Eu tenho um servidor web win2012 / IIS 8 que estou tentando proteger. Eu quero isolar cada site / usuário para sua própria pasta da melhor forma possível.
Mudei os sites para "c: \ sites \ mysiteA \", "c: \ sites \ mysiteB \" e assim por diante.
Configurei contas de usuários separadas para cada site e defini permissões mínimas para a pasta (incluindo a remoção do grupo "Usuários").
removeu usuários não essenciais de outras pastas de dados, como as pastas do banco de dados MSSQL.
No entanto, "c: \" e todas as pastas do sistema têm, por padrão, acesso de leitura / execução para o grupo "Usuários".
Eu li que edições recentes do IIS são seguras, mas permitir que usuários do IIS leiam e executem arquivos do sistema não parece seguro para mim.
É normal deixar o servidor assim?
Alguém pode sugerir qual é a melhor prática a partir deste ponto. O grupo "Usuários" deve ser removido de "c: \" ou talvez uma regra DENY adicionada para usuários do IIS.
Estas parecem ser mudanças drásticas e não tenho certeza se elas afetariam a execução do IIS ou do SQL Server 2012. Apenas o administrador faz login na área de trabalho para que não haja outros usuários físicos.