服务器安全设置之 IIS用户设置方法

建议大家可以看这篇文章
多站点IIS用户安全权限设置图解教程 http://www.jb51.net/article/30836.htm
这里举例4个不同类型脚本的虚拟主机 权限设置例子


















































主机头

主机脚本

硬盘目录

IIS用户名

硬盘权限

应用程序池

主目录

应用程序配置

www.1.com

HTM

D:\www.1.com\

IUSR_1.com

Administrators(完全控制)
IUSR_1.com(读)

可共用

读取/纯脚本

启用父路径

www.2.com

ASP

D:\www.2.com\

IUSR_1.com

Administrators(完全控制)
IUSR_2.com(读/写)

可共用

读取/纯脚本

启用父路径

www.3.com

NET

D:\www.3.com\

IUSR_1.com

Administrators(完全控制)
IWAM_3.com(读/写)
IUSR_3.com(读/写)

独立池

读取/纯脚本

启用父路径

www.4.com

PHP

D:\www.4.com\

IUSR_1.com

Administrators(完全控制)
IWAM_4.com(读/写)
IUSR_4.com(读/写)

独立池

读取/纯脚本

启用父路径

其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户



















主机脚本类型

应用程序扩展名 (就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展

HTM

STM | SHTM | SHTML | MDB

ASP

ASP | ASA | MDB

NET

ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB

PHP

PHP | PHP3 | PHP4


MDB是共用映射,下面用红色表示


















































































































应用程序扩展

映射文件

执行动作

STM=.stm

C:\WINDOWS\system32\inetsrv\ssinc.dll

GET,POST

SHTM=.shtm

C:\WINDOWS\system32\inetsrv\ssinc.dll

GET,POST

SHTML=.shtml

C:\WINDOWS\system32\inetsrv\ssinc.dll

GET,POST

ASP=.asp

C:\WINDOWS\system32\inetsrv\asp.dll

GET,HEAD,POST,TRACE

ASA=.asa

C:\WINDOWS\system32\inetsrv\asp.dll

GET,HEAD,POST,TRACE

ASPX=.aspx

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASAX=.asax

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASCX=.ascx

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASHX=.ashx

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASMX=.asmx

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

AXD=.axd

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

VSDISCO=.vsdisco

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

REM=.rem

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

SOAP=.soap

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

CONFIG=.config

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

CS=.cs

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

CSPROJ=.csproj

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

VB=.vb

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

VBPROJ=.vbproj

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

WEBINFO=.webinfo

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

LICX=.licx

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

RESX=.resx

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

RESOURCES=.resources

C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

PHP=.php

C:\php5\php5isapi.dll

GET,HEAD,POST

PHP3=.php3

C:\php5\php5isapi.dll

GET,HEAD,POST

PHP4=.php4

C:\php5\php5isapi.dll

GET,HEAD,POST

MDB=.mdb

C:\WINDOWS\system32\inetsrv\ssinc.dll

GET,POST

ASP.NET 进程帐户所需的 NTFS 权限





























目录

所需权限

Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files

进程帐户和模拟标识:
看下面详细权限

临时目录 (%temp%)

进程帐户
完全控制

.NET Framework 目录%windir%\Microsoft.NET\Framework\{版本}

进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

.NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG

进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

网站根目录
C:\inetpub\wwwroot
或默认网站指向的路径

进程帐户:
读取

系统根目录
%windir%\system32

进程帐户:
读取

全局程序集高速缓存
%windir%\assembly

进程帐户和模拟标识:
读取

内容目录
C:\inetpub\wwwroot\YourWebApp
(一般来说不用默认目录,管理员可根据实际情况调整比如D:\wwwroot)

进程帐户:
读取
列出文件夹内容
读取
注意 对于 .NET Framework 1.0,直到文件系统根目录的所有父目录也都需要上述权限。父目录包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\











































































































硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary ASP.NET Files

主要权限部分:

其他权限部分:

Administrators

完全控制

ASP.NET 计算机帐户

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<继承于E:\>

<继承于C:\windows>

CREATOR OWNER

完全控制

ASP.NET 计算机帐户

写入/删除

只有子文件夹及文件

该文件夹,子文件夹及文件

<继承于E:\>

<不是继承的>

SYSTEM

完全控制

IIS_WPG

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<继承于E:\>

<继承于C:\windows>

IUSR_XXX
或某个虚拟主机用户组

列出文件夹/读取数据 :拒绝

IIS_WPG

写入/删除

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<不是继承的>

<不是继承的>

Guests

列出文件夹/读取数据 :拒绝

LOCAL SERVICE

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<不是继承的>

<继承于C:\windows>

USERS

读取和运行

LOCAL SERVICE

写入/删除

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<继承于C:\windows>

<不是继承的>

NETWORK SERVICE

读取和运行

该文件夹,子文件夹及文件

<继承于C:\windows>

NETWORK SERVICE

写入/删除

该文件夹,子文件夹及文件

<不是继承的>

(0)

