七彩知识堂[服务器租用|服务器产品知识]
权限严格而又可以正常运行的IIS系统
  权限严格而又可以正常运行的IIS系统
删除ntfs目录安全中的guest,everyone,添加iis匿名用户对这个目录的只读权限,而且还不让它列举文件名。选中用户,进高级\权限\编辑中,你会发现n对关于目录安全的选项
iis匿名登录用户也是可以在iis更改的。
1、选取整个硬盘:
System:完全控制
Administrator:完全控制
(允许将来自父系的可继承性权限传播给对象)
2、\Program Files\Common Files:
Everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
3、\Inetpub\wwwroot:(可根据需要设计)
IUSR_MACHINE:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
4、\Winnt\system32:
选中 Inetsrv、Certsrv (如果存在)和 Com 之外的其他所有文件夹,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
5、\Winnt:
选中以下文件夹之外的其他所有文件夹:Assembly(如果有)、Downloaded Program Files、Help、IIS Temporary Compressed Files、Microsoft.NET(如果有)、Offline Web Pages、System32、Tasks、Temp 和 Web。 ,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6、\Winnt:
Everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
7、\Winnt\Temp:(允许访问数据库并显示在ASP页面上)
Everyone:修改
(允许将来自父系的可继承性权限传播给对象)
9.\program files\servu\ 只给system admin 所有权限
10.webeasymail everyone 所有权限,否则不好
11、\Winnt\system32\intesvr\ 这个目录下不要给EVERYONE的写入权限
12. cmd.exe net.exe
13. php.ini 中 display_errors 设为OFF
这样,你就拥有了一个权限严格而又可以正常运行的IIS系统了。
补充:禁止web anonymous组对cmd.exe等的访问
更多信息
虽然每个系统管理员可以根据各自的需求设置权限,但最好使用 Everyone 组,而不要只使用 IUSR_MACHINE 帐户。实际上,如果只为 IUSR_MACHINE 帐户添加权限,ASP 和 ASP.NET 将无法运行。如果使用 Everyone 组,当 Web 站点对匿名用户和经过身份验证的用户都有高、中或低的保护级别设置时,ASP 能够正常运行。
另外,如果只需要匿名访问,管理员可以创建 InternetGuests 本地组,然后将 IUSR_MACHINE、IWAM_MACHINE 和 ASPNET 添加到该组,将 Everyone 组替换为 InternetGuests 组。不过,Everyone 组包括 Users 组(对于经过身份验证的 Web 用户)、IUSR_MACHINE 帐户(对于匿名 HTM 访问)、IWAM_MACHINE 帐户(对于匿名 ASP 功能)以及 ASPNET(对于 ASP.NET 功能)。
IIS 5.0 使用两个单独的帐户执行 Web 页。使用匿名身份验证时,IIS 使用 IUSR_MACHINE 帐户查看 Web 页。不过,IWAM_MACHINE 用于启动一个单独的进程,该进程称为 Dllhost.exe,所有 Active Server Pages (ASP)、组件对象模型 (COM) 组件或其他 ISAPI 扩展(ASP 被视为 ISAPI 扩展)都在该进程内运行。这样做的目的主要是保持稳定。如果从 ASP 页调用的自定义 COM 组件崩溃(也即,导致访问冲突,从而致使进程停止),它不会影响到 Inetinfo.exe,因此 Web 服务将继续运行。
能读的时候不写,能写的时候不读。这样安全点。。。。
 
经典短信推荐
资讯中心 | 电子商务 | 搜索营销 | 设计学院 | 中医养生 | 养生保健 | 节日祝福 | 民俗文化 | 奇闻趣事
建站知识 | 人世百态 | 网站导航 | 传统节日 | 搜索热点 | 星座运势 | 趣闻轶事 | 祝福的话 | 短信大全
© 2023 QicaiSpace.Com