[Windows Server 2003] 手工创建安全网站

★ 欢迎来到〖护卫神·V课堂〗，网站地址：http://v.huweishen.com
★ 护卫神·V课堂 是护卫神旗下专业提供服务器教学视频的网站，每周更新视频。
★ 本节我们将带领大家：手工创建安全站点
·每个网站设置独立的IIS匿名帐户，能防止跨站入侵，大幅提升安全。

1、创建匿名帐户
·帐户一：site1_iis，属于GUESTS组；这个帐户用于网站匿名帐户，是ASP、PHP运行的身份。
·帐户二：site1_apppool，属于IIS_WPG；这个帐户用于程序池，是ASP.net的运行身份。

2、创建网站目录
·我们放到d:\wwwroot\site1\，给此目录加上site1_iis和site1_apppool修改权限。

3、创建站点
·我们绑定域名test.huweishen.com
·注意每个网站必须独立程序池，因此我们再新建程序池，并分配给该网站。

4、配置站点
·匿名身份验证，使用site1_iis
·程序池帐户设置，使用site1_apppool

5、脚本跨站测试

ASP、PHP、ASP.net都能正常访问。
·D:\wwwroot\discuz是另外一个网站的路径，已经做好了完全独立的权限，我们用他做跨站测试

。
ASP不可以跨站

ASP.net不可以跨站
PHP不可以跨站

如果您需要创建其他站点，重复执行1、2、3、4步操作即可。

6、其他安全说明
每个网站单独匿名帐户，只是解决安全必要操作的一部分，但还可能因为其他原因出现跨站入侵。

·系统安全务必做好，否则黑客可能籍此入侵；护卫神可提供系统安全加固服务

我们测试运行c:\windows\system32\cmd.exe，如果能运行，那黑客要入侵系统就非难事了。
结果：可以运行

·PHP5.3及以上版本，需要给予网站目录添加匿名帐户的执行权限；但这个会导致黑客提权，建议

采用护卫神.入侵防护系统限制

我们测试上传一个cmd.exe到网站目录，再执行该cmd.exe
结果：可以运行

我现在去完成其他安全设置，再来测试。
现在我已经做好了：系统安全以及安装了入侵防护系统，我们再来测试下刚才的入侵。
结果都不能入侵了。

因此只有做好每一个安全细节，才能有效防御入侵。
至此，本节已经结束，敬请访问护卫神网站(www.huweishen.com)获得更多教学视频。

转载请注明出处（http://v.huweishen.com/video/20.html）谢谢！