ASP+IIS配置

ASP+IIS配置技巧
Error：IIS无法启动，存储空间不足，无法处理此命令。

今天遇到一个非常头大的问题，症状如下：
1、serv-U启动时提示：无法确定网络,网络故障或SOCKETS不足
理论上Widnows可用Socket有65535个，IIS或者FTP之类的应用程序在请求用完一个Sockets后，关闭的Socket都会被系统回收使用。

怎么回事？
2、HTTP SSL 服务因下列错误而停止:
存储空间不足，无法处理此命令。

与 World Wide Web Publishing Service 服务相依的 HTTP SSL 服务因下列错误而无法启动:
存储空间不足，无法处理此命令。

解决方法
通过事件管理器,查看到系统有一个错误,事件ID 2011,服务器的配置参数"irps4tacksize"太小,无法让服务器使用本地设备请增加此参数的值
要解决此问题,请在注册表中增大 IRPStackSize 值：
1. 运行 regedit
2. 找到以下项：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Par ameters
3. 在右窗格中双击 IRPStackSize 值
注意：如果 IRPStackSize 值不存在,请使用以下过程创建此值：
a. 在注册表的 Parameters 文件夹中,右健单击右窗格
b. 指向新建,然后单击 DWord 值
c. 键入 IRPStackSize
重要说明: 因为此数值名称区分大小写,所以请完全按照其显示的形式键入"IRPStackSize"
4. 将"基数"更改为十进制
5. 在"数值数据"框中,键入比列出的值大的一个值
建议将 IRPStackSize 值增大 3 : 如果以前的值为 11,则请键入 14,然后单击"确定"
6. 关闭注册表编辑器并重新启动计算机
ASP+Access的安全隐患及对策
随着Internet的发展，Web技术日新月异。

继通用网关接口（CGI）之后，“ASP”(Active Server Pages)作为一种典型的服务器端网页设计技术，被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中。

同时Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统，由于具有操作简
单、界面友好等特点，具有较大的用户群体。

因此ASP＋Access成为许多中小型网上应用系统的首选方案。

但ASP＋Access解决方案在为我们带来便捷的同时，也带来了不容忽视的安全问题。

ASP＋Access的安全隐患
ASP＋Access解决方案的主要安全隐患来自Access数据库的安全性，其次在于ASP网页设计过程中的安全漏洞。

1、Access数据库的存储隐患
在ASP＋Access应用系统中，如果获得或者猜到Access数据库的存储路径和数据库名，则该数据库就可以被下载到本地。

例如：对于网上书店的Access 数据库，人们一般命名为book.mdb、store.mdb等，而存储的路径一般为“URL/database”或干脆放在根目录（“URL/”）下。

这样，只要在浏览器地址栏中敲入地址：“URL/database/store.mdb”，就可以轻易地把store.mdb下载到本地的机器中。

2、Access数据库的解密隐患
由于Access数据库的加密机制非常简单，所以即使数据库设置了密码，解密也很容易。

该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串，并将其存储在＊.mdb文件中从地址“＆H42”开始的区域内。

由于异或操作的特点是“经过两次异或就恢复原值”，因此，用这一密钥与＊.mdb 文件中的加密串进行第二次异或操作，就可以轻松地得到Access数据库的密码。

基于这种原理，可以很容易地编制出解密程序。

由此可见，无论是否设置了数据库密码，只要数据库被下载，其信息就没有任何安全性可言了。

3、源代码的安全隐患
由于ASP程序采用的是非编译性语言，这大大降低了程序源代码的安全性。

任何人只要进入站点，就可以获得源代码，从而造成ASP应用程序源代码的泄露。

4、程序设计中的安全隐患
ASP代码利用表单（form）实现与用户交互的功能，而相应的内容会反映在浏览器的地址栏中，如果不采用适当的安全措施，只要记下这些内容，就可以绕过验证直接进入某一页面。

