IIS 和 WEB 站点文件夹权限配置,一个空间绑定10个域名

   首先在 D:根目录新建一个 wwwroot 文件夹,用来做为 WEB 服务器站点的根目录,里面存放不同网站的文件夹。例如新建第一个网站存放文件的目录 WebSite1,为了杜绝跨站攻击等各种相关安全问题,实现各个虚拟主机目录有独立权限的访问机制,我们要给每个目录分配一个匿名访问的用户帐号。

    依次右击桌面我的电脑----->管理------>本地用户与组,然后新建一个用户 IISUSER_01,选中用户不能更改密码和密码永不过期,去掉其余两项复选。(当然,如果您的 WEB SERVER 上有 50 个虚拟主机的话,可以再以同样的方法新增一些用户)。可以给每个新增用户设定个密码,当然,其实为空也无大碍,因为这是用来为 IIS 匿名访问用户而设的,对系统安全基本不会有影响。

    新增用户后因为默认新增用户自动加入 Users 组内,要分别去除掉它们 User 组的权限,并重新分别把它们只归属于 Guests 组,这一步一定要记住了,安全问题很关键。设置完成后,为了方便统一划分 WEB 站点匿名访问用户的权限,再新建一个用户组,例如为 IISUSER_GROUP,把 IISUSER_01 用户添加到 IISUSER_GROUP 组内。

    用户和组设置好后,我们再次打开 d 盘的 wwwroot,右击 website1 文件夹在属性配置的安全选项里,添加 IISUSER_01 用户权限(如果是单纯的 HTML 站点可以只给读取权限即可,如果是 ASP+ACESS 数据库或需要进行 FSO 操作的站点,同时还需要加上"写入"权限或一般我们将“完全控制”权给 IISUSER_01 用户)。

    如果想进行更严密的安全配置,可以设置IISUSER_01 用户在website1目录的权限为读取,在需要更新或写入操作的图片上传目录或数据库目录上才赋予写入权限,这样更为安全。做完这一步,网站的目录安全性就够了吗?不,利用一些 FSO 等木马一样还可以进行跨站进行读取,虽然跨站后没有权限修改,但比如用海洋顶端的文件夹打包功能,仍能进行跨站浏览系统磁盘及包操作并下载!解决的方法是,右击 C 和 D 盘符选择属性中的安全选项,添加刚才我们建立的用户组(包含有 IISUSER_01 或新增的其它 WEB 网站目录用户),禁止该组的所有操作权限。

(注意子目录继承权限的设置,WebSite1 目录不要继承父目录的该权限。)

    这样一来,每个站点的浏览者(匿名访问用户)也只能对该站目录内文件进行一定的权限操作,即使 ASP 木马上传到其中一个网站目录,不会对别的站点造成任何影响,更不会对服务器的安全有任何危险。

文件夹安全配置完后,我们下一步将进行 IIS 的配置。

    首先打开 IIS 管理器—》主目录,为了方便统一管理,将默认站点重命名为 WebSite1 并将主目录指向 D:\wwwroot\WebSite1 目录。 

    然后点击本窗口的配置按钮进入应用程序配置,在应用程序扩展栏中删除必须之外的任何无用映射, 只保留你确实需要用到的文件类型,比如 ASP,ASPX,shtml 等,一般的 WEB 服务器应用有了其中两个映射就够了,其它的映射在以往的自由微软漏洞中都发生过太多的安全漏洞事件,不信你可以去查查以前的漏洞列表。开始把不用的扩展一个个删除掉吧。

    配置完这一项,再点击本窗口上方的选项栏,一般在大部分的 ASP 程序中,我们都会在代码中调用父路径,我们在这一页中勾选中[启用父路径]的复选框,当然如果你确定你的程序不会有调用父路径的代码,最好不要选择此项,安全性会更强一些。最后,再点击本窗口上方的调试栏,在脚本错误的错误消息选项中,选中[向客户端发送下列文本错误消息]项否则 ASP 脚本出错时,出错信息很可能会向客户端显示你的数据库路径(即黑客常说的暴库),程序代码,结构,参数等重要信息。

    为了避免 cgi 漏洞扫描器扫描到 IIS 漏洞的安全隐患,在 IIS 管理面板中将 HTTP404 Object Not Found 出 错 页 面 通 过 URL 重 定 向 到 一 个 定 制 HTM 文 件 , 我 们 可 以 更 改C:/WINDOWS/Help/iisHelp/common/404b.htm 内容改为:<META http-equiv="REFRESH" content="5;URL=您的网站首页">,或者可在 IIS 管理面板中的自定义错误栏修改 404 错误页的 HTML 文件路径并做相应修改最后,我们还要把之前在为该站点建立的匿名用户帐号绑定到此站点的目录安全性中的访问权限来。打开站点的属性页中的"目录安全性"选项卡,点身份验证和访问控制的"编辑" 勾选启用匿名访问,并点击该栏的浏览按钮,选择我们之前为此站点(WebSite1)分配的匿名用户帐号 IISUSER_01, 输入该用户的口令,提示再次输入确认密码。如无则留空即可。

