返回
Windows2003中的IIS权限设置

Windows2003中的IIS权限设置

ID:40570658

大小:25.50 KB

页数:3页

时间:2019-08-04

Windows2003中的IIS权限设置_第1页
Windows2003中的IIS权限设置_第2页
Windows2003中的IIS权限设置_第3页
资源描述:

《Windows2003中的IIS权限设置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Windows2003中的IIS权限设置虽然Apache的名声可能比IIS好,但我相信用IIS来做Web服务器的人一定也不少。说实话,我觉得IIS还是不错的,尤其是Windows2003的IIS6(马上LonghornServer的IIS7也就要来了,相信会更好),性能和稳定性都相当不错。但是我发现许多用IIS的人不太会设置Web服务器的权限,因此,出现漏洞被人黑掉也就不足为奇了。但我们不应该把这归咎于IIS的不安全。如果对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的(Web应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。下面是我在配置过程中总结的一些

2、经验,希望对大家有所帮助。IISWeb服务器的权限设置有两个地方,一个是NTFS文件系统本身的权限设置,另一个是IIS下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。这两个地方是密切相关的。下面我会以实例的方式来讲解如何设置权限。IIS下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:脚本资源访问读取写入浏览记录访问索引资源6个选项。这6个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设

3、置。另外在这6个选项下面的执行权限下拉列表中还有:无纯脚本纯脚本和可执行程序3个选项。而网站目录如果在NTFS分区(推荐用这种)的话,还需要对NTFS分区上的这个目录设置相应权限,许多地方都介绍设置everyone的权限,实际上这是不好的,其实只要设置好Internet来宾帐号(IUSR_xxxxxxx)或IIS_WPG组的帐号权限就可以了。如果是设置ASP、PHP程序的目录权限,那么设置Internet来宾帐号的权限,而对于ASP.NET程序,则需要设置IIS_WPG组的帐号权限。在后面提到NTFS权限设置时会明确指出,没有明确指出的都是指设置IIS属性面板上的权限。例1——A

4、SP、PHP、ASP.NET程序所在目录的权限设置:如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。NTFS权限中不要给IIS_WPG用户组和Internet来宾帐号设置写和修改权限。如果有一些特殊的配置文件(而且配置文件本身也是ASP、PHP程序),则需要给这些特定的文件配置NTFS权限中的Internet来宾帐号(ASP.NET程序是IIS_WPG组)的写权限,而不要配置IIS属性面板中的“写入”权限。IIS面板中的“写入”权限实际上是对HTTPPUT指令的处理,对

5、于普通网站,一般情况下这个权限是不打开的。IIS面板中的“脚本资源访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,如果同时又打开“写入”权限的话,那么就非常危险了。执行权限中“纯脚本和可执行程序”权限可以执行任意程序,包括exe可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行木马程序了。对于ASP.NET程序的目录,许多人喜欢在文件系统中设置成Web共享,实际上这是没有必要的。只需要在IIS中保证该目录为一个应用程序即可。如果所在目录在IIS中不是一个应用程序目录,只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web共享会给其更多权

6、限,可能会造成不安全因素。总结:也就是说一般不要打开-主目录-(写入),(脚本资源访问)这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.例2——上传目录的权限设置:用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过ASP、PHP、ASP.NET等程序来完成。这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了ASP、PHP等脚本程序或者exe程序,也不会在用户浏览器里就触发执行。同样

7、,如果不需要用户用PUT指令上传,那么不要打开该上传目录的“写入”权限。而应该设置NTFS权限中的Internet来宾帐号(ASP.NET程序的上传目录是IIS_WPG组)的写权限。如果下载时,是通过程序读取文件内容然后再转发给用户的话,那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开,除非你就是希望用户可以浏览你的上传目录,并可以选择自己想要下载的东西。总结:一般的一些asp.ph

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。