服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - IIS - windows IIS权限经典设置教程

windows IIS权限经典设置教程

2021-08-02 16:48IIS教程网 IIS

根据最新的黑客攻击方法显示,如果在IIS的站点属性打开了“写入”权限,则被黑是轻而易举的事。

前言

根据最新的黑客攻击方法显示,如果在IIS的站点属性打开了“写入”权限,则被黑是轻而易举的事。而一般在我们使用时,要求大家打开网站所在文件夹的“写入”权限,很多用户以为是在IIS中打开,这是错误的,这样做的结果就是让黑客利用写入权限上传任意文件。IIS中的“写入权限”则一定要关闭!这样的设置已经可以确保数据库是可以更新,可以生成HTML,可以刷新JS文件等所有正常操作。

下面我们进入正题

虽然Apache的名声可能比IIS好,但我相信用IIS来做Web服务器的人一定也不少。说实话,我觉得IIS还是不错的,尤其是Windows2003的IIS6,性能和稳定性都相当不错。但是我发现许多用IIS的人不太会设置Web服务器的权限,因此,出现漏洞被人黑掉也就不足为奇了。但我们不应该把这归咎于IIS的不安全。如果对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的(Web应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。

下面是在配置过程中总结的一些经验,希望对大家有所帮助。

(本来想加上图片说明的,忙了一晚上,就不加了,这个挺重要的,小心行得万年船呀!)

IISWeb服务器的权限设置有两个地方,一个是NTFS文件系统本身的权限设置,另一个是IIS下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。这两个地方是密切相关的。下面我会以实例的方式来讲解如何设置权限。

IIS下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:

  • 脚本资源访问
  • 读取
  • 写入
  • 浏览
  • 记录访问
  • 索引资源

6个选项。这6个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设置。

另外在这6个选项下面的执行权限下拉列表中还有:

  • 纯脚本
  • 纯脚本和可执行程序

3个选项。

而网站目录如果在NTFS分区(推荐用这种)的话,还需要对NTFS分区上的这个目录设置相应权限,许多地方都介绍设置everyone的权限,实际上这是不好的,其实只要设置好Internet来宾帐号(IUSR_xxxxxxx)或IIS_WPG组的帐号权限就可以了。如果是设置ASP、PHP程序的目录权限,那么设置Internet来宾帐号的权限,而对于ASP.NET程序,则需要设置IIS_WPG组的帐号权限。在后面提到NTFS权限设置时会明确指出,没有明确指出的都是指设置IIS属性面板上的权限。

下面的例子很精彩啊!这么好的东西你就信手回复一下吧!

以下内容需要回复才能看到

例1——ASP、PHP、ASP.NET程序所在目录的权限设置:

如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。NTFS权限中不要给IIS_WPG用户组和Internet来宾帐号设置写和修改权限。如果有一些特殊的配置文件(而且配置文件本身也是ASP、PHP程序),则需要给这些特定的文件配置NTFS权限中的Internet来宾帐号(ASP.NET程序是IIS_WPG组)的写权限,而不要配置IIS属性面板中的“写入”权限。

IIS面板中的“写入”权限实际上是对HTTPPUT指令的处理,对于普通网站,一般情况下这个权限是不打开的。

IIS面板中的“脚本资源访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,如果同时又打开“写入”权限的话,那么就非常危险了。

执行权限中“纯脚本和可执行程序”权限可以执行任意程序,包括exe可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行木马程序了。

对于ASP.NET程序的目录,许多人喜欢在文件系统中设置成Web共享,实际上这是没有必要的。只需要在IIS中保证该目录为一个应用程序即可。如果所在目录在IIS中不是一个应用程序目录,只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web共享会给其更多权限,可能会造成不安全因素。

温馨提示:也就是说一般不要打开-主目录-(写入),(脚本资源访问)这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了。需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了。不要在文件夹上选web共享。

例2——上传目录的权限设置:

