一、這樣配置的好處?
不知大家有沒有聽過旁注?我簡單的解釋一下吧:有個人想黑掉A站點�����,但找來找去都沒發現可利用的漏洞����,無意中他發現與A同服務器上還有個B站點���,并且在B站點上找到了可利用的漏洞�,于是他將木馬從B站中上傳至服務器�����,如果服務器權限配置不當��,那么現在他就可以黑掉服務器上的所有站點了!如果我們為每個站點都建立一個用戶,并設置該用戶只有訪問本站點的權限,那么就能將訪問權限控制在每個站點文件夾內��,旁注問題也就解決了��。
二、準備工作
Win2K 服務器版 + IIS 5.0
各分區文件系統為NTFS
E盤下建立兩個文件夾web001和web002
IIS中新建兩個站點web001和web002,站點文件夾分別為E:/web001和E:/web002���,都指定IP為192.168.0.146,端口分別為101和102
OK,在IE中分別輸入http://192.168.0.146:101和http://192.168.0.146:102測試兩站點是否建立成功。
三���、配置過程
新建一用戶組webs,以后所有站點用戶全部隸屬于該組�����,以便于權限分配�。
建立用戶web01,注意要鉤選"密碼永不過期"(否則背后會出現"HTTP 401.1 - 未授權:登錄失敗")�,并設置其只隸屬于webs用戶組���。同樣在建一個用戶web02��。
打開各分區的安全選項卡依次給各分區授于administrator和system完全控制權限,并設置webs組完全拒絕權限����。
打開E:/web01文件夾屬性窗口����,選擇安全選項卡��,先去掉"允許將來自父系的可繼承權限傳播給該對象"前的鉤����,經彈出的對話框中選擇刪除繼承權限��。
最終確保administrator��、system和web01對該文件夾都有完全控制權限���。
E:/web02文件夾也一樣設置。
在IIS中打開web01站點屬性��,選擇目錄安全性→匿名訪問和驗證控制→編輯�,去掉"集成Windows驗證"前的鉤,再編輯匿名訪問使用的帳號�����,設置匿名訪問帳號為web01(web02站點也一樣設置)����。
四、測試
將老兵寫的站長助手放至web02站點中進行測試����,經測試除站點文件可以瀏覽外����,其他分區均不能訪問:)
