hur.cn - 华软网

 热门搜索

Windows 2012R2安装动易.NET系统之二----IIS、目录环境配置篇-动易

  作者:未知    来源:网络    更新时间:2018/9/27

(一)、IIS设置

1、打开IIS,控制面板-管理工具-Internet 信息服务(IIS)管理器,双击打开。

以下图:

2、选中“网站”,右键“增加站点”。

(1)填写您的网站名称;

(2)选择您的程序路径;

(3)选择合适的应用程序池;

(4)填写您网站的域名。

3、把IIS中网站所运用的应用程序池“托管管道模式”选择为经典

(三)、网站目录权限设置

1、在IIS中右键点击网站名称,选择“编辑权限”

以下图:

在“平安”选项卡下,点击“高级”按钮。

在高级平安设置对话框中,按下图如示,设置禁用权限继承关系,选择“将已继承的权限转换为此对象的显式权限。”,通过禁用权限继承关系后,就能进一步删除不需要的权限。

禁用权限继续关系后,即可删除Windows自带的Authenticated Users、Users、Creator Owner等用户或用户组权限,仅保留System、Administrators权限。

其中Authenticated Users是Windows系纺中所有运用用户名、密码登录并通过身份验证的账户,其在网站目录中的权限可能致使其它账户对网站目录下的资料、资料夹举行非法访问和修改,所以有需要删除网站目录里默许自带的Authenticated Users的权限。

同理,Users是Windows所有账户的默许用户组,其在网站目录中的权限一样可能致使其它账户对网站目录举行非法访问,所以也有需要删除其权限。

千万不要给“Create Owner”用户这个用户分配权限。这个问题相当迷惑人,由于Windows默许是在分区的根目录权限时就自动给这个用户完全控制权限,这是为了让用户对自己创建和所有的资料拥有完全控制权,但咱们其实不需要让通过WEB程序来创建的可执行资料(比如通过上传功能上传的资料)能够在服务器上执行(这是黑客通过WebShell进一步获得服务器控制权限的关头。

点击“增加”按钮,在“选择主体”界面输入“IIS Apppool\SiteFactory”其中的“SiteFactory”为应用程序池标识账户名称,和程序池名称一样。

设置完账户主体后,点击“显示高级权限”按钮,进入更详实的权限选择界面

网站根目录授予列出资料夹/读取数据、读取属性、读取扩展属性、读取权限这四项权限,以下图所示:

这里咱们分前台服务器和后台服务器,两台服务器的权限上稍有差异。由于前台服务器受攻击可能性更大,所以权限要最小化。在这里咱们给应用程序池标识用户分别针对前后台服务器汇总目录权限,详细做以下权限设置:

对于前台服务器:

所有目录授予遍历资料夹/执行资料、列出资料夹/读取数据、读取属性、读取扩展属性、读取权限这五项权限,以下图所示:

UploadFiles这个目录授予列出资料夹/读取数据、读取属性、读取扩展属性、创建资料/写入数据、创建资料夹/附加数据、读取权限这十项权限,以下图所示:

前台服务器网站目录应用程序池标识用户权限
网站根目录(/)列出资料夹/读取数据、读取属性、读取扩展属性、读取权限
Admin(删除)
所有其余资料夹、资料
UploadFiles列出资料夹/读取数据、读取属性、读取扩展属性、创建资料/写入数据、创建资料夹/附加数据、读取权限

注一:UploadFiles目录为上传资料寄存目录,需要创建资料/写入数据、创建资料夹/附加数据等权限(由于会员在前台要上传附件等,需要给应用程序池标识用户一个写入的权限)。

对于后台服务器:所有目录授予遍历资料夹/执行资料、列出资料夹/读取数据、读取属性、读取扩展属性、读取权限这五项权限,以下图所示:

App_Data、IAA、JS、Temp、Template、UploadFiles、这七个目录授予列出资料夹/读取数据、读取属性、读取扩展属性、创建资料/写入数据、创建资料夹/附加数据、写入属性、写入扩展属性、删除子资料夹及资料、删除、读取权限这十项权限,以下图所示:

Config目录授予列出资料夹/读取数据、读取属性、读取扩展属性、创建资料/写入数据、写入属性、写入扩展属性、读取权限这七项权限。

后台台服务器网站目录应用程序池标识用户权限
网站根目录(/)列出资料夹/读取数据、读取属性、读取扩展属性、读取权限
Admin
所有其余资料夹、资料
App_Data列出资料夹/读取数据、读取属性、读取扩展属性、创建资料/写入数据、创建资料夹/附加数据、写入属性、写入扩展属性、删除子资料夹及资料、删除、读取权限
IAA
Temp
Template
UploadFiles
Config列出资料夹/读取数据、读取属性、读取扩展属性、创建资料/写入数据、写入属性、写入扩展属性、读取权限

注一:App_Data目录为网站程序的索引、系统日志等数据资料寄存目录,需要有写入、删除等权限以使得网站的索引、日志等资料能正常更新;UploadFiles目录为上传资料寄存目录,需要写入、删除等权限,以使得上传的资料能正常保存和管理;Template目录为网站模板、气概资料寄存目录,需要有写入、删除等权限以使得模板、气概等资料能在后台被正常管理;IAA目录为网站广告配置资料寄存目录,需要写入权限,以使得后台广告功能能正常修改。Config目录为网站配置资料寄存目录,需要写入权限,以使得网站配置信息能正常修改。

注二:若网站已完成制作,相关页面的模板、气概无需经常修改,可进一步去除Template这个目录的写入、删除权限,以保证网站的气概、模板等资料不被意外修改。当需要修改或管理模板或气概资料时,可重新授予这六个目录的写入、删除权限。

在IIS面版中,点选站点后,点击右侧“基本设置”按钮,按下图所示,将站点的路径凭据设置为“应用程序用户(通过身份验证)”

(四)、删除不需要的措置惩罚程序映照

(五)、在措置惩罚程序映照下,删掉网站里没有或用不到的api映照,保留“当地”类型,“继承”类型里面,保留aspx、ashx、asmx、axd、StaticFile这5项后缀的,其余的项都删除。通过删除不需要的措置惩罚程序映照,能够有效防范黑客用AspxSpy这样的木马非法获得WebShell权限,以下图所示:

  class="page_css">  
华软声明:本内容来自网络,如有侵犯您版权请来信指出,本站立即删除。