windows IIS權(quán)限經(jīng)典設(shè)置教程

2019-11-02 16:38:40

字體：大中小

供稿：網(wǎng)友

前言
　　根據(jù)最新的黑客攻擊方法顯示，如果在IIS的站點屬性打開了“寫入”權(quán)限，則被黑是輕而易舉的事。而一般在我們使用時，要求大家打開網(wǎng)站所在文件夾的“寫入”權(quán)限，很多用戶以為是在IIS中打開，這是錯誤的，這樣做的結(jié)果就是讓黑客利用寫入權(quán)限上傳任意文件。IIS中的“寫入權(quán)限”則一定要關(guān)閉！這樣的設(shè)置已經(jīng)可以確保數(shù)據(jù)庫是可以更新，可以生成HTML，可以刷新JS文件等所有正常操作。

　　下面我們進入正題
　　雖然 Apache 的名聲可能比 IIS 好，但我相信用 IIS 來做 Web 服務(wù)器的人一定也不少。說實話，我覺得 IIS 還是不錯的，尤其是 Windows 2003 的 IIS 6，性能和穩(wěn)定性都相當不錯。但是我發(fā)現(xiàn)許多用 IIS 的人不太會設(shè)置 Web 服務(wù)器的權(quán)限，因此，出現(xiàn)漏洞被人黑掉也就不足為奇了。但我們不應(yīng)該把這歸咎于 IIS 的不安全。如果對站點的每個目錄都配以正確的權(quán)限，出現(xiàn)漏洞被人黑掉的機會還是很小的（Web 應(yīng)用程序本身有問題和通過其它方式入侵黑掉服務(wù)器的除外）。
　　下面是在配置過程中總結(jié)的一些經(jīng)驗，希望對大家有所幫助。　
　　（本來想加上圖片說明的，忙了一晚上，就不加了，這個挺重要的，小心行得萬年船呀！）
　　IIS Web 服務(wù)器的權(quán)限設(shè)置有兩個地方，一個是 NTFS 文件系統(tǒng)本身的權(quán)限設(shè)置，另一個是 IIS 下網(wǎng)站->站點->屬性->主目錄（或站點下目錄->屬性->目錄）面板上。這兩個地方是密切相關(guān)的。下面我會以實例的方式來講解如何設(shè)置權(quán)限。

　　IIS 下網(wǎng)站->站點->屬性->主目錄（或站點下目錄->屬性->目錄）面板上有：
　　腳本資源訪問
　　讀取
　　寫入
　　瀏覽
　　記錄訪問
　　索引資源
　　6 個選項。這 6 個選項中，“記錄訪問”和“索引資源”跟安全性關(guān)系不大，一般都設(shè)置。但是如果前面四個權(quán)限都沒有設(shè)置的話，這兩個權(quán)限也沒有必要設(shè)置。在設(shè)置權(quán)限時，記住這個規(guī)則即可，后面的例子中不再特別說明這兩個權(quán)限的設(shè)置。
　　另外在這 6 個選項下面的執(zhí)行權(quán)限下拉列表中還有：
　　無
　　純腳本
　　純腳本和可執(zhí)行程序
　　3 個選項。
　　而網(wǎng)站目錄如果在 NTFS 分區(qū)（推薦用這種）的話，還需要對 NTFS 分區(qū)上的這個目錄設(shè)置相應(yīng)權(quán)限，許多地方都介紹設(shè)置 everyone 的權(quán)限，實際上這是不好的，其實只要設(shè)置好 Internet 來賓帳號（IUSR_xxxxxxx）或 IIS_WPG 組的帳號權(quán)限就可以了。如果是設(shè)置 ASP、PHP 程序的目錄權(quán)限，那么設(shè)置 Internet 來賓帳號的權(quán)限，而對于 ASP.NET 程序，則需要設(shè)置 IIS_WPG 組的帳號權(quán)限。在后面提到 NTFS 權(quán)限設(shè)置時會明確指出，沒有明確指出的都是指設(shè)置 IIS 屬性面板上的權(quán)限。

下面的例子很精彩啊！這么好的東西你就信手回復(fù)一下吧！

以下內(nèi)容需要回復(fù)才能看到
　　例1 ―― ASP、PHP、ASP.NET 程序所在目錄的權(quán)限設(shè)置：
　　如果這些程序是要執(zhí)行的，那么需要設(shè)置“讀取”權(quán)限，并且設(shè)置執(zhí)行權(quán)限為“純腳本”。不要設(shè)置“寫入”和“腳本資源訪問”，更不要設(shè)置執(zhí)行權(quán)限為“純腳本和可執(zhí)行程序”。NTFS 權(quán)限中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設(shè)置寫和修改權(quán)限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），則需要給這些特定的文件配置 NTFS 權(quán)限中的 Internet 來賓帳號（ASP.NET 程序是 IIS_WPG 組）的寫權(quán)限，而不要配置 IIS 屬性面板中的“寫入”權(quán)限。

上一篇：實現(xiàn)在Windows下安裝Lighttpd的方法

下一篇：cwrsync實現(xiàn)從linux到windows的數(shù)據(jù)同步備份