如何設(shè)置 Web 服務(wù)器的權(quán)限？假如Web服務(wù)器的權(quán)限沒有設(shè)置好，那么網(wǎng)站就會出現(xiàn)漏洞并且很可能會出現(xiàn)被不懷好意的人黑掉的情況。我們不應(yīng)該把這歸咎于 IIS 的不安全。假如對站點(diǎn)的每個目錄都配以正確的權(quán)限，出現(xiàn)漏洞被人黑掉的機(jī)會還是很小的（Web 應(yīng)用程序本身有問題和通過其它方式入侵黑掉服務(wù)器的除外）。下面是我在配置過程中總結(jié)的一些經(jīng)驗(yàn)，希望對大家有所幫助。

IIS Web 服務(wù)器的權(quán)限設(shè)置有兩個地方，一個是 NTFS 文件系統(tǒng)本身的權(quán)限設(shè)置，另一個是 IIS 下網(wǎng)站->站點(diǎn)->屬性->主目錄（或站點(diǎn)下目錄->屬性->目錄）面板上。這兩個地方是密切相關(guān)的。下面以實(shí)例的方式來講解如何設(shè)置權(quán)限。

IIS 下網(wǎng)站->站點(diǎn)->屬性->主目錄（或站點(diǎn)下目錄->屬性->目錄）面板上有：

腳本資源訪問
讀取
寫入
瀏覽
記錄訪問
索引資源
6 個選項(xiàng)。這 6 個選項(xiàng)中，“記錄訪問”和“索引資源”跟安全性關(guān)系不大，一般都設(shè)置。但是假如前面四個權(quán)限都沒有設(shè)置的話，這兩個權(quán)限也沒有必要設(shè)置。在設(shè)置權(quán)限時，記住這個規(guī)則即可，后面的例子中不再非凡說明這兩個權(quán)限的設(shè)置。

另外在這 6 個選項(xiàng)下面的執(zhí)行權(quán)限下拉列表中還有：

無
純腳本
純腳本和可執(zhí)行程序
3 個選項(xiàng)。

而網(wǎng)站目錄假如在 NTFS 分區(qū)（推薦用這種）的話，還需要對 NTFS 分區(qū)上的這個目錄設(shè)置相應(yīng)權(quán)限，許多地方都介紹設(shè)置 everyone 的權(quán)限，實(shí)際上這是不好的，其實(shí)只要設(shè)置好 Internet 來賓帳號（IUSR_xxxxxxx）或 IIS_WPG 組的帳號權(quán)限就可以了。假如是設(shè)置 ASP、PHP 程序的目錄權(quán)限，那么設(shè)置 Internet 來賓帳號的權(quán)限，而對于 ASP.NET 程序，則需要設(shè)置 IIS_WPG 組的帳號權(quán)限。在后面提到 NTFS 權(quán)限設(shè)置時會明確指出，沒有明確指出的都是指設(shè)置 IIS 屬性面板上的權(quán)限。

例1 —— ASP、PHP、ASP.NET 程序所在目錄的權(quán)限設(shè)置：
假如這些程序是要執(zhí)行的，那么需要設(shè)置“讀取”權(quán)限，并且設(shè)置執(zhí)行權(quán)限為“純腳本”。不要設(shè)置“寫入”和“腳本資源訪問”，更不要設(shè)置執(zhí)行權(quán)限為“純腳本和可執(zhí)行程序”。NTFS 權(quán)限中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設(shè)置寫和修改權(quán)限。假如有一些非凡的配置文件（而且配置文件本身也是 ASP、PHP 程序），則需要給這些特定的文件配置 NTFS 權(quán)限中的 Internet 來賓帳號（ASP.NET 程序是 IIS_WPG 組）的寫權(quán)限，而不要配置 IIS 屬性面板中的“寫入”權(quán)限。

IIS 面板中的“寫入”權(quán)限實(shí)際上是對 HTTP PUT 指令的處理，對于普通網(wǎng)站，一般情況下這個權(quán)限是不打開的。

IIS 面板中的“腳本資源訪問”不是指可以執(zhí)行腳本的權(quán)限，而是指可以訪問源代碼的權(quán)限，假如同時又打開“寫入”權(quán)限的話，那么就非常危險了。

執(zhí)行權(quán)限中“純腳本和可執(zhí)行程序”權(quán)限可以執(zhí)行任意程序，包括 exe 可執(zhí)行程序，假如目錄同時有“寫入”權(quán)限的話，那么就很輕易被人上傳并執(zhí)行木馬程序了。

對于 ASP.NET 程序的目錄，許多人喜歡在文件系統(tǒng)中設(shè)置成 Web 共享，實(shí)際上這是沒有必要的。只需要在 IIS 中保證該目錄為一個應(yīng)用程序即可。假如所在目錄在 IIS 中不是一個應(yīng)用程序目錄，只需要在其屬性->目錄面板中應(yīng)用程序設(shè)置部分點(diǎn)創(chuàng)建就可以了。Web 共享會給其更多權(quán)限，可能會造成不安全因素。

總結(jié): 也就是說一般不要打開-主目錄-(寫入),(腳本資源訪問) 這兩項(xiàng)以及不要選上(純腳本和可執(zhí)行程序),選(純腳本)就可以了.需要asp.net的應(yīng)用程序的假如應(yīng)用程序目錄不止應(yīng)用程序一個程序的可以在應(yīng)用程序文件夾上(屬性)-目錄-點(diǎn)創(chuàng)建就可以了.不要在文件夾上選web共享.

查看更多 動易Cms教程  動易Cms模板