Win dows Server 2008 R2 WEB 服务器安全设置指南三之文件夹权限设置
通过控制文件夹权限来提高站点的安全性。
这一篇权限设置包括二个方面一个是系统目录、盘符的权限一个是应用程序的上传文件夹权限设置。
系统目录
确保所有盘符都是NTF S格式如果不是可以用命令convert d:/fs:ntfs转换为NTF S格式。
所有磁盘根目录只给s ys tem和admi ni strators权限其它删除。
其中系统盘符会有几个提示直接确定就可以了。在做这步操作之前你的运行环境软件必须都安装好以后才能做。 不然可能会导致软件安装错误记住一点所有安全性的操作设置都必须在软件安装完以后才能进行。
站点目录
每个网站对应一个目录并为这个网站目录加上 IUSR和IIS_IUSRS权限
都只给“列出文件夹内容”和“读取”权限。
例如我在D盘根目录下创建了一个wwwroot的目录再在里面创建了一
个blog.postcha.com 的目录这个目录里面放的是我的网站程序。其中wwwroot只要继存d盘的权限即可而blog.postcha.com这个目录我们需要再添加二个权限即IUSR和IIS IUSRSo
wwwroot权限:
站点目录权限:
一般的网站都有上传文件、 图片功能而用户上传的文件都是不可信的。所以还要对上传目录作单独设置。上传目录还需要给IIS_IUSRS组再添加“修改”、“写入”权限。
常规I共亭安全I以前的版本I自定义II
对象名称 D:\tnfflTDCjMblg postdii coaVi^loadf且或用户名(G)____________________________________
>IUSR
说SYSTEM
\J abccdig(MH-EWSSPCHBI\ihccd#g)
要更改权限 i青单击“娟辑"、 编辑 E…I
IIS IUSBS的权限a 允许拒绝
了羅诂间悴制罚权眼
确定 取消I应用如I
经过上面这样设置承在一个执行权限 一旦用户上传了恶意文件我们的服务器就沦陷了但是我们这里又不能不给所以我们还要配合IIS来再设置一下。
在i i s 7以上版本里这个设置非常的方便。打开II S管理器找到站点选中上传目录在中间栏IIS下双击打开“处理程序映射”再选择“编辑功能权限”把“脚本”前面的勾掉就可以了
好了我们打开upload文件夹看一下是不是多了一个web.config o
|惓改日期 类婴20M 2014/U/2Q1941 文件实
*・bc^nfi( 201WL2/201949 C0NP1G文
洋
web.co nfig 里的内谷如下v?xml versio n="1.0"en cod in g="UTF-8"?>
<con figurati on>
<sys te m.web S e rver>
<ha ndlers accessPolicy="Read"/>
</s yste m.web S erver>
</c on figurati on>
意思是upload目录下的所有文件包括所有子文件夹下的将只有只读权限。这样用户即使上传了恶意文件也发挥不了作用。
<handlers accessPolicy="Read"/> 的取值可以为“Read,Execute,Script”分别表示“只读、执行、脚本”。
每个网站程序的功能不同设置也各不相同。 最少的权限就是最大的安全
中午的时候有网友联系提到自己前几天看到Namecheap商家开学季促销活动期间有域名促销活动的,于是就信注册NC账户注册域名的。但是今天登录居然无法登录,这个问题比较困恼是不是商家跑路等问题。Namecheap商家跑路的可能性不大,前几天我还在他们家转移域名的。这里简单的记录我帮助他解决如何重新登录Namecheap商家的问题。1、检查邮件让他检查邮件是不是有官方的邮件提示。比如我们新注册账户是需...
触摸云国内IDC/ISP资质齐全商家,与香港公司联合运营, 已超8年运营 。本次为大家带来的是双12特惠活动,美国高防|美国大宽带买就可申请配置升档一级[CPU内存宽带流量选一]升档方式:CPU内存宽带流量任选其一,工单申请免费升级一档珠海触摸云科技有限公司官方网站:https://cmzi.com/可新购免费升档配置套餐:地区CPU内存带宽数据盘价格购买地址美国高防 1核 1G10M20G 26...
CloudCone针对中国农历新年推出了几款特别套餐, 其中2019年前注册的用户可以以13.5美元/年的价格购买一款1G内存特价套餐,以及另外提供了两款不限制注册时间的用户可购买年付套餐。CloudCone是Quadcone旗下成立于2017年的子品牌,提供VPS及独立服务器租用,也是较早提供按小时计费VPS的商家之一,支持使用PayPal或者支付宝等付款方式。下面列出几款特别套餐配置信息。CP...