例如在浏览器中敲入“……page.asp?x=1”，即可不经过表单页面直接进入满足“x=1”条件的页面。

因此，在设计验证或注册页面时，必须采取特殊措施来避免此类问题的发生。

提高数据库的安全性
由于Access数据库加密机制过于简单，因此，如何有效地防止Access数据库被下载,就成了提高ASP＋Access解决方案安全性的重中之重。

1、非常规命名法
防止数据库被找到的简便方法是为Access数据库文件起一个复杂的非常规名字，并把它存放在多层目录下。

例如，对于网上书店的数据库文件，不要简单地命名为“book.mdb”或“store.mdb”，而是要起个非常规的名字，例如：faq19jhsvzbal.mdb，再把它放在如./akkjj16t/kjhgb661/acd/avccx55 之类的深层目录下。

这样，对于一些通过猜的方式得到Access数据库文件名的非法访问方法起到了有效的阻止作用。

2、使用ODBC数据源
在ASP程序设计中，应尽量使用ODBC数据源，不要把数据库名直接写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。

例如：
DBPath = Server.MapPath(“./akkjj16t/
kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)
conn.Open “driver={Microsoft Access Driver (＊.mdb)};dbq=” ＆DBPath
可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP源代码失密后，数据库也很容易被下载下来。

如果使用ODBC数据源，就不会存在这样的问题了：
conn.open “ODBC－DSN名”
对ASP页面进行加密
为有效地防止ASP源代码泄露，可以对ASP页面进行加密。

一般有两种方法对ASP页面进行加密。

一种是使用组件技术将编程逻辑封装入DLL之中；另一种是使用微软的Script Encoder对ASP页面进行加密。

笔者认为，使用组件技术存在的主要问题是每段代码均需组件化，操作比较烦琐，工作量较大；而使用Script Encoder对ASP页面进行加密，操作简单、收效良好。

Script Encoder 方法具有许多优点：
1、HTML仍具有很好的可编辑性。

Script Encoder只加密在HTML页面中嵌入的ASP代码，其他部分仍保持不变，这就使得我们仍然可以使用FrontPage 或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善，只是不能对ASP加密部分进行修改，否则将导致文件失效。

2、操作简单。

只要掌握几个命令行参数即可。

Script Encoder的运行程序是screnc.exe，其使用方法如下：
screnc [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile
其中的参数含义如下：
s：屏蔽屏幕输出；
f：指定输出文件是否覆盖同名输入文件；
xl：是否在.asp文件的顶部添加@Language指令；
l：defLanguag指定缺省的脚本语言；
e：defExtension 指定待加密文件的扩展名。

3、可以批量加密文件。

使用Script Encoder可以对当前目录中的所有的ASP 文件进行加密，并把加密后的文件统一输出到相应的目录中。

例如：screnc ＊.asp c: emp
4、Script Encoder是免费软件。

该加密软件可以从微软网站下载：/scripting/vbscript/download/x86/sce10en.exe 。

下载后，运行安装即可。

利用Session对象进行注册验证
为防止未经注册的用户绕过注册界面直接进入应用系统，可以采用Session 对象进行注册验证。

Session对象最大的优点是可以把某用户的信息保留下来，让后续的网页读取。

例如，要设计如图1所示的注册页面。

[sayyes]/htm/app/aprog/01_7_13_2.jpg[/ sayyes]
设计要求用户注册成功后系统启动hrmis.asp?page=1页面。

如果不采用Session对象进行注册验证，则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面，直接进入系统。

利用Session对象可以有效阻止这一情况的发生。

相关的程序代码如下：
<％
' 读取用户输入的账号和密码
UserID = Request(“UserID”)
Password = Request(“Password”)
' 检查UserID 及Password 是否正确（实际程序可能会比较复杂）
If UserID <>“hrmis” Or Password <>
“password” Then
Response.Write “账号错误！”
Response.End
End If
'将Session 对象设置为通过验证状态
Session(“Passed”) = True
％>
进入应用程序后，首先进行验证：
<％
'如果未通过验证，返回Login状态
If Not Session(“Passed”) Then
Response.Redirect “Login.asp”
End If
％>
windows NT服务器-系统帐户权限设置详解
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。

