WindowsServer2008R2常規(guī)安全設(shè)置及基本安全策略

1、Windows Server 2008 R2常規(guī)安全設(shè)置及基本安全策略1、目錄權(quán)限除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對其下的子目錄作單獨的目錄權(quán)限2、遠程連接我的電腦屬性-遠程設(shè)置-遠程-只允許運行帶網(wǎng)絡(luò)超級身份驗證的遠程桌面的計算機連接，選擇允許運行任意版本遠程桌面的計算機連接(較不安全)。備注：方便多種版本W(wǎng)indows遠程管理服務(wù)器。windows server 2008的遠程桌面連接，與2003相比，引入了網(wǎng)絡(luò)級身份驗證（NLA，network level authentication)，XP SP3不支持這種網(wǎng)絡(luò)級的身份驗

2、證，vista跟win7支持。然而在XP系統(tǒng)中修改一下注冊表，即可讓XP SP3支持網(wǎng)絡(luò)級身份驗證。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中雙擊Security Pakeages，添加一項“tspkg”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders，在右窗口中雙擊SecurityProviders，添加credssp.dll；請注意，在添加這項值時，一定要在原有的值后添加逗號后，別忘了要空一格（英文狀態(tài)）。然后將XP系統(tǒng)重啟一下即可。再查

3、看一下，即可發(fā)現(xiàn)XP系統(tǒng)已經(jīng)支持網(wǎng)絡(luò)級身份驗證3、修改遠程訪問服務(wù)端口更改遠程連接端口方法，可用windows自帶的計算器將10進制轉(zhuǎn)為16進制。更改3389端口為8208，重啟生效！Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp "PortNumber"=dword:0002010HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal S

4、erverWinStationsRDP-Tcp "PortNumber"=dword:00002010（1）在開始-運行菜單里,輸入regedit,進入注冊表編輯,按下面的路徑進入修改端口的地方 （2）HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp （3）找到右側(cè)的 "PortNumber"，用十進制方式顯示，默認為3389，改為(例如)6666端口 （4）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetC

5、ontrolTerminal ServerWdsrdpwdTdstcp （5）找到右側(cè)的 "PortNumber"，用十進制方式顯示，默認為3389，改為同上的端口 （6）在控制面板-Windows 防火墻-高級設(shè)置-入站規(guī)則-新建規(guī)則 （7）選擇端口-協(xié)議和端口-TCP/特定本地端口：同上的端口 （8）下一步，選擇允許連接 （9）下一步，選擇公用 （10）下一步，名稱：遠程桌面-新(TCP-In)，描述：用于遠程桌面服務(wù)的入站規(guī)則，以允許RDP通信。TCP 同上的端口 （11）刪除遠程桌面(TCP-In)規(guī)則 （12）重新啟動計算機4、配置本地連接網(wǎng)絡(luò)-屬性-管理網(wǎng)絡(luò)連接

6、-本地連接，打開“本地連接”界面，選擇“屬性”，左鍵點擊“Microsoft網(wǎng)絡(luò)客戶端”，再點擊“卸載”，在彈出的對話框中“是”確認卸載。點擊“Microsoft網(wǎng)絡(luò)的文件和打印機共享”，再點擊“卸載”，在彈出的對話框中選擇“是”確認卸載。解除Netbios和TCP/IP協(xié)議的綁定139端口：打開“本地連接”界面，選擇“屬性”，在彈出的“屬性”框中雙擊“Internet協(xié)議版本（TCP/IPV4）”，點擊“屬性”，再點擊“高級”“WINS”，選擇“禁用TCP/IP上的NETBIOS”，點擊“確認”并關(guān)閉本地連接屬性。禁止默認共享：點擊“開始”“運行”，輸入“Regedit”，打開注冊表編輯器，

7、打開注冊表項“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer，值設(shè)為“0”。關(guān)閉 445端口：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，新建 Dword（32位）名稱設(shè)為SMBDeviceEnabled 值設(shè)為“0”5、共享和發(fā)現(xiàn)右鍵“網(wǎng)絡(luò)” 屬性 網(wǎng)絡(luò)和共享中心  共享和發(fā)現(xiàn)-關(guān)閉，網(wǎng)絡(luò)共享，文件共享，公用文件共享，打印機共享，

