IIS加固.doc

IIS加固精心配置IIS打造安全Web服务器因为IIS（Internet Information Server）的方便性和易用性，所以成为最受欢迎的Web服务器软件之一。但是，IIS从诞生起，其安全性就一直受到人们的置疑，原因在于其经常被发现有新的安全漏洞。虽然IIS的安全性与其他的Web服务软件相比有差距，不过，只要我们精心对IIS进行安全配置，仍然能建立一个安全性的Web服务器的。构造一个安全的Windows 2000 操作系统要创建一个安全可靠的Web服务器，必须要实现Windows 2000操作系统和IIS的双重安全，因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全。实际上，Web服务器安全的根本就是保障操作系统的安全。使用NTFS文件系统在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。而在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。关闭默认共享在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。共享权限的修改在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此，在建立新的共享后应该立即修改Everyone的缺省权限，不能让Web服务器访问者得到不必要的权限，给服务器带来被攻击的危险。为系统管理员账号改名对于一般用户，我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数，但对系统管理员账号（adminstrator）却无法限制，这就可能给非法用户攻击管理员账号口令带来机会，所以我们需要将管理员账号更名。具体设置方法如下：鼠标右击“我的电脑”“管理”，启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号（administrator）”,选择“重命名”，将管理员帐号修改为一个很普通的用户名即可。禁用TCP/IP 上的NetBIOSNetBIOS是许多安全缺陷的源泉，所以我们需要禁用它。鼠标右击桌面上“网络邻居”“属性” “本地连接” “属性”，打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)”“属性”“高级”“WINS”，选中“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS，如图1。 TCP/IP上对进站连接进行控制方法一 利用TCP/IP筛选鼠标右击桌面上“网络邻居”“属性”“本地连接”“属性”，打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)”“属性”“高级”“选项”， 在列表中单击选中“TCP/IP筛选”选项。单击“属性”按钮，选择“只允许”，再单击“添加”按钮，如图2，只填入80端口即可。 方法二 利用IP安全策略IPSec Policy Filters（IP安全策略过滤器）弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。它是一个基于通讯分析的策略，将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后据此允许或拒绝通讯的传输。我们同样可以设置只允许80端口的数据通过，其它端口来的数据一律拦截。防范拒绝服务攻击DDoS攻击现在很流行，例如SYN使用巨量畸形TCP信息包向服务器发出请求，最终导致服务器不能正常工作。改写注册表信息虽然不能完全阻止这类攻击，但是可以降低其风险。打开注册表：将HKLMSystemCurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改为2。这样可以使TCP/IP调整SYN-ACKS的重传，当出现SYN-ATTACK迹象时，使连接对超时的响应更快。保证IIS自身的安全性IIS安全安装在保证系统具有较高安全性的情况下，还要保证IIS的安全性。要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。不要将IIS安装在系统分区上默认情况下，IIS与操作系统安装在同一个分区中，这是一个潜在的安全隐患。因为一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理，入侵者就有可能篡改、删除系统的重要文件，或者利用一些其他的方式获得权限的进一步提升。将IIS安装到其他分区，即使入侵者能绕过IIS的安全机制，也很难访问到系统分区。修改IIS的安装默认路径IIS的默认安装的路径是inetpub，Web服务的页面路径是inetpubwwwroot，这是任何一个熟悉IIS的人都知道的，入侵者也不例外，使用默认的安装路径无疑是告诉了入侵者系统的重要资料，所以需要更改。打上Windows和IIS的补丁只要提高安全意识，经常注意系统和IIS的设置情况，并打上最新的补丁，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。IIS的安全配置删除不必要的虚拟目录IIS安装完成后在wwwroot下默认生成了一些目录，并默认设置了几个虚拟目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，它们的实际位置有的是在系统安装目录下，有的是在重要的Program files下，从安全的角度来看很不安全，而且这些设置实际也没有太大的作用，所以我们可以删除这些不必要的虚拟目录。删除危险的IIS组件默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，以下是一些“黑名单”，大家可以根据自己的需要决定是否需要删除。 