难道我们真的无能为力了吗?其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO!
要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。

众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。

DOS跟WinNT的权限的分别
DOS是个单任务、单用户的操作系统。

但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。

所以，我们只能说DOS不支持权限的设置，不能说它没有权限。

随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。

下面我们来谈谈NT中常见的用户组。

Administrators，管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。

分配给该组的默认权限允许对整个系统进行完全控制。

所以，只有受信任的人员才可成为该组的成员。

Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。

分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。

但Power Users 不具有将自己添加到 Administrators 组的权限。

在权限设置中，这个组的权限是仅次于Administrators的。

Users：普通用户组，这个组的用户无法进行有意或无意的改动。

因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。

Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。

Users 组提供了一个最安全的程序运行环境。

在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。

用户不能修改系统注册表设置、操作系统文件或程序文件。

Users 可以关闭工作站，但不能关闭服务器。

Users 可以创建本地组，但只能修改自己创建的本地组。

Guests：来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone：顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。

系统和系统级的服务正常运行所需要的权限都是靠它赋予的。

由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

权限实例攻击
权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

假设服务器外网域名为http：//，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。

打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。

通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP 木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。

再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL 执行添加用户，提管理员权限。

也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。

还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。

大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。

对于各个卷的根目录，默认给了Everyone组完全控制权。

这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。

系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。

对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权;Everyone拥有读&运，列和读权限;Power users拥有读&运，列和读权限;SYSTEM同Administrators;Users拥有读&运，列和读权限。

对于Program files，Administrators拥有完全控制权;Creator owner拥有特殊权限;Power
users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。

对于Winnt，Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。

而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone 组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。

本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。

那么，怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。

对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e：\www目录，也就是网站目录读、写权。

最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。

经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。

可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone 的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好，有深度。

是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。

当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。

ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。

安全研究: 保护WEB服务器的15个技巧[IIS服务器]
通常地，大多数Web站点的设计目标都是：以最易接受的方式，为访问者提供即时的信息访问。

在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性，尽管Apache服务器也常常是攻击者的目标，然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。

