 zud~51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水

d”ga4j4a51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  f.winnt: 5tm%[(w u

o8uyqe,hn rbbs.51cto.com  选择除了downloaded program files、help、iis temporary compressed files、

r-t;nd~.rq51cto技术论坛

+ih,dl vp&lv51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  offline web pages、system32、tasks、temp、web以外的所有目录

3c6g0jz(n sjzbbs.51cto.com

s

}”a9o3g  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

#b-_;ni @i/a

wp51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水.ljqe0jb/dab

  g.winnt: bbs.51cto.comy g5sm,s!]

bbs.51cto.comd

^za1[` n/k

  every bbs.51cto.com_.vmp4y%^5c4h]

a7a n:m%p+z51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  列出文件目录 ht uj9i

[ y)qne6t51cto技术论坛  读取

)tis”h,51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水

3_:u4i v#mlbbs.51cto.com  (允许将来自父系的可继承性权限传播给对象) bbs.51cto.com(lzs&xzab

51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水;]/h jt pqlfg

  h.winnttemp:(允许访问数据库并显示在asp页面上) e+vc e!k+uz

bbs.51cto.com m’z*dal(m0t

  every 51cto技术论坛7z;i”yb|

51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水h y*x y cl

  (允许将来自父系的可继承性权限传播给对象)

]

w owe^bbs.51cto.com51cto技术论坛o p(](eawdt

  10.如何隐藏iis版本? bbs.51cto.comq&t8o:t9cxo*l

h8q.t6q-s#f

  一个*可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 51cto技术论坛1avd8strc

51cto技术论坛az(i”x;f1~)n/d:a

  iis存放iis banner的所对应的dll文件如下: 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水’h#t73wrwiraj

j8ei(l:ex)_?yi:e(p5f  web:c:winntsystem32inetsrvw3svc.dll r$ph kj `

bbs.51cto.com;p2je ly|

  ftp:c:winntsystem32inetsrvftpsvc2.dll 51cto技术论坛~1h i

f3@

51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水,hqsp

`

@

  smtp:c:winntsystem32inetsrvsmtpsvc.dll

5ar p rtv,c5`ye* sbbs.51cto.com/g8`#{r#t

[4s

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的microsoft-iis/5.0 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水|u}ob,m)j

bbs.51cto.comu6u%d-_b+f s”b

  具体过程如下:

s’n

pc3~$ho~51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水f,rn~@b

  1.停掉iis iisreset /stop bbs.51cto.com8^&smwqz

51cto技术论坛_s3a!y$h0?

  2.删除%systemroot%system32dllcache目录下的同名文件 c:pm d;i^?g$b~g$q5x

0k?*co’uh9le51cto技术论坛  3.修改 标准答案是白骨精