IIS站点建立独立用户权限程序池分配相关安全设置基本教程docWord下载.docx
《IIS站点建立独立用户权限程序池分配相关安全设置基本教程docWord下载.docx》由会员分享,可在线阅读,更多相关《IIS站点建立独立用户权限程序池分配相关安全设置基本教程docWord下载.docx(9页珍藏版)》请在冰豆网上搜索。
在Windowsserver2003系统下,用IIS架设Web服务器,合理的为每个站点配置独立的Internet来宾账号,这样可以限制Internet来宾账号的访问权限,只允许其可以读取和执行运行网站所的需要的程序。
如果为网站内的网站程序、图片、附件或数据库等的文件分配合理、严格的读取、写入、修改、执行等权限,可以禁止访问该网站的用户访问其它目录和执行危险的命令,以防范通过上传恶意程序到网站并入侵网站、服务器的目的。
下面方法通过建立独立用户并分配基本访问权访问不同的网站以防止跨站入侵。
一、创建用于访问网站的独立用户
1.选中“我的电脑”右键,选择“管理”,打开“计算机管理”,选择“本地用户和组”,然后点击“用户”,接着“右键”,新建一个用户,如下图:
二、应用新建立的用户到网站根目录
1.选中网站根目录,“右健”,选择“属性”,然后选中“安全”如下图:
2.默认情况我们已经删除别的用户了,接下就添加新建立的用户,赋予这个文件夹相应的权限,选择“添加”,查找到对应的用户,如下图:
3.对于ASP或PHP网站程序,一般情况网站根目录要分配有administrator、system、访问网站的独立用户的等用户的默认权限。
网站根目录一定不能分配“Everyone”和“Users”这两个用户。
4.如果网站根目录下面有要写入文件的文件夹,如“上传图片或有Access数据库”需要写入数据的,可以在根目录分配“写入”权并继承下到子目录;
为更安全可以单独选中需要写入数据的文件夹,然后按上面的操作,赋予这个文件夹“写入”权。
5.对于ASP.NET的程序,在服务器安装有Microsoft.NETFramework组件的前提下,除了分配上面的用户访问权外,有些网站程序还需要在网站目录添加“IIS_WPG”用户。
6.对于网站权限的分配,您可以结合对自身对服务器安全防范与管理的能力在文件夹的“安全”选项卡中的“高级”选项中进行更细微的权限调整。
7.对于部分文件夹,如上传图片、附件或不需要执行权限的目录,可选中该目录,在文件夹属性在的“执行权限”设置其为“无”,这样设置后就算被上传木马程序到网站也无法运行木马程序。
三、应用用户到IIS下的对应的网站
1.打开IIS管理器,选中站点,然后“右键”,接着选择“属性”,选择“目录安全性”,到“添加用户”,添加用户后,输入一次密码,“确定”,按系统提示再输入一次密码,最后点“确定”。
如下图:
四、IIS应用程序池
1.为不同的网站分配不同的程序池,可以解决IIS多种语言共存的网站程序引起的程序池异常;
因某个网站程序异常引起默认应用程序池无响应,导致全部网站工作不正常;
通过分析某个程序池占用资源情况可以快速检查是哪个网站影起的;
可在某个网站出现异常时可以单独回收程序池不影响别的网站等等
2.建立应用程序池,选中“应用程序池”,“新建”,“应用程序池”。
如下图
3.在新窗口中“应用程序池”输入名称,如:
然后“确定”。
4.为网站指定应该程序池,在IIS管理器,选中建立好的网站如,然后“右键”,接着选择“属性”,在弹出的网站属性窗口中找到并选中“主目录”,找到“应用程序池”,点击下拉选择三角箭头,选中建立好的程序池,“应用”,然后“确定”。