高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。

另外，它们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多它们的私有部门也面临着相似的局面)。

正因为如此，我在这里将为预算而头疼的大学IT经理们提供一些技巧，以帮助他们保护他们的IIS服务器。

虽然主要是面对大学里的IT专业人员的，但是这些技巧也基本上适用于希望通过少量的财政预算来提高安全性的IIS管理人员。

实际上，这里面的一些技巧对拥有强大预算的IIS管理人员也是非常有用的。

首先，开发一套安全策略
保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。

如果公司高层没有把服务器的安全看作是必须被保护的资产，那么保护工作是完全没有意义的。

这项工作需要长期的努力。

如果预算不支持或者它不是长期IT 战略的一部分，那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。

网络管理员为各方面资源建立安全性的直接结果是什么呢？一些特别喜欢冒险的用户将会被关在门外。

那些用户随后会抱怨公司的管理层，管理层人员又会去质问网络管理员究竟发生了什么。

那么，网络管理员没办法建立支持他们安全工作的文档，因此，冲突发生了。

通过标注Web服务器安全级别以及可用性的安全策略，网络管理员将能够从容地在不同的操作系统上部署各种软件工具。

IIS安全技巧
微软的产品一向是众矢之的，因此IIS服务器特别容易成为攻击者的靶子。

搞清楚了这一点后，网络管理员必须准备执行大量的安全措施。

我将要为你们提供的是一个清单，服务器操作员也许会发现这是非常有用的。

1. 保持Windows升级:
你必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。

考虑将所有的更新下载到你网络上的一个专用的服务器上，并在该机器上以Web的形式将文件发布出来。

通过这些工作，你可以防止你的Web服务器接受直接的Internet访问。

2. 使用IIS防范工具:
这个工具有许多实用的优点，然而，请慎重的使用这个工具。

如果你的Web 服务器和其他服务器相互作用，请首先测试一下防范工具，以确定它已经被正确的配置，保证其不会影响Web服务器与其他服务器之间的通讯。

3. 移除缺省的Web站点:
很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。

防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。

然后，因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址)，他们的请求可能遇到麻烦。

将你真实的Web站点指向一个背部分区的文件夹，且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。

4. 如果你并不需要FTP和SMTP服务，请卸载它们:
进入计算机的最简单途径就是通过FTP访问。

FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。

SMTP是另一种允许到文件夹的写权限的服务。

通过禁用这两项服务，你能避免更多的黑客攻击。

5. 有规则地检查你的管理员组和服务:
有一天我进入我们的教室，发现在管理员组里多了一个用户。

这意味着这时某个人已经成功地进入了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会突然摧毁你的整个系统，或者占用大量的带宽以便黑客使用。

黑客同样趋向于留下一个帮助服务，一旦这发生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。

因此，检查IIS 服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。

你应该记住哪个服务应该存在，哪个服务不应该存在。

Windows 2000 Resource Kit带给我们一个有用的程序，叫作tlist.exe，它能列出每种情况运行在svchost 之下的服务。

运行这个程序可以寻找到一些你想要知道的隐藏服务。

给你一个提示：任何含有daemon几个字的服务可能不是Windows本身包含的服务，都不应该存在于IIS服务器上。

想要得到Windows服务的列表并知道它们各自有什么作用，请点击这里。

6. 严格控制服务器的写访问权限:
这听起来很容易，然而，在大学校园里，一个Web服务器实际上是有很多"作者"的。

教职人员都希望让他们的课堂信息能被远程学生访问。

职员们则希望与其他的职员共享他们的工作信息。

服务器上的文件夹可能出现极其危险的访问权限。

将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的，然后配置你的Web服务器来指向共享服务器。

这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

7. 设置复杂的密码:
我最近进入到教室，从事件察看器里发现了很多可能的黑客。

他或她进入了实验室的域结构足够深，以至于能够对任何用户运行密码破解工具。

如果有用户使用弱密码 (例如"password"或是 changeme"或者任何字典单词)，那么黑客能快速并简单的入侵这些用户的账号。

8. 减少/排除Web服务器上的共享:
如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。

共享是对黑客最大的诱惑。

此外，通过运行一个简单的循环批处理文件，黑客能够察看一个IP地址列表，利用\\命令寻找Everyone/完全控制权限的共享。

9. 禁用TCP/IP协议中的NetBIOS:
这是残忍的。

很多用户希望通过UNC路径名访问Web服务器。

随着NETBIOS 被禁用，他们便不能这么做了。

另一方面，随着NETBIOS被禁用，黑客就不能看到你局域网上的资源了。

这是一把双刃剑，如果网络管理员部署了这个工具，下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。

10. 使用TCP端口阻塞:
这是另一个残忍的工具。

如果你熟悉每个通过合法原因访问你服务器的TCP 端口，那么你可以进入你网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有你不需要的端口。

你必须小心的使用这一工具，因为你并不希望将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。

要得到TCP 端口的详细细节，点击这里。

11. 仔细检查*.bat和*.exe 文件: 每周搜索一次*.bat
和*.exe文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场恶梦的可执行文件。

在这些破坏性的文件中，也许有一些是*.reg文件。

如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。

你可以删除这些没任何意义但却会给入侵者带来便利的主键。

12. 管理IIS目录安全:
IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。

作为选择，我选择了一个被称作WhosOn的软件，它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。

WhosOn列出了一系列的异常。

如果你发现一个家伙正在试图访问你的cmd.exe，你可以选择拒绝这个用户访问Web服务器。

当然，在一个繁忙的Web站点，这可能需要一个全职的员工！然而，在内部网，这真的是一个非常有用的工具。

你可以对所有局域网内部用户提供资源，也可以对特定的用户提供。

13. 使用NTFS安全:
缺省地，你的NTFS驱动器使用的是EVERYONE/完全控制权限，除非你手工关掉它们。

关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。

最重要的文件夹是System32，这个文件夹的访问权限越小越好。

在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。