与其他IIS网站一起，安全地托管密码保护的静态网站，而不会创建安全漏洞

我想在服务器上托管受密码保护的静态网站，并满足以下2个要求：

1. 静态网站凭据不得提供任何其他访问权限到托管服务器。
2. 托管必须与other IIS托管的网站完美配合

托管服务器正在运行Windows 10 Pro。

我确定了4个选项：

1. 在启用了基本身份验证的IIS中托管它
2. 将其托管在Apache中，单独的端口，并使用.htpasswd文件保护
3. 将其托管在VM中的Apache中，使用桥接网络，并使用.htpasswd文件进行保护
4. 开发中间件/路由请求认证应用程序

选项1：

Evidently, this option requires a whole new User on the computer.

我不了解新用户访问的限制。

当我按下WindowsKey + R并运行netplwiz时，我可以将用户配置为属于以下组之一：

• Users（默认）：防止用户进行系统范围的意外或有意更改，并且可以运行大多数应用程序。
• Guest：默认情况下，Guest帐户具有与Users组成员相同的访问权限，但Guest帐户除外，Guest帐户如前所述受到进一步限制。
• IIS_IUSR：Internet信息服务使用的内置组。

我在任何Microsoft文档中都找不到以下信息：

• IIS如何“使用[[IIS_IUSR]
如果这些组中的任何一个
• 限制所有访问权限>>，则除了查看基本身份验证网站以外
[用户登录凭据授予的权限，以及每个组
• 这种方法充其量似乎令人困惑和烦恼，而最糟糕的是完全安全失败。

对我来说，这似乎更安全，因为我可以更好地理解用户访问的限制。

这似乎更加安全，因为未直接访问托管服务器。我不知道这是否还会创建其他安全漏洞。

这似乎是最安全的，因为我对网站的访问有充分的了解和控制。不过，这可能需要很多工作。