設定 Web 伺服器權限是至關重要的。若權限設定不當,通博娛樂城網站可能遭受漏洞攻擊,甚至被駭客入侵。這並非應歸咎於 IIS 的不安全性,而是因為權限配置不周。若為網站的每個目錄正確配置權限,就可以大幅降低漏洞被利用的風險(當然,除非是因為 Web 應用程式本身有問題或透過其他途徑入侵伺服器)。
在設定 IIS Web 伺服器權限時,需注意兩個主要地方:NTFS 檔案系統權限和 IIS 中的網站/目錄屬性設定。這兩者密切相關。以下是一些經驗總結,希望對大家有幫助。
在 IIS 中,網站/目錄屬性設定面板通常包括以下權限選項:
腳本資源訪問
讀取
寫入
瀏覽
記錄訪問
索引資源
其中,「記錄存取」和「索引資源」通博娛樂城通常與安全性關係不大,一般會設定。但如果前四個權限未設置,這兩個權限也無需設定。記住這個原則,後續範例中不再重複強調這兩個權限的設定。
此外,在這些權限下方的執行權限下拉清單中,通常有以下選項:
無
純腳本
純腳本和可執行程序
若網站目錄位於 NTFS 分割區(建議),也需在該目錄上設定對應的 NTFS 權限。許多人常將權限設為 everyone,但實際上這是不安全的。只需設定 Internet 來賓帳號(IUSR_xxxxxxx)或 IIS_WPG 群組帳號的權限即可。對於 ASP、PHP 程序目錄,應設定 Internet 來賓帳號的權限;而對於 ASP.NET 程序,通博娛樂(現金版)應設定 IIS_WPG 群組帳號的權限。未明確指出的權限設定均指的是設定在 IIS 屬性面板上的權限。
例1 —— ASP、PHP、ASP.NET 程式目錄權限設定:
若要執行這些程序,需設定「讀取」權限,並將執行權限設為「純腳本」。不要設定「寫入」和「腳本資源存取」權限,更不要將執行權限設為「純腳本和可執行程式」。在 NTFS 權限中,請勿給予 IIS_WPG 使用者群組和 Internet 來賓帳號寫入和修改權限。對於特殊的設定文件,需單獨配置 NTFS 權限中的 Internet 來賓帳號(對於 ASP.NET 程序,則是 IIS_WPG 群組)的寫入權限,而不設定在 IIS 屬性面板中的「寫入」權限。
在 IIS 面板中,「寫入」權限實際上控制 HTTP PUT 指令的處理。對於普通網站,通常不會開啟此權限。
「腳本資源存取」權限並非指執行腳本的權限,而是指存取原始碼的權限。若同時開啟「寫入」權限,則存在較大安全風險。
「純腳本和可執行程式」執行權限允許執行任意程序,包括 exe 可執行程式。若目錄同時具有「寫入」權限,則容易上傳並執行惡意程式。
對於 ASP.NET 程式目錄,許多人傾向於在檔案系統中設定為 Web 共享,但實際上這是不必要的。只需在 IIS 中確保該目錄為一個應用程式。若該目錄在 IIS 中不是應用程式目錄,通博娛樂城評價只需在其屬性->目錄面板中選擇建立應用程式即可。 Web 共享可能會增加不安全因素。
總結:
一般不要開啟主目錄的「寫入」和「腳本資源存取」權限,只需選擇「純腳本」即可。對於需要 ASP.NET 的應用程式目錄,若不只一個應用程序,可在屬性面板中選擇建立應用程式。不要在資料夾上設定為 Web 共用。
例2 —— 上傳目錄權限設定:
使用者網站可能設定一個或多個目錄允許上傳文件,一般透過 ASP、PHP、ASP.NET 程式實作。在這種情況下,請務必將上傳目錄的執行權限設為“無”,即使上傳了 ASP、PHP 等腳本程序或 exe 程序,也不會自動執行。
同樣,若不需要透過 PUT 指令上傳,則不應開啟上傳目錄的「寫入」權限。應設定 NTFS 權限中的 Internet 來賓帳號(對於 ASP.NET 程式的上傳目錄,則是 IIS_WPG 群組)的寫入權限。
若文件下載是透過程式讀取並轉發給用戶,無需設定「讀取」權限。這樣可確保使用者上傳的檔案僅對已授權的程式可下載,而非任意使用者可瀏覽。
總結:
對於上傳目錄,應將執行權限設為“無”,確保安全。若不需要透過 PUT 指令上傳,不應開啟「寫入」權限。對於下載目錄,只需設定“讀取”權限即可。
範例3 —— Access 資料庫目錄權限設定:
許多使用者常將 Access 資料庫重新命名或放置在發布目錄之外,以避免下載。但實際上,只需移除 Access 目錄(或檔案)的「讀取」和「寫入」權限即可防止下載或竄改。程式需要在 NTFS 上擁有 Internet 來賓帳號或 IIS_WPG 群組帳號的讀寫權限,而無需擔心讀寫作業的問題。
總結:
Internet 來賓帳號或 IIS_WPG 群組帳號的權限應設為可讀可寫,無需設定 Access 目錄(或檔案)的「讀取」和「寫入」權限。
例4 —— 其他目錄權限設定:
網站可能還包括純圖片目錄、通博直播純 HTML 範本目錄、純客戶端 JS 檔案目錄或樣式表目錄等。這些目錄僅需設定“讀取”權限,執行權限設為“無”,不需要設定其他權限。
