如何配置Win2003的NTFS文件系统权限

一、首先了解权限设置的方案

 1、被授予权限的对象分用户和用户组两种

 2、批量设置有两大方案,当设置某个目录的权限时,进入高级

   I 可设置是否继承父级权限设置 (第一个勾)

   II 可设置是否替换子目录及文件的权限设置 (第二个勾)

二、系统盘主要目录的权限设置

C:只授予 System 和 Administrators 完全控制权限,删除其他用户或组,不替换子目录

C:Documents and Settings

仅继承父级,并替换子目录

C:Inetpub

删除之,不要使用该目录作为网站发布的目录。

C:Program Files

仅继承父级,并替换子目录

C:Program FilesCommon FilesMicrosoft Shared

删除继承并保留设置(在“高级”中取消第一个勾,再在弹出的对话中选“复制”)

添加 Users 组,只授予读取权限

将该目录的设置替换它的子目录(勾中第二个勾)

C:Windows

删除继承并保留设置

添加 Users 组,只授予读取权限

将该目录的设置替换它的子目录

(具体做法和上面 /Microsoft Shared 目录设置一样)

C:WindowsTemp

添加 IIS_WPG、ASPNET、Network Services、Network 用户或组

授予完全控制权限,替换它的子目录

C:WindowsMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files

添加 Everyone,授予完全控制权限,将该设置替换它的子目录

三、其他盘的设置

C盘设置完成,其他盘均仅给 System 和 Administrators 授予完全控制即可。

网站发布目录授予IIS匿名用户读取访问权限。需要.NET权限的目录添加 IIS_WPG 组(或隶属于该组的某个用户),授予完全控制权限。

IIS权限设置参考

虽然 Apache 的名声可能比 IIS 好,但我相信用 IIS 来做 Web 服务器的人一定也不少。说实话,我觉得 IIS 还是不错的,性能和稳定性都相当不错。但是我发现许多用 IIS 的人不太会设置 Web 服务器的权限,因此,出现漏洞被人黑掉也就不足为奇了。但我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的(Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。下面是我在配置过程中总结的一些经验,希望对大家有所帮助。

IIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置,另一个是 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。这两个地方是密切相关的。下面我会以实例的方式来讲解如何设置权限。

IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:

脚本资源访问

免费收录网站 www.menahem10.com

读取

写入

浏览

记录访问

索引资源

6 个选项。这 6 个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设置。

另外在这 6 个选项下面的执行权限下拉列表中还有:

纯脚本

纯脚本和可执行程序

3 个选项。

而网站目录如果在 NTFS 分区(推荐用这种)的话,还需要对 NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置 everyone 的权限,实际上这是不好的,其实只要设置好 Internet 来宾帐号(IUSR_xxxxxxx)或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限,那么设置 Internet 来宾帐号的权限,而对于 ASP.NET 程序,则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出,没有明确指出的都是指设置 IIS 属性面板上的权限。

发表评论

电子邮件地址不会被公开。 必填项已用*标注