相关推荐

  • win2003服务器安全设置之 IP安全策略

    服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议) 协议 IP协议端口 源地址 目标地址 描述 方式 ICMP -- -- -- ICMP 阻止 UDP 135 任何IP地址 我的IP地址 135-UDP 阻止 UDP 136 任何IP地址 我的IP地址 136-UDP 阻止 UDP 137 任何IP地址 我的IP地址 137-UDP 阻止 UDP 138 任何IP地址 我的IP地址 138-UDP 阻止 UDP 139 任何IP地址 我的IP地址 139-UDP 阻止 T

  • 服务器安全设置之 组件安全设置篇

    WindowsServer2003 + IIS6.0 + ASP 服务器安全设置之--组件安全设置篇 A.卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)windows2000.bat 复制代码 代码如下: regsvr32/u C:/WINNT/System32/wshom.ocx del C:/WINNT/System32/wshom.ocx regsvr32/u C:/WINNT/system3

  • 服务器安全设置之-本地安全策略设置

    也可以运行中输入gpedit.msc进入 计算机配置→windows设置→安全设置→本地策略 安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单->管理工具->本地安全策略 A.本地策略-->审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 B.本地策略-->

  • 服务器安全设置之 系统服务篇

    WindowsServer2003 + IIS6.0 + ASP 服务器安全设置之--组件安全设置篇 A.卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)windows2000.bat 复制代码 代码如下: regsvr32/u C:/WINNT/System32/wshom.ocx del C:/WINNT/System32/wshom.ocx regsvr32/u C:/WINNT/system3

  • 服务器安全设置之 服务器安全和性能配置

    把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer] "NoRecentDocsMenu"=hex:01,00,00,00 "NoRecentDocsHistory&quo

  • 服务器安全设置之 MSSQL安全设置

    MSSQL安全设置,将有安全问题的SQL过程删除.比较全面.一切为了安全! 删除了调用shell,注册表,COM组件的破坏权限 复制代码 代码如下: use master EXEC sp_dropextendedproc 'xp_cmdshell' EXEC sp_dropextendedproc 'Sp_OACreate' EXEC sp_dropextendedproc 'Sp_OADestroy' EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo' E

  • 服务器安全设置之 IIS用户设置方法

    建议大家可以看这篇文章多站点IIS用户安全权限设置图解教程 http://www.jb51.net/article/30836.htm这里举例4个不同类型脚本的虚拟主机 权限设置例子 主机头 主机脚本 硬盘目录 IIS用户名 硬盘权限 应用程序池 主目录 应用程序配置 www.1.com HTM D:\www.1.com\ IUSR_1.com Administrators(完全控制)IUSR_1.com(读) 可共用 读取/纯脚本 启用父路径 www.2.com ASP D:\www.2.co

  • Oracle创建设置查询权限用户的方法

    Oracle创建设置查询权限用户的方法

    用户创建: 今天要创建一个Oracle用户,然后发现sql不太记得了,然后只能再去找找资料,发现这样效率并不是很高,所以记录成博客,有需要就直接从博客复制. 下面是我简单整理的,有需要可以参考. –创建表空间 CREATE TABLESPACE WORKFLOW01 LOGGING DATAFILE 'D:\oracle\admin\oa\WORKFLOW01.dbf' SIZE 100M AUTOEXTEND ON NEXT 32M MAXSIZE 500M EXTENT MANAGEMENT

  • IIS服务器下做301永久重定向设置方法[图解]

    IIS服务器下做301永久重定向设置方法[图解]

    不过一场风波之后,很多服务商已经不提供转发服务了,虽说易名现在还可以享用到免费的转发服务,但是却不能不带www的转发到带www的同时进行MX记录解析,这对于需要MX解析的朋友也是一大烦恼. 而且有些域名在国外,转发更是用不了,也只能进行301永久重定向了,不然搜索引擎是把不带www的站和带www的站分开对待的,只是我们习惯于用带www的域名罢了. 在网络上看了些教程,再根据自己的实践,也终于搞定了IIS服务器上的301永久重定向设置问题.实现方法如下: 1.新建一个站点,对应目录如E:\wwwr

  • IIS服务器下做301永久重定向设置方法[可以传参][图文]

    IIS服务器下做301永久重定向设置方法[可以传参][图文]

