`
shirlly
  • 浏览: 1652306 次
  • 性别: Icon_minigender_2
  • 来自: 福州
社区版块
存档分类
最新评论

运行IIS的最小NTFS权限

阅读更多
运行IIS的最小NTFS权限
本文介绍了正常运行IIS所需要的最小NTFS权限,当IIS不能正常运行或者想严格限制权限的时候可以
参照此文,以下是操作的7个步骤。
1、选取整个硬盘:
System:完全控制
Administrator:完全控制
(允许将来自父系的可继承性权限传播给对象)
2、\Program Files\Common Files:
Everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)

3、\Inetpub\wwwroot:(可根据需要设计)
IUSR_MACHINE:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)

4、\Winnt\system32:
选中 Inetsrv、Certsrv (如果存在)和 Com 之外的其他所有文件夹,去除"允许将来自父系的可继承性权限传播给对象"选框,复制。

5、\Winnt:
选中以下文件夹之外的其他所有文件夹:Assembly(如果有)、Downloaded Program Files、Help、IIS Temporary Compressed Files、Microsoft.NET(如果有)、Offline Web Pages、System32、Tasks、Temp 和 Web。 ,去除"允许将来自父系的可继承性权限传播给对象"选框,复制。

6、\Winnt:
Everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)

7、\Winnt\Temp:(允许访问数据库并显示在ASP页面上)
Everyone:修改
(允许将来自父系的可继承性权限传播给对象)这样,你就拥有了一个权限严格而又可以正常运行的IIS系统了。

补充:禁止web anonymous组对cmd.exe等的访问


更多信息

虽然每个系统管理员可以根据各自的需求设置权限,但最好使用 Everyone 组,而不要只使用 IUSR_MACHINE 帐户。实际上,如果只为 IUSR_MACHINE 帐户添加权限,ASP 和 ASP.NET 将无法运行。如果使用 Everyone 组,当 Web 站点对匿名用户和经过身份验证的用户都有高、中或低的保护级别设置时,ASP 能够正常运行。

另外,如果只需要匿名访问,管理员可以创建 InternetGuests 本地组,然后将 IUSR_MACHINE、IWAM_MACHINE 和 ASPNET 添加到该组,将 Everyone 组替换为 InternetGuests 组。不过,Everyone 组包括 Users 组(对于经过身份验证的 Web 用户)、IUSR_MACHINE 帐户(对于匿名 HTM 访问)、IWAM_MACHINE 帐户(对于匿名 ASP 功能)以及 ASPNET(对于 ASP.NET 功能)。

IIS 5.0 使用两个单独的帐户执行 Web 页。使用匿名身份验证时,IIS 使用 IUSR_MACHINE 帐户查看 Web 页。不过,IWAM_MACHINE 用于启动一个单独的进程,该进程称为 Dllhost.exe,所有 Active Server Pages (ASP)、组件对象模型 (COM) 组件或其他 ISAPI 扩展(ASP 被视为 ISAPI 扩展)都在该进程内运行。这样做的目的主要是保持稳定。如果从 ASP 页调用的自定义 COM 组件崩溃(也即,导致访问冲突,从而致使进程停止),它不会影响到 Inetinfo.exe,因此 Web 服务将继续运行。

IIS 5.0 中的三个保护级别如下:
低(IIS 进程):该设置与 IIS 4.0 下的默认设置类似。所有 Web 页,不论是 HTM 还是 ASP,都在 Inetinfo.exe 进程内运行。
中等(池):这是默认设置。与 IIS 4.0 相同,该设置启动称为 Dllhost.exe 的单独进程,所有 ASP 和 COM 组件都在该进程内运行。该进程由 IWAM_MACHINE 帐户启动,这也与 IIS 4.0 相同。另外,该设置也称为池,因为在 IIS 中运行的所有 Web 站点都在执行 ASP 页时共享这一个 Dllhost.exe 进程。请注意,Windows 2000 用 Dllhost.exe 替换 Mtx.exe。
高(独立):该设置为每个 Web 站点或应用程序启动专用 Dllhost.exe 进程。如果有 5 个 Web 站点,每个站点的保护级别都设为"高",总共将有六个 Dllhost.exe 进程:五个 Dllhost.exe 进程和一个附加 Dllhost.exe 进程,该附加进程由 COM+ 在系统应用程序下启动。
分享到:
评论

相关推荐

    IIS无法运行asp的NTFS权限设置图文教程

    在使用IIS服务器运行ASP(Active Server Pages)应用程序时,如果服务器的文件系统是NTFS,那么就需要特别注意文件和目录的NTFS权限设置。由于ASP的运行涉及到动态内容生成,包括文件的读写以及数据库的更新等操作,...

    iis写权限利用工具

    5. **权限修复**:根据报告调整IIS的权限设置,遵循最小权限原则,只给予必要的访问权限。 6. **持续监控**:定期重新扫描以检查新的安全问题。 总的来说,"iis写权限利用工具"是网络安全维护中的一个重要辅助,它...