    经过设置匿名访问帐号后,"WebSite1"网站的用户,使用 ASP 的 FileSystemObject  组件 或 其 它 木 马 程 序 入 侵 攻 击 服 务 器 时 , 也 只 能 访 问 “ WebSite1 ” 的 网 站 目 录 :d:\wwwroot\WebSite1  下的内容,当试图访问其他内容时,会出现诸如"没有权限"、"硬盘未准备好"、"500 服务器内部错误"等出错提示了(曾试过用 asp 海洋顶端 2006 木马进行全面测试,对服务器安全不构成任何影响)。

    最后,别忘了备份 IIS 的配置,在灾难性系统崩溃或 IIS 出现重大错误需要重新安装等紧急事故,可以快速的恢复 IIS 的安全配置,恢复站点的正常运行,备份功能很简单,IIS 管理面板的操作工具栏—》所有任务—》进行备份。

    实际上,配置数据库是指 MetaBase.xml 与 MBSchema.xml  文件的组合以及驻留内存的 配 置 数据库 。IIS  配 置信息存储在 MetaBase.xml  文 件 中 ,而配置数 据 库 架构存储在MBSchema.xml  文件中。当启动 IIS 时,这些文件会由存储层读取,然后通过管理基本对象(ABO) 写入到内存中的配置数据库中…

    说到 MetaBase.xml,随便提到一点 IIS6 常遇到的问题,就是无法上传大文件的问题,IIS 6出于安全考虑, 默认最大请求 200K(也即最大提交数据限额为 200KByte, 204800Byte)。通常200K 的大小是不能满足我们站点的需求的,解决的方法如下:

1. 关闭 IIS Admin Service 服务

2. 打开 \Windows\system32\inesrv\metabase.xml

3. 修改 ASPMaxRequestEntityAllowed 的值为自己需要的, 默认为 204800,即限制上传文件最大 200KB。

4. 启动 IIS Admin Service

其实如果你对编程有些了解,仔细查看 metabase.xml 文件中的内容,你会发现,很多 IIS配置同样可以在里面修改,当然,除非你很熟悉,否则不建议直接修改。

配置到这一步,我们已经成功的配置了一台安全性较高的 WEB 服务器

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/623955.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

js filter方法的使

JavaScript中的数组filter()方法用于创建一个新的数组&#xff0c;其中包含符合指定条件的所有元素。该方法会遍历数组&#xff0c;并对每个元素应用指定的测试函数。如果测试函数返回true&#xff0c;则该元素将被包含在新数组中。 filter()方法的语法如下&#xff1a; arra…

Iterator迭代器操作集合元素时,不能用集合删除元素

在使用Iterator迭代器对集合中的元素进行迭代时&#xff0c;如果调用了集合对象的remove()方法删除元素或者调用add()方法添加元素之后&#xff0c;继续使用迭代器遍历元素&#xff0c;会出现异常(java.util.ConcurrentModificationException)。 import java.util.ArrayList; …

Linux(Centos7)安装 jenkins(jdk11+jenkins2.375),并配置JDK,Maven,Git,GitLab

安装步骤 1. JDK11安装2. Maven安装3. git安装4. Jenkins2.375安装4.1 设置中文显示4.2 端口,用户权限修改4.3 插件下载4.4 全局工具配置4.4.1 Maven配置4.4.2 JDK配置4.4.3 Git配置 4.5 系统配置4.5.1 Gitee配置 4.6 构建测试 1. JDK11安装 #下载 yum -y install fontconfig …

进阶Docker2:数据卷和挂载目录

目录 准备 删除容器 创建并运行一个容器 数据卷&#xff08;Volumes&#xff09; 挂载数据卷 虚拟机端口映射 挂载目录&#xff08;Bind mounts&#xff09; 挂载目录 挂载文件 部署在线项目 docker 在容器中管理数据主要有两种方式&#xff1a; - 数据卷&#xff0…

图像处理-像素位置的一阶导数和二阶导数

图像处理-像素位置的一阶导数和二阶导数 空间卷积是一种图像处理中常用的技术&#xff0c;用于计算图像中每个像素位置的一阶导数和二阶导数。在这里将解释如何使用卷积操作来实现这些导数的计算。 一阶导数和二阶导数的性质&#xff1a; 一阶导数通常产生粗边缘&#xff1b…

4.2V锂电线性1.2A充电芯片WT4056

4.2V锂电线性1.2A充电芯片WT4056 WT4056是一款专为单节锂离子电池设计的恒流/恒压线性充电器。其简洁的外部电路设计使其非常适用于便携设备的供电&#xff0c;同时兼容USB电源和适配器电源。该充电器内部采用了防倒充电路&#xff0c;无需额外添加外部隔离二极管。通过热反馈…

Linux(适合开发人员参考)

Linux的概述 先了解Unix Unix是一个强大的多用户、多任务操作系统。于1969年在AT&T的贝尔实验室开发。UNIX的商标权由国际开放标准组织&#xff08;The Open Group&#xff09;所拥有。UNIX操作系统是商业版&#xff0c;需要收费&#xff0c;价格比Microsoft Windows正版…