8、顯示我正在共享的所有文件和文件夾，顯示這臺計算機上所有共享的網(wǎng)絡(luò)文件夾6、用防火墻限制Ping打開該系統(tǒng)的“開始”菜單，從中依次選擇“程序”/“管理工具”/“服務(wù)器管理器”選項，在彈出的服務(wù)器管理器窗口中，依次展開左側(cè)顯示區(qū)域中的“配置”/“高級安全Windows防火墻”分支選項，進入Windows Server 2008服務(wù)器系統(tǒng)的防火墻高級安全設(shè)置窗口；用防火墻限制Ping其次從該設(shè)置窗口中找到“查看和創(chuàng)建防火墻規(guī)則”設(shè)置項，單擊該設(shè)置項下面的“入站規(guī)則”選項，右側(cè)操作列表中，單擊其中的“新規(guī)則”選項，進入防火墻高級安全規(guī)則創(chuàng)建向?qū)Т翱?，?dāng)向?qū)Т翱谔崾疚覀冞x擇創(chuàng)建類型時，我們可以先選中“自

9、定義”選項，并單擊“下一步”按鈕；之后向?qū)Т翱跁崾疚覀冊撘?guī)則應(yīng)用于所有程序還是特定程序，此時我們可以選中“所有程序”選項，繼續(xù)單擊“下一步”按鈕，打開如圖3所示的向?qū)гO(shè)置界面，選中其中的“ICMPv4”選項，再單擊“下一步”按鈕，緊接著將此規(guī)則設(shè)置為匹配本地的“任何IP地址”以及遠程的“任何IP地址”，再將連接條件參數(shù)設(shè)置為“阻止連接”，最后依照向?qū)崾驹O(shè)置好適用該規(guī)則的具體網(wǎng)絡(luò)環(huán)境，為安全規(guī)則取個名稱，完畢后重新啟動。7、防火墻的設(shè)置控制面板Windows防火墻設(shè)置更改設(shè)置例外，勾選FTP、HTTP、遠程桌面服務(wù) 核心網(wǎng)絡(luò)HTTPS用不到可以不勾3306：Mysql 1433：Mssql8

10、、禁用不需要的和危險的服務(wù)，以下列出服務(wù)都需要禁用?？刂泼姘?管理工具 服務(wù)Distributed linktracking client   用于局域網(wǎng)更新連接信息 PrintSpooler  打印服務(wù) Remote Registry  遠程修改注冊表 Server 計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享 TCP/IP NetBIOS Helper  提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持 Workstation   泄漏系統(tǒng)用戶名列表 與Term

11、inal Services Configuration 關(guān)聯(lián) Computer Browser 維護網(wǎng)絡(luò)計算機更新 默認已經(jīng)禁用 Net Logon   域控制器通道管理 默認已經(jīng)手動 Remote Procedure Call (RPC) Locator   RpcNs*遠程過程調(diào)用 (RPC) 默認已經(jīng)手動 刪除服務(wù)sc delete MySql9、安全設(shè)置->本地策略->安全選項在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置->Windows設(shè)置->安全設(shè)置->本地策略->安全選項交互式登

12、陸：不顯示最后的用戶名啟用 網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉   啟用 已經(jīng)啟用 網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉 啟用 網(wǎng)絡(luò)訪問：不允許儲存網(wǎng)絡(luò)身份驗證的憑據(jù)啟用 網(wǎng)絡(luò)訪問：可匿名訪問的共享內(nèi)容全部刪除 網(wǎng)絡(luò)訪問：可匿名訪問的命名管道內(nèi)容全部刪除 網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑內(nèi)容全部刪除 網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑內(nèi)容全部刪除 帳戶：重命名來賓帳戶這里可以更改guest帳號 帳戶：重命名系統(tǒng)管理員帳戶這里可以更改Administrator帳號10、安全設(shè)置->賬戶策略->賬戶鎖定策略在運行中輸入gpedit.msc回車，打開組策略編輯器，

13、選擇計算機配置->Windows設(shè)置->安全設(shè)置->賬戶策略->賬戶鎖定策略，將賬戶鎖定閾值設(shè)為“三次登陸無效”，“鎖定時間為30分鐘”，“復(fù)位鎖定計數(shù)設(shè)為30分鐘”。11、本地安全設(shè)置選擇計算機配置->Windows設(shè)置->安全設(shè)置->本地策略->用戶權(quán)限分配 關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。 通過終端服務(wù)拒絕登陸：加入Guests組、IUSR_*、IWAM_*、NETWORK SERVICE、SQLDebugger   通過終端服務(wù)允許登陸：加入Administrators、Remote Des

