這篇文章主要介紹了win2008 r2 web 服務器設置指南之文件夾權限設置技巧,需要的朋友可以參考下
通過控制文件夾權限來提高站點的安全性。
這一篇權限設置包括二個方面,一個是系統目錄、盤符的權限,一個是應用程序的文件夾權限設置。
系統目錄
確保所有盤符都是NTFS格式,如果不是,可以用命令 convert d:/fs:ntfs 轉換為NTFS格式。
所有磁盤根目錄只給system和administrators權限,。
其中系統盤符會有幾個提示,直接確定就可以了。在做這步操作之前,你的運行環境軟件必須都好以后才能做。不然可能會導致軟件安裝錯誤,記住一點所有安全性的操作設置都必須在軟件安裝完以后才能進行。
站點目錄
每個網站對應一個目錄,并為這個網站目錄加上IUSR和iis_IUSRS權限,都只給“列出文件夾內容”和“讀取”權限。
例如我在D盤根目錄下創建了一個wwwroot的目錄,再在里面創建了一個blog.postcha.com的目錄,這個目錄里面放的是我的網站程序。其中wwwroot只要繼存d盤的權限即可,而blog.postcha.com這個目錄,我們需要再添加二個權限,即IUSR和IIS_IUSRS。
wwwroot權限:
站點目錄權限:
一般的網站都有上傳文件、功能,而用戶上傳的文件都是不可信的。所以還要對上傳目錄作單獨設置。上傳目錄還需要給IIS_IUSRS組再添加“修改”、“寫入”權限。
經過上面這樣設置承在一個執行權限,一旦用戶上傳了惡意文件,我們的服務器就淪陷了,但是我們這里又不能不給,所以我們還要配合IIS來再設置一下。
在iis7以上版本里,這個設置非常的方便。打開IIS管理器,找到站點,選中上傳目錄,在中間欄IIS下雙擊打開“處理程序映射”,再選擇“編輯功能權限”,把“腳本”前面的勾掉就可以了。
好了,我們打開upload文件夾看一下,是不是多了一個web.config。
web.config里的內容如下:
<?xml version="1.0" encoding="UTF-8"?><configuration> ??<system.webserver> ????<handlers></handlers> ??</system.webserver></configuration>
意思是upload目錄下的所有文件(包括所有子文件夾下的)將只有只讀權限。這樣用戶即使上傳了惡意文件,也發揮不了作用。
每個網站程序的功能不同,設置也各不相同。最少的權限就是最大的安全。
