Win dows Server 2008 R2 WEB服务器安全
设置指南(三)之文件夹权限设置
通过控制文件夹权限来提高站点的安全性。
这一篇权限设置包括二个方面,一个是系统目录、盘符的权限,一个是应用 程序的上传文件夹权限设置。
系统目录
确保所有盘符都是NTFS格式,如果不是,可以用命令 convert d:/fs:ntfs 转换为NTFS格式。
所有磁盘根目录只给system和administrators 权限,其它删除。
这是我重命名后的电加:斷 | 阴也■ *加碇(■)的(KNI賈全|JttSV■盲岛r恵训I郵v武E ■■讎I'E據容称C细按”聲世乍城*妊81射砌竝幼狂IlffM
这是我重命名后的
电加:斷 | 阴也
■ *加碇(■)的(KNI
賈全|
JttSV
■盲岛
r恵训I郵v武
E ■
■
讎I
'E據容称C
细按”聲世乍城*妊81射砌竝幼狂IlffM面和
直壇如 I WW?
>
?^ V
希施e)
Q 空~预-司用;h叼不应
■Eia^aw □)Ht!
WA a)
“j sum
理用户组
m片仮!m”鼻川点:衆娜豆列
IM
4V
eiswi I
: 趣
*? 畫全
1収腾爺朮[
自放1
1
I>1矍萍
1耨
习
溝卯軸行
虔n
g卄ma⑺
RE応回1?艷垃呂世
J
*
门口□□口
HRI0PJ0
其中系统盘符会有几个提示,直接确定就可以了。在做这步操作之前,你的 运行环境软件必须都安装好以后才能做。 不然可能会导致软件安装错误,记住一 点所有安全性的操作设置都必须在软件安装完以后才能进行 。
站点目录
每个网站对应一个目录,并为这个网站目录加上IUSR和IIS_IUSRS权限,
都只给“列出文件夹内容”和“读取”权限。
例如我在D盘根目录下创建了一个 wwwroot的目录,再在里面创建了一
个的目录,这个目录里面放的是我的网站程序。其中
wwwroot只要继存d盘的权限即可,而 这个目录,我们需 要再添加二个权限,即IUSR和IIS IUSRSo
wwwroot 权限:
站点目录权限:
一般的网站都有上传文件、图片功能,而用户上传的文件都是不可信的。所
以还要对上传目录作单独设置。上传目录还需要给IIS_IUSRS组再添加“修改”、
“写入”权限。
常规I共亭 安全I以前的版本I自定义II
对象名称:D:\tnfflTDCjMblg postdii coaVi^load
f且或用户名(G):
> IUSR
说 SYSTEM
\J abccdig (MH-EWSSPCHBI\ihccd#g)
IISJVSRS GfIH- EREJSSFCMBI VIIS_IUSKS)
要更改权限,i青单击“娟辑"、编辑(E)…I
IIS IUSBS的权限a)允许 拒绝
宀莖桎制
修改 读取和执行
列岀文件夹内窖
读取
写入
y d
V y
■
富秤殊砸或高级设贵请单击嶋
高级3
了羅诂间悴制罚权眼
确定取消 I 应用如I
经过上面这样设置承在一个执行权限,一旦用户上传了恶意文件,我们的服
务器就沦陷了,但是我们这里又不能不给,所以我们还要配合IIS来再设置一下。
在iis7以上版本里,这个设置非常的方便。打开IIS管理器,找到站点,选 中上传目录,在中间栏IIS下双击打开“处理程序映射”,再选择“编辑功能权 限”,把“脚本”前面的勾掉就可以了
o
好了,我们打开upload文件夹看一下,是不是多了一个 web.config
20M*?b c^nfi
20M
*?b c^nfi(
|惓改日期]类婴
2014/U/2Q 19 41文件实
201WL2/20 19 49C0NP1G 文洋
挿片档乐
web.co nfig里的内谷如下:
v?xml versio n="1.0" en cod in g="UTF-8"?>
意思是upload目录下的所有文件(包括所有子文件夹下的)将只有只读权 限。这样用户即使上传了恶意文件,也发挥不了作用。
的取值可以为“ Read, Execute,
Script ”,分别表示“只读、执行、脚本”。
每个网站程序的功能不同,设置也各不相同。 最少的权限就是最大的安全