相關連結：

1.如何讓asp指令碼以system許可權執行
　　修改你asp指令碼所對應的虛擬目錄，把"應用程式保護"修改為"低"....

2.如何防止asp木馬
　　基於FileSystemObject元件的asp木馬
　　cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
　　regsvr32 scrrun.dll /u /s //刪除
　　基於shell.application元件的asp木馬
　　cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
　　regsvr32 shell32.dll /u /s //刪除

3.如何加密asp檔案
　　從微軟免費下載到sce10chs.exe 直接執行即可完成安裝過程。
　　安裝完畢後，將生成screnc.exe檔案，這是一個執行在DOS PROMAPT的命令工具。
　　執行screnc - l vbscript source.asp destination.asp
　　生成包含密文ASP指令碼的新檔案destination.asp
　　用記事本開啟看凡是""之內的，不管是否註解，都變成不可閱讀的密文了
　　但無法加密中文。

4.如何從IISLockdown中提取urlscan
　　iislockd.exe /q /c /t:c:/urlscan

5.如何防止Content-Location標頭暴露了web伺服器的內部IP地址

6.如何解決HTTP500內部錯誤
　　iis http500內部錯誤大部分原因
　　主要是由於iwam賬號的密碼不同步造成的。
　　我們只要同步iwam_myserver賬號在com+應用程式中的密碼即可解決問題。
　　執行cscript c:/inetpub/adminscripts/synciwam.vbs -v

7.如何增強iis防禦SYN Flood的能力
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
　　啟動syn攻擊保護。預設項值為0，表示不開啟攻擊保護，項值為1和2表示啟動syn攻擊保護，設成2之後
　　安全級別更高，對何種狀況下認為是攻擊，則需要根據下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 設定的條件來觸發啟動了。這裡需要注意的是，NT4.0必須設為1，設為2後在某種特殊資料包下會導致系統重啟。
　　"SynAttackProtect"=dword:00000002
　　同時允許開啟的半連線數量。所謂半連線，表示未完整建立的TCP會話，用netstat命令可以看到呈SYN_RCVD狀態的就是。這裡使用微軟建議值，伺服器設為100，高階伺服器設為500。建議可以設稍微小一點。
　　"TcpMaxHalfOpen"=dword:00000064
　　判斷是否存在攻擊的觸發點。這裡使用微軟建議值，伺服器為80，高階伺服器為400。
　　"TcpMaxHalfOpenRetried"=dword:00000050
　　設定等待SYN-ACK時間。預設項值為3，預設這一過程消耗時間45秒。項值為2，消耗時間為21秒。
　　項值為1，消耗時間為9秒。最低可以設為0，表示不等待，消耗時間為3秒。這個值可以根據遭受攻擊規模修改。
　　微軟站點安全推薦為2。
　　"TcpMaxConnectResponseRetransmissions"=dword:00000001
　　設定TCP重傳單個數據段的次數。預設項值為5，預設這一過程消耗時間240秒。微軟站點安全推薦為3。
　　"TcpMaxDataRetransmissions"=dword:00000003
　　設定syn攻擊保護的臨界點。當可用的backlog變為0時，此引數用於控制syn攻擊保護的開啟，微軟站點安全推薦為5。
　　"TCPMaxPortsExhausted"=dword:00000005
　　禁止IP源路由。預設項值為1，表示不轉發源路由包，項值設為0，表示全部轉發，設定為2，表示丟棄所有接受的源路由包，微軟站點安全推薦為2。
　　"DisableIPSourceRouting"=dword:0000002
　　限制處於TIME_WAIT狀態的最長時間。預設為240秒，最低為30秒，最高為300秒。建議設為30秒。
　　"TcpTimedWaitDelay"=dword:0000001e

8.如何避免*mdb檔案被下載
　　安裝ms釋出的urlscan工具，可以從根本上解決這個問題。
　　同時它也是一個強大的安全工具，你可以從ms的網站上獲取更為詳細的資訊。

9.如何讓iis的最小ntfs許可權執行
　　依次做下面的工作:
　　a.選取整個硬碟：
　　system：完全控制
　　administrator：完全控制
　　(允許將來自父系的可繼承性許可權傳播給物件)
　　b./program files/common files：
　　everyone：讀取及執行
　　列出檔案目錄
　　讀取
　　(允許將來自父系的可繼承性許可權傳播給物件)
　　c./inetpub/wwwroot：
　　iusr_machine：讀取及執行
　　列出檔案目錄
　　讀取
　　(允許將來自父系的可繼承性許可權傳播給物件)
　　e./winnt/system32：
　　選擇除inetsrv和centsrv以外的所有目錄，
　　去除“允許將來自父系的可繼承性許可權傳播給物件”選框，複製。
　　f./winnt：
　　選擇除了downloaded program files、help、iis temporary compressed files、
　　offline web pages、system32、tasks、temp、web以外的所有目錄
　　去除“允許將來自父系的可繼承性許可權傳播給物件”選框，複製。
　　g./winnt：
　　everyone：讀取及執行
　　列出檔案目錄
　　讀取
　　(允許將來自父系的可繼承性許可權傳播給物件)
　　h./winnt/temp：(允許訪問資料庫並顯示在asp頁面上)
　　everyone：修改
　　(允許將來自父系的可繼承性許可權傳播給物件)

10.如何隱藏iis版本
　　一個黑客可以可以輕易的telnet到你的web埠，傳送get命令來獲取很多資訊
　　iis存放IIS BANNER的所對應的dll檔案如下：
　　WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
　　FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
　　SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
　　你可以用16進位制編輯器去修改那些dll檔案的關鍵字，比如iis的Microsoft-IIS/5.0
　　具體過程如下:
　　1.停掉iis iisreset /stop
　　2.刪除%SYSTEMROOT%/system32/dllcache目錄下的同名檔案