雖然 apache 的名聲可能比 iis 好,但我相信用 iis 來做 web 伺服器的人一定也不少。說實話,我覺得 iis 還是不錯的,尤其是 windows 2003 的 iis 6(馬上 longhorn server 的 iis 7 也就要來了,相信會更好),效能和穩定性都相當不錯。但是我發現許多用 iis 的人不太會設定 web 伺服器的許可權,因此,出現漏洞被人黑掉也就不足為奇了。但我們不應該把這歸咎於 iis 的不安全。如果對站點的每個目錄都配以正確的許可權,出現漏洞被人黑掉的機會還是很小的(web 應用程式本身有問題和通過其它方式入侵黑掉伺服器的除外)。下面是我在配置過程中總結的一些經驗,希望對大家有所幫助。
iis web 伺服器的許可權設定有兩個地方,乙個是 ntfs 檔案系統本身的許可權設定,另乙個是 iis 下**->站點->屬性->主目錄(或站點下目錄->屬性->目錄)面板上。這兩個地方是密切相關的。下面我會以例項的方式來講解如何設定許可權。
iis 下**->站點->屬性->主目錄(或站點下目錄->屬性->目錄)面板上有:
指令碼資源訪問
讀取 寫入
瀏覽 記錄訪問
索引資源
6 個選項。這 6 個選項中,「記錄訪問」和「索引資源」跟安全性關係不大,一般都設定。但是如果前面四個許可權都沒有設定的話,這兩個許可權也沒有必要設定。在設定許可權時,記住這個規則即可,後面的例子中不再特別說明這兩個許可權的設定。
另外在這 6 個選項下面的執行許可權下拉列表中還有:
無 純指令碼
純指令碼和可執行程式
3 個選項。
而**目錄如果在 ntfs 分割槽(推薦用這種)的話,還需要對 ntfs 分割槽上的這個目錄設定相應許可權,許多地方都介紹設定 everyone 的許可權,實際上這是不好的,其實只要設定好 internet 來賓帳號(iusr_******x)或 iis_wpg 組的帳號許可權就可以了。如果是設定 asp、php 程式的目錄許可權,那麼設定 internet 來賓帳號的許可權,而對於 asp.net 程式,則需要設定 iis_wpg 組的帳號許可權。在後面提到 ntfs 許可權設定時會明確指出,沒有明確指出的都是指設定 iis 屬性面板上的許可權。
例1 —— asp、php、asp.net 程式所在目錄的許可權設定:
如果這些程式是要執行的,那麼需要設定「讀取」許可權,並且設定執行許可權為「純指令碼」。不要設定「寫入」和「指令碼資源訪問」,更不要設定執行許可權為「純指令碼和可執行程式」。ntfs 許可權中不要給 iis_wpg 使用者組和 internet 來賓帳號設定寫和修改許可權。如果有一些特殊的配置檔案(而且配置檔案本身也是 asp、php 程式),則需要給這些特定的檔案配置 ntfs 許可權中的 internet 來賓帳號(asp.net 程式是 iis_wpg 組)的寫許可權,而不要配置 iis 屬性面板中的「寫入」許可權。
iis 面板中的「寫入」許可權實際上是對 http put 指令的處理,對於普通**,一般情況下這個許可權是不開啟的。
劍心總結:也就是說一般不要開啟-主目錄-(寫入),(指令碼資源訪問) 這兩項以及不要選上(純指令碼和可執行程式),選(純指令碼)就可以了.需要asp.net的應用程式的如果應用程式目錄不止應用程式乙個程式的可以在應用程式資料夾上(屬性)-目錄-點建立就可以了.不要在資料夾上選web共享.
例2 —— 上傳目錄的許可權設定:
使用者的**上可能會設定乙個或幾個目錄允許上傳檔案,上傳的方式一般是通過 asp、php、asp.net 等程式來完成。這時需要注意,一定要將上傳目錄的執行許可權設為「無」,這樣即使上傳了 asp、php 等指令碼程式或者 exe 程式,也不會在使用者瀏覽器裡就觸發執行。
例4 —— 其它目錄的許可權設定:
你的**下可能還有純目錄、純 html 模版目錄、純客戶端 js 檔案目錄或者樣式表目錄等,這些目錄只需要設定「讀取」許可權即可,執行許可權設成「無」即可。其它許可權一概不需要設定。
好了,我想上面的幾個例子已經包含了大部分情況下的許可權設定,其它情況根據這些例子,我想你一定可以想到該如何設定了吧。
說明:
本文摘自《iis許可權設定》
參考:
《iis許可權設定》
《對iis寫許可權的簡單分析》
IIS許可權設定
經常一設定許可權就迷茫 iis web 伺服器的許可權設定有兩個地方,乙個是 ntfs 檔案系統本身的許可權設定,另乙個是 iis 下 預設 右擊屬性 虛擬目錄 面板上。這兩個地方是密切相關的。下面我會以例項的方式來講解如何設定許可權。指令碼資源訪問 使用者可以對 目錄的指令碼檔案有操作的許可權,前...
IIS許可權設定
指令碼資源訪問 使用者可以對 目錄的指令碼檔案有操作的許可權,前提是開啟讀取或者寫入許可權,開啟讀取許可權就有讀取指令碼檔案 源 的許可權,開啟寫入許可權就有寫入指令碼檔案的許可權。如果開啟寫入許可權不開啟指令碼資源訪問許可權,則只有上傳普通檔案的許可權,沒有修改為指令碼檔案字尾的許可權。6 個選項...
IIS許可權設定
iis許可權設定 雖然 apache 的名聲可能比 iis 好,但用 iis 來做 web 伺服器的人一定也不少。說實話,iis 還是不錯的,尤其是 windows 2003 的 iis 6 馬上 longhorn server 的 iis 7 也就要來了,相信會更好 效能和穩定性都相當不錯。但是許...