Windows 2003网站安全权限设置指南.docVIP

Windows 2003网站安全权限设置指南 　　Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可，基于IIS Web服务器软件的网站数量也越来越多。 　　通常情况下，高校的大多数服务器会由技术力量相对雄厚的网络中心等IT资源部门运维管理。而网站程序的制作则由各单位、各部门自主负责，少数用户单位会自主开发，或者请专业的IT公司代为开发。更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。因此，各网站程序的安全性参差不齐。在这种情况下，如果不对服务器的默认安全权限进行调整，将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。 　　最常遇到的情况是：一台Windows 2003服务器上运行多个网站，其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤)，黑客便可通过攻击该网站取得权限，上传网页木马，得到了一个Web SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有Web站点的源文件，往源文件里加入js和iframe恶意代码。此时那些没有安装反病毒软件的访客，浏览这些页面时便会感染上病毒，不仅引来用户的严重不满和投诉，同时也使学校的形象严重受损。 　　为了避免类似事件的发生，我们有必要分开部署网站和数据库。通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。但是，仅启用以上的安全措施还远远不够，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限作出严格的控制，实现各网站之间权限的隔离，方法如下： 　　在Web服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。 　　2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。 　　3.将各个网站分配到相应的应用程序池。如果网站数目不多，可以一个网站分配一个应用程序池。 　　如果网站数目较多，则可以采用分组的形式，组内网站则共处同一应用程序池。 　　4.更改网站的匿名访问用户。 　　5.设置网站目录及其文件的安全权限。 　　本文将通过实例来详细介绍上面的设置方法： 　　我们的服务器运行着三个网站 　　http// 　　http// 　　http// 　　现在我们想为这三个网站分配不同的权限，实现各个网站之间的隔离。于是我们做了如下的规划： 　　(1)首先创建三个用户IISWK_001、IISWK_002和IISWK_003，分别作为网站、和应用程序池的安全性用户； 　　(2)接着创建三个用户IUSR_001、IUSR_002和IUSR_003，分别作为这三个网站的匿名访问帐户； 　　(3)最后我们对这三个网站的目录权限进行调整，比如网站根目录只对IISWK_001和IUSR_001用户开读取权限，而网站根目录只对IISWK_002和IUSR_002用户开读取权限，从而实现了各网站之间权限的隔离。 　　为达到上述目标，我们进行如下设置： 　　1. 创建若干个系统用户，分别作IIS6的应用程序池安全性用户和网站匿名访问帐户。 　　(1) 创建IIS6的应用程序池安全性用户: 　　首先创建三个用户IISWK_001、IISWK_002和IISWK_003，分别作为网站、和应用程序池的安全性用户。 　　右击“我的电脑”→“管理”→“系统工具”→“本地用户和组”→右击“用户”→“新用户” 　　分别添加IISWK_001、IISWK_002和IISWK_003这三个用户，请保存好相关用户的密码，下面将会用到。 　　同时设置“用户不能更改密码”，“密码永不过期”等相关属性，确保帐号的有效性。 　　请注意，IISWK_001、IISWK_002和IISWK_003帐号创建完毕后,还必须进行以下的设置： 　　赋予这三个用户写入和修改%SystemRoot%\Temp目录的权限(例如C\windows\Temp目录)； 　　将这三个用户从Users组中删除，同时加入IIS_WPG组。 　　以上二步是确保应用程序池以及 等程序的正常运行，避免访问页面时报错提示”Service Unavailable”。 　　(2) 创建三个网站的匿名访问帐户: IUSR_001、IUSR_002和IUSR_003，同时删除其隶属于Users组的权限。如组图2。 　　2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。 　　下面为网站创建新的应用程序池IISWK_001，并对进行相关的配置： 　　打开IIS管理控制台，右击“应用程序池”