14、ktop Users組，其他全部刪除12、更改Administrator，guest賬戶，新建一無任何權(quán)限的假Administrator賬戶管理工具計算機管理系統(tǒng)工具本地用戶和組用戶 新建一個Administrator帳戶作為陷阱帳戶，設(shè)置超長密碼，并去掉所有用戶組 更改描述：管理計算機(域)的內(nèi)置帳戶13、密碼策略選擇計算機配置->Windows設(shè)置->安全設(shè)置->密碼策略 啟動 密碼必須符合復(fù)雜性要求 最短密碼長度14、禁用DCOM （"沖擊波"病毒 RPC/DCOM 漏洞）運行Dcomcnfg.exe?？刂婆_根節(jié)點組件服務(wù)計算機右鍵單擊“我的電腦”屬

15、性”默認屬性”選項卡清除“在這臺計算機上啟用分布式 COM”復(fù)選框。15、ASP漏洞主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。regsvr32/u C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll刪除可能權(quán)限不夠del C:WINDOWSSystem32wshom.ocx del C:WINDOWSsystem32shell32.dll如果確實要使用，或者也可以給它們改個名字。WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令可以通過修改注

16、冊表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了也要將clsid值也改一下HKEY_CLASSES_ROOTWScript.ShellCLSID項目的值HKEY_CLASSES_ROOTWScript.Shell.1CLSID項目的值也可以將其刪除，來防止此類木馬的危害。Shell.Applicat

17、ion可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了也要將clsid值也改一下HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值 HKEY_CLASSES_ROOTShell.App

18、licationCLSID項目的值也可以將其刪除，來防止此類木馬的危害。禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。2000使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests 2003使用命令：cacls C:WINDOWSsystem32shell32.dll /e /d guests禁止使用FileSystemObject組件，F(xiàn)SO是使用率非常高的組件，要小心確定是否卸載。改名后調(diào)用就要改程序了，Set FSO = Server.CreateObject("Scripting.FileSystemObject&

19、quot;)。FileSystemObject可以對文件進行常規(guī)操作,可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。 HKEY_CLASSES_ROOTScripting.FileSystemObject 改名為其它的名字，如：改為 FileSystemObject_ChangeName 自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了 也要將clsid值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID項目的值 也可以將其刪除，來防止此類木馬的危害。 2000注銷此組件命令：RegSrv32 /u C:WINNTSYSTEMsc

20、rrun.dll 2003注銷此組件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll 如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件？ 使用這個命令：cacls C:WINNTsystem32scrrun.dll /e /d guests15、打開UAC控制面板 用戶賬戶 打開或關(guān)閉用戶賬戶控制16、程序權(quán)限"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.e

21、xe","at.exe","attrib.exe","cacls.exe","","c.exe" 或完全禁止上述命令的執(zhí)行 gpedit.msc-用戶配置-管理模板-系統(tǒng) 啟用 阻止訪問命令提示符 同時 也停用命令提示符腳本處理 啟用 阻止訪問注冊表編輯工具 啟用 不要運行指定的windows應(yīng)用程序，添加下面的 at.exe attrib.exe c.exe cacls.exe cmd.exe net.exe net1.exe netstat.exe regedit.exe tftp

22、.exe17、Serv-u安全問題（個人建議不是特別高的要求沒必要用serv_U可以使用FTP服務(wù)器 FileZilla Server ）安裝程序盡量采用最新版本，避免采用默認安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動模式端口范圍（40014003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM命令更改文件的日期。更改serv-u的啟

23、動用戶：在系統(tǒng)中新建一個用戶，設(shè)置一個復(fù)雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權(quán)限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限，否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認的system啟動就沒有這些問題，因為system一

24、般都擁有這些權(quán)限的。如果FTP不是必須每天都用，不如就關(guān)了吧，要用再打開。其它補充： 1、新做系統(tǒng)一定要先打上已知補丁，以后也要及時關(guān)注微軟的漏洞報告。略。 2、所有盤符根目錄只給system和Administrator的權(quán)限，其他的刪除。3、將所有磁盤格式轉(zhuǎn)換為NTFS格式。命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統(tǒng) 4、開啟Windows Web Server 2008 R2自帶的高級防火墻。默認已經(jīng)開啟。5、安裝必要的殺毒軟件如mcafee，安裝一款A(yù)RP防火墻。6、設(shè)置屏幕屏保護。7、關(guān)閉光盤和磁盤

