10秒后自動關(guān)閉
【IIS輔助運行控制功能】使用指南

IIS輔助→IIS運行控制功能

 

(該功能很強大,建議根據(jù)實際情況開啟)

 

一、主要設(shè)置介紹:

  護(hù)衛(wèi)神入侵防護(hù)系統(tǒng)從3.0開始,增加了IIS輔助的IIS運行控制功能,該功能能夠從系統(tǒng)內(nèi)核對IIS安全進(jìn)行加固,進(jìn)一步保障網(wǎng)站和服務(wù)器的安全。

 

二、演示:

  以下用常見的功能強大的asp.net木馬aspspy,在開啟IIS運行控制前和開啟IIS運行控制后的演示對比:

 

1、CmdShell,執(zhí)行cmd.exe等文件:

 

下圖為開啟功能前,通過木馬能夠執(zhí)行cmd命令,如果權(quán)限高,能夠獲取并執(zhí)行任何命令,嚴(yán)重危害服務(wù)器,如果黑客輸入 format D:/q 豈不是很悲催?

圖:

 

下圖為開啟禁止IIS禁止DOS/EXE文件的功能,已經(jīng)看到執(zhí)行被成功禁止,保障了服務(wù)器的安全。

  注:攔截時,護(hù)衛(wèi)神會在托盤顯示氣泡,并且會記錄詳細(xì)的日志。

 

 

2、測試 IIS Spy 功能:

下圖為開啟禁止IIS獲取系統(tǒng)信息功能前,通過木馬能夠獲取到IIS所有網(wǎng)站列表,所有網(wǎng)站一覽無余,相當(dāng)危險。

 

下圖為開啟禁止IIS獲取系統(tǒng)信息后,就無法獲取到IIS配置網(wǎng)站信息,保障了服務(wù)器和網(wǎng)站的安全。

攔截時,護(hù)衛(wèi)神會在托盤顯示氣泡,并且會記錄詳細(xì)的日志。

 

 

3、攔截 UserInfo:

下圖為開啟禁止IIS獲取系統(tǒng)信息之前,能夠獲取到計算機的相關(guān)信息,非常危險。

 

下圖為開啟禁止IIS獲取系統(tǒng)信息后,攔截了相應(yīng)的危險操作,保障了服務(wù)器和網(wǎng)站的安全。

  注:攔截時,護(hù)衛(wèi)神會在托盤顯示氣泡,并且會記錄詳細(xì)的日志。

 

4、攔截SysInfo功能:

下圖是沒有禁止IIS獲取系統(tǒng)信息的情況,可以獲取系統(tǒng)硬件信息等,十分危險。

 

下圖是開啟了禁止IIS獲取系統(tǒng)信息后,黑客無法獲取服務(wù)器相應(yīng)的信息,保障了服務(wù)器和網(wǎng)站的安全。

攔截時,護(hù)衛(wèi)神會在托盤顯示氣泡,并且會記錄詳細(xì)的日志。

 

三、自定義CLSID:

  注:該功能擴展性極強,可以禁止IIS訪問任何指定的已知組件,用戶可以根據(jù)實際情況設(shè)置,格式如:{13709620-c279-11ce-a49e-444553540000}:::Shell.application

 

四、攔截時的提示信息(類似圖):

  1、氣泡:

  2、日志:

詳細(xì)日志查看

 

  3、添加IP/IP段到IIS輔助的白名單或黑名單:

    注:IP段,表示C類IP,如IP為 1.2.3.4 的IP段默認(rèn)解析為 1.2.3.0-1.2.3.255

添加IP到IIS輔助的IP白名單

 

添加IP到IIS輔助的IP黑名單

 

 

五、注意事項:

  1、如果出現(xiàn)設(shè)置錯誤,將可能導(dǎo)致網(wǎng)站無法正常訪問,此時可以查看護(hù)衛(wèi)神日志,根據(jù)日志做出相應(yīng)調(diào)整;

  2、該模塊功能靈活強大,請注意設(shè)置;

  3、此功能目前僅支持Windows Server 2003/32位系統(tǒng),3.5.0以及以上版本支持所有Windows操作系統(tǒng);

  4、運行控制,增加程序池白名單,要過幾秒才能立即生效,請留意。

 

用戶留言