搭建網(wǎng)站IIS目錄權限設置說明

搭建網(wǎng)站IIS目錄權限設置說明IISWeb服務器的權限設置有兩個地方，一個是NTFS文件系統(tǒng)本身的權限設置，另一個是IIS下網(wǎng)站->站點->屬性->主目錄（或站點下目錄->屬性->目錄）面板上。這兩個地方是密切相關的。下面我會以實例的方式來講解如何設置權限。IIS下網(wǎng)站->站點->屬性->主目錄（或站點下目錄->屬性->目錄）面板上有：腳本資源訪問

讀取

寫入

瀏覽

記錄訪問

索引資源

6個選項。這6個選項中，“記錄訪問”和“索引資源”跟安全性關系不大，一般都設置。但是如果前面四個權限都沒有設置的話，這兩個權限也沒有必要設置。在設置權限時，記住這個規(guī)則即可，后面的例子中不再特別說明這兩個權限的設置。另外在這6個選項下面的執(zhí)行權限下拉列表中還有：無

純腳本

純腳本和可執(zhí)行程序

3個選項。而網(wǎng)站目錄如果在NTFS分區(qū)（推薦用這種）的話，還需要對NTFS分區(qū)上的這個目錄設置相應權限，許多地方都介紹設置everyone的權限，實際上這是不好的，其實只要設置好Internet來賓帳號（IUSR_xxxxxxx）或IIS_WPG組的帳號權限就可以了。如果是設置ASP、PHP程序的目錄權限，那么設置Internet來賓帳號的權限，而對于ASP.NET程序，則需要設置IIS_WPG組的帳號權限。在后面提到NTFS權限設置時會明確指出，沒有明確指出的都是指設置IIS屬性面板上的權限。例1——ASP、PHP、ASP.NET程序所在目錄的權限設置：

如果這些程序是要執(zhí)行的，那么需要設置“讀取”權限，并且設置執(zhí)行權限為“純腳本”。不要設置“寫入”和“腳本資源訪問”，更不要設置執(zhí)行權限為“純腳本和可執(zhí)行程序”。NTFS權限中不要給IIS_WPG用戶組和Internet來賓帳號設置寫和修改權限。如果有一些特殊的配置文件（而且配置文件本身也是ASP、PHP程序），則需要給這些特定的文件配置NTFS權限中的Internet來賓帳號（ASP.NET程序是IIS_WPG組）的寫權限，而不要配置IIS屬性面板中的“寫入”權限。IIS面板中的“寫入”權限實際上是對HTTPPUT指令的處理，對于普通網(wǎng)站，一般情況下這個權限是不打開的。IIS面板中的“腳本資源訪問”不是指可以執(zhí)行腳本的權限，而是指可以訪問源代碼的權限，如果同時又打開“寫入”權限的話，那么就非常危險了。執(zhí)行權限中“純腳本和可執(zhí)行程序”權限可以執(zhí)行任意程序，包括exe可執(zhí)行程序，如果目錄同時有“寫入”權限的話，那么就很容易被人上傳并執(zhí)行木馬程序了。對于ASP.NET程序的目錄，許多人喜歡在文件系統(tǒng)中設置成Web共享，實際上這是沒有必要的。只需要在IIS中保證該目錄為一個應用程序即可。如果所在目錄在IIS中不是一個應用程序目錄，只需要在其屬性->目錄面板中應用程序設置部分點創(chuàng)建就可以了。Web共享會給其更多權限，可能會造成不安全因素。也就是說一般不要打開-主目錄-(寫入),(腳本資源訪問)這兩項以及不要選上(純腳本和可執(zhí)行程序),選(純腳本)就可以了.需要的應用程序的如果應用程序目錄不止應用程序一個程序的可以在應用程序文件夾上(屬性)-目錄-點創(chuàng)建就可以了.不要在文件夾上選web共享.例2——上傳目錄的權限設置：

用戶的網(wǎng)站上可能會設置一個或幾個目錄允許上傳文件，上傳的方式一般是通過ASP、PHP、ASP.NET等程序來完成。這時需要注意，一定要將上傳目錄的執(zhí)行權限設為“無”，這樣即使上傳了ASP、PHP等腳本程序或者exe程序，也不會在用戶瀏覽器里就觸發(fā)執(zhí)行。同樣，如果不需要用戶用PUT指令上傳，那么不要打開該上傳目錄的“寫入”權限。而應該設置NTFS權限中的Internet來賓帳號（ASP.NET程序的上傳目錄是IIS_WPG組）的寫權限。如果下載時，是通過程序讀取文件內容然后再轉發(fā)給用戶的話，那么連“讀取”權限也不要設置。這樣可以保證用戶上傳的文件只能被程序中已授權的用戶所下載。而不是知道文件存放目錄的用戶所下載?！盀g覽”權限也不要打開，除非你就是希望用戶可以瀏覽你的上傳目錄，并可以選擇自己想要下載的東西。一般的一些asp.php等程序都有一個上傳目錄.比如論壇.他們繼承了上面的屬性可以運行腳本的.我們應該將這些目錄從新設置一下屬性.將(純腳本)改成(無).例3——Access數(shù)據(jù)庫所在目錄的權限設置：

