我有一个 win2012/IIS 8 网络服务器,我正在尝试保护它。我想尽可能将每个站点/用户隔离到他们自己的文件夹中。
我已将网站移至“c:\sites\mysiteA\”、“c:\sites\mysiteB\”等等。
我为每个网站设置了单独的用户帐户,并为文件夹设置了最低权限(包括删除“用户”组。)
从其他数据文件夹(如 MSSQL 数据库文件夹)中删除不必要的用户。
但是“c:\”和所有系统文件夹默认对“用户”组具有读取/执行访问权限。
我读到过,IIS 的最新版本是安全的,但允许 IIS 用户读取和执行系统文件对我来说似乎并不安全。
这样离开服务器是正常的吗?
有人能建议从这一点来看最佳做法是什么吗?是否应该从“c:\”中删除“用户”组,或者为 IIS 用户添加 DENY 规则。
这些看起来像是巨大的变化,我不确定它们是否会影响 IIS 或 SQL Server 2012 的运行。只有管理员登录桌面,因此没有其他物理用户。