25、的自動播放功能。8、刪除系統(tǒng)默認共享。命令：net share c$ /del 這種方式下次啟動后還是會出現(xiàn)，不徹底。也可以做成一個批處理文件，然后設(shè)置開機自動執(zhí)動這個批處理。但是還是推薦下面的方法，直修改注冊表的方法。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下面新建AutoShareServer ,值為0 。重啟一下，測試。已經(jīng)永久生效了。9、重命Administrator和Guest帳戶,密碼必須復(fù)雜。GUEST用戶我們可以復(fù)制一段文本作為密碼，你說這個密碼誰能破。也只有自己了。.重命名管

26、理員用戶組Administrators。10、創(chuàng)建一個陷阱用戶Administrator，權(quán)限最低。上面二步重命名最好放在安裝IIS和SQL之前做好，那我這里就不演示了。11、本地策略>審核策略審核策略更改 成功 失敗審核登錄事件 成功 失敗審核對象訪問 失敗審核過程跟蹤 無審核審核目錄服務(wù)訪問 失敗審核特權(quán)使用 失敗審核系統(tǒng)事件 成功 失敗審核賬戶登錄事件 成功 失敗審核賬戶管理 成功 失敗12、本地策略>用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators 組、其它的全部刪除。管理模板 > 系統(tǒng) 顯示“關(guān)閉事件跟蹤程序”更改為已禁用。這個看大家喜歡。13、本地策略>

27、;安全選項交互式登陸：不顯示最后的用戶名 啟用網(wǎng)絡(luò)訪問：不允許SAM 帳戶和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或 .NET Passports 啟用網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑 全部刪除網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑 全部刪除14、禁止dump file 的產(chǎn)生。系統(tǒng)屬性>高級>啟動和故障恢復(fù)把 寫入調(diào)試信息 改成“無”15、禁用不必要的服務(wù)。TCP/IP NetBIOS HelperServer Distributed Link Tracking ClientPrint SpoolerRemote RegistryWorkstation16

28、、站點方件夾安全屬性設(shè)置刪除C: inetpub 目錄。刪不了，不研究了。把權(quán)限最低。禁用或刪除默認站點。我這里不刪除了。停止即可。一般給站點目錄權(quán)限為：System 完全控制Administrator 完全控制Users 讀IIS_Iusrs 讀、寫在IIS7 中刪除不常用的映射 建立站點試一下。一定要選到程序所在的目錄，這里是目錄，如果只選擇到wwwroot目錄的話，站點就變成子目錄或虛擬目錄安裝了，比較麻煩。所以一定要選擇站點文件所在的目錄，填上主機頭。因為我們是在虛擬機上測試，所以對hosts文件修改一下，模擬用域名訪問。真實環(huán)境中，不需要修改hosts文件，直接解釋域名到主機就行。目

29、錄權(quán)限不夠，這個下個教程繼續(xù)說明。至少，我們的頁面已經(jīng)正常了。17、禁用IPV6?？床僮?。 在windows server 2008 R2操作系統(tǒng)下部署weblogic web application，部署完成后進行測試，發(fā)現(xiàn)測試頁的地址使用的是隧道適配器的地址，而不是靜態(tài)的ip地址，而且所在的網(wǎng)絡(luò)并沒有ipv6接入，因此決定將ipv6和隧道適配器禁用，操作如下：禁用ipv6很簡單，進入 控制面板網(wǎng)絡(luò)和 Internet網(wǎng)絡(luò)和共享中心 單擊面板右側(cè)“更改適配器設(shè)置”進入網(wǎng)絡(luò)連接界面，選擇要設(shè)置的連接，右鍵選擇屬性，取消Internet 協(xié)議版本 6 (TCP/IPv6) 前面的選擇框確定即可。

30、要禁用隧道適配器需要更改注冊表信息，操作如下：開始 -> 運行 - > 輸入 Regedit 進入注冊表編輯器 定位到： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters 右鍵點擊 Parameters，選擇新建 -> DWORD (32-位)值 命名值為 DisabledComponents，然后修改值為 ffffffff (16進制) 重啟后生效 DisableComponents 值定義：0， 啟用所有 IPv 6 組件，默認設(shè)置 0xffffffff，禁用所有 IPv 6 組件, 除 I

