У меня есть веб-сервер win2012 / IIS 8, который я пытаюсь защитить. Я хочу как можно лучше изолировать каждый сайт / пользователя в их собственной папке.
Я переместил веб-сайты в "c: \ sites \ mysiteA \", "c: \ sites \ mysiteB \" и так далее.
Я установил отдельные учетные записи пользователей для каждого веб-сайта и установил минимальные разрешения для папки (включая удаление группы «Пользователи»).
удалил несущественных пользователей из других папок с данными, таких как папки базы данных MSSQL.
Однако «c: \» и все системные папки по умолчанию имеют доступ на чтение / выполнение для группы «Пользователи».
Я читал, что последние выпуски IIS изначально безопасны, но разрешение пользователям IIS читать и выполнять системные файлы мне не кажется безопасным.
Нормально ли так уходить с сервера?
Может ли кто-нибудь предложить лучшую практику с этого момента. Следует ли удалить группу «Пользователи» из «c: \» или, возможно, добавить правило DENY для пользователей IIS.
Это похоже на радикальные изменения, и я не уверен, повлияют ли они на работу IIS или SQL Server 2012. На рабочий стол входит только администратор, поэтому других физических пользователей нет.