如果我們為每個網站都建立一個使用者,並設定該使用者只有訪問本網站的許可權,那麼就能將存取權限控制在每個網站資料夾內,旁註問題也就解決了
一、這樣配置的好處?
不知大家有沒有聽過旁註?我簡單的解釋一下吧:有個人想黑掉A網站,但找來找去都沒發現可利用的漏洞,無意中他發現與A同伺服器上還有個B網站,並且在B網站上找到了可利用的漏洞,於是他將木馬從B站中上傳至伺服器,如果伺服器許可權配置不當,那麼現在他就可以黑掉伺服器上的所有網站了!如果我們為每個網站都建立一個使用者,並設定該使用者只有訪問本網站的許可權,那麼就能將存取權限控制在每個網站資料夾內,旁註問題也就解決了。
二、準備工作
1、運行環境:Win2K 伺服器版 + IIS 5.0
2、檔案系統:各分區檔案系統為NTFS
3、網站資料夾:E盤下建立兩個檔案夾web001和web002
4、建立網站:IIS中建立兩個網站web001和web002,網站資料夾分別為E:\web001和E:\web002,都指定IP為192.168.0.146,連接埠分別為101和102。
OK,在IE中分別輸入http://192.168.0.146:101和http://192.168.0.146:102測試兩網站是否建立成功。
三、配置過程
1、建立使用者組和使用者
建立一使用者組webs,以後所有網站使用者全部隸屬於該組,以便於許可權分配。
建立使用者web01,注意要鉤選“密碼永不到期“(否則背後會出現“HTTP 401.1 - 未授權:登入失敗“),並設定其只隸屬於webs使用者組。同樣在建一個使用者web02。
2、各分區NTFS使用權限設定
開啟各分區的安全選項卡依次給各分區授於administrator和system完全控制許可權,並設定webs組完全拒絕許可權。
3、網站資料夾NTFS使用權限設定
開啟E:\web01檔案夾屬性視窗,選擇安全選項卡,先去掉“允許將來自父系的可繼承許可權傳播給該對象“前的鉤,經彈出的對話方塊中選擇刪除繼承許可權。
最終確保administrator、system和web01對該檔案夾都有完全控制許可權。
E:\web02檔案夾也一樣設定。
4、設定各網站的匿名訪問使用者
在IIS中開啟web01網站屬性,選擇目錄安全性→匿名訪問和驗證控制→編輯,去掉“整合Windows驗證“前的鉤,再編輯匿名訪問使用的帳號,設定匿名訪問帳號為web01(web02網站也一樣設定)。
四、測試
將老兵寫的站長助手放至web02網站中進行測試,經測試除網站檔案可以瀏覽外,其他分區均不能訪問。
