下载后可任意编辑WEB+FTP+EMAIL 的服务器的安全配置一、实验目的a.掌握 WEB 服务器的安全配置b. 掌握 FTP 服务器的安全配置c. 掌握 EMAIL 服务器的安全配置二、实验步骤a、IIS 和WEB 站点文件夹权限配置各种相关安全问题,实现各个虚拟主机目录有独立权限的访问机制,我们要给每个目录分配一个匿名访问的用户帐号。依次右击桌面我的电脑----->管理------>本地用户与组,然后新建一个用户IISUSER_01,选中用户不能更改密码和密码永不过期,去掉其余两项复选。 如图(1):新建用户新增用户后因为默认新增用户自动加入Users 组内,要分别去除掉它们User组下载后可任意编辑的图(2): 组权限设置设置完成后,为了方便统一划分WEB 站点匿名访问用户的权限,再新建一个用户组,例如为IISUSER_GROUP,把IISUSER_01用户添加到IISUSER_GROUP组内。下载后可任意编辑如图(3):用户和组设置好后,我们再次打开d盘的wwwroot,右击website1文件夹在属性配置的安全选项里,添加IISUSER_01 用户权限(假如是单纯的HTML 站点可以只给读取权限即可,假如是ASP+ACESS 数据库或需要进行FSO 操作的站点,同时还需要加上"写入"权限或一般我们将“完__________全控制”权给IISUSER_01用户:图(3): 文件夹属性假如想进行更严密的安全配置,可以设置IISUSER_01用户在website1目录的权限为读取,在需要更新或写入操作的图片上传目录或数据库目录上才给予写入权限,这样更为安全。虽然跨站后没有权限修改,但比如用海洋顶端的文件夹打包功能,仍能进行跨站浏览系统磁盘及打包操作并下载!解决的方法是,右击C 和D 盘符选择属性中的安全选项,添加刚才我们建立的用户组(包含有下载后可任意编辑IISUSER_01或新增的其它WEB网站目录用户),禁止该组的所有操作权限。(注意子目录继承权限的设置,WebSite1目录不要继承父目录的该权限。)如图(4) : 盘符属性 :这样一来,每个站点的浏览者(匿名访问用户)也只能对该站目录内文件进行一定的权限操作,即使ASP木马上传到其中一个网站目录,不会对别的站点造成任何影响,更不会对服务器的安全有任何危险。文件夹安全配置完后,我们下一步将进行IIS 的配置。首先打开IIS 管理器—》主目录,为了方便统一管理,将默认站点重命名为WebSite1 并将主目录指向D:\wwwroot\WebSite1目录。下载后可任意编辑如图(5) :然后点击本窗口的配置按钮进入应用程序配置,在应用程序扩展栏中删除必须之外的任何无用映射,如...
