一位高手整理的IIS FAQ

1.如何讓asp腳本以system權限運行 

　　修改你asp腳本所對應的虛擬目錄，把"應用程序保護"修改爲"低".... 

2.如何防止asp木馬 

　　基於FileSystemObject組件的asp木馬
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 

　　regsvr32 scrrun.dll /u /s //刪除 

　　基於shell.application組件的asp木馬 

　　cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 

　　regsvr32 shell32.dll /u /s //刪除 

3.如何加密asp文件

　　從微軟免費下載到sce10chs.exe 直接運行即可完成安裝過程。 

　　安裝完畢後，將生成screnc.exe文件，這是一個運行在DOS PROMAPT的命令工具。 

　　運行screnc - l vb****** source.asp destination.asp 

　　生成包含密文ASP腳本的新文件destination.asp 

　　用記事本打開看凡是""之內的，不管是否註解，都變成不可閱讀的密文了 

　　但無法加密中文。 

4.如何從IISLockdown中提取urlscan 

　　iislockd.exe /q /c /t:c:\urlscan 

5.如何防止Content-Location標頭暴露了web服務器的內部IP地址

　　執行 

　　c****** c:\inetpub\admin******s\adsutil.vbs set w3svc/UseHostName True 

　　最後需要重新啓動iis 

6.如何解決HTTP500內部錯誤

　　iis http500內部錯誤大部分原因 

　　主要是由於iwam賬號的密碼不同步造成的。 

　　我們只要同步iwam_myserver賬號在com+應用程序中的密碼即可解決問題。 

　　執行 

　　c****** c:\inetpub\admin******s\synciwam.vbs -v 

7.如何增強iis防禦SYN Flood的能力 

　　Windows Registry Editor Version 5.00 

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 

　　啓動syn攻擊保護。缺省項值爲0，表示不開啓攻擊保護，項值爲1和2表示啓動syn攻擊保護，設成2之後 

　　安全級別更高，對何種狀況下認爲是攻擊，則需要根據下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 設定的條件來觸發啓動了。這裏需要注意的是，NT4.0必須設爲1，設爲2後在某種特殊數據包下會導致系統重啓。 

　　"SynAttackProtect"=dword:00000002 
同時允許打開的半連接數量。所謂半連接，表示未完整建立的TCP會話，用netstat命令可以看到呈SYN_RCVD狀態的就是。這裏使用微軟建議值，服務器設爲100，高級服務器設爲500。建議可以設稍微小一點。 

　　"TcpMaxHalfOpen"=dword:00000064 

　　判斷是否存在攻擊的觸發點。這裏使用微軟建議值，服務器爲80，高級服務器爲400。 

　　"TcpMaxHalfOpenRetried"=dword:00000050 

　　設置等待SYN-ACK時間。缺省項值爲3，缺省這一過程消耗時間45秒。項值爲2，消耗時間爲21秒。 

　　項值爲1，消耗時間爲9秒。最低可以設爲0，表示不等待，消耗時間爲3秒。這個值可以根據遭受攻擊規模修改。 

　　微軟站點安全推薦爲2。 

　　"TcpMaxConnectResponseRetransmissions"=dword:00000001 

　　設置TCP重傳單個數據段的次數。缺省項值爲5，缺省這一過程消耗時間240秒。微軟站點安全推薦爲3。 

　　"TcpMaxDataRetransmissions"=dword:00000003 

　　設置syn攻擊保護的臨界點。當可用的backlog變爲0時，此參數用於控制syn攻擊保護的開啓，微軟站點安全推薦爲5。 

　　"TCPMaxPortsExhausted"=dword:00000005 

　　禁止IP源路由。缺省項值爲1，表示不轉發源路由包，項值設爲0，表示全部轉發，設置爲2，表示丟棄所有接受的源路由包，微軟站點安全推薦爲2。 

　　"DisableIPSourceRouting"=dword:0000002 

　　限制處於TIME_WAIT狀態的最長時間。缺省爲240秒，最低爲30秒，最高爲300秒。建議設爲30秒。 

　　"TcpTimedWaitDelay"=dword:0000001e 

8.如何避免*mdb文件被下載

　　安裝ms發佈的urlscan工具，可以從根本上解決這個問題。 

　　同時它也是一個強大的安全工具，你可以從ms的網站上獲取更爲詳細的信息。 

9.如何讓iis的最小ntfs權限運行

　　依次做下面的工作: 

　　a.選取整個硬盤： 

　　system：完全控制 

　　administrator：完全控制 

　　(允許將來自父系的可繼承性權限傳播給對象) 

　　b.\program files\common files： 

　　everyone：讀取及運行 

　　列出文件目錄 

　　讀取 

　　(允許將來自父系的可繼承性權限傳播給對象) 

　　c.\inetpub\wwwroot： 

　　iusr_machine：讀取及運行 

　　列出文件目錄 

　　讀取 

　　(允許將來自父系的可繼承性權限傳播給對象) 

　　e.\winnt\system32： 

　　選擇除inetsrv和centsrv以外的所有目錄， 

　　去除“允許將來自父系的可繼承性權限傳播給對象”選框，複製。 

　　f.\winnt： 

　　選擇除了downloaded program files、help、iis temporary compressed files、 

　　offline web pages、system32、tasks、temp、web以外的所有目錄 

　　去除“允許將來自父系的可繼承性權限傳播給對象”選框，複製。 

　　g.\winnt： 

　　everyone：讀取及運行 

　　列出文件目錄 

　　讀取 

　　(允許將來自父系的可繼承性權限傳播給對象) 

　　h.\winnt\temp：（允許訪問數據庫並顯示在asp頁面上） 

　　everyone：修改 

　　(允許將來自父系的可繼承性權限傳播給對象) 

10.如何隱藏iis版本 

　　一個黑客可以可以輕易的telnet到你的web端口，發送get命令來獲取很多信息 

　　iis存放IIS BANNER的所對應的dll文件如下： 

　　WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 

　　FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 

　　SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 

　　你可以用16進制編輯器去修改那些dll文件的關鍵字，比如iis的Microsoft-IIS/5.0 

　　具體過程如下: 

　　1.停掉iis iisreset /stop 

　　2.刪除%SYSTEMROOT%\system32\dllcache目錄下的同名文件 

　　3.修改