2019-04-09 14:01:30
我们举例详细说明在运行ASP.NET的windows2003虚拟主机上,对于多个ASP.NET站点的安全配置
在这里,我们的站点目录放在D盘的www文件夹,假设现在有一个名叫fesend的虚拟主机用户,我们在www文件夹下建立fesend的文件夹来存放此用户的站点数据
其中要用到以下组及帐号:
IIS_WPG组(也称为IIS工作进程组,IISWorkerProcessGroup)
Guests组(来宾组,在系统中拥有最少的权限)
Internet来宾帐户(匿名访问Internet信息服务的内置帐户)
启动IIS进程帐户(用于启动进程外应用程序的Internet信息服务的内置帐户)
1磁盘权限设置
⑴D盘根目录的权限设置如下,只保留Administrator和System,其他帐号全部删除
⑵随后加入IIS_WPG组,并对IIS_WPG组设定如下图所示权限
⑶建立IUSR_FESEND及IWAM_FESEND帐号
设置“IUSR_FESEND”帐号为“Guests”组,删除“Users”组
设置“IWAM_FESEND”帐号为“IIS_WPG”组,删除“Users”组
若您的虚拟主机上面运行多个站点,则可以按照以上的方法,建立多组“IUSR_XXXX”“IWAM_XXXX”帐号;每个运行ASP.NET的站点都需要一组这样的帐号;
⑷设定fesend用户站点根目录的安全权限,此示例的站点目录为“D:\www\fesend”,此目录用于存放fesend用户的站点数据;
首先去除父目录继承来的权限(方法如下图),只保留“Administrators”和“SYSTEM”,其他全部删除;
随后添加我们刚才建立的“IUSR_FESEND”“IWAM_FESEND”帐号,并赋予完全控制权限(修改权限也可);并应用该设定到下级所有目录中,按确定完成Web站点根目录权限设定。最终效果如下图所示:
2IIS设置
建立www.fesend.com站点,指向fesend用户的站点目录“D:\www\fesend”;
⑴站点匿名访问帐号设置,修改成我们刚才建立的“IUSR_FESEND”帐号
⑵创建名称为“FESEND”(名称可以任意)的应用程序池;
接下来右键FESEND应用程序池->属性;打开标识标签,选择“配置”,用户名密码选择我们刚才建立的“IWAM_FESEND”帐号,如下图所示:
⑶最后一步,设置“www.fesend.com”站点的应用程序池为上面建立的“FESEND”;
至此,fesend用户的IIS站点就建立好了,服务器若存在多个站点,可以依次为多个站点进行配置,每个站点建立特定的访问帐号,这样虚拟主机的每个用户都拥有自己的权限,只能访问自己的站点目录,不能互相访问,虚拟主机的安全性可以得到保障;
上一篇:iis安全_加强iis安全设置