Internet服务管理器（HTML）：这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。 SMTP Service和NNTP Service：如果不打算使用服务器转发邮件和提供新闻组服务，就可以删除这两项，否则，可能因为它们的漏洞带来新的不安全。 样本页面和脚本：这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，建议删除。为IIS中的文件分类设置权限除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如： 静态文件文件夹：包括所有静态文件，如HTM 或HTML，给予允许读取、拒绝写的权限。 ASP脚本文件夹：包含站点的所有脚本文件，如cgi、vbs、asp等等，给予允许执行、拒绝写和读取的权限。 EXE等可执行程序：包含站点上的二进制执行文件，给予允许执行、拒绝写和拒绝读取的权限。删除不必要的应用程序映射IIS中默认存在很多种应用程序映射，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是，在这些程序映射中，除了.asp的这个程序映射，其它的文件在网站上都很少用到。而且在这些程序映射中，.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题，入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序，仍然没法保证安全。所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击“配置”按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射，如图3。如果需要这一类文件时，必须安装最新的系统修补程序以解决程序映射存在的问题，并且选中相应的程序映射，再点击“编辑”按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项，如图4。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。 保护日志安全日志是系统安全策略的一个重要坏节，IIS带有日志功能，能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。方法一: 修改IIS日志的存放路径IIS的日志默认保存在一个众所周知的位置（%WinDir%System32LogFil-es），这对Web日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的“属性”按钮，在“常规属性”页面，点击“浏览”按钮或者直接在输入框中输入日志存放路径即可，如图5。 方法二: 修改日志访问权限日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，设置为只有管理员才能访问。当然，如果条件许可，还可单独设置一个分区用于保存系统日志，分区格式是NTFS，这样除了便于管理外，也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中，入侵者使用软件让IIS产生大量的日志，可能会导致日志填满硬盘空间，整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃，为日志设置单独的分区则可以避免这种情况的出现。通过以上的一些安全设置，相信你的WEB服务器会安全许多。不过，需要提醒大家注意的是：不要认为进行了安全配置的主机就一定是安全的，我们只能说一台主机在某些情况下一定的时间内是安全的，随着网络结构变化、新漏洞的发现、用户操作，主机的安全状况是随时随地变化的，只有让安全意识贯穿整个过程才能做到真正的安全利用IIS日志追查网站入侵者以前黑站黑了很多，但是就没有想过会不会被追踪到，都没有想过怎么去擦自己的屁股，万万没想到在自己不再黑站的时候，却发现了自己的BBS被黑了。根据当初的判断，BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞和SQL注入啊！就算能拿到权限都不可能可以弄出个webshell出来，不是程序的漏洞的话，就一定是服务器的安全问题了，以前整天拿着旁注去黑站，这下子好玩了，竟然被别人拿去黑自己的网站了。所以就硬着头皮去找网管问个究竟，怎么知道网管还说我自己的问题，要我自己去找气死我啊。那只好做一回网管了，如果你是网管你会如何去追查问题的来源了？程序问题就去查看“事件查看器”，如果是IIS问题当然是查看IIS日志了！系统文件夹的system32低下的logfile有所有的IIS日志，用来记录服务器所有访问记录。因为是虚拟主机的用户，所以每个用户都配置独立的IIS日志目录，从里面的日志文件就可以发现入侵者入侵BBS的资料了，所以下载了有关时间段的所有日志下来进行分析，发现了很多我自己都不知道资料！哈哈哈，这下子就知道入侵者是怎么入侵我的BBS了。（入侵日记1）从第一天里日志可以发现入侵者早就已经对我的BBS虎视耽耽的了。而且不止一个入侵者这么简单，还很多啊。头一天的IIS日志就全部都是利用程序扫描后台留下的垃圾数据。 看上面的日志可以发现，入侵者61.145.*.*利用程序不断的在扫描后台的页面，似乎想利用后台登陆漏洞从而进入BBS的后台管理版面。很可惜这位入侵者好像真的没有什么思路，麻木的利用程序作为帮助去寻找后台，没有什么作用的入侵手法。（入侵日志2）查看了第二天的日志，开始的时候还是普通的用户访问日志没有什么特别，到了中段的时候问题就找到了，找到了一个利用程序查找指定文件的IIS动作记录。 从上面的资料发现入侵者61.141.*.*也是利用程序去扫描指定的上传页面，从而确定入侵目标是否存在这些页面，然后进行上传漏洞的入侵。