Asp classic 如何在Windows Server 2012中查询所有IUSR权限以防止黑客访问IIS 8网站

我在一个网站的.js文件中添加了一些恶意javascript，并跟踪了我日志中的黑客攻击，发现了一个旧的FCKEditor漏洞

作为一个相对的新手，我已经阅读了一些关于如何做到这一点以及如何防范它的资料，但我有一些具体的问题，如下所列

如果有帮助的话，这是WindowsServer2012、IIS8和SQLServer，我不好意思说，但这是一个仍然运行经典ASP的旧站点。以下是我的问题：

我在IIS中将IUSR作为我的匿名用户。当黑客上传.asp文件以获取shell访问权限时，我认为他们只有通过IUSR授予的权限，对吗？如果服务器经过适当的加固，他们就不能升级权限以获得比IUSR更多的访问权限，对吗

我已将匿名用户更改为应用程序池标识。由于黑客的grab shell access ASP程序现在没有IUSR的权限，只拥有应用程序池标识，因此可以安全地假设他们无法运行WHOAMI或任何其他此类命令吗？应用程序池标识（以及提供网页服务的任何.asp程序）将拥有哪些权限

最后一个问题。好的，很明显我在这个盒子上给IUSR太多的权力了，因为IIS的匿名用户可以运行.asp程序并获得shell访问权限。那么，如何查询IUSR在整个计算机上拥有哪些权限？例如，我知道我可以右键单击我的inetpub文件夹并查看安全性以了解IUSR可以做什么，但是有没有一种方法可以跨整个服务器获取报告，以了解该特定用户的全部权限和特权

---

我对这些问题的关注更多的是一般性的学习，而不是保护这个盒子。我相信有些人可能会说你的盒子可能是烤面包和后门，所以把它扔掉，从一个新的服务器开始，但我知道这一点。我也知道我应该做一些我没有做的硬化。感谢您对上述问题的回答，这将帮助我学习和提高。非常感谢。

1.IUSR将确定您用来查看网页的身份，并且应用程序池身份将决定是否可以执行应用程序或shell。因此，您需要最小化应用程序池标识和iusr的权限

2.默认情况下，应用程序池标识没有访问powershell或cmd之类内容的权限。所以你不必害怕像whoami这样的命令会被执行

---

3.恐怕没有简单的方法进行权限遍历。但您只需确保您已经缩小了应用程序池标识权限。

1.IUSR将确定您用于查看网页的标识，并且应用程序池标识将决定是否可以执行应用程序或shell。因此，您需要最小化应用程序池标识和iusr的权限

2.默认情况下，应用程序池标识没有访问powershell或cmd之类内容的权限。所以你不必害怕像whoami这样的命令会被执行

---

3.恐怕没有简单的方法进行权限遍历。但您只需确保您已经缩小了应用程序池的身份权限。

谢谢。我把这个作为答案。我意识到这些问题相当广泛，非常感谢你的回答。谢谢。我把这个作为答案。我意识到这些问题相当广泛，我很感激你的回答。