海运的博客

Windows 2008下IIS7配置StartSSL免费证书

发布时间:February 9, 2013 // 分类:IIS,OpenSSL // No Comments

申请StartSSL免费SSL证书见:http://www.haiyun.me/archives/startssl-free-ssl.html,获取到证书私钥及公钥,然后生成IIS可导入的PFX证书。
1.使用StartSSL网页提供的PFX生成工具:
StartSSL生成IIS下PFX证书.png
2.使用OpenSSL转为PFX证书
然后在IIS管理器中导入生成的PFX证书并绑定到相应域名。

IIS7显示详细错误信息解决500/403错误

发布时间:December 13, 2012 // 分类:Windows // No Comments

首先在客户端IE配置显示友好的错误信息,工具——选项——高级。
IIS6配置:网站——属性——主目录——调试,开启向客户端发送详细的ASP错误信息。
IIS6调试发生详细错误信息.png
IIS7配置显示错误详细信息:错误页——编辑功能配置——详细错误。
IIS7错误页显示错误详细信息.png
IIS7配置ASP将错误发送到浏览器。
IIS7将错误信息发送到浏览器.png

Windows 2003服务器安全设置

发布时间:November 10, 2012 // 分类:网络安全,Windows // No Comments

1.计算机安全策略设置(gpedit.msc)
Windows设置——>安全设置——>账户策略——>账户锁定策略:

账户锁定阀值:3次无效登录
账户锁定时间:30分钟
复位账户锁定计时器:30分钟之后

本地策略——>安全选项:

交互式登陆:不显示上次的用户名          启用
帐户:重命名来宾帐户            重命名
帐户:重命名系统管理员帐户         重命名

本地策略——>审核策略:

审核策略更改   成功 失败  
审核登录事件   成功 失败
审核对象访问      失败
审核过程跟踪   无审核
审核目录服务访问    失败
审核特权使用      失败
审核系统事件   成功 失败
审核账户登录事件 成功 失败
审核账户管理   成功 失败

本地策略——>用户权限分配:

从网络访问此计算机:保留Guest组、IIS-WPG组。
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除

2.禁用不必要的服务:

#http://www.haiyun.me
Computer Browser
DHCP Client
Error reporting service
PrintSpooler
Remote Registry
Remote Desktop Help Session Manager
TCP/IP NetBIOS Helper
Help and Support
Windows Audio
Server
Workstation

3.开启防火墙或TCP/IP筛选:
windows2003安全设置TCP-IP筛选.png
windows2003安全防火墙设置.png
4.修改3389远程桌面端口:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t 
REG_DWORD /d $newport /f
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t 
REG_DWORD /d $newport /f
#然后关闭并重新启动远程桌面,远程连接操作请重新启动系统生效。
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t 
REG_DWORD /d 1 /f
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t 
REG_DWORD /d 0 /f

5.IIS新建网站时尽量新建不同的用户,并权限最小化:

网站匿名访问用户属于Guest群组
应用程序池标记用户属于IIS_WPG群组
网站目录仅保留系统管理员网站用户权限

6.系统目录权限:

C:\administrators/system全部权限,继承到下级目录。
C:\Program Files\Common Files 开放Everyone,默认的读取及运行,列出文件目录,读取三个权限。
C:\Windows\ 开放USERS默认的读取及运行,列出文件目录,读取三个权限。
C:\Windows\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限。

7.禁用不安全的组件、调整ASP.NET安全级别防WebShell木马
8.使用UrlScan应用防火墙过滤链接
9.SQL2000数据库服务器安全设置

Windows安全设置IIS防WebShell木马

发布时间:July 17, 2012 // 分类:IIS // No Comments

1.ASP环境禁用Webshell危险的组件:

regsvr32 /u wshom.ocx
#卸载WScript.Shell 组件 
regsvr32 /u shell32.dll
#卸载Shell.application 组件
regsvr32 /u scrrun.dll
#卸载FSO对象
regsvr32 /u msado15.dll
#卸载stream对象

2.ASPX环境调整ASP.NET信任级别,ASPX运行ASPXspy之类的木马会出现错误信息:
编辑Framework配置文件:

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config

修改为:

