廣告：

一、這樣配置的好處？

不知大家有沒有聽過旁注？我簡單的解釋一下吧：有個人想黑掉A站點，但找來找去都沒發現可利用的漏洞，無意中他發現與A同服務器上還有個B站點，并且在B站點上找到了可利用的漏洞，于是他將木馬從B站中上傳至服務器，如果服務器權限配置不當，那么現在他就可以黑掉服務器上的所有站點了！如果我們為每個站點都建立一個用戶，并設置該用戶只有訪問本站點的權限，那么就能將訪問權限控制在每個站點文件夾內，旁注問題也就解決了。

二、準備工作

1. 運行環境：Win2003 服務器版 + IIS 6.0
2. 文件系統：各分區文件系統為NTFS
3. 站點文件夾：E盤下建立兩個文件夾web001和web002
4. 新建站點：IIS中新建兩個站點web001和web002，站點文件夾分別為E:\web001和E:\web002，都指定IP為192.168.0.146，端口分別為101和102

三.

1.用戶組webs，以后所有站點用戶全部隸屬于該組，以便于權限分配;
2.建立用戶web01，注意要鉤選"密碼永不過期"(否則背后會出現"HTTP 401.1 - 未授權：登錄失敗")，并設置其只隸屬于webs用戶組。同樣在建一個用戶web02。
3.各分區NTFS權限設置

打開各分區的安全選項卡依次給各分區授于administrator和system完全控制權限，并設置webs組完全拒絕權限。

4.站點文件夾NTFS權限設置

打開E:\web01文件夾屬性窗口，選擇安全選項卡，先去掉"允許將來自父系的可繼承權限傳播給該對象"前的鉤，經彈出的對話框中選擇刪除繼承權限。

最終確保administrator、system和web01對該文件夾都有完全控制權限。E:\web02文件夾也一樣設置對應用戶-web02。

5.設置各站點的匿名訪問用戶

在IIS中打開web01站點屬性，選擇目錄安全性→匿名訪問和驗證控制→編輯，去掉"集成Windows驗證"前的鉤，再編輯匿名訪問使用的帳號，設置匿名訪問帳號為web01(web02站點也一樣設置)。

廣告：