IIS站点建立独立用户、权限、程序池分配、相关安全设置基本教程

前言：在Windowsserver2003系统下，用IIS架设Web服务器，合理的为每个站点配置独立的Internet来宾账号，这样可以限制Internet来宾账号的访问权限，只允许其可以读取和执行运行网站所的需要的程序。如果为网站内的网站程序、图片、附件或数据库等的文件分配合理、严格的读取、写入、修改、执行等权限，可以禁止访问该网站的用户访问其它目录和执行危险的命令，以防范通过上传恶意程序到网站并入侵网站、服务器的目的。下面方法通过建立独立用户并分配基本访问权访问不同的网站以防止跨站入侵。创建用于访问网站的独立用户选中“我的电脑”右键，选择“管理”，打开“计算机管理”，选择“本地用户和组”，然后点击“用户”，接着“右键”，新建一个用户，如下图：最后点击“创建”，完成用户创建。取消新建立的用户属的用户组“USERS”,选择用户，然后“右键”，选择“属性”，让用户不属于任何组，如下图：应用新建立的用户到网站根目录选中网站根目录，“右健”，选择“属性”，然后选中“安全”如下图：默认情况我们已经删除别的用户了，接下就添加新建立的用户，赋予这个文件夹相应的权限，选择“添加”，查找到对应的用户，如下图：对于ASP或PHP网站程序，一般情况网站根目录要分配有administrator、system、访问网站的独立用户的等用户的默认权限。网站根目录一定不能分配“Everyone”和“Users”这两个用户。如果网站根目录下面有要写入文件的文件夹，如“上传图片或有Access数据库”需要写入数据的，可以在根目录分配“写入”权并继承下到子目录；为更安全可以单独选中需要写入数据的文件夹，然后按上面的操作，赋予这个文件夹“写入”权。对于ASP.NET的程序，在服务器安装有Microsoft.NETFramework组件的前提下，除了分配上面的用户访问权外，有些网站程序还需要在网站目录添加“IIS_WPG”用户。对于网站权限的分配，您可以结合对自身对服务器安全防范与管理的能力在文件夹的“安全”选项卡中的“高级”选项中进行更细微的权限调整。对于部分文件夹，如上传图片、附件或不需要执行权限的目录，可选中该目录，在文件夹属性在的“执行权限”设置其为“无”，这样设置后就算被上传木马程序到网站也无法运行木马程序。应用用户到IIS下的对应的网站打开IIS管理器，选中站点，然后“右键”，接着选择“属性”，选择“目录安全性”，到“添加用户”，添加用户后，输入一次密码，“确定”，按系统提示再输入一次密码，最后点“确定”。如下图：IIS应用程序池为不同的网站分配不同的程序池，可以解决IIS多种语言共存的网站程序引起的程序池异常；因某个网站程序异常引起默认应用程序池无响应，导致全部网站工作不正常；通过分析某个程序池占用资源情况可以快速检查是哪个网站影起的；可在某个网站出现异常时可以单独回收程序池不影响别的网站等等建立应用程序池，选中“应用程序池”，“新建”，“应用程序池”。如下图在新窗口中“应用程序池”输入名称，如：,然后“确定”。为网站指定应该程序池，在IIS管理器，选中建立好的网站如，然后“右键”，接着选择“