    <location allowOverride="false"> #禁止用户自定义级别
        <system.web>
            <securityPolicy>
                <trustLevel name="Full" policyFile="internal"/>
                <trustLevel name="High" policyFile="web_hightrust.config"/>
                <trustLevel name="Medium" policyFile="web_mediumtrust.config"/>
                <trustLevel name="Low" policyFile="web_lowtrust.config"/>
                <trustLevel name="Minimal" policyFile="web_minimaltrust.config"/>
            </securityPolicy>
            <trust level="High" originUrl=""/> #级别为高,默认为完全
            <identity impersonate="true" />
        </system.web>
    </location>

ASP.NET各信任级别权限如下:

完全:无限制的权限。应用程序可访问任何属于操作系统安全范围的资源。支持所有的特权操作;
高:不能调用未托管代码、不能调用服务组件、写入事件日志、访问 Microsoft 消息队列、访问 OLE DB 数据源;
中:除上述限制外,还限制访问当前应用程序目录中的文件,不允许访问注册表;
低:除上述限制外,应用程序不能与 SQL Server 连接,代码不能调用 CodeAccessPermission.Assert(无断言安全权限);
最低:仅有执行权限。

高级别禁止读取注册表,编辑高级别配置文件:

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web_hightrust.config

删除注册表权限:

#http://www.haiyun.me
<SecurityClass Name="RegistryPermission" Description="System.Security.Permissions.RegistryPermission, 
mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>

然后配置IIS为net为2.0版本,重启IIS。

cd C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 
aspnet_regiis -i

iis切换net版本.png
单一禁止IISSPY还可修改以下文件权限:

/windows/system32/activeds.tlb
#去除文件Users组和Power Users组读取权限

IIS6开启配置网页gzip压缩

发布时间:June 20, 2012 // 分类:IIS // No Comments

现在浏览器都支持gzip压缩,网站开启gzip压缩可提高用户访问速度并节省服务器带宽,IIS6自带gzip压缩支持,不过设置有点麻烦。
1.打开IIS管理器——网站——属性——服务,选择动态或静态压缩支持。
IIS6开启gzip压缩.png
2.新建web服务器扩展,文件为C:WINDOWSsystem32inetsrvgzip.dll。
IIS6新建gzip扩展.png
3.停止IIS服务:

iisreset.exe /stop

4.编辑IIS配置文件C:WindowsSystem32inetsrvMetaBase.xml,找到以下并修改:

<IIsCompressionScheme    Location ="/LM/W3SVC/Filters/Compression/gzip"
        HcCompressionDll="%windir%\system32\inetsrv\gzip.dll"
        HcCreateFlags="0"
        HcDoDynamicCompression="TRUE" #开启动态文件压缩
        HcDoOnDemandCompression="TRUE"
        HcDoStaticCompression="TRUE" #开启静态文件压缩
        HcDynamicCompressionLevel="9" #动态文件压缩级别,可选0-10,0为不压缩,数值越大压缩超高,越占用CPU。
        HcFileExtensions="htm #静态文件压缩扩展名
            html
            css
            js
            txt"
        HcOnDemandCompLevel="9" #静态文件压缩级别
        HcPriority="1"
        HcScriptFileExtensions="asp #动态态文件压缩扩展名
            dll
            exe"
    >
</IIsCompressionScheme>

5.重新启动IIS服务:

iisreset.exe /start

6.测试压缩:
测试IIS6压缩.png

分类
最新文章
最近回复
  • zzg: http://downloads.openwrt.org.cn/PandoraBox/rali...
  • xiongrui: 看图
  • 傻狍子: filebrowser好像和这功能一样? https://github.com/filebro...
  • 陶国文: 想看看能不能安装
  • 傻狍子: 服务端设置了用户名密码认证的话,在openwrt的openvpn客户端的配置文件当中该如何更改...
  • 王阴阳师: 感谢,一点不啰嗦,还很管用!
  • simon: 刚刚看了我的vps,玛德,居然也有人在一直尝试登录,幸好我的密码是强密码
  • thornbird: 又学会一招,不错
  • 头很黑: 除了发送eth转账 ,还能转账其他的代币吗 比如eos
  • 米扑博客: 总结的很棒