还有就是扫描利用动网默认数据库，一些比较常用的木马名称，看来这个入侵者还以为我的BBS是马坊啊，扫描这么多的木马文件能找着就是奇迹啊。继续往下走终于被我发现了，入侵者61.141.*.*在黑了我网站首页之前的动作记录了，首先在Forum的文件夹目录建立了一个Myth.txt文件，然后在Forum的文件夹目录下再生成了一只木马Akk.asp 日志的记录下，看到了入侵者利用akk.asp木马的所有操作记录。详细入侵分析如下：GET /forum/akk.asp 200利用旁注网站的webshell在Forum文件夹下生成akk.asp后门GET /forum/akk.asp d=ls.asp 200入侵者登陆后门GET /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200进入test文件夹GET /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200利用后门在test文件夹修改1.asp的文件GET /forum/akk.asp d=ls.asp 200GET /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200进入lan文件夹GET /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200利用编辑命令修改lan文件夹内的首页文件GET /forum/akk.asp d=ls.asp 200GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200进入BBS文件夹（这下子真的进入BBS目录了）POST /forum/akk.asp d=up.asp 200GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200GET /forum/myth.txt 200在forum的文件夹内上传myth.txt的文件GET /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200GET /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200POST /forum/akk.asp d=up.asp 200GET /forum/myth.txt 200利用后门修改Forum文件夹目录下的myth.txt文件。之后又再利用旁注网站的webshell进行了Ubb.asp的后门建立，利用akk.asp的后门修改了首页，又把首页备份。晕死啊，不明白这位入侵者是怎么一回事，整天换webshell进行利用，还真的摸不透啊。分析日志总结：入侵者是利用工具踩点，首先确定BBS可能存在的漏洞页面，经过测试发现不可以入侵，然后转向服务器的入侵，利用旁注专用的程序或者是特定的程序进行网站入侵，拿到首要的webshell，再进行文件夹的访问从而入侵了我的BBS系统修改了首页，因为是基于我空间的IIS日志进行分析，所以不清楚入侵者是利用哪个网站哪个页面进行入侵的！不过都已经完成的资料收集了，确定了入侵BBS的入侵者IP地址以及使用的木马（xiaolu编写的），还留下了大量入侵记录。整个日志追踪过程就完毕了，从这里我们就知道如果入侵的时候，不注意在入侵时候所造成的记录，就很容易的被网管发现我们入侵的手法以及过程，这样子对于我们自身就增加了一份危险。敬告大家，不想被警察叔叔抓就不要去入侵，想入侵又不想被警察叔叔抓，就记得如何去擦干净你的入侵痕迹。本文技术含量不高，只是希望给各位小黑和网管知道入侵和被入侵都有迹可寻给IIS Web虚拟主机服务器装上一把锁为了提高IIS的安全性，微软提供了两个工具：IIS Lockdown和URLScan，其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能： 禁用或者删除不必要的IIS服务和组件。 修改默认配置，提高系统文件和Web内容目录的安全性。 用URLScan来过滤HTTP请求。本文介绍如何运用IIS Lockdown 2.1的前两项功能。注意本文的说明针对 IIS Lockdown 2.1版本，以前版本的用法大不相同。一、注意事项IIS Lockdown会改变IIS的运行方式，因此很可能与依赖IIS某些功能的应用冲突。特别地，如果要在一个运行Microsoft Exchange 2000 Server、Exchange Server 5.5或Microsoft SharePoint Portal Server的服务器上安装IIS Lockdown和URLScan，应当加倍小心。微软的两篇文章解释了可能遇到的困难和解决办法：XADM：在Exchange 2000环境中使用IIS Lockdown向导的已知问题和调整策略（/default.aspx?scid=kb;en-us;q309677），以及SPS：IIS Lockdown工具影响SharePoint Portal Server（/default.aspx?scid=kb;en-us;q309675）。另外，在正式应用IIS Lockdown或URLScan之前，务必搜索微软的知识库，收集可能出现问题的最新资料。掌握这些资料并了解其建议之后，再在测试服务器上安装IIS Lockdown，全面测试Web应用需要的IIS功能是否受到影响。最后，做一次全面的系统备份，以便在系统功能受到严重影响时迅速恢复。二、安装IIS Lockdown 2.1可以从/downloads/release.asp?releaseid=33961下载。下载之后得到一个iislockd.exe，双击运行，把它解压缩到一个临时目录并启动IIS Lockdown向导。但是，如果要用IIS Lockdown来保护多个服务器，最好按照下文的说明把它解压缩到一个专用目录，这样就不必每次运行IIS Lockdown都要重新解压缩了。