Windows服务器安全设置经验详谈

核心提示： IIS匿名用户，每个IIS站点或者虚拟目录，Windows服务器安全设置经验详谈(2)，都可以设置一个匿名访问用户(现在暂且把它叫`IIS匿名用户`)，当用户访问你的网站的.ASP文件的时候，检测方法和他是基本一样的)，这个功能让很多站长吃惊不小，这个.ASP文件所具有的权限，就是这个`I

IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户(现在暂且把它叫`IIS匿名用户`)，当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个`IIS匿名用户`所具有的权限。

权限设置的思路

要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限，并且要加上超管组和SYSTEM组)。

这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。

我的设置方法

我是先创建一个用户组，以后所有的站点的用户都建在这个?M里，然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。

因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和?M，不知道怎么设置文件夹权限，不知道IIS站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来，具体的方法其实自己也能摸索出来的，我就是这样。当然，如果我有空，我会写我的具体设置方法，很可能还会配上图片。

改名或卸载不安全组件

不安全组件不惊人

我在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的)，这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。