    BAT批处理脚本-系统设置查询修改硬件相关-WIN2003 IIS最小权限分配.bat.zip

    2. **用户账户与权限**:了解NTFS权限和IIS进程身份(如IWAM账户、默认应用程序池身份)的设置,确保服务仅以最低权限运行。 3. **权限最小化**:设置IIS应用程序池的标识为低权限账户,如LocalService或Network...

    IIS.zip_iis_访问权限

    描述中提到"IIS最小权限分配的批处理文件,删除C盘的所有的users的访问权限等",这表明文件内容可能涉及以下几个关键知识点: 1. **最小权限原则**:这是安全最佳实践之一,它要求每个用户或进程只应拥有完成其任务...

    用批处理实现IIS下最小权限的分配

    然而,需要注意的是,过度限制权限可能导致IIS正常服务受到影响,因此在实施最小权限策略时,应确保不会阻止IIS及其相关组件的正常运行。例如,IIS需要访问某些目录来读取或写入文件,如网站内容、日志文件等,这些...

    IIS写权限工具

    这包括验证每个文件夹的NTFS权限和Web站点的目录访问权限。 4. **权限修复**:一旦发现不安全的权限设置,工具会提供指导或自动修复功能,以将权限调整到安全范围。这可能包括限制匿名用户、应用池标识或特定用户的...

    IIS7管理器里边 不能启动,为什么?

    - 对于特定的文件夹或路径,检查其NTFS权限设置是否正确。 **4. 错误排查** - **异常分析**:出现异常时,应该首先查看IIS日志和事件查看器中的错误记录,以便获取更详细的错误信息。 - **测试步骤**:重新测试...

    IIS无权查看网页401-3

    - 仅向必要的用户或组提供最小必要的权限。例如,通常不建议为“Everyone”组提供完全控制权限,除非绝对必要。 - 在进行任何修改之前,建议备份相关文件和目录的权限设置,以便在出现意外时能迅速恢复。 - 每当权限...

    IIS安全配置方案.pdf

    - 对用户账户进行最小权限分配,避免过度权限造成安全隐患。 - 启用审核策略,跟踪系统活动,以便发现潜在威胁。 5. **其他安全措施** - 配置防火墙,仅开放必要的端口和服务。 - 使用SSL证书进行加密通信,...

    Microsoft VBScript 运行时错误 错误 '800a0046' 没有权限

    - **安全最佳实践**: 在修改文件权限时应遵循最小权限原则,即只授予完成任务所需的最小权限,避免不必要的安全隐患。 ##### 2. VBScript与权限管理 - **环境配置**: 在开发或部署VBScript应用时,确保服务器环境...

    IIS安全架设WEB服务器的安全设置

    - **启用NTFS文件系统**:确保IIS运行的操作系统(如Windows Server)使用NTFS文件系统,因为NTFS提供了更细粒度的权限控制。 - **修改注册表关闭自动共享**:编辑注册表键 `HKEY_LOCAL_MACHINE\SYSTEM\...

    IIS服务的安全设置

    - **最小权限原则**:分配给应用程序池的用户账户应有最低的权限,避免使用管理员权限运行。 4. **防火墙和端口管理** - **配置防火墙规则**:只开放必要的端口(如80、443)供外部访问,阻止不必要的入站流量。 ...

    Windows+2003+IIS下FTP设置方法.doc

    6. **NTFS权限要求**: - 要求受权限保护的文件夹必须在NTFS分区上,FAT32分区不支持权限设置。 设置完成后,用户“hanjiang”在FTP客户端登录时,只能访问和操作属于自己的“hanjiang”文件夹,无法访问主目录或...

    阿江的WINDOWS服务器安全设置

    - **NTFS权限**:使用NTFS文件系统时,可以通过设置详细的权限来加强安全性。例如,为不同的系统用户分配特定的目录权限,以防止非授权访问。 - **IIS权限管理**:对于每个IIS站点,都应为其设置单独的用户账户,并...

    介绍 IIS 7.5 的应用程序池与新增的「虚拟帐户」特性

    **虚拟帐户**是IIS 7.5引入的新特性,它为每个应用程序池创建了一个专用的、具有最小权限的用户帐户,而不是所有应用程序池共享一个如NETWORK SERVICE的帐户。虚拟帐户是自动管理的,不需要人为设置密码,且其权限仅...

    保护(IIS)web服务器安全的15个技巧

    - **NTFS权限**:确保所有文件和目录都有适当的NTFS权限设置,防止未授权访问。 ##### 12. 定期备份 - **数据备份**:定期备份关键数据,并测试恢复流程以确保备份的有效性。 ##### 13. 远程访问安全 - **安全远程...

    2003服务器安全设置教程(全).

    1. 最小权限实现:通过NTFS权限设置,限制非必要用户的访问权限。确保Administrators和SYSTEM用户对系统关键目录拥有完全控制权,删除或限制其他用户和Everyone组的权限。特别是C:\Documents and Settings\All Users...

    ASP安全性Web服务器.pdf

    开发者需要仔细配置NTFS权限,确保Web服务器上运行ASP应用程序的账户只拥有必要的最小权限,避免设置过于宽松的权限。 接下来我们讨论ASP中的Global.asa文件。Global.asa文件存储在Web应用程序的根目录下,它用于...

Global site tag (gtag.js) - Google Analytics