iis权限设置

不是游戏1

固然 Apache 的名声可能比 IIS 好，但我相信誉 IIS 来做 Web 服务器的人一定也不少。说瞎话，我感到 IIS 仍是不错的，尤其是 Windows 2003 的 IIS 6（立刻 Longhorn Server 的 IIS 7 也就要来了，信任会更好），机能和稳固性都相称不错。但是我发明很多用 IIS 的人不太会设置 Web 服务器的权限，因而，涌现破绽被人黑掉也就难能可贵了。但咱们不应该把这归罪于 IIS 的不平安。如果对站点的每个目录都配以准确的权限，呈现漏洞被人黑掉的机遇还是很小的（Web 利用程序本身有问题和通过其它方法入侵黑掉服务器的除外）。下面是我在配置过程中总结的一些教训，愿望对大家有所辅助。
IIS Web 服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上。这两个处所是亲密相干的。下面我会以实例的方式来讲授如何设置权限。
IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：
脚本资源拜访
读取
写入
浏览
记载访问
索引资源
6 个选项。这 6 个选项中，“记载访问”和“索引资源”跟保险性关联不大，普通都设置。然而如果前面四个权限都没有设置的话，这两个权限也不必要设置。在设置权限时，记住这个规矩即可，后面的例子中不再特殊阐明这两个权限的设置。
另外在这 6 个选项下面的履行权限下拉列表中还有：
无
纯脚本
纯脚本跟可执行程序
3 个选项。
而网站目录如果在 NTFS 分区（推举用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都先容设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASP.NET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明白指出，没有明确指出的都是指设置 IIS 属性面板上的权限。
例1 ―― ASP、PHP、ASP.NET 程序所在目录的权限设置：
如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修正权限。如果有一些特别的配置文件（而且配置文件自身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入”权限。
IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处置，对一般网站，个别情形下这个权限是不打开的。
IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就十分危险了。
执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包含 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很轻易被人上传并执行木马程序了。
对于 ASP.NET 程序的目录，许多人爱好在文件体系中设置成 Web 共享，实际上这是没有必要的。只需要在 IIS 中保证该目录为一个运用程序即可。如果所在目录在 IIS 中不是一个应用程序目录，只需要在其属性->目录面板中应用程序设置部门点创立就可以了。Web 共享会给其更多权限，可能会造成不安全因素。
剑心总结:也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序言件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.
例2 ―― 上传目录的权限设置：
用户的网站上可能会设置一个或几个目录容许上传文件，上传的方式正常是通过 ASP、PHP、ASP.NET 等程序来实现。这时需要留神，一定要将上传目录的执行权限设为“无”，这样即便上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里就触发执行。
同样，如果不需要用户用 PUT 指令上传，那么不要打开该上传目录的“写入”权限。而应当设置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序的上传目录是 IIS_WPG 组）的写权限。
假如下载时，是通进程序读取文件内容而后再转发给用户的话，那么连“读取”权限也不要设置。这样可以保障用户上传的文件只能被程序中已受权的用户所下载。而不是晓得文件寄存目录的用户所下载。“浏览”权限也不要翻开，除非你就是盼望用户能够阅读你的上传目录，并可以抉择本人想要下载的货色。
剑心总结:一般的一些asp.php等程序都有一个上传目录.比方论坛.他们继续了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).
例3 ―― Access 数据库所在目录的权限设置：
许多 IIS 用户经常采取将 Access 数据库改名（改为 asp 或者 aspx 后缀等）或者放在宣布目录之外的方式来防止浏览者下载它们的 Access 数据库。而实际上，这是不必要的。实在只需要将 Access 所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以预防被人下载或篡改了。你不用担忧这样你的程序会无奈读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限，你只有将这些用户的权限设置为可读可写就完整可以保证你的程序可能正确运行了。
剑心总结:Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以避免被人下载或改动了
例4 ―― 其它目录的权限设置：
你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者款式表目录等，这些目录只要要设置“读取”权限即可，执行权限设成“无”即可。其它权限一律不须要设置。
好了，我想上面的多少个例子已经包括了大局部情况下的权限设置，其它情况依据这些例子，我想你必定可以想到该如何设置了吧。