windows server服务器配置文档

一、操作系统的安装
我这里说的操作系统以Windows 2000为例，高版本的Windows也有类似功能。

格式化硬盘时候，必须格式化为NTFS的，绝对不要使用FAT32类型。

C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他用户删除，E盘放网站，如果只有一个网站，就设置Administrator和System 完全控制，Everyone读取，如果网站上某段代码必须完成写操作，这时再单独对那个文件所在的文件夹权限进行更改。

系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，在安装IIS的过程中，只安装最基本必要的功能，那些不必要的危险服务千万不要安装，例如：FrontPage 2000服务器扩展，Internet服务管理器（HTML），FTP服务，文档，索引服务等等。

二、网络安全配置
网络安全最基本的是端口设置，在“本地连接属性”，点“Internet协议（TCP/IP）”，点“高级”，再点“选项”-“TCP/IP筛选”。

仅打开网站服务所需要使用的端口，配置界面如下图。

进行如下设置后，从你的服务器将不能使用域名解析，因此上网，但是外部的访问是正常的。

这个设置主要为了防止一般规模的DDOS攻击。

三、安全模板设置
运行MMC，添加独立管理单元“安全配置与分析”，导入模板basicsv.inf 或者securedc.inf，然后点“立刻配置计算机”，系统就会自动配置“帐户策略”、“本地策略”、“系统服务”等信息，一步到位，不过这些配置可能会导致某些软件无法运行或者运行出错。

四、WEB服务器的设置
以IIS为例，绝对不要使用IIS默认安装的WEB目录，而需要在E盘新建立一个目录。

然后在IIS管理器中右击主机->属性->WWW服务编辑->主目录配置->应用程序映射，只保留asp和asa，其余全部删除。

五、ASP的安全
在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是非常重要的。

ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、work、FSO、Adodb.Stream组件来实现其功能，除了FSO之外，其他的大多可以直接禁用。

WScript.Shell组件使用这个命令删除：regsvr32 WSHom.ocx /u
work组件使用这个命令删除：regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。

使用命令：cacls C：\WINNT\system32\shell32.dll /e /d guests 禁止guests用户执行cmd.exe的命令是： cacls C：
\WINNT\system32\Cmd.exe /e /d guests
FSO组件的禁用比较麻烦，如果网站本身不需要用这个组件，那么就通过RegSrv32 scrrun.dll /u命令来禁用吧。

如果网站本身也需要用到FSO，那么请参看这篇文章。

另外，使用微软提供的URLScan Tool这个过滤非法URL访问的工具，也可以起到一定防范作用。

当然，每天备份也是一个好习惯
一:建立一个袖珍型的IIS,从而将风险隆到最低
针对一般用户来说,IIS一些额外组件根本没有多大用处,那我们就可以对IIS进行一次大瘦身,可以北朝鲜以下组件拉入黑名单:Internet服务器(HTML)是基于WEB的IIS服务器管理页面,一般情况下不应通过WEB进行管理,建议卸掉;样本页面和脚本有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,这不是好事情'如果不打算使用服务器转发邮件和提供新闻组服务,就删除SMTP和NNTP这些项目,否则会因为它
们的漏洞代来新的不安全,还有一个是INTERNET打印,INTERNET打印是WIN2K中的一个新特性,它提供通过INTERNET将打印作业题交给打印机的方式,但是由于网络上的打印机是通过一个WEB页面进行访问并管理的,所以也就使系统增加许多可以受到利用的可能性,还有一个就是要把IIS管理器中除必须之外的任何无用映射,一般性况下只保留.ASP就可以啦,其它的都可以删掉地.
二:权限设置的问题
IIS是以NTFS文件系统为平台,FAT文件系统只能提供共享级安全,安装IIS时一定要注意不要安装在系统分区上,那样会使系统文件与IIS同样面临着非法访问,容易使黑客侵入系统分区,一般的方法是打开IIS管理器,选择:"主目录"选项卡-----选中虚拟目录的"目录属性"进行设置.一般性况下可以只在"脚本资源方问","日志访问","读取","索引此资源",在下面的应用程序设置:
应用程序名-----默认应用程序
执行许可-------纯脚本
应用程序保护---中(共用的)
三:关于ASP木马的防范
设置IUSR_MACHINE的用户权限.加强主机的IIS配置,ASP是IIS的默认脚本,使用的是
IUSR_MACHINE的权限,所以我们只要这样设置:
cacls %systemroot%/system32/cmd.exe /E/D IUSR_MACHINE
cacls %systemroot%/system32/dllcache/cmd.exe /E/D IUSR_MACHINE
这样就可以成功限制IUSR_MACHINE的权限,限制其访问系统的CMD.EXE,那些调用CMD.EXE 的ASP木马也就无能为力啦!!呵呵,还要这个就是你必须在注册表中查找
wscript.shell
shell.application
shell.application.1这三项键值来改名或者删除,这样就可以防来自ASP脚本木马的威胁啦哦好啦基本的都说完啦!!希望对大家有用哈!!
Win2003 Server的安全性较之Win2K确实有了很大的提高，但是用Win2003 Server作为服务器是否就真的安全了？如何才能打造一个安全的个人Web服务器？下面我们简单介绍一下……
一、Windows Server2003的安装
1、安装系统最少两需要个分区，分区格式都采用NTFS格式
2、在断开网络的情况安装好2003系统
3、安装IIS，仅安装必要的IIS 组件（禁用不需要的如FTP 和SMTP 服务）。

