windows IIS許可權經典設定教程

2022-10-03 10:39:11 字數 3326 閱讀 7150

前 言

根據最新的黑客攻擊方法顯示,如果在iis的站點屬性開啟了「寫入」許可權,則被黑是輕而易舉的事。而一般在我們使用時,要求大家開啟**所在資料夾的「寫入」許可權,很多使用者以為是在iis中開啟,這是錯誤的,這樣做的結果就是讓黑客利用寫入許可權上傳任意檔案。iis中的「寫入許可權」則一定要關閉!這樣的設定已經可以確保資料庫是可以更新,可以生成html,可以重新整理js檔案等所有正常操作。

下面我們進入正題

雖然 apache 的名聲可能比 iis 好,但我相信用 iis 來做 web 伺服器的人一定也不少。說實話,我覺得 iis 還是不錯的,尤其是 windows 2003 的 iis 6,效能和穩定性都相當不錯。但是我發現許多用 iis 的人不太會設定 web 伺服器的許可權,因此,出現漏洞被人黑掉也就不足為奇了。但我們不應該把這歸咎於 iis 的不安全。如果對站點的每個目錄都配以正確的許可權,出現漏洞被人黑掉的機會還是很小的(web 應用程式本身有問題和通過其它方式入侵黑掉伺服器的除外)。

下面是在配置過程中總結的一些經驗,希望對大家有所幫助。 

(本來想加上說明的,忙了一晚上,就不加了,這個挺重要的,程式設計客棧小心行得萬年船呀!)

iis web 伺服器的許可權設定有兩個地方,乙個是 ntfs 檔案系統本身的許可權設定,另乙個是 iis 下**->站點->屬性->主目錄(或站點下目錄->屬性->目錄)面板上。這兩個地方是密切相關的。下面我會以例項的方式來講解如何設定許可權。

iis 下**->站點->屬性->主目錄(或站點下目錄->屬性->目錄)面板上有:

指令碼資源訪問 

讀取 

寫入 

瀏覽 

記錄訪問 

索引資源 

6 個選項。這 6 個選項中,「記錄訪問」和「索引資源」跟安全性關係不大,一般都設定。但是如果前面四個許可權都沒有設定的話,這兩個許可權也沒有必要設定。在設定許可權時,記住這個規則即可,後面的例子中不再特別說明這兩個許可權的設定。

另外在這程式設計客棧 6 個選項下面的執行許可權下拉列表中還有:

無  純指令碼 

純指令碼和可執行程式 

3 個選項。

而**目錄如果在 ntfs 分割槽(推薦用這種)的話,還需要對 ntfs 分割槽上的這個目錄設定相應許可權,許多地方都介紹設定 everyone 的許可權,實際上這是不好的,其實只要設定好 internet 來賓帳號(iusr_******x)或 iis_wpg 組的帳號許可權就可以了。如果是設定 asp、php 程式的目錄許可權,那麼設定 internet 來賓帳號的許可權,而對於 asp.net 程式,則需要設定 iis_wpg 組的帳號許可權。在後面提到 ntfs 許可權設定時會明確指出,沒有明確指出的都是指設定 iis 屬性面板上的許可權。 

下面的例子很精彩啊!這麼好的東西你就信手回覆一下吧!

以下內容需要回覆才能看到

例1 —— asp、php、asp.net 程式所在目錄的許可權設定:

如果這些程式是要執行的,那麼需要設定「讀取」許可權,xlruuzvw並且設定執行許可權為「純指令碼」。不要設定「寫入」和「指令碼資源訪問」,更不要設定執行許可權為「純指令碼和可執行程式」。ntfs 許可權中不要給 iis_wpg 使用者組和 internet 來賓帳號設定寫和修改許可權。如果有一些特殊的配置檔案(而xlruuzvw且配置檔案本身也是 asp、php 程式),則需要給這些特定的檔案配置 ntfs 許可權中的 internet 來賓帳號(asp.net 程式是 iis_wpg 組)的寫許可權,而不要配置 iis 屬性面板中的「寫入」許可權。

iis 面板中的「寫入」許可權實際上是對 http put 指令的處理,對於普通**,一般情況下這個許可權是不開啟的。

iis 面板中的「指令碼資源訪問」不是指可以執行指令碼的許可權,而是指可以訪問源**的許可權,如果同時又開啟「寫入」許可權的話,那麼就非常危險了。

執行許可權中「純指令碼和可執行程式」許可權可以執行任意程式,包括 exe 可執行程式,如果目錄同時有「寫入」許可權的話,那麼就很容易被人上傳並執行木馬程式了。

對於 asp.net 程式的目錄,許多人喜歡在檔案系統中設定成 web 共享,實際上這是沒有必要的。只需要在 iis 中保證該目錄為乙個應用程式即可。如果所在目錄在 iis 中不是乙個應用程式目錄,只需要在其屬性->目錄面板中應用程式設定部分點建立就可以了。web 共享會給其更多許可權,可能會造成不安全因素。 