必须注意的是，下载得到的是一个自解压缩的执行文件，这个执行文件与压缩包里面的应用执行文件同名。因此，如果把iislockd.exe解压缩到它本身所在的目录，就会引起文件名称冲突。请按照下面的安装步骤执行，以避免可能出现的问题： 将iislockd.exe下载到一个临时目录。 打开控制台窗口，进入临时目录，执行命令“iislockd.exe /q /c /t:c:IISLockdown”解开压缩，/q要求以“安静”模式操作，/c要求IIS Lockdown只执行提取文件的操作，和-t选项一起使用，-t选项指定了要把文件解压缩到哪一个目录（例如在本例中，要求把文件解压缩到c:IISLockdown目录）。表一列出了iislockd.exe解压缩得到的主要文件，注意iislockd.exe包含了URLScan的文件，但本文不准备详细探讨URLScan。表一：IIS Lockdown 2.1主要文件IIS Lockdown文件 说明iislockd.exe IIS Lockdown主执行文件。iislockd.ini 配置和选项文件。iislockd.chm 联机帮助。runlockdunattended.doc 有关“无人值守”运行方式的文档。404.dll “文件没有找到”应答文件。URLScan文件 说明urlscan.exe URLScan安装程序包。urlscan.doc URLScan文档。urlscan*.ini 配置和选项文件。urlscan_unattend.txt 无人值守方式安装URLScan的配置文件。readme.txt 针对无人值守方式运行URLScan的说明unattend.cmd 无人值守方式安装URLScan的命令文件。三、实践应用IIS Lockdown的用法很简单。双击启动iislockd.exe，出现Internet Information Services Lockdown向导，按照向导的提示一步一步操作，很快就可以为Web服务器加上一把锁。首先出现的是欢迎屏幕，点击“下一步”出现最终用户许可协议屏幕，选中I Agree选项，点击“下一步”进入服务器模板选择对话框.选择一个最接近当前服务器配置的模板，本文假定使用Static Web Server（静态Web服务器）模板。选中View Template Settings选项，向导将显示出一系列有关该模板类型的对话框，如果不选中这个选项，向导将跳过这些对话框，直接进入URLScan安装过程。点击“下一步”，出现Internet Services对话框，如图二，这是第一个真正配置IIS加锁选项的页面。IIS Lockdown能够禁用或删除四种IIS服务：HTTP，FTP，SMTP，以及NNTP（Network News Transport Protocol，网络新闻传输协议）。怎样才能知道哪些服务才是必需的呢？除了前面选择的服务器模板类型可资参考之外，个人经验、全面地测试也同样重要。Internet Services对话框中的IIS服务选项有三种状态： 启用：选项处于选中状态，检查框有标记，例如图二的Web services。清除检查框的标记将禁用服务。 启用，但推荐禁用，例如图二的E-mail service：选项没有选中，检查框没有标记。如果保留检查框的清除状态，服务将被禁用。 禁用，且不可选择，例如图二的File Transfer service：如果一个选项变灰，它的检查框也没有选中标记，则表示不允许修改该服务，可能是因为服务没有安装，也可能是因为当前选择的服务器模板需要该服务。如果服务器的用途不是经常改变，最好彻底删除不用的服务，这样就再也没有人会意外地激活它了。点击“下一步”，向导显示出Script Maps（脚本映射）对话框。脚本映射是指把特定的文件扩展名关联到ISAPI（Internet Server API）执行文件，由指定的ISAPI文件来解释该类文件的内容。例如，.asp文件类型映射到asp.dll。如果禁用了某种类型的脚本文件，IIS Lockdown会把脚本映射指向一个特殊的DLL，当用户试图运行该类脚本文件时这个DLL会返回“文件没有找到”的信息。要禁用某种类型的文件，只需在图三对话框中清除该类文件的检查框。点击“下一步”，进入最后一个IIS Lockdown的选项对话框Additional Security，如图四所示，通过这个对话框可以删除不需要的目录，禁止未经授权的用户访问文件系统。IIS安装好之后会有许多用于开发和学习的虚拟目录，正式向用户提供服务的环境不需要这些目录，IIS Lockdown将删除图四对话框中选中的虚拟目录，但仍会完好地保留这些目录包含的数据。默认情况下，IIS会限制对Web内容目录的匿名访问，但还应该加上一层对系统工具（如cmd.exe）的保护，以防止未经授权的用户在系统安全出现漏洞时访问这些工具。如果选中图四对话框中的Running system utilities (for example, Cmd.exe, Tftp.exe)检查框，IIS Lockdown将修改%windir%目录及其子目录下所有执行文件的访问控制属性（ACE，Access Control Entry），明确地禁止本地Web匿名用户组和Web用户组的运行权限。如果选中Writing to content directories 检查框，IIS Lockdown还会加强所有Web内容目录的安全性，即设置ACE，禁止本地Web匿名用户组和We应用组的写入权限。窗口底部有一个Disable Web Distributed Authoring and Versioning（WebDAV）选项，即禁用Web分布式创作和版本控制。WebDAV功能用来支持远程Web内容创作和管理，如果确实不必用到该功能，那就可以选中Disable Web Distributed Authoring and Versioning检查框。选中该选项之后，IIS Lockdown将设置httpext.dll（实现WebDAV功能的执行文件）的ACE，禁止将httpext.dll文件装入inetinfo.exe的进程，从而也就禁止了WebDAV功能。