IIS安全配置精华,希望对大家有用

iis安全配置。
iis安全配置精华,希望对大家有用

iis安全配置精华
*z
|)p'e?e
2e fkn2a-r希望能给大家带来一定的帮助
j*d^8[$a6gbbs.51cto.combbs.51cto.comrkkl(zg6j
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
7_m g)ip`bbs.51cto.comm/xx'v/f1c2w3`t
  1.如何让asp脚本以system权限运行? [e3c,ys
i$b ]4w
bbs.51cto.com:ed+f4ah
{0e
  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
2u|,r%c(]w:rh [r2fbbs.51cto.com
yid%sf  2.如何防止asp木马? 51cto技术论坛4o&g`rdt*^xys
51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水(@l1s7]
y*jz u
  基于filesystemobject组件的asp木马
9?)n8u@'p y&b%u?i^n8p"t
  cacls %systemroot%system32scrrun.dll /e /d guests //禁止guests使用
+k`7?_[email protected]*otwjr8xk i0r
  regsvr32 scrrun.dll /u /s //删除 bbs.51cto.com:|'f| u-i q

2jr5nj@(s51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  基于shell.applicati
j1@3@$d8rj0ck
ys;m6oe-f lw g  cacls %systemroot%system32shell32.dll /e /d guests //禁止guests使用
tf d-zc5qvx51cto技术论坛

e3i(i7d(v,z
@"w+_abbs.51cto.com  regsvr32 shell32.dll /u /s //删除
4pq3q9k5h'?.tv~
;g!l1kg#fbbs.51cto.com  3.如何加密asp文件? s(o4nnwn&c/qi


lh`(n#d51cto技术论坛  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
7`;{-n/at0ta5m3[51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水fd2s"igbo;t
  安装完毕后,将生成screnc.exe文件,这是一个运行在dos promapt的命令工具。 bbs.51cto.comylu
|
](`f^
bbs.51cto.comohr/c
o+ea
  运行screnc - l vbscript source.asp destination.asp
do6h"t6m51cto技术论坛
xe0[
k*_ q{wii51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  生成包含密文asp脚本的新文件destination.asp
$zfu]8b8^*z _
|-bvo5[ zbbs.51cto.com  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
'e#p s'g;kw%`w*@+m qwkd
  但无法加密中文。 q4_"s:w%^0@
;]h7~m!@,p'isi
  4.如何从iislockdown中提取urlscan? 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水 rvy;b|;s
w
bbs.51cto.com_ap2u.ev5j!ohi:h
  iislockd.exe /q /c /t:c:urlscan e%`jfc]#i2b5bnz

(};m+[*r!d
x51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  5.如何防止c
j`qx3f)v:hfo
`mr#l0_%p w  执行
)ipgj3j+[-?$n51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水m
gx(ck4m
  cscript c:inetpubadminscriptsadsutil.vbs set w3svc/usehostname true 8pfxn c fj

px1|0u-u8|(c51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  最后需要重新启动iis
n)r(a,qpk?#a51cto技术论坛
|)i
g(c{1z zuo51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  6.如何解决http500内部错误?
4`9j1m)l@hr5~k*c-tgb51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水/y~vs@}0h-uqq
d
  iis http500内部错误大部分原因 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水t)u:z%u
fr~"h.qm

b0^(t!e-jn)w  主要是由于iwam账号的密码不同步造成的。
r
p$c7|
6t
qr(l1f9a+g51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
vl$r1x9j@;j3k3dr51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水@#i4iiy
  执行 z^znb&g${sd

_,xpzay3pk51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  cscript c:inetpubadminscriptssynciwam.vbs -v
6fx+j+ns;bq|c]jbbs.51cto.com  7.如何增强iis防御syn flood的能力?
y vs3h)|+[51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水
8c&ayza  windows registry editor version 5.00
9c*^dgd*[;s51cto技术论坛51cto技术论坛-|(n]z)k*d?
wrh
  [hkey_local_machinesystemcurrentc bbs.51cto.comuzoah1`&epu3{


u'f"i*b _p;l1y"s@  ''启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 51cto技术论坛2@2v8rh-x
j

