資源描述:
《Windows2003中的IIS權(quán)限設(shè)置》由會員上傳分享��,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1��、Windows2003中的IIS權(quán)限設(shè)置雖然Apache的名聲可能比IIS好��,但我相信用IIS來做Web服務(wù)器的人一定也不少��。說實(shí)話��,我覺得IIS還是不錯的����,尤其是Windows2003的IIS6(馬上LonghornServer的IIS7也就要來了����,相信會更好)�����,性能和穩(wěn)定性都相當(dāng)不錯。但是我發(fā)現(xiàn)許多用IIS的人不太會設(shè)置Web服務(wù)器的權(quán)限�,因此,出現(xiàn)漏洞被人黑掉也就不足為奇了。但我們不應(yīng)該把這歸咎于IIS的不安全����。如果對站點(diǎn)的每個目錄都配以正確的權(quán)限�����,出現(xiàn)漏洞被人黑掉的機(jī)會還是很小的(Web應(yīng)用程序本身有問題和通過其它方式入侵黑掉服務(wù)器的除外)。下面是我在配置過程中總結(jié)的一些
2�、經(jīng)驗(yàn)�,希望對大家有所幫助��。IISWeb服務(wù)器的權(quán)限設(shè)置有兩個地方�,一個是NTFS文件系統(tǒng)本身的權(quán)限設(shè)置�����,另一個是IIS下網(wǎng)站->站點(diǎn)->屬性->主目錄(或站點(diǎn)下目錄->屬性->目錄)面板上��。這兩個地方是密切相關(guān)的�����。下面我會以實(shí)例的方式來講解如何設(shè)置權(quán)限���。IIS下網(wǎng)站->站點(diǎn)->屬性->主目錄(或站點(diǎn)下目錄->屬性->目錄)面板上有:腳本資源訪問讀取寫入瀏覽記錄訪問索引資源6個選項(xiàng)���。這6個選項(xiàng)中�,“記錄訪問”和“索引資源”跟安全性關(guān)系不大���,一般都設(shè)置���。但是如果前面四個權(quán)限都沒有設(shè)置的話,這兩個權(quán)限也沒有必要設(shè)置�。在設(shè)置權(quán)限時,記住這個規(guī)則即可,后面的例子中不再特別說明這兩個權(quán)限的設(shè)
3���、置。另外在這6個選項(xiàng)下面的執(zhí)行權(quán)限下拉列表中還有:無純腳本純腳本和可執(zhí)行程序3個選項(xiàng)���。而網(wǎng)站目錄如果在NTFS分區(qū)(推薦用這種)的話�����,還需要對NTFS分區(qū)上的這個目錄設(shè)置相應(yīng)權(quán)限�,許多地方都介紹設(shè)置everyone的權(quán)限���,實(shí)際上這是不好的,其實(shí)只要設(shè)置好Internet來賓帳號(IUSR_xxxxxxx)或IIS_WPG組的帳號權(quán)限就可以了�。如果是設(shè)置ASP����、PHP程序的目錄權(quán)限�����,那么設(shè)置Internet來賓帳號的權(quán)限���,而對于ASP.NET程序����,則需要設(shè)置IIS_WPG組的帳號權(quán)限���。在后面提到NTFS權(quán)限設(shè)置時會明確指出�,沒有明確指出的都是指設(shè)置IIS屬性面板上的權(quán)限��。例1——A
4����、SP����、PHP��、ASP.NET程序所在目錄的權(quán)限設(shè)置:如果這些程序是要執(zhí)行的,那么需要設(shè)置“讀取”權(quán)限���,并且設(shè)置執(zhí)行權(quán)限為“純腳本”���。不要設(shè)置“寫入”和“腳本資源訪問”���,更不要設(shè)置執(zhí)行權(quán)限為“純腳本和可執(zhí)行程序”����。NTFS權(quán)限中不要給IIS_WPG用戶組和Internet來賓帳號設(shè)置寫和修改權(quán)限��。如果有一些特殊的配置文件(而且配置文件本身也是ASP��、PHP程序)�����,則需要給這些特定的文件配置NTFS權(quán)限中的Internet來賓帳號(ASP.NET程序是IIS_WPG組)的寫權(quán)限����,而不要配置IIS屬性面板中的“寫入”權(quán)限��。IIS面板中的“寫入”權(quán)限實(shí)際上是對HTTPPUT指令的處理����,對
5����、于普通網(wǎng)站,一般情況下這個權(quán)限是不打開的����。IIS面板中的“腳本資源訪問”不是指可以執(zhí)行腳本的權(quán)限,而是指可以訪問源代碼的權(quán)限��,如果同時又打開“寫入”權(quán)限的話�,那么就非常危險了。執(zhí)行權(quán)限中“純腳本和可執(zhí)行程序”權(quán)限可以執(zhí)行任意程序�����,包括exe可執(zhí)行程序�,如果目錄同時有“寫入”權(quán)限的話,那么就很容易被人上傳并執(zhí)行木馬程序了���。對于ASP.NET程序的目錄�����,許多人喜歡在文件系統(tǒng)中設(shè)置成Web共享����,實(shí)際上這是沒有必要的�。只需要在IIS中保證該目錄為一個應(yīng)用程序即可�。如果所在目錄在IIS中不是一個應(yīng)用程序目錄,只需要在其屬性->目錄面板中應(yīng)用程序設(shè)置部分點(diǎn)創(chuàng)建就可以了�����。Web共享會給其更多權(quán)
6����、限�����,可能會造成不安全因素?����?偨Y(jié):也就是說一般不要打開-主目錄-(寫入),(腳本資源訪問)這兩項(xiàng)以及不要選上(純腳本和可執(zhí)行程序),選(純腳本)就可以了.需要asp.net的應(yīng)用程序的如果應(yīng)用程序目錄不止應(yīng)用程序一個程序的可以在應(yīng)用程序文件夾上(屬性)-目錄-點(diǎn)創(chuàng)建就可以了.不要在文件夾上選web共享.例2——上傳目錄的權(quán)限設(shè)置:用戶的網(wǎng)站上可能會設(shè)置一個或幾個目錄允許上傳文件�,上傳的方式一般是通過ASP���、PHP�、ASP.NET等程序來完成�。這時需要注意,一定要將上傳目錄的執(zhí)行權(quán)限設(shè)為“無”����,這樣即使上傳了ASP、PHP等腳本程序或者exe程序����,也不會在用戶瀏覽器里就觸發(fā)執(zhí)行�����。同樣
7�����、�����,如果不需要用戶用PUT指令上傳�,那么不要打開該上傳目錄的“寫入”權(quán)限��。而應(yīng)該設(shè)置NTFS權(quán)限中的Internet來賓帳號(ASP.NET程序的上傳目錄是IIS_WPG組)的寫權(quán)限��。如果下載時�����,是通過程序讀取文件內(nèi)容然后再轉(zhuǎn)發(fā)給用戶的話���,那么連“讀取”權(quán)限也不要設(shè)置�。這樣可以保證用戶上傳的文件只能被程序中已授權(quán)的用戶所下載。而不是知道文件存放目錄的用戶所下載�。“瀏覽”權(quán)限也不要打開�,除非你就是希望用戶可以瀏覽你的上傳目錄,并可以選擇自己想要下載的東西���?����?偨Y(jié):一般的一些asp.ph
