怎样禁止IIS上各个IUSR用户运行EXE文件?
如果IIS上有很多网站,并且这些网站是由其他人管理的,不能确保安全性。那么怎样防止有人用webshell执行一些提权命令呢?
我目前是给每个网站单独创建一个账户,在网站的匿名身份认证里分别设置为这些账户,并且只给各网站主目录相应账户的权限。但我目前给的权限是读和写,其中就包括"遍历文件夹/执行文件"的权限。
如果有一个网站被人黑了,上传了webshell和提权的EXE工具,是可以通过webshell来执行EXE的。
我想禁止掉webshell执行EXE的权限,具体操作就是把所有IIS相关账户单独放到一个组里面,然后给放置网站数据的整个盘都添加该组的拒绝"遍历文件夹/执行文件"权限,但不知道这样会不会影响到正常访问。
另外"遍历文件夹/执行文件"这个对于文件来说是执行权限,对于文件夹来说是遍历权限。而我只是想去掉文件的执行,并不想阻止遍历文件夹。我看安全策略里面"跳过遍历检查"里默认是有everyone账户的,是不是默认情况下所有账户都不受"遍历文件夹"权限的限制,我的这个设置并不会对文件夹遍历的权限产生影响呢?