(nh/g1r0`8`] `7k4n  ''安全级别更高,对何种状况下认为是攻击,则需要根据下面的tcpmaxhalfopen和tcpmaxhalfopenretried值 ndsv j1~bl2p

.w7cg&_%j0mcl51cto技术论坛  ''设定的条件来触发启动了。这里需要注意的是,nt4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 atj
s`#l$r^v$}u f

^^qaiw^ h51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  "synattackprotect"=dword:00000002 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水v"a9?.o}s~[
51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水&dbu&o{ f*s
  ''同时允许打开的半连接数量。所谓半连接,表示未完整建立的tcp会话,用netstat命令可以看到呈syn_rcvd状态 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水a/ns'm/ji{(uo1m

y
@^.`k"d.ch*y]251cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  ''的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
#}k6opm-nk+ibbs.51cto.com'uhc$u8j+cxa~2p
  "tcpmaxhalfopen"=dword:00000064 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水&}zk*h?@m
bbs.51cto.com x!v5czt1hb$m
  ''判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
m!r8o3` rv51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水
7l5ei^0h-}51cto技术论坛  "tcpmaxhalfopenretried"=dword:00000050
us ut`s(qybbs.51cto.com
'|#c6q',~3nc51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  ''设置等待syn-ack时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
's5c,a
{,g*u j]51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水
:{_
~)zc  ''项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水0{q8nwy
`)ij

&g+c)jbt1? i51cto技术论坛  ''微软站点安全推荐为2。 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水r7[q]'tq-bzdf

|&ws
m k2o [
va?u51cto技术论坛  "tcpmaxc
vwy|zkid`y51cto技术论坛
q+kgm]zw~[51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  ''设置tcp重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 tc2f/q.w6ba
ecjpx#t-o
  "tcpmaxdataretransmissi
y8gb6x:}(p0obbs.51cto.com51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水0na]4l' q4}7nipe
  ''设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
tpj|ivr51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水s g|ggp(u{
  "tcpmaxportsexhausted"=dword:00000005
2a2w#xei%}4a*ibbs.51cto.coma/a6r"o5d'epq'|&y
  ''禁止ip源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的 na @b;n/r
51cto技术论坛 uuoc x5s2t:nmb!s
  ''源路由包,微软站点安全推荐为2。
6] @){b.ign51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水51cto技术论坛$g&ce d~k5mh'yrqw
  "disableipsourcerouting"=dword:0000002 bbs.51cto.com0m)h
n;njbw{w
51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水e@u c `"g-`
  ''限制处于time_wait状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
"g9k_&c!bmey51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水bbs.51cto.com6eneju:@
x
  "tcptimedwaitdelay"=dword:0000001e
c?'vj?:[bbs.51cto.com  8.如何避免*mdb文件被下载? 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水'|$oc7z4xi+r

b
f@ i!j~y{51cto技术论坛  安装ms发布的urlscan工具,可以从根本上解决这个问题。
.y/wh|,@51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水k!t _aasv
  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水1t5x3tsk3z

zlej]  9.如何让iis的最小ntfs权限运行? 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水uzc1p"k:r^!is

u5i)ll1}t51cto技术论坛  依次做下面的工作:
+~%s(]"il[u1|51cto技术论坛
sy!i3z,vf
yo/v51cto技术论坛  a.选取整个硬盘:
o.p2wm2g&m51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水

vm c'ix_f  system:完全控制 m ryh$l

+n ct2ysvpv/`3o51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  administrator:完全控制 _.tu d&`n
51cto技术论坛vh|4bdz)z u7~
  (允许将来自父系的可继承性权限传播给对象) ;g,j3v2be ]h

