IIS安全设置图文教程.docVIP

IIS安全设置图文教程 作者： 字体：[增加 减小] 类型：转载 时间：2011-01-14 每个站点的根目录为IIS来宾帐号（IUSR_XXXX）的只读权限,站内数据库目录、程序上传目录、数据库备份目录为IIS来宾帐号（IUSR_XXXX）修改权限。 IIS安全设置 以我们帮客户维护网站经验来看，多用户账户分离式比较安全的，一个网站有问题不会影响别的网站安全。大家可以看这篇文章(IIS 多站点 用户隔离视频教程)再接着看下面的文章。服务器要考虑稳定、安全、性能修改默认站点为e:\webdefault\www，删掉c:/inetpub目录，删除iis不必要的映射 目录安排： 在E盘建一个web目录，每个站点的主域名为目录名建目录，再以每个站点的二级域名为目录名建目录做为网站根目录。 权限设置思路：每个站点的根目录为IIS来宾帐号（IUSR_XXXX）的只读权限,站内数据库目录、程序上传目录、数据库备份目录为IIS来宾帐号（IUSR_XXXX）修改权限。并对有修改权限的目录在IIS中把执行权限设置为：无。这样即使网站程序出现漏洞，入侵者能写入asp木马的目录没有脚本运行权限，有脚本运行权限的目录又无法修改和创建文件。另外access数据库没必要改扩展名为asp或asa，规矩点只用mdb后缀，然后参考下文不让下载就行了。要支持.net程序还要有Network Service的读、写、修改权限。 网站根目录权限是从e:\继承的，取消继承，添加来宾帐户只读，ftp帐户修改。 对一些asp程序的access数据库目录、上传目录等去掉继承，添加修改权限，然后在iis中查看目录属性，执行权限设置：无。 修改IIS的MIME映射增加支持flv格式视频播放支持.flvvideo/x-flv增加支持7z压缩格式下载支持.7zapplication/x-7z-compress删除access数据库mdb格式，不让下载.mdb文件，安全考虑。.mdbapplication/x-msaccess  Web站点权限设定（建议） 脚本源访问 不允许 读取 允许 写入 不允许 目录浏览 建议关闭 记录访问 建议关闭　网站开启日志记录时使用 索引资源 建议关闭 执行权限 纯脚本  在IIS管理器中删除必须之外的任何没有用到的映射（保留asa、asp、php、等必要映射即可） 启用父级路径HTTP404 Not Found出错页面定制  如果选择向客户端发送下列文本错误消息，就屏蔽了asp程序出错信息。 启用默认文档  建议不使用索引，占磁盘空间和系统资源。 建议不使用日志，除非你不兴趣每天审查日志。 如果启用，最好不要使用缺省的目录，建议更换一个记日志的路径， 同时设置目录访问权限加上网络服务或者IIS工作组修改权限。 在扩展中启用ASP支持编辑权限设置批处理 ?也就不能读写硬盘上的文件了。 下面要做的就是给每个虚拟主机用户设置一个单独的用户帐号，然后再给每个帐号分配一个允许其完全控制的目录。 如下图所示，打开计算机管理→本地用户和组→用户，在右栏中点击鼠标右键，在弹出的菜单中选择新用户：在弹出的新用户对话框中根据实际需要输入用户名、全名、描述、密码、确认密码，并将用户下次登录时须更改密码前的对号去掉，选中用户不能更改密码和密码永不过期。本例是给第一虚拟主机的用户建立一个匿名访问?Internet 信息服务的内置帐号IUSR_VHOST1， 访问此虚拟主机时，都是以这个身份来访问的。输入完成后点创建即可。可以根据实际需要，创建多个用户，创建完毕后点关闭：现在新建立的用户已经出现在帐号列表中了，在列表中双击该帐号，以便进一步进行设置：在弹出的IUSR_VHOST1（即刚才创建的新帐号）属性对话框中点隶属于选项卡：刚建立的帐号默认是属于Users组，选中该组，点删除：现在出现的是如下图所示，此时再点添加：在弹出的选择?组对话框中找到Guests，点添加，此组就会出现在下方的文本框中，然后点确定：?出现的就是如下图所示的内容，点确定关闭此对话框：?打开Internet?信息服务，开始对虚拟主机进行设置，本例中的以对第一虚拟主机设置为例进行说明，右击该主机名，在弹出的菜单中选择属性：弹出一个第一虚拟主机?属性的对话框，从对话框中可以看到该虚拟主机用户的使用的是F:\VHOST1这个文件夹：暂时先不管刚才的第一虚拟主机?属性对话框，切换到资源管理器，找到F:\VHOST1这个文件夹，右击，选属性→安全选项卡，此时可以看到该文件夹的默认安全设置是Everyone完全控制（视不同情况显示的内容不完全一样），首先将最将下的允许将来自父系的可继承权限传播给该对象前面的对号去