上传目录取消应用程序池账户的执行权限
3. 防止木马执行后看到网站目录之外的文件
可以设置进程池账户对其他文件夹无读取权限。
4. 防止木马执行后可执行cmd
取消进程池账户的NTFS执行权限。
5. 防止木马执行后运行cmd权限过高
进程池账户选择权限较低的账户,最好就是默认的账户。
推荐安全配置方案
安全配置简单配置:1. 匿名账户使用默认的IUSR。
2. 应用程序池使用默认的标识,对于的账户为IIS AppPool应用程序池名称。
3.IIS中对上传目录设置为脚本不可执行
加强安全配置:
1. 匿名账户使用默认的“应用程序用户”也就是对应的IUSR。
2. 应用程序池账户使用默认的IIS AppPool应用程序池名称。
3. 删除everyone,users在所有磁盘上的权限。
4. 删除users在system32上的所有权限(需要先修改所有者为administrator)。
5. 在网站目录下给予IUSR读取权限。
6. 在网站目录下给予IIS AppPool应用程序池名称读取权限,如果程序中有特殊要求的权限,如写入文件等,则再对应的目录下给予相应的权限,如写入权限。
7. 在网站要求的上传目录给予IIS AppPool应用程序池名称写入权限,但是不给予执行权限。
8. 在IIS中取消上传目录的脚本执行权限。
注意:
1.以上两种配置均使用默认的应用程序池账户,如果自定义,最好是将自定义加入IIS_IUSRS组。
2.IIS7.5中建立多个站点的时候,如果使用默认的应用程序池账户,系统会默认产生如IIS AppPool各个不同的应用程序池名称。
3.Asp.net程序在第一次访问编译的时候,应用程序池账户需要拥有system32文件夹的读取和执行权限
疑问
1.在测试过程中发现,访问aspx程序,如果匿名账户为自定义的账户,则需要给自定义的匿名账户在文件夹C:WindowsMicrosoft.NETFramework64v2.0.50727Temporary ASP.NET Files上的写入权限;但是,如果使用默认的匿名账户,也就是IUSR时,需要给予应用程序池账户在此文件夹上的写入权限。疑问点在于此文件夹到底是需要哪个账户的写入权限,因为选择默认的匿名账户时,即时禁止IUSR在此文件的写入权限,只要应用程序池账户在此文件夹有写权限,一样运行正常?
2.当匿名用户为程序默认的时候,应该就是IUSR,但为什么又传递的进程池账户?
