1、首先建一个单独访问网站的用户如IIS_USER,如果有多个网站,每个网站都建一个用户名,就算一个网站被攻击了,另一个不会同时被攻破。
2、把用户隶属于user删除,修改成Gusets,给用户名最低的权限,这样才更难被攻破。
3、网站楫默礤鲼目录权限只给administrator、system、IIS_USER、USER权限,只给需要的用户特定的权限。避免一个网站被攻破,其他网站也被攻破。
4、data、uploads目录、a目录给user读写权限,这几个目录程序需要写的权限,也就是最容易被攻击的目录,一旦上传了木马到这几个目录,网站就完全陷落了。
5、iis中data、uploads目录、a目录删除php模块操作方法:在iis网站下,选择目录-处理程序映射 找到php模块,删除。这样即使在这些目录里上传了木马文件,也没有运行权限。
6、iis中身份验证中,编辑匿名身份验证,选择你创建的用户和密码。
7、这些操作有些麻烦,但为了安全再麻烦也要设置好,不然一旦被攻击,损失是无法弥补的,除了这些基本配置,还有很多需要注意的,下次遇到再记下了。
