伺服器IIS安全設定

1.如何讓asp指令碼以system許可權執行

修改你asp指令碼所對應的虛擬目錄，把"應用程式保護"修改為"低"....

2.如何防止asp木馬

3.如何加密asp檔案

4.如何從iislockdown中提取urlscan

iislockd.exe /q /c /t:c:/urlscan

5.如何防止content-location標頭暴露了web伺服器的內部ip位址

執行cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/usehostname true

最後需要重新啟動iis

6.如何解決http500內部錯誤

iis http500內部錯誤大部分原因

主要是由於iwam賬號的密碼不同步造成的。

我們只要同步iwam_myserver賬號在com+應用程式中的密碼即可解決問題。

執行cscript c:/inetpub/adminscripts/synciwam.vbs -v

7.如何增強iis防禦syn flood的能力

windows registry editor version 5.00

[hkey_local_machine/system/currentcontrolset/services/tcpip/parameters]

啟動syn攻擊保護。預設項值為0，表示不開啟攻擊保護，項值為1和2表示啟動syn攻擊保護，設成2之後

安全級別更高，對何種狀況下認為是攻擊，則需要根據下面的tcpmaxhalfopen和tcpmaxhalfopenretried值設定的條件來觸發啟動了。這裡需要注意的是，nt4.0必須設為1，設為2後在某種特殊資料報下會導致系統重啟。

"synattackprotect"=dword:00000002

同時允許開啟的半連線數量。所謂半連線，表示未完整建立的tcp會話，用netstat命令可以看到呈syn_rcvd狀態的就是。這裡使用微軟建議值，伺服器設為100，高階伺服器設為500。建議可以設稍微小一點。

"tcpmaxhalfopen"=dword:00000064

判斷是否存在攻擊的觸發點。這裡使用微軟建議值，伺服器為80，高階伺服器為400。

"tcpmaxhalfopenretried"=dword:00000050

設定等待syn-ack時間。預設項值為3，預設這一過程消耗時間45秒。項值為2，消耗時間為21秒。

項值為1，消耗時間為9秒。最低可以設為0，表示不等待，消耗時間為3秒。這個值可以根據遭受攻擊規模修改。

微軟站點安全推薦為2。

"tcpmaxconnectresponseretran**issions"=dword:00000001

設定tcp重傳單個資料段的次數。預設項值為5，預設這一過程消耗時間240秒。微軟站點安全推薦為3。

"tcpmaxdataretran**issions"=dword:00000003

設定syn攻擊保護的臨界點。當可用的backlog變為0時，此引數用於控制syn攻擊保護的開啟，微軟站點安全推薦為5。

"tcpmaxport***hausted"=dword:00000005

禁止ip源路由。預設項值為1，表示不**源路由包，項值設為0，表示全部**，設定為2，表示丟棄所有接受的源路由包，微軟站點安全推薦為2。

"disableipsourcerouting"=dword:0000002

限制處於time_wait狀態的最長時間。預設為240秒，最低為30秒，最高為300秒。建議設為30秒。

"tcptimedwaitdelay"=dword:0000001e

安裝ms發布的urlscan工具，可以從根本上解決這個問題。

同時它也是乙個強大的安全工具，你可以從ms的**上獲取更為詳細的資訊。

9.如何讓iis的最小ntfs許可權執行

依次做下面的工作:

a.選取整個硬碟：

system：完全控制

administrator：完全控制

(允許將來自父系的可繼承性許可權傳播給物件)

b./program files/common files：

everyone：讀取及執行

列出檔案目錄

讀取(允許將來自父系的可繼承性許可權傳播給物件)

c./inetpub/wwwroot：

iusr_machine：讀取及執行

列出檔案目錄

讀取(允許將來自父系的可繼承性許可權傳播給物件)

e./winnt/system32：

選擇除inetsrv和centsrv以外的所有目錄，

去除「允許將來自父系的可繼承性許可權傳播給物件」選框，複製。

f./winnt：

選擇除了downloaded program files、help、iis temporary compressed files、

offline web pages、system32、tasks、temp、web以外的所有目錄

去除「允許將來自父系的可繼承性許可權傳播給物件」選框，複製。

g./winnt：

everyone：讀取及執行

列出檔案目錄

讀取(允許將來自父系的可繼承性許可權傳播給物件)

h./winnt/temp：(允許訪問資料庫並顯示在asp頁面上)

everyone：修改

(允許將來自父系的可繼承性許可權傳播給物件)

10.如何隱藏iis版本

乙個黑客可以可以輕易的telnet到你的web埠，傳送get命令來獲取很多資訊

iis存放iis banner的所對應的dll檔案如下：

web:c:/winnt/system32/inetsrv/w3svc.dll

ftp:c:/winnt/system32/inetsrv/ftpsvc2.dll

**tp:c:/winnt/system32/inetsrv/**tpsvc.dll

你可以用16進製制編輯器去修改那些dll檔案的關鍵字，比如iis的microsoft-iis/5.0

具體過程如下:

1.停掉iis iisreset /stop

2.刪除%systemroot%/system32/dllcache目錄下的同名檔案

伺服器IIS安全設定

伺服器安全設定

伺服器安全設定

centos伺服器安全設定

伺服器IIS安全設定

伺服器安全設定

伺服器安全設定

centos伺服器安全設定

相關推薦