我們不應該把這歸咎于 IIS 的不安全��。如果對站點的每個目錄都配以正確的權限�����,出現漏洞被人黑掉的機會還是很小的(Web 應用程序本身有問題和通過其它方式入侵黑掉服務器的除外)��。下面是我在配置過程中總結的一些經驗��,希望對大家有所幫助���。
IIS Web 服務器的權限設置有兩個地方��,一個是 NTFS 文件系統本身的權限設置�����,另一個是 IIS 下網站->站點->屬性->主目錄(或站點下目錄->屬性->目錄)面板上���。這兩個地方是密切相關的。下面以實例的方式來講解如何設置權限����。
IIS 下網站->站點->屬性->主目錄(或站點下目錄->屬性->目錄)面板上有:
腳本資源訪問
讀取
寫入
瀏覽
記錄訪問
索引資源
6 個選項。這 6 個選項中��,“記錄訪問”和“索引資源”跟安全性關系不大���,一般都設置��。但是如果前面四個權限都沒有設置的話�,這兩個權限也沒有必要設置。在設置權限時����,記住這個規則即可���,后面的例子中不再特別說明這兩個權限的設置���。
另外在這 6 個選項下面的執行權限下拉列表中還有:
無
純腳本
純腳本和可執行程序
3 個選項。
而網站目錄如果在 NTFS 分區(推薦用這種)的話����,還需要對 NTFS 分區上的這個目錄設置相應權限,許多地方都介紹設置 everyone 的權限�,實際上這是不好的,其實只要設置好 Internet 來賓帳號(IUSR_xxxxxxx)或 IIS_WPG 組的帳號權限就可以了��。如果是設置 ASP�����、PHP 程序的目錄權限��,那么設置 Internet 來賓帳號的權限,而對于 ASP.NET 程序�����,則需要設置 IIS_WPG 組的帳號權限��。在后面提到 NTFS 權限設置時會明確指出�����,沒有明確指出的都是指設置 IIS 屬性面板上的權限����。
例1 —— ASP、PHP��、ASP.NET 程序所在目錄的權限設置:
如果這些程序是要執行的�,那么需要設置“讀取”權限,并且設置執行權限為“純腳本”���。不要設置“寫入”和“腳本資源訪問”�����,更不要設置執行權限為“純腳本和可執行程序”�����。NTFS 權限中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設置寫和修改權限����。如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序)�����,則需要給這些特定的文件配置 NTFS 權限中的 Internet 來賓帳號(ASP.NET 程序是 IIS_WPG 組)的寫權限��,而不要配置 IIS 屬性面板中的“寫入”權限����。
IIS 面板中的“寫入”權限實際上是對 HTTP PUT 指令的處理����,對于普通網站,一般情況下這個權限是不打開的�。
IIS 面板中的“腳本資源訪問”不是指可以執行腳本的權限,而是指可以訪問源代碼的權限���,如果同時又打開“寫入”權限的話���,那么就非常危險了����。
執行權限中“純腳本和可執行程序”權限可以執行任意程序�,包括 exe 可執行程序,如果目錄同時有“寫入”權限的話�,那么就很容易被人上傳并執行木馬程序了。