对话框的“下一步”，IIS Lockdown将询问是否要安装URLScan，如图五。如果要用筛选器来禁止IIS处理某些可能有恶意的URL，即经常被黑客用来攻击系统的URL，那就可以用URLScan作为守卫IIS的前门（即筛选器）。本文不准备详细介绍URLScan，请访问/technet/treeview/default.asp?url=/technet/security/tools/urlscan.asp了解更多有关URLScan的说明。取消安装URLScan的选项，点击“下一步”，IIS Lockdown显示出一系列将要执行的操作，如图六。点击“取消”可以放弃操作，点击“下一步”则开始执行图六清单中列出的“加锁”操作。加锁操作一旦开始，中途不能停止。依赖于具体的修改操作，IIS Lockdown可能在%windir%system32inetsrv目录下创建几个日志文件和IIS元数据备份文件，如表二所示。虽然没有人要求我们一定要保证这些IIS Lockdown日志文件和元数据备份文件的安全，但如果要手工撤销IIS Lockdown所做的操作，或者需要重新安装OS，那就要用到这些文件。因此，最好把这些文件复制到另一个磁盘，或者把它们保存到另一个服务器。表二：IIS Lockdown日志和元数据备份文件.log或.md0文件 说明oblt-log.log IIS Lockdown为了提高服务器安全性而执行的一系列操作的清单。oblt-rep.log 加锁过程的一个简短总结。加锁过程结束后，点击View Report按钮可以看到这个文件。oblt-undo.log IIS Lockdown为了撤销加锁操作而采取的一系列动作的清单。metabackoblt-mb.md0 IIS元数据的备份文件。metabackoblt-beforeundo-mb.md0 在IIS Lockdown Undo命令恢复元数据备份之前备份的IIS元数据。如果在正式为用户提供服务的机器上运行IIS Lockdown，一定要安排在正常的关机维护期间进行。IIS Lockdown开始执行修改操作时会关闭Web服务，安排在正常的维护期间进行修改可以避免给用户带来不必要的麻烦。四、尝尝后悔药只要能够找到oblt-log.log文件，IIS Lockdown就给你后悔的机会。如果你打算让服务器采用一种新的IIS Lockdown配置，首先必须撤销前一次操作，然后再启动IIS Lockdown，按照新的配置运行向导。如果已经在前一次加锁操作时删除了不必要的服务，那就必须用控制面板中的添加/删除程序功能重新安装服务。类似地，如果已经在加锁过程中安装了URLScan，也要用添加/删除程序功能删除它。IIS Lockdown的撤销操作会重新启用在加锁操作之前备份的元数据副本。因此，加锁操作和撤销操作之间的所有对IIS的修改都会丢失。不过，IIS Lockdown的撤销操作会在启用上次备份的元数据之前另行备份当时的元数据，因此必要时可以重新执行丢失的修改操作。五、无人值守要用无人值守方式运行IIS Lockdown也很简单。用记事本打开iislockd.ini，修改Info部分的两个键，使之成为：Unattended=TRUEUnattendedServerType= ServerType的取值从ServerTypesNT4和ServerTypes键列出的值选择，这两个键也属于info部分。IIS Lockdown 2.1不支持命令行参数，因此修改iislockd.ini是唯一实现自动加锁的办法。由于这一局限，如果要针对几类不同的服务器配置使用IIS Lockdown加锁，就会遇到一定的困难。要解决这个问题，可以按照下面的步骤操作： 为每一种不同的配置创建一个专用的目录。 在每一个目录的iislockd.ini文件中，启用无人值守模式，并针对该配置要求设定服务器类型。 针对要加锁的服务器类型，进入适当的目录，然后启动IIS Lockdown执行无人值守的加锁操作。iislockd.ini配置文件的info部分中，最后一个键也值得一提，它就是Undo，设置成TRUE可以撤销前一次加锁操作。当IIS Lockdown执行撤销操作时，它不会再返回来按照UnattendedServerType键指定的服务器类型执行加锁操作。六、定制服务器模板如果要创建自定义的服务器配置模板，并将模板加入到IIS Lockdown的配置清单中，只要修改iislockd.ini文件增加适当的信息就可以了。请按照下面的步骤创建定制的服务器模板： 用记事本打开iislockd.ini文件。 检查一下ServerTypesNT4和ServerTypes键中已有的模板名称，然后加入定制模板的名称，注意定制模板的名称不能与已有的模板冲突。用于NT 4.0平台的模板名字加入到ServerTypesNT4键，其他模板名字加入到ServerTypes键。 在iislockd.ini文件的现有模板中，选择一个最接近定制模板配置的，将它复制到.ini文件的最后。 把模板名称（即括号内的单词）修改成步骤2中指定的定制模板名称。 将Label键的值修改成定制模板的说明文字。 根据服务器配置需要编辑其他键，以启用或禁用各个IIS Lockdown修改选项。这些选项对应前文“实践应用”部分的对话框选项，在此不再赘述。最后必须指出的是，IIS Lockdown确实能够方便地提高Web服务器的安全性，但不意味着有了IIS Lockdown就可以高枕无忧。安全是一个不断发展和变化的概念，唯有时刻牢记在心，才能防患于未然虚拟主机IIS 防范入侵常见问答1.如何让asp脚本以system权限运行?修改你asp脚本所对应的虚拟目录，把应用程序保护修改为低.2.如何防止asp木马?