Authing 入选中国信通院《 2023 高质量数字化转型产品及服务全景图》

近日&#xff0c;中国信通院“铸基计划”发布了《高质量数字化转型产品及服务全景图( 2023 )》。Authing 身份云成功入选 IT 维护与运营领域并获得证书。 “十四五”时期&#xff0c;我国数字经济转向深化应用、规范发展、普惠共享的新阶段&#xff0c;数字化转型已成为传统企业…

对于软件架构的思考

1.什么是MVVM&#xff1f; MVVM全称是Model View ViewModel&#xff0c;Model即数据模型&#xff0c;View指的是Activity或者Fragment&#xff0c;和MVP架构中的数据层、界面层意义是一样的。这里新增的ViewModel&#xff0c;是用来代替Presenter&#xff0c;和底层业务逻辑交…

论文阅读笔记AI篇 —— Transformer模型理论+实战 (一)

资源地址Attention is all you need.pdf(0积分) - CSDN 第一遍阅读&#xff08;Abstract Introduction Conclusion&#xff09; Abstract中强调Transformer摒弃了循环和卷积网络结构&#xff0c;在English-to-German翻译任务中&#xff0c;BLEU得分为28.4&#xff0c; 在En…

Python学习之路-模块和包

Python学习之路-模块和包 模块 简介 模块是 Python 程序架构的一个核心概念。每一个以扩展名 py 结尾的 Python 源代码文件都是一个模块&#xff0c;模块名同样也是一个标识符&#xff0c;需要符合标识符的命名规则。在模块中定义的全局变量、函数、类都是提供给外界直接使用…

Notepad++编译运行C/C++程序

首先需要先下载一个C语言编译器-MinGW&#xff08;免费的&#xff09; 官网&#xff1a;http://www.mingw.org/&#xff08;加载太慢&#xff09; 我选择MinGW - Minimalist GNU for Windows download | SourceForge.net这个网址下载的 注意安装地址&#xff0c;后续配置环境…

什么是Java泛型?泛型在Java中应用场景

目录 一、什么是Java泛型 二、泛型类 三、泛型接口 四、泛型方法 一、什么是Java泛型 Java泛型是一种在编译时进行类型检查和类型安全的机制。它允许编写能够操作多种类型的代码&#xff0c;而不需要进行类型转换或使用Object类型。通过在定义类、接口或方法时使用泛型参数…

云原生微服务之分布式锁框架 Redisson

&#x1f339;作者主页&#xff1a;青花锁 &#x1f339;简介&#xff1a;Java领域优质创作者&#x1f3c6;、Java微服务架构公号作者&#x1f604; &#x1f339;简历模板、学习资料、面试题库、技术互助 &#x1f339;文末获取联系方式 &#x1f4dd; 系列专栏目录 [Java项目…

数据仓库(3)-模型建设

本文从以下9个内容&#xff0c;介绍数据参考模型建设相关内容。 1、OLTP VS OLAP OLTP&#xff1a;全称OnLine Transaction Processing&#xff0c;中文名联机事务处理系统&#xff0c;主要是执行基本日常的事务处理&#xff0c;比如数据库记录的增删查改,例如mysql、oracle…

java大数据hadoop2.92 Java连接操作

1、要想Java可以连接自己虚拟机的hadoop文件系统&#xff0c;需要给文件系统权限 &#xff08;1&#xff09;需要在/usr/local/hadoop/etc/hadoop/core-site.xml core-site.xml文件配置具体ip <configuration><property><name>fs.defaultFS</name>&…

和MATLAB相关的设置断点的快捷键

一个朋友在修改错误的时候&#xff0c;有个操作震惊到我了。 他把迭代次数从1000减小到100&#xff0c;就可以快速仿真完。 废话不多说&#xff0c;直接上快捷键。 F12&#xff1a;设置或者清楚断点。 F5&#xff1a;运行 F10和F11都是步进&#xff0c;但是两者有区别。 …

采样次数与频率的关系

采样次数&#xff08;Sampling Points&#xff09; 在给定时间内记录信号值的次数。 假设在1秒内对一个连续信号采样10次&#xff0c;这意味着每0.1秒记录一次信号值。 假设在1秒内对一个连续信号采样100次&#xff0c;这意味着每0.01秒记录一次信号值。 频率&#xff08;Fre…

统一存储双控NAS同步备份应用方案

随着业务量的增加&#xff0c;企业必须找到一种有效的解决方案保护数据安全&#xff0c;防止不可预测的存储系统故障。传统的数据备份往往是专用的数据格式&#xff0c;不能保留完整的用户目录信息。因此&#xff0c;IT 人员必须在数据恢复后重新配置才可重新恢复业务。为了解决…

序章 初始篇—转生到vue世界!

Vue.js 是什么&#xff1f; Vue (读音 /vjuː/&#xff0c;类似于 view) 是一套用于构建用户界面的渐进式框架。与其它大型框架不同的是&#xff0c;Vue 被设计为可以自底向上逐层应用。Vue 的核心库只关注视图层&#xff0c;不仅易于上手&#xff0c;还便于与第三方库或既有项…