默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：
Internet 信息服务管理器；
公用文件；
后台智能传输服务(BITS) 服务器扩展；
万维网服务。

如果你使用FrontPage 扩展的Web 站点再勾选：FrontPage 2002 Server Extensions
4、安装MSSQL及其它所需要的软件然后进行Update。

5、使用Microsoft 提供的MBSA（Microsoft Baseline Security Analyzer）工具分析计算机的安全配置，并标识缺少的修补程序和更新。

下载地址：见页末的链接
二、设置和管理账户
1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。

如果你使用了还要保留Aspnet账户。

7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

三、网络服务安全管理
1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表，
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0
2、解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务，以下为建议选项
Computer Browser:维护网络计算机更新，禁用
Distributed File System: 局域网管理共享文件，不需要禁用
Distributed linktracking client：用于局域网更新连接信息，不需要禁用
Error reporting service：禁止发送错误报告
Microsoft Serch：提供快速的单词搜索，不需要可禁用
NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用
PrintSpooler：如果没有打印机可禁用
Remote Registry：禁止远程修改注册表
Remote Desktop Help Session Manager：禁止远程协助
四、打开相应的审核策略
在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是：
登录事件成功失败
账户登录事件成功失败
系统事件成功失败
策略更改成功失败
对象访问失败
目录服务访问失败
特权使用失败
五、其它安全相关设置
1、隐藏重要文件/目录
可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0
2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为SynAttackProtect，值为2
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interf ace
新建DWORD值，名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为IGMPLevel 值为0
7、禁用DCOM：
运行中输入Dcomcnfg.exe。

回车，单击“控制台根节点”下的“组件服务”。

打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。

选择“默认属性”选项卡。

清除“在这台计算机上启用分布式COM”复选框。

注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。

但有一点可以肯定我用了一段的时间没有发现其它副面的影响。

六、配置IIS 服务：
1、不使用默认的Web站点，如果使用也要将将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。

主要为.shtml, .shtm, .stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan
UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。

目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。

下载地址见页未的链接
如果没有特殊的要求采用UrlScan默认配置就可以了。

但如果你在服务器运行程序，并要进行调试你需打开
要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。

如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset
如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
下载地址：[/websample/othersample.aspx]爱好者[/url]
七、配置Sql服务器
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户，为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为：
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell：是进入操作系统的最佳捷径，删除
访问注册表的存储过程，删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程，不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏SQL Server 实例，并改原默认的1433端口。

八、如果只做服务器，不进行其它操作，使用IPSec
1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击
添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。

2、再在管理IP筛选器表选项下点击
添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址
设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。

3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec 就可生效.
九、建议
如果你按本文去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。

而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。

十、运行服务器记录当前的程序和开放的端口
1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。

当然如果你能分辨每一个进程，和端口这一步可以省略。

regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
如果按照上面讲到的设置，可不必删除这两个文件
方案二：
删除注册表
HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应WScript.Shell
删除注册表
HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应Shell.application
用户管理
建立另一个备用管理员账号，防止特殊情况发生。