用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过ASP、PHP、ASP.NET等程序来完成。这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了ASP、PHP等脚本程序或者exe程序,也不会在用户浏览器里就触发执行。

同样,如果不需要用户用PUT指令上传,那么不要打开该上传目录的“写入”权限。而应该设置NTFS权限中的Internet来宾帐号(ASP.NET程序的上传目录是IIS_WPG组)的写权限。

如果下载时,是通过程序读取文件内容然后再转发给用户的话,那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开,除非你就是希望用户可以浏览你的上传目录,并可以选择自己想要下载的东西。

温馨提示:一般的一些asp.php等程序都有一个上传目录。比如论坛,他们继承了上面的属性可以运行脚本的,我们应该将这些目录从新设置一下属性,将(纯脚本)改成(无)。

例3——Access数据库所在目录的权限设置:

许多IIS用户常常采用将Access数据库改名(改为asp或者aspx后缀等)或者放在发布目录之外的方法来避免浏览者下载它们的Access数据库。而实际上,这是不必要的。其实只需要将Access所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的Access数据库。你的程序需要的是NTFS上Internet来宾帐号或IIS_WPG组帐号的权限,你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。

温馨提示:Internet来宾帐号或IIS_WPG组帐号的权限可读可写.那么Access所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。

例4——其它目录的权限设置:

你的网站下可能还有纯图片目录、纯html模版目录、纯客户端js文件目录或者样式表目录等,这些目录只需要设置“读取”权限即可,执行权限设成“无”即可。其它权限一概不需要设置。

延伸 · 阅读

精彩推荐
  • IISIIS上如何添加PHP运行环境

    IIS上如何添加PHP运行环境

    本篇内容介绍了“IIS上如何添加PHP运行环境”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何...

    未知1232023-05-10
  • IISInternet信息服务(IIS)管理器在哪里打开

    Internet信息服务(IIS)管理器在哪里打开

    有时候我们在使用电脑的时候,想打开Internet信息服务(IIS)管理器,怎么打开呢,下面来分享一下方法...

    百度经验34612020-05-10
  • IIS云服务器怎么建立iis

    云服务器怎么建立iis

    云服务器 怎么建立IIS 云服务器是一种基于云计算技术的虚拟化服务器,它允许用户通过互联网访问和管理自己的服务器。而IIS(Internet Information Services)是...

    未知1352023-06-18
  • IISIIS6.0中配置php服务全过程解析

    IIS6.0中配置php服务全过程解析

    网上有很多介绍在 IIS 6 上配置 PHP 的文章,但是那些方法不是性能不好,就是升级麻烦。下面的方法可以让你在第一次配置好后,能够非常方便的进行升级...

    服务器之家3102020-05-14
  • IISwindows IIS权限经典设置教程

    windows IIS权限经典设置教程

    根据最新的黑客攻击方法显示,如果在IIS的站点属性打开了“写入”权限,则被黑是轻而易举的事。 ...

    IIS教程网12452021-08-02
  • IIS让IIS支持webp格式的图片

    让IIS支持webp格式的图片

    WebP(发音:weppy)是一种同时提供了有损压缩与无损压缩(可逆压缩)的图片文件格式,派生自影像编码格式VP8,被认为是WebM多媒体格式的姊妹项目,是由...

    未知1722023-07-28
  • IISIIS6、IIS7、IIS7.5取消服务器主机空间目录脚本的执行权限的方法

    IIS6、IIS7、IIS7.5取消服务器主机空间目录脚本的执行权限的方法

    本篇将针对不同服务器环境来介绍如何取消 这两个目录的执行权限,当然我们也建议用户其他一些生成纯静态html的目录,拥有可写入权限的也统统去除执...

    服务器之家3112020-06-12
  • IIS阿里云web服务器如何开启iis

    阿里云web服务器如何开启iis

    阿里云 是国内领先的云计算服务提供商之一,其提供的 云服务器 (ECS)是广受企业和个人用户青睐的云计算产品之一。在使用 阿里云 ECS过程中,很多用...

    未知2982023-05-10