Win2008 R2 WEBサーバーセキュリティ設定ガイド - フォルダー権限設定のヒント

この記事では主に Win2008 R2 WEB サーバーのフォルダー権限設定スキルを紹介しますセキュリティセットアップガイドを必要とする友人は参照してください

フォルダー権限を制御することでサイトのセキュリティを向上させます。

この記事の権限設定には 2 つの側面が含まれています。1 つはシステム ディレクトリとドライブ文字の権限であり、もう 1 つはアプリケーションの upload フォルダーの権限設定です。

システム ディレクトリ

すべてのドライブ文字が NTFS 形式であることを確認してください。そうでない場合は、convert d:/fs:ntfs コマンドを使用して NTFS 形式に変換できます。

すべてのディスクルートディレクトリにはシステム権限と管理者権限のみが与えられ、その他の権限は削除します。

システムのドライブ文字を入力するプロンプトがいくつか表示されます。直接確認してください。この手順を実行する前に、オペレーティング環境ソフトウェアが インストールされている必要があります。そうしないと、ソフトウェアのインストール エラーが発生する可能性があります。すべてのセキュリティ操作設定はソフトウェアのインストール後に行う必要があることに注意してください。

サイト ディレクトリ

各 Web サイトはディレクトリに対応し、この Web サイト ディレクトリに IUSR および IIS_IUSRS 権限を追加します。これらの権限には、「フォルダーの内容の一覧表示」と「読み取り」権限のみが与えられます。

たとえば、ドライブ D のルート ディレクトリに wwwroot ディレクトリを作成し、その中に blog.postcha.com ディレクトリを作成しました。このディレクトリには Web サイト プログラムが含まれています。このうち、wwwroot は d ディスクの権限を継承するだけでよく、blog.postcha.com ディレクトリについては、さらに 2 つの権限、IUSR と IIS_IUSRS を追加する必要があります。

wwwroot権限:

サイトディレクトリ権限:

一般的なWebサイトにはファイルや写真をアップロードする機能がありますが、ユーザーがアップロードしたファイルは信頼できるものではありません。したがって、アップロードディレクトリを別途設定する必要があります。ディレクトリをアップロードするには、IIS_IUSRS グループに「変更」権限と「書き込み」権限を追加する必要もあります。

上記のように実行許可を設定した後、ユーザーが悪意のあるファイルをアップロードするとサーバーがダウンしますが、ここで許可を与える必要があるため、IISと協力して実行する必要があります再度セットアップしてください。

iis7以降では、この設定は非常に便利です。 IIS マネージャーを開き、サイトを見つけてアップロード ディレクトリを選択し、中央の列の IIS の下をダブルクリックして [ハンドラー マッピング] を開き、[関数権限の編集] を選択して [スクリプト] のチェックを外します。

それでは、アップロード フォルダーを開いて、余分な web.config があるかどうかを確認してみましょう。

web.config の内容は次のとおりです:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <handlers accessPolicy="Read" />
  </system.webServer>
</configuration>

は、アップロード ディレクトリ内のすべてのファイル (すべてのサブフォルダーを含む) が読み取り専用のアクセス許可のみを持つことを意味します。このように、ユーザーが悪意のあるファイルをアップロードしたとしても、効果はありません。

0fe995300a9341982f551a8181798c3f 値は「読み取り、実行、スクリプト」になります。これは、それぞれ「読み取り専用、実行、スクリプト」を意味します。

各ウェブサイトプログラムには、異なる機能と設定があります。最小限の権限が最大限のセキュリティを確保します。

以上がWin2008 R2 WEBサーバーセキュリティ設定ガイド - フォルダー権限設定のヒントの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。