安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中，IIS用户一般使用Guests组，也可以再重新建立一个独立的专供IIS使用的组，但
要将这个组赋予C:\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录，太小家子气。

最少的服务如果实现
黑色为自动绿色为手动红色为禁用
Alerter
Application EXPerience Lookup Service
Application Layer Gateway Service
Application Management
Automatic Updates [Windows自动更新,可选项]
Background Intelligent Transfer Service
ClipBook
COM+ Event System
COM+ System Application
Computer Browser
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed File System
Distributed Link Tracking Client
Distributed Link Tracking Server
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log
File Replication
Help and Support
HTTP SSL
Human Interface Device Access
IIS Admin Service
IMAPI CD-Burning COM Service
Indexing Service
Intersite Messaging
IPSEC Services [如果使用了IP安全策略则自动，如无则禁用，可选操作] Kerberos Key Distribution Center
License Logging
Logical Disk Manager [可选，多硬盘建议自动]
Logical Disk Manager Administrative Service
Messenger
Microsoft Search
Microsoft Software Shadow Copy Provider
MSSQLSERVER
MSSQLServerADHelper
Net Logon
NetMeeting Remote Desktop Sharing
Network Connections
Network DDE
Network DDE DSDM
Network Location Awareness (NLA)
Network Provisioning Service
NT LM Security Support Provider
Performance Logs and Alerts
Plug and Play
Portable Media Serial Number Service [微软反盗版工具，目前只针对多媒体类]
Print Spooler
Protected Storage
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Desktop Help Session Manager
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry
Removable Storage
Resultant Set of Policy Provider
Routing and Remote Access
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card
Special Administration Console Helper
SQLSERVERAGENT
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper
Telephony
Telnet
Terminal Services
Terminal Services Session Directory
Themes
Uninterruptible Power Supply
Upload Manager
Virtual Disk Service
Volume Shadow Copy
WebClient
Windows Audio [服务器没必要使用声音]
Windows Firewall/Internet Connection Sharing (ICS) Windows Image Acquisition (WIA)
Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions Windows Time
Windows User Mode Driver Framework
WinHTTP Web Proxy Auto-Discovery Service
Wireless Configuration
WMI Performance Adapter
Workstation
World Wide Web Publishing Service
以上操作完成以后是否就“最小的权限+最少的服务=最大的安全”呢？其实不然，任何事物都是相对的
依我个人而见，以上设置也只是最基本的一些东西而已，如有遗漏，稍后补上！
三、IIS、终端服务、FTP、SQL的配置
3.1 IIS配置
IIS6与IIS5有着很多不同之处，不一一列举，也不是我一个脑袋可以装下的东西。

都在资料上！IIS6有一个非常不方便的东西，就是他限制了在线上传不得大于200K，如何修改，请看：
首先停用IIS服务，> 服务 > iis admin service > 停用
C:\windows\system32\inetsrv\ metabase.xml 文件用记事本打开它
找到 ASPMaxRequestEntityAllowed 处。

默认为 204800 即 204800字节(200K)
修改为想要的数字如： 2048000 [2M] 保存，重启IIS服务即可！
设置基本参数
打开IIS管理器 > 网站 > 属性 >
网站 > 启动日志记录 > 关闭
主目录 > 配置 > 应用程序扩展 > 只保留 asp,asa
主目录 > 配置 > 选项 > 启用父目录
主目录 > 配置 > 调试 > 向客户端发送文本错误消息
网站 > 自定义错误 > 全部改成默认值 [上一章已经删除IIS使用的错误信息页面]
IIS管理器 > WEB服务扩展 > 启用 Active Server Pages
注：停用IIS默认站点，切勿删除，有可能会造成IIS的不稳定。

站点的建立将在第四节中详细介绍。

IIS支持PHP的配置
/downloads.php 以 PHP 5.1.1 为例
下载php-5.1.1-Win32.zip 解压到 D:\php 或任意目录赋予该目录IIS用户组读取权限
将ext目录中的所有文件复制到 C:\Windows\System32目录下面
以记事本打开php.ini-dist文件
查找 extension_dir = "./" 更改为 extension_dir = "D:\php\ext"
查找 ; Windows Extensions 更改下面的参数
如要开通GD库支持则将;extension=php_gd2.dll 前面的冒号删除
依此类推，更多设置参考PHP.INI中文版。

