通過控制文件夾權(quán)限來提高站點(diǎn)的安全性。

這一篇權(quán)限設(shè)置包括二個(gè)方面，一個(gè)是系統(tǒng)目錄、盤符的權(quán)限，一個(gè)是應(yīng)用程序的上傳文件夾權(quán)限設(shè)置。

系統(tǒng)目錄

確保所有盤符都是NTFS格式，如果不是，可以用命令 convert d:/fs:ntfs 轉(zhuǎn)換為NTFS格式。

所有磁盤根目錄只給system和administrators權(quán)限，其它刪除。

其中系統(tǒng)盤符會(huì)有幾個(gè)提示，直接確定就可以了。在做這步操作之前，你的運(yùn)行環(huán)境軟件必須都安裝好以后才能做。不然可能會(huì)導(dǎo)致軟件安裝錯(cuò)誤，記住一點(diǎn)所有安全性的操作設(shè)置都必須在軟件安裝完以后才能進(jìn)行。

站點(diǎn)目錄

每個(gè)網(wǎng)站對(duì)應(yīng)一個(gè)目錄，并為這個(gè)網(wǎng)站目錄加上IUSR和IIS_IUSRS權(quán)限，都只給“列出文件夾內(nèi)容”和“讀取”權(quán)限。

例如我在D盤根目錄下創(chuàng)建了一個(gè)wwwroot的目錄，再在里面創(chuàng)建了一個(gè)blog.postcha.com的目錄，這個(gè)目錄里面放的是我的網(wǎng)站程序。其中wwwroot只要繼存d盤的權(quán)限即可，而blog.postcha.com這個(gè)目錄，我們需要再添加二個(gè)權(quán)限，即IUSR和IIS_IUSRS。

wwwroot權(quán)限：

站點(diǎn)目錄權(quán)限：

一般的網(wǎng)站都有上傳文件、圖片功能，而用戶上傳的文件都是不可信的。所以還要對(duì)上傳目錄作單獨(dú)設(shè)置。上傳目錄還需要給IIS_IUSRS組再添加“修改”、“寫入”權(quán)限。

經(jīng)過上面這樣設(shè)置承在一個(gè)執(zhí)行權(quán)限，一旦用戶上傳了惡意文件，我們的服務(wù)器就淪陷了，但是我們這里又不能不給，所以我們還要配合IIS來再設(shè)置一下。

在iis7以上版本里，這個(gè)設(shè)置非常的方便。打開IIS管理器，找到站點(diǎn)，選中上傳目錄，在中間欄IIS下雙擊打開“處理程序映射”，再選擇“編輯功能權(quán)限”，把“腳本”前面的勾掉就可以了。

好了，我們打開upload文件夾看一下，是不是多了一個(gè)web.config。

web.config里的內(nèi)容如下：

<?xml version="1.0" encoding="UTF-8"?><configuration>  <system.webServer>    <handlers accessPolicy="Read" />  </system.webServer></configuration>

意思是upload目錄下的所有文件（包括所有子文件夾下的）將只有只讀權(quán)限。這樣用戶即使上傳了惡意文件，也發(fā)揮不了作用。

<handlers accessPolicy="Read" />的取值可以為“Read, Execute, Script”，分別表示“只讀、執(zhí)行、腳本”。

每個(gè)網(wǎng)站程序的功能不同，設(shè)置也各不相同。最少的權(quán)限就是最大的安全。

原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時(shí)請(qǐng)務(wù)必以超鏈接形式標(biāo)明文章 原始出處 、作者信息和本聲明。否則將追究法律責(zé)任。

武林網(wǎng)之家小編補(bǔ)充：

禁止腳本執(zhí)行可以參考這篇文章：//www.jb51.net/article/86201.htm