溫馨提示:也就是說一般不要開啟-主目www.cppcns.com錄-(寫入),(指令碼資源訪問) 這兩項以及不要選上(純指令碼和可執行程式),選(純指令碼)就可以了。需要asp.net的應用程式的如果應用程式目錄不止應用程式乙個程式的可以在應用程式資料夾上(屬性)-目錄-點建立就可以了。不要在資料夾上選web共享。

例2 —— 上傳目錄的許可權設定:

使用者的**上可能會設定乙個或幾個目錄允許上傳檔案,上傳的方式一般是通過 asp、php、asp.net 等程式來完成。這時需要注意,一定要將上傳目錄的執行許可權設為「無」,這樣即使上傳了 asp、php 等指令碼程式或者 exe 程式,也不會在使用者瀏覽器裡就觸發執行。

同樣,如果不需要使用者用 put 指令上傳,那麼不要開啟該上傳目錄的「寫入」許可權。而應該設定 ntfs 許可權中的 internet 來賓帳號(asp.net 程式的上傳目錄是 iis_wpg 組)的寫許可權。

如果**時,是通過程式讀取檔案內容然後再**給使用者的話,那麼連「讀取」許可權也不要設定。這樣可以保證使用者上傳的檔案只能被程式中已授權的使用者所**。而不是知道檔案存放目錄的使用者所**。「瀏覽」許可權也不要開啟,除非你就是希望使用者可以瀏覽你的上傳目錄,並可以選擇自己想要**的東西。

溫馨提示:一般的一些asp.php等程式都有乙個上傳目錄。比如論壇,他們繼承了上面的屬性可以執行指令碼的,我們應該將這些目錄從新設定一下屬性,將(純指令碼)改成(無)。

例3 —— access 資料庫所在目錄的許可權設定:

許多 iis 使用者常常採用將 access 資料庫改名(改為 asp 或者 aspx 字尾等)或者放在發布目錄之外的方法來避免瀏覽者**它們的 access 資料庫。而實際上,這是不必要的。其實只需要將 access 所在目錄(或者該檔案)的「讀取」、「寫入」許可權都去掉就可以防止被人**或篡改了。你不必擔心這樣你的程式會無法讀取和寫入你的 access 資料庫。你的程式需要的是 ntfs 上 internet 來賓帳號或 iis_wpg 組帳號的許可權,你只要將這些使用者的許可權設定為可讀可寫就完全可以保證你的程式能夠正確執行了。

溫馨提示:internet 來賓帳號或 iis_wpg 組帳號的許可權可讀可寫.那麼access所在目錄(或者該檔案)的「讀取」、「寫入」許可權都去掉就可以防止被人**或篡改了。

例4 —— 其它目錄的許可權設定:

你的**下可能還有純目錄、純 html 模版目錄、純客戶端 js 檔案目錄或者樣式表目錄等,這些目錄只需要設定「讀取」許可權即可,執行許可權設成「無」即可。其它許可權一概不需要設定。

本文標題: windows iis許可權經典設定教程

本文位址:

antd許可權管理 ANTDPRO許可權如何設定?

腳手架預設有乙個使用localstorage的demo。位於src utils authority.js中有getauthority與setauthority方法。setauthority方法會在使用者進行登入時觸發。具體流程為 login頁面輸入使用者名稱密碼 dispatchuserlogin ...

CentOS下ssh sftp配置及許可權設定

運營有異地傳輸檔案的需求,但如果通過qq等即時通訊軟體,不利於檔案的集中管理,不方便。而我們辦公室的內網機器無法提供外網訪問方法,且傳輸的內容不合適放到公共的網盤或者是雲儲存上,所以只能用線上負載較低的伺服器來承擔此項任務。從技術角度來分析,幾個要求 1 ftp不安全,只能使用sftp 3 使用者只...

Ubuntu usb轉串列埠裝置的訪問許可權設定

可以用如下命令檢視串列埠資訊 ls l dev ttyusb 但是普通使用者沒有usb操作許可權,下面介紹如何設定usb串列埠操作許可權 sudo chmod 666 dev ttyusb0 步驟如下 建立檔案 sudo gedit etc udev rules.d 70 ttyusb.rules在...