完成设置好另存在
C:\Windows\php.ini
尔后在IIS设置中 IIS管理器 > 网站 > 属性 > 主目录 > 配置 > 映射
添加 D:\php\php5isapi.dll 扩展名.php
其次在WEB服务扩展中添加一个新的扩展名 PHP 执行位置
D:\php\php5isapi.dll 设为允许即可
由于WIN平台对MYSQL与PHP的组合无法体现性能优势。

个人建议WIN平台PHP程序要使用数据库建议远程
或搭配文本数据库。

终端服务配置
开始 > 程序 > 管理工具 > 终端服务配置 > 连接
选择右侧列出的连接属性 > 权限删除所有用户组添加单一的允许使用的管理员账户,这样即使服务器
被创建了其它的管理员.也无法使用终端服务。

另外在会话设置中可以进一步设置断开、注销等一些参数。

FTP的配置
目前大多数服务器使用Serv-U Server 为FTP SYSTEM。

这里同时建议使用此软件
以 Serv-U FTP Server 6.1.0.5 final [最新版]为例，这里建议使用汉化版本
安装原版至D:\Serv-U_3434999fdaf [复杂无规则的目录名可有效防止黑客的猜解]
尔后退出Serv-U,安装汉化包。

运行SERV-U管理器 IP地址可为空、安装为系统服务设置密码防止溢出
PASV设置
Serv-U管理器 > <<本地服务器>> > 设置 > 高级
PASV端口范围这里SERV-U只允许 50个端口范围端口的设置范围如1025 - 1075 [1024以前的端口为系统使用]
更多个人化设置参考以下文档
Jmail 组件的安装
建议使用 w3 JMail Personal V4.3 这里为免费版
/soft/5555.html
默认安装至 D:\w3JMail4_35434fnald [同样，复杂的目录名]
安装完成后只需单一设置 jmail.dll 权限，加入IIS用户组默认权限即可！
SQL Server 2000 的安装与配置
目前SQL Server 2000 + SP4 在我看来已算比较安全，已没有SP3等版本会因为 sqlstp.log, sqlsp.log而泄露
安装信息的问题。

当然也建议在安全后检查 <systemdrive>:\Program Files\Microsoft SQL Server\MSSQL\Install
目录中是否存在有 sqlstp.log, sqlsp.log, setup.iss文件，如果有，则备份至其它位置。

数据库的建立这里就不多讲了。

更多设置可以参考SQL SERVER 2000帮助文档！
四、站点的建立
站点的建立有一定的操作标准，当然这都是些屁话，能运行就行了。

上面讲到的设置已经为下面的建立站点创造了一个良好的条件，只需要严格按照控制每个站点的权限
就足够了，不要因为时间紧而不设置站点FSO或将目录权限开到最大。

操作上的疏忽偶尔会带来一点小
麻烦。

建立站点前首先在用户管理中建立一个站点所需要使用的用户名。

比如我们要建立一个名为 HostNew的站点绑定域名
建立一用户Iusr_ [对IIS用户增加统一的前缀方便将来的管理] 设置一个复杂的密码
修改该用户所属用户组为Guests 或你准备好的IIS用户组。

删除默认的Users用户组.
尔后给站点需要使用的目录加上这个用户为读取、写入权限。

不要是默认权限，默认权限拥有运行权限
那么站点就可以通过FSO来执行或利用其它方式来执行一些恶意程序破坏服务器配置。

尔后打开IIS管理器 > 网站 > 新建站点设置好后
打开新站点属性 > 目录安全性 > 身份验证和访问控制 > 编辑 > 选择刚才建立的用户[Iusr_]
输入该用户的密码.确认.应用.即可,此时该站点的权限已控制在该站点目录!
其实这一切都是相对比较简单的.也没有什么可值得称道的地方.
如果该站点不使用ASP\PHP\CGI等脚本在该站点属性 > 主目录里面 > 执行权限里面选择无
如果要执行ASP等脚本则选择纯脚本.如果PHP\CGI等脚本使用的是EXE 文件执行方式.则选择脚本和可执行文件。