iis网站安全设置

haixin3036

　　先设置一下站点所在分区的安全,让只允许administrators和system这两组用户可以安全访问,如下图:

　　设站点信息全部放在d:里的wwwroot文件夹里,这里注意不能直接把站点信息放在根目录里,需要建立一个文件夹(为了站点的安全,后面需要用到这个文件夹的权限)
　　下面以创建asdf.cn站点为例
1.先创建一个站点文件夹,文件名为asdfcn,里面分别创建web,logs,data和error文件夹,主要用来存放站点的不同数据信息,如error可以用来存放此站点用到的错误页面如404,500等页面.
log 用来存放此站点的访问日志,iis里默认存放在c盘了,这点需要注意一下.
data 用来存放用户的一些数据备份信息
web 主要用来存放网站程序文件,如php,asp,asp.net,html,jsp之类的文件
　　2.设置文件夹的权限
在D:分区创建一个wwwroot目录,目录自动继承了此分区的访问权限(最上方已经设置好了),在下面的应用中再根据不同的站点来不同的用户访问权限.
　　假设我们已经添加了一个用户为siteuser的用户,用户组设定为guest,永不过期,且不允许修改密码,我们在下面创建的站点设置此用户可以访问执行.
3.通过右键属性设置d:/wwwroot/asdfcn文件夹的权限,添加"siteuser"用户,权限通过"高级"设置,在弹出的高级安全设置对话框里选中"siteuser"用户,点击"编辑"进行权限设置,
在最上面的"应用到"里选择"只有该文件夹",在下面的允许里只选中以下几个:
1.列出文件夹/读取数据
2.读取属性
3.读取扩展属性
4.读取权限
这四个选项,其它的不要选,注意拒绝一列一个也不能选的.这时就可实现把这个站点的用户的访问权限限制到这个文件夹里,这样就算这个站点被上传了木马,其它站点也不会受到影响的.如图所示:
设置完成后的权限如下图所示:

　　4.下面设置web文件夹的权限
通过上面类似的办法,打开"siteuser"用户的高级安全设置对话框,在上面的"用户到"里选中"该文件夹,子文件夹及文件"一项
在"允许"一列选中除了以下两项其它所有项,拒绝列一个也不要选择:
1.完全控制
2,遍历文件夹/运行文件
如下图所示:
完成后如图所示:

　　对于其它几个目录里的权限也按web目录里的权限一样进行设置即可.
经过以上设置的设置,站点基本就已经安全了