大体来说就几步(设置前记得先把 系统备份)
第一,先创建一个用户组,以后所有的站点的用户都建在这个組里,然后设置这个组在各个分区没有权限或者完全拒绝(直接在根磁盘设置就可以了,不要替换所有子目录的权限)。然后再设置各个IIS用户在各在的文件夹里的权限。(阿江文章里面写的,也是我推荐的)
第二,改名或卸载不安全组件 (也是阿江文章里有的)
第三,把system32下面的一些常用 网络命令设置成只有 system administrators 可以访问 其他用户全部删除,如net.exe ftp.exe tftp.exe at.exe ....网上应该有很多相关介绍了
第四,使用一般用户启动mssql或mysql数据库
第五,运行scw.exe 安全配置向导 这个在sp1的添加删除windows组建里可以加入
。。。。。应该还有几步,不过我记性不好,到用的时候才知道
如果出现asp数据库连不上的问题,应该是c:\windows\temp c:\WINDOWS\IIS Temporary Compressed Files 文件夹没有给虚拟用户组权限,给它可读可写
现在想起自己原来写的文章与阿江的相比,呵呵,简直是班门弄斧洋相百出
没有详细的写,各个步骤网上相关的介绍应该有很多,懒得写那么多了
这样设置出来,不支持asp.net 要支持的话 c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322
这个目录也要给虚拟用户组可运行权限,web文件夹要加上iis_wpg可读可写,但开启asp.net会带来新的安全问题,如果不需要的话不建议开启
照这样设置如果有问题的话,欢迎回帖提问,但我不会对各个步骤做详细解释了
现在的虚拟主机程序原理都应该和这差不多,不信的话可以传个木马 C盘下面至少有c:\WINDOWS\Temp
c:\WINDOWS\IIS Temporary Compressed Files 这两个目录可以浏览并且可写 你可以猛往里面传东西 呵呵 聪明的人应该还会想到其他更好玩的方法 |