+r9b
t3jl4s}oc51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  b.program filescommon files:
p:[(q h i*s
3bdg?~k;e0lf51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  every
t |
[fs@51cto技术论坛51cto技术论坛1j!o1h%|o
  列出文件目录 bbs.51cto.coma5e(gy
]3r
y$hf
0t(pwvl%p(h
  读取
d]vc2obt$}d%ym0z5z(j$@5q
  (允许将来自父系的可继承性权限传播给对象) 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水5|g#f2_*[

lc}8tvxx5]7`  c.inetpubwwwroot: 51cto技术论坛3` r
pq'j;c]n"rt

y0g1~ |4[5lv y)k  iusr_machine:读取及运行 &x7{j*l+a
|
w wh"t
jjl_#a#b

  列出文件目录 51cto技术论坛'kdex
z2yv(r_e'pel
bbs.51cto.comb`k xkj8o
  读取 bbs.51cto.com q'a_pd1r atj|?6p^

` h2d ox y1y  (允许将来自父系的可继承性权限传播给对象)
o"j!b$n-]|4k%r51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水bbs.51cto.com3n&yazj
  e.winntsystem32: 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水*hqen'c-s8a

e1p!j1o`io:g$s:g{51cto技术论坛  选择除inetsrv和centsrv以外的所有目录, 51cto技术论坛*x:ysd)iug)r
51cto技术论坛0qa@
j4r2u9{"l
  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
a6 zud~51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水
d"ga4j4a51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  f.winnt: 5tm%[(w u

o8uyqe,hn rbbs.51cto.com  选择除了downloaded program files、help、iis temporary compressed files、
r-t;nd~.rq51cto技术论坛
+ih,dl vp&lv51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  offline web pages、system32、tasks、temp、web以外的所有目录
3c6g0jz(n sjzbbs.51cto.com
s
}"a9o3g  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
#b-_;ni @i/a
wp51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水.ljqe0jb/dab
  g.winnt: bbs.51cto.comy g5sm,s!]
bbs.51cto.comd
^za1[` n/k
  every bbs.51cto.com_.vmp4y%^5c4h]

a7a n:m%p+z51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水  列出文件目录 ht uj9i

[ y)qne6t51cto技术论坛  读取
)tis"h,51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水
3_:u4i v#mlbbs.51cto.com  (允许将来自父系的可继承性权限传播给对象) bbs.51cto.com(lzs&xzab
51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水;]/h jt pqlfg
  h.winnttemp:(允许访问数据库并显示在asp页面上) e+vc e!k+uz
bbs.51cto.com m'z*dal(m0t
  every 51cto技术论坛7z;i"yb|
51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水h y*x y cl
  (允许将来自父系的可继承性权限传播给对象)
]
w owe^bbs.51cto.com51cto技术论坛o p(](eawdt
  10.如何隐藏iis版本? bbs.51cto.comq&t8o:t9cxo*l
h8q.t6q-s#f
  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 51cto技术论坛1avd8strc
51cto技术论坛az(i"x;f1~)n/d:a
  iis存放iis banner的所对应的dll文件如下: 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水'h#t73wrwiraj

j8ei(l:ex)_?yi:e(p5f  web:c:winntsystem32inetsrvw3svc.dll r$ph kj `
bbs.51cto.com;p2je ly|
  ftp:c:winntsystem32inetsrvftpsvc2.dll 51cto技术论坛~1h i
f3@
51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水,hqsp
`
@
  smtp:c:winntsystem32inetsrvsmtpsvc.dll
5ar p rtv,c5`ye* sbbs.51cto.com/g8`#{r#t
[4s
  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的microsoft-iis/5.0 51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水|u}ob,m)j
bbs.51cto.comu6u%d-_b+f s"b
  具体过程如下:
s'n
pc3~$ho~51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水51cto|计算机|网络|信息|技术|安全|路由器|网管|windows|vista|数据库|网站|开发|下载|灌水f,rn~@b
  1.停掉iis iisreset /stop bbs.51cto.com8^&smwqz
51cto技术论坛_s3a!y$h0?
  2.删除%systemroot%system32dllcache目录下的同名文件 c:pm d;i^?g$b~g$q5x

0k?*co'uh9le51cto技术论坛  3.修改 标准答案是白骨精

你可能感兴趣的:(配置,职场,安全,IIS,休闲)