基于FileSystemObject组件的asp木马cacls %systemroot%system32scrrun.dll /e /d guests /禁止guests使用regsvr32 scrrun.dll /u /s /删除基于shell.application组件的asp木马cacls %systemroot%system32shell32.dll /e /d guests /禁止guests使用regsvr32 shell32.dll /u /s /删除3.如何加密asp文件?从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。运行screnc - l vbscript source.asp destination.asp生成包含密文ASP脚本的新文件destination.asp用记事本打开看凡是之内的，不管是否注解，都变成不可阅读的密文了但无法加密中文。4.如何从IISLockdown中提取urlscan?iislockd.exe /q /c /t:c:urlscan5.如何防止Content-Location标头暴露了web服务器的内部IP地址?执行cscript c:inetpubadminscriptsadsutil.vbs set w3svc/UseHostName True最后需要重新启动iis6.如何解决HTTP500内部错误?iis http500内部错误大部分原因主要是由于iwam账号的密码不同步造成的。我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。执行cscript c:inetpubadminscriptssynciwam.vbs -v7.如何增强iis防御SYN Flood的能力?Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。SynAttackProtect=dword:00000002同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。TcpMaxHalfOpen=dword:00000064判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。TcpMaxHalfOpenRetried=dword:00000050设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。微软站点安全推荐为2。TcpMaxConnectResponseRetransmissions=dword:00000001设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。TcpMaxDataRetransmissions=dword:00000003设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。TCPMaxPortsExhausted=dword:00000005禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的源路由包，微软站点安全推荐为2。DisableIPSourceRouting=dword:0000002限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。TcpTimedWaitDelay=dword:0000001e8.如何避免*mdb文件被下载?安装ms发布的urlscan工具，可以从根本上解决这个问题。同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。9.如何让iis的最小ntfs权限运行?依次做下面的工作:a.选取整个硬盘：system：完全控制administrator：完全控制(允许将来自父系的可继承性权限传播给对象)gram filescommon files：everyone：读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)c.inetpubwwwroot：iusr_machine：读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)e.winntsystem32：选择除inetsrv和centsrv以外的所有目录，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。f.winnt：选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框，复制。g.winnt：everyone：读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)h.winnttemp：（允许访问数据库并显示在asp页面上）everyone：修改(允许将来自父系的可继承性权限传播给对象)10.如何隐藏iis版本?一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息iis存放IIS BANNER的所对应的dll文件如下：WEB:C:WINNTSYSTEM32INETSRVW3SVC.DLLFTP:C:WINNTSYSTEM32INETSRVFTPSVC2.DLLSMTP:C:WINNTSYSTEM32INETSRVSMTPSVC.DLL你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0具体过程如下:1.停掉iis iisreset /stop2.删除%SYSTEMROOT%system32dllcache目录下的同名文件3.修改运行IIS的最小NTFS权限虚拟主机本文介绍了正常运行IIS所需要的最小NTFS权限，当IIS不能正常运行或者想严格限制权限的时候可以参照此文，以下是操作的7个步骤。1、 选取整个硬盘：System：完全控制Administrator：完全控制（允许将来自父系的可继承性权限传播