选择权限后,如下图:
只保留一个超级管理员(可以自己定义),而不是管理员组。和系统用户(system),还有添加的网站用户。可以点击“添加”将刚才在系统创建的用户添加里面(如test)。然后只给该用户(test)读取和运行、浏览目录、读取的权限。其它权限不用给。另外超级管员也不给写入权限,系统用户(system)去掉“完全控制”权限。设置后点确定。
③设置访问用户。
右击 站点 属性》目录安全性》编辑, 将刚才添加的用户(如test)添加到匿名访问用户。密码和原来密码一致。
设置站点访问权限。
右击要设置的站点。属性》主目录 本地路径下面只选中 读取 记录访问 索引资源
其它都不要选择。执行权限 选择性“纯脚本”.不要选择“脚本和可执行文件”。如图所示:
其它设置和就是iis站点的一般设置,不再多说。
注意:对于 ASP.NET 程序,则需要设置 IIS_WPG 组的帐号权限,上传目录的权限设置:用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序,也不会在用户浏览器里就触发执行
将(纯脚本)改成(无).
七、数据库安全设置
一定要设置数据库密码。
另外。对于sql数据库建议卸载扩展存储过程xp_cmdshell
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:
use master
sp_dropextendedproc 'xp_cmdshell'
如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