31、Pv 6 環(huán)回接口 0x20， 以前綴策略中使用 IPv 4 而不是 IPv 6 0x10， 禁用本機 IPv 6 接口 0x01， 禁用所有隧道 IPv 6 接口 0x11， 禁用除用于 IPv 6 環(huán)回接口所有 IPv 6 接口iis7的WEB服務(wù)器的安全配置本文基于Windows 2008下使用IIS7部署的web服務(wù)器，對IIS7的各項配置進行實戰(zhàn)分析，以提高基于此環(huán)境下的WEB服務(wù)器的安全性，以下是本人對IIS服務(wù)的配置經(jīng)驗總結(jié)，供大家探討?！娟P(guān)鍵詞】IIS安全；WEB服務(wù)器安全1、磁盤及文件夾設(shè)置為提高系統(tǒng)下數(shù)據(jù)的安全性，服務(wù)器文件格式一律劃分為NTFS格式，這樣可以更好

32、的配置磁盤的各種訪問權(quán)限。一般情況下，各個分區(qū)都只賦予administrators和system權(quán)限，刪除其他用戶的訪問權(quán)限，以保證拒絕任何未授權(quán)用戶的訪問。2、為站點建立相應(yīng)的用戶。每個站點都使用專門建立的用戶來進行權(quán)限分配，可以保證各個站點間是獨立的，被隔離開的，不會互相影響的。此類用戶包含為站點建立用于匿名訪問的用戶和為用于應(yīng)用程序池運行的用戶。匿名訪問用戶屬于GUEST組，應(yīng)用程序池運行用戶屬于IIS_IUSRS組。操作方法：右鍵點擊“我的電腦”中，選擇“管理”。選擇“本地用戶和組”窗格中，右鍵單擊“用戶”，選擇“新用戶”。在“新用戶”對話框中，設(shè)置“用戶名”、“密碼”并勾選“用戶不能

33、更改密碼”、“密碼永不過期”，然后單擊“確定”。選擇創(chuàng)建好的用戶，右鍵單擊用戶名，選擇屬性，設(shè)置用戶到相應(yīng)的組即可。3、站點使用獨立的應(yīng)用程序池每個站點使用的應(yīng)用程序池應(yīng)該是獨立的，以便資源的合理分配，并且都以獨立的標識賬戶運行，在出現(xiàn)異常情況時也不會互相影響。操作方法：（1）打開“IIS信息服務(wù)管理器”，右鍵單擊“應(yīng)用程序池”，選擇“新建應(yīng)用程序池”，填上名稱，確定。（2）單擊此應(yīng)用程序池，在操作欄中選擇“高級設(shè)置”，將“進程模型標識”選擇為之前創(chuàng)建的應(yīng)用程序池運行用戶。（3）單擊需要配置的網(wǎng)站，在操作欄中選擇高級設(shè)置，應(yīng)用程序池選擇為上一步創(chuàng)建的應(yīng)用程序池。4、啟用匿名身份驗證網(wǎng)站目錄下所

34、有文件啟用匿名身份驗證，便于用戶可以匿名訪問網(wǎng)站，并將之前建立的用戶分配到該網(wǎng)站。操作方法：（1）在功能視圖中雙擊“身份驗證”，右鍵單擊“匿名身份驗證”，選擇“啟用”。（2）單擊該網(wǎng)站，在功能視圖中雙擊“身份驗證”，右鍵單擊“匿名身份驗證”，選擇“編輯”匿名身份驗證，并選擇“匿名用戶標識”為之前建立的用于匿名訪問的用戶。注：需要賦予該匿名用戶對此網(wǎng)站目錄及文件相應(yīng)的訪問權(quán)限。5、啟用基本身份驗證為保護指定目錄不被匿名用戶訪問，需要啟用基本身份驗證，此項需要關(guān)閉指定目錄的匿名用戶訪問權(quán)限。操作方法：（1）在功能視圖中選擇“身份驗證”，右鍵單擊“匿名身份驗證”，選擇“禁用”匿名身份驗證。（2）在功能視圖中雙擊“身份驗證”，右鍵單擊“基本身份驗證”，選擇“啟用”并編輯基本身份驗證，為基本身份認證配置擁有訪問權(quán)限的用戶。6、取消上傳目錄的執(zhí)行權(quán)限網(wǎng)站程序正常運行所需的權(quán)限并不是完全一樣的，可以在