許多IIS用戶常常采用將Access數(shù)據(jù)庫改名（改為asp或者aspx后綴等）或者放在發(fā)布目錄之外的方法來避免瀏覽者下載它們的Access數(shù)據(jù)庫。而實際上，這是不必要的。其實只需要將Access所在目錄（或者該文件）的“讀取”、“寫入”權限都去掉就可以防止被人下載或篡改了。你不必擔心這樣你的程序會無法讀取和寫入你的Access數(shù)據(jù)庫。你的程序需要的是NTFS上Internet來賓帳號或IIS_WPG組帳號的權限，你只要將這些用戶的權限設置為可讀可寫就完全可以保證你的程序能夠正確運行了。Internet來賓帳號或IIS_WPG組帳號的權限可讀可寫.那么Access所在目錄（或者該文件）的“讀取”、“寫入”權限都去掉就可以防止被人下載或篡改了

寫權限

測試一個目錄對于web用戶是否具有寫權限，采用如下方法：

telnet到服務器的web端口(80)并發(fā)送一個如下請求：

PUT/dir/my_file.txtHTTP/1.1

Host:iis-server

Content-Length:10<enter><enter>

這時服務器會返回一個100(繼續(xù))的信息：

HTTP/1.1100Continue

Server:Microsoft-IIS/5.0

Date:Thu,28Feb200215:56:00GMT

接著，我們輸入10個字母：

AAAAAAAAAA

送出這個請求后，看服務器的返回信息，如果是一個201Created響應：

HTTP/1.1201Created

Server:Microsoft-IIS/5.0

Date:Thu,28Feb200215:56:08GMT

Location:

http://iis-server/dir/my_file.txt

Content-Length:0

Allow:OPTIONS,TRACE,GET,HEAD,DELETE,PUT,COPY,MOVE,PROPFIND,

PROPPATCH,SEARCH,LOCK,UNLOCK

那么就說明這個目錄的寫權限是開著的，反之，如果返回的是一個403錯誤，那么寫權限就是

沒有開起來，如果需要你認證，并且返回一個401(權限禁止)的響應的話，說明是開了寫權限，但是匿名用戶不允許。如果一個目錄同時開了”寫”和“腳本和可執(zhí)行程序”的話，那么web用戶就可以上傳一個程序并且執(zhí)行它，恐怖哦%^#$!~

純腳本執(zhí)行權限

這樣的目錄就太多了。很多不需要給執(zhí)行權限的目錄也被管理員給了腳本執(zhí)行權限，我記得在

shotgun的一篇文章里面他說過：最小的權限＋最少的服務＝最大的安全；一點也沒有錯。給目錄任何多余的權限都是沒有必要的。判斷一個目錄是否可以執(zhí)行純腳本文件也很簡單，發(fā)送一個如下一個請求：

http://iis-server/dir/no-such-file.asp

返回404文件不存在說明有執(zhí)行權限，返回403則是沒有開。

瀏覽目錄權限

判斷一個目錄是否允許瀏覽可能需要一點點小技巧，但是，在網(wǎng)站的默認首頁(如:default.asp)不存在的話，那么就再簡單不過了。在瀏覽器里面輸入：

http://iis-server/dir/

如果權限開著的，那么會返回200響應，并且列出當前目錄里面的內容，反之，沒有列出目錄的話就是關了。但是，如果默認頁面default.asp存在呢？敲入上面的地址就直接打開這個頁面了。別急，

WebDAV里面有一個請求方法叫：PROFIND。這個方法使得我們可以從服務器資源里面得到一些如文件名，創(chuàng)建時間，最后修改時間等等的信息。利用它我們也可以繞過default.asp來判斷目錄瀏覽權限的情況，telnet到IIS-server的web端口，發(fā)送如下請求：

PROPFIND/dir/HTTP/1.1

Host:iis-server

Content-Length:0

這時，服務器會送回一個207MultiStatus的響應，如果目錄是允許瀏覽的，那么同時會列出目錄里面的資源以及他們的屬性。如果目錄瀏覽不允許，返回的信息就會少的多。目錄瀏覽一般來說只能算是一個低危險等級的漏洞，比如一個images目錄，里面除了圖片沒有別的東西了，那對于服務器的安全就沒有什么危害，但是，如果目錄里面放了一個管理頁面adminpage.asp或者一些數(shù)據(jù)庫連接信息文件，可能會導致你的服務器拱手相讓給入侵者。

讀權限

判斷這點很容易，發(fā)一個帶txt文件的請求就可以：

http://iis-server/dir/no-such-file.txt

如果返回一個404文件不存在的響應，就說明讀權限是開著的,反正，返回403錯誤則說明都權限沒有開。早幾年接觸安全的人一定知道::$DATA泄露ASP源代碼的漏洞，其實如果一個目錄里面權勢asp腳本的話，那么讀權限也可以不用開的，ASP只需要腳本執(zhí)行權限就可以了。

默認應用程序映射判斷

判斷默認映射是否存在比較簡單，這里只簡單的給出了在映射存在的情況下對于相應請求的響應：

擴展名：.printer

請求：

http://iis-server/foo.printer

響應：HTTP500-內部服務器錯誤

擴展名：.idc

請求：http://iis-server/foo.idc

響應：code500InternalServerError

擴展名：.idq

請求：http://iis-server/foo.idq

響應碼：200OK

響應：找不到IDQ文件D:\dir\\foo.idq

擴展名：.ida

請求：

http://iis-server/foo.ida

響應碼：200OK

響應：找不到IDQ文件D:\dir\foo.ida

擴展名：.htr

請求：

http://iis-server/foo.htr

響應：HTTP404-未找到文件

擴展名：.htw

請求：

http://iis-server/foo.htw

響應碼：200OK

響應：QUERY_STRING的格式無效

擴展名：.stm

請求：

http://iis-server/foo.stm

響應：HTTP404-未找到文件

擴展名：.shtm

請求：

http://iis-server/foo.shtm