    不过一场风波之后,很多服务商已经不提供转发服务了,虽说易名现在还可以享用到免费的转发服务,但是却不能不带www的转发到带www的同时进行MX记录解析,这对于需要MX解析的朋友也是一大烦恼. 而且有些域名在国外,转发更是用不了,也只能进行301永久重定向了,不然搜索引擎是把不带www的站和带www的站分开对待的,只是我们习惯于用带www的域名罢了. 在网络上看了些教程,再根据自己的实践,也终于搞定了IIS服务器上的301永久重定向设置问题.实现方法如下: 1.新建一个站点,对应目录如E:\wwwr

  • IIS 服务器 防范攻击3条安全设置技巧

    什么?你觉得安全设置很复杂?没关系,通过我们介绍的IIS服务器安全设置的三个方法,就能很好地防范攻击. 基本设置 打好补丁删除共享 个人站长通常使用Windows服务器,但是我们通过租用或托管的服务器往往不会有专门的技术人员来进行安全设置,所以就导致了一些常见的基本漏洞仍然存在.其实,只要通过简单的安装服务器补丁,就能防止大部分的漏洞入侵攻击. 在服务器安装好操作系统后,正式启用之前,就应该完成各种补丁的安装.服务器的补丁安装方法与我们使用的XP系统类似,这里就不再赘述. 做好了基本的补丁安装,

  • 服务器有效设置防止web入侵图文方法

    服务器有效设置防止web入侵图文方法

    所以配合服务器来设置防止webshell是有效的方法. 一.防止数据库被非法下载应当说,有一点网络安全的管理员,都会把从网上下载的网站程序的默认数据库路径进行更改.当然也有一部分管理员非常粗心,拿到程序直接在自己的服务器上进行安装,甚至连说明文件都不进行删除,更不要说更改数据库路径了.这样黑客就可以通过直接从源码站点下载网站源程序,然后在本地测试找到默认的数据库,再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell.还有一种情况是由于程序出错

  • 多站点IIS用户安全权限设置图解教程

    多站点IIS用户安全权限设置图解教程

    一.这样配置的好处? 不知大家有没有听过旁注?我简单的解释一下吧:有个人想黑掉A站点,但找来找去都没发现可利用的漏洞,无意中他发现与A同服务器上还有个B站点,并且在B站点上找到了可利用的漏洞,于是他将木马从B站中上传至服务器,如果服务器权限配置不当,那么现在他就可以黑掉服务器上的所有站点了!如果我们为每个站点都建立一个用户,并设置该用户只有访问本站点的权限,那么就能将访问权限控制在每个站点文件夹内,旁注问题也就解决了. 二.准备工作 1.运行环境:Win2K 服务器版 + IIS 5.02.文件

  • Win2003服务器高安全配置(冰盾防火墙设置方法)

    Win2003服务器高安全配置(冰盾防火墙设置方法)

    答案是否定的,首先我想说: 我认为目前Linux的家庭用户比较少,在用户量方面Linux是敌不过Windows的,因为大部分游戏,应用软件等都是基于win平台VB,VC,C#等开发的,而且目前电脑初学者学习的教材方面大部分都是关于Windows的,至少这几年,十几年内微软应该还是win霸主.在Linux挖掘出一个漏洞,能通过利用此漏洞广为传播病毒的计算机感染数量很少,所以Linux的漏洞价值不是很高.而且玩Linux的高手我认为大部分是技术型的,不屑于去追求那些蝇头小利以及炫耀什么,乐于开源以及

  • win2008 R2 WEB 服务器安全设置指南之组策略与用户设置

    win2008 R2 WEB 服务器安全设置指南之组策略与用户设置

    通过优化设置组策略.对系统默认的管理员.用户进行重命名.创建陷阱帐户等措施来提高系统安全性. 接上篇,我们已经改好了远程连接端口,已经能拒绝一部份攻击了,但是这些设置还远远不够.在做以下安全时,必须确保你的服务器软件已经全部配置完毕,并且能正常使用,不然如果在安全设置后再安装软件的话,有可能会安装失败或发生其它错误,导致环境配置失败. 密码策略 系统密码的强弱直接关系到系统的安全,如果你的密码太简单,万一你的远程连接端口被扫到,那破解你的密码就是分分钟钟后了.所以,我们的系统密码必须要设置一个符

  • windows server设置FTP域用户隔离的方法

    windows server设置FTP域用户隔离的方法

    本文为大家分享了windows server设置FTP域用户隔离的具体步骤,供大家参考,具体内容如下 一.实验环境 三台设备 2012 域控制器 ip 192.168.10.101 2008r2 FTP服务器 ip 192.168.10.104 win10 客户机 ip 192.168.10.107 实验说明 1.将FTP服务器加入域控制器中,其完全域名为ftp.2021skills. com 2.建立ftp 站点ftp.2021kils.com站点主目录为 C:\ftp,不允许匿名登录,所有用

随机推荐