一：安装主机大师后
a、 主机大师主控网站安全加强
主机大师主控网站目录一般在HwsHostMaster\host\web
1、防火墙入站规则中删除6588端口的开放规则
2、IIS网站管理中--IP地址和域限制--右边"编辑功能设置"--将"未指定的客户端的访问权限"设置为"拒绝"
     IIS网站管理中--IP地址和域限制--右边"添加允许条目"--将"127.0.0.1"添加进去让本地能访问
3、取消网站运行用户对网站目录的写入权限
4、删除IIS_IUSRS在网站目录的权限
b、 phpMyAdmin网站权限加强
phpMyAdmin网站目录一般在HwsHostMaster\phpweb\phpmyadmin
1、取消网站运行用户PhpMyAdmin_HWS对网站目录的写入权限
2、删除IIS_IUSRS在网站目录的权限
c、 PHP安全加强
1、所有的PHP安装目录只保留一个php-cgi.exe的exe文件
也就是删除php.exe、 phpdbg.exe、 php-win.exe、 deplister.exe、 phar.phar.bat等文件
PHP5.2没有php-cgi.exe所以目录不要有任何exe文件
将PHP运行在FastCGI模式下
2、PHP安装文件夹权限结构：
administrator 完全控制
system 完全控制
users  读取和执行
iis_iusrs  读取  --这个不需要
其他用户的权限一律删除
注意PHP缓存目录的权限php\*\tmp要单独看一下
看一下php.ini配置文件中session.save_path的值
是否配置了session公用缓存目录
如果配置了 要注意看权限
session缓存目录temp的权限一般：
administrator 完全控制
system 完全控制
users  读取和写入  另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限
iis_iusrs  读取和写入 另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限--这不需要
还要给users和iis_iusrs用户 拒绝类型 删除 只有该文件夹 是防止session缓存文件夹自身被删除
说明：正常情况下上面的users或iis_iusrs的权限只用其一即可
为了进一步安全 可以在详细高级权限中删除写入属性、写入扩展属性 这2个子权限
是为了预防网站存在漏洞,被黑客创建隐藏文件和只读文件到PHP公用的session缓存目录
d、IIS其他组件的文件夹权限：
如aspjpeg、aspupload、jmail等
administrator 完全控制
system 完全控制
users  读取和执行
其他用户的权限一律删除
e、Mysql数据库目录mysql\data权限：
administrator 完全控制
system 完全控制
Mysql运行用户  完全控制
也可以通过修改mysql\my.ini文件中的参数将数据库放其他分区，如：
datadir="E:/MySQL5735/data/"
innodb_data_home_dir ="E:/MySQL5735/data/"
innodb_log_group_home_dir ="E:/MySQL5735/data/"
f、 MsSQL数据库安全：
请安装SQL2014或以上
参考教程www.piis.cn/jiaocheng/2128.html
g、 ASP.NET的安全设置：
<trust level="Full" originUrl="" />的参数说明
有Full|High|Medium|Low|Minimal对应"完全没限制的权限|高的权限|中|低|最低权限"
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
net宽松权限：
<location allowOverride="true">改为：
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(下面只是加多一行)：
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限：
<location allowOverride="true">改为：
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(参数为High)：
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
修改文件
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
net宽松权限：
<location allowOverride="true">改为：
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(下面只是加多一行)：
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限：
<location allowOverride="true">改为：
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(参数为High)：
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错

二： 主机大师开通的网站安全加强
net代码的写入删除权限依赖IIS_IUSRS用户的权限或者是程序池用户权限
php代码的写入删除权限依赖网站身份验证匿名用户的权限
IIS_IUSRS用户只能给读取权限否则会引起.net跨站攻击

假如网站的根目录为C:\wwwroot\h2piiscn_zly1fd\web
IIS_IUSRS的权限删除 或者只保留读取权限
先删除IIS_IUSRS权限：icacls "C:\wwwroot\h2piiscn_zly1fd\web" /remove IIS_IUSRS /C
以下的IIS_IUSRS权限可以不增加
增加IIS_IUSRS权限：icacls "C:\wwwroot\h2piiscn_zly1fd\web" /grant "IIS_IUSRS:(OI)(CI)R" /C
增加程序池用户"IIS AppPool\h2piiscn"权限
icacls "C:\wwwroot\h2piiscn_zly1fd\web" /grant "IIS AppPool\h2piiscn:(OI)(CI)R" "IIS AppPool\h2piiscn:(CI)(X)" /C
icacls "C:\wwwroot\h2piiscn_zly1fd\web" /grant "IIS AppPool\h2piiscn:(OI)(CI)W" "IIS AppPool\h2piiscn:(OI)(CI)(DE,WDAC)" /C
icacls "C:\wwwroot\h2piiscn_zly1fd\web" /deny "IIS AppPool\h2piiscn:(DE)" /C

bat脚本实例：




@echo off
title 主机大师开通的网站权限加强设置
::请注意修改下面的程序池名和网站物理路径
set webuser=hpiiscn
rem 上面webuser的值是程序池名,对应网站的运行用户,也对应网站FTP用户名
set weburl=C:\wwwroot\hpiiscn_ncg0kv\web
rem 上面weburl的值是网站根目录的物理路径
icacls "%weburl%" /remove IIS_IUSRS /C
rem 上面是删除IIS_IUSRS权限
icacls "%weburl%" /grant "IIS AppPool\%webuser%:(OI)(CI)R" "IIS AppPool\%webuser%:(CI)(X)" /C
icacls "%weburl%" /grant "IIS AppPool\%webuser%:(OI)(CI)W" "IIS AppPool\%webuser%:(OI)(CI)(DE,WDAC)" /C
icacls "%weburl%" /deny "IIS AppPool\%webuser%:(DE)" /C
rem 上面是增加程序池用户在网站根目录的权限
pause




设置后检查ASP NET PHP 写入和生成权限 和FTP权限

三、长期不需要使用主控网站的情况下
可以将HwsHostEx、HwsHostSvc、HwsHostWebEx三个服务停用

四、其他目录权限设置参考
www.piis.cn/zhishi/2177.html