一、這樣配置的好處？

不知大家有沒(méi)有聽(tīng)過(guò)旁注？我簡(jiǎn)單的解釋一下吧：有個(gè)人想黑掉A站點(diǎn)，但找來(lái)找去都沒(méi)發(fā)現(xiàn)可利用的漏洞，無(wú)意中他發(fā)現(xiàn)與A同服務(wù)器上還有個(gè)B站點(diǎn)，并且在B站點(diǎn)上找到了可利用的漏洞，于是他將木馬從B站中上傳至服務(wù)器，如果服務(wù)器權(quán)限配置不當(dāng)，那么現(xiàn)在他就可以黑掉服務(wù)器上的所有站點(diǎn)了！如果我們?yōu)槊總€(gè)站點(diǎn)都建立一個(gè)用戶(hù)，并設(shè)置該用戶(hù)只有訪(fǎng)問(wèn)本站點(diǎn)的權(quán)限，那么就能將訪(fǎng)問(wèn)權(quán)限控制在每個(gè)站點(diǎn)文件夾內(nèi)，旁注問(wèn)題也就解決了。

二、準(zhǔn)備工作

1、運(yùn)行環(huán)境：Win2K 服務(wù)器版 + IIS 5.0
2、文件系統(tǒng)：各分區(qū)文件系統(tǒng)為NTFS
3、站點(diǎn)文件夾：E盤(pán)下建立兩個(gè)文件夾web001和web002
4、新建站點(diǎn)：IIS中新建兩個(gè)站點(diǎn)web001和web002，站點(diǎn)文件夾分別為E:\web001和E:\web002，都指定IP為192.168.0.146，端口分別為101和102。

OK，在IE中分別輸入http://192.168.0.146:101和http://192.168.0.146:102測(cè)試兩站點(diǎn)是否建立成功。

三、配置過(guò)程

1、建立用戶(hù)組和用戶(hù)

新建一用戶(hù)組webs，以后所有站點(diǎn)用戶(hù)全部隸屬于該組，以便于權(quán)限分配。

建立用戶(hù)web01，注意要鉤選"密碼永不過(guò)期"(否則背后會(huì)出現(xiàn)"HTTP 401.1 - 未授權(quán)：登錄失敗")，并設(shè)置其只隸屬于webs用戶(hù)組。同樣在建一個(gè)用戶(hù)web02。

2、各分區(qū)NTFS權(quán)限設(shè)置

打開(kāi)各分區(qū)的安全選項(xiàng)卡依次給各分區(qū)授于administrator和system完全控制權(quán)限，并設(shè)置webs組完全拒絕權(quán)限。

3、站點(diǎn)文件夾NTFS權(quán)限設(shè)置

打開(kāi)E:\web01文件夾屬性窗口，選擇安全選項(xiàng)卡，先去掉"允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象"前的鉤，經(jīng)彈出的對(duì)話(huà)框中選擇刪除繼承權(quán)限。

最終確保administrator、system和web01對(duì)該文件夾都有完全控制權(quán)限。

E:\web02文件夾也一樣設(shè)置。

4、設(shè)置各站點(diǎn)的匿名訪(fǎng)問(wèn)用戶(hù)

在IIS中打開(kāi)web01站點(diǎn)屬性，選擇目錄安全性→匿名訪(fǎng)問(wèn)和驗(yàn)證控制→編輯，去掉"集成Windows驗(yàn)證"前的鉤，再編輯匿名訪(fǎng)問(wèn)使用的帳號(hào)，設(shè)置匿名訪(fǎng)問(wèn)帳號(hào)為web01(web02站點(diǎn)也一樣設(shè)置)。

四、測(cè)試

將老兵寫(xiě)的站長(zhǎng)助手放至web02站點(diǎn)中進(jìn)行測(cè)試，經(jīng)測(cè)試除站點(diǎn)文件可以瀏覽外，其他分區(qū)均不能訪(fǎng)問(wèn)。

最新評(píng)論