Win2008 R2 WEB伺服器安全設定指南之資料夾權限設定技巧

這篇文章主要介紹了Win2008 R2 WEB 伺服器安全性設定指南之資料夾權限設定技巧,需要的朋友可以參考下

透過控製文件夾權限來提高網站的安全性。

這篇權限設定包含二個方面，一個是系統目錄、盤符的權限，一個是應用程式的上傳資料夾權限設定。

系統目錄

確保所有磁碟機都是NTFS格式，如果不是，可以用指令 convert d:/fs:ntfs 轉換為NTFS格式。

所有磁碟根目錄只給system和administrators權限，其它#刪除。

其中系統磁碟機會有幾個提示，直接確定就可以了。在做這步驟操作之前，你的運行環境軟體必須都安裝好以後才能做。不然可能會導致軟體安裝錯誤，記住一點所有安全性的操作設定都必須在軟體安裝完以後才能進行。

網站目錄

每個網站對應一個目錄，並為這個網站目錄加上IUSR和IIS_IUSRS權限，都只給「列出資料夾內容」和「讀取」權限。

例如我在D盤根目錄下建立了一個wwwroot的目錄，再在裡面建立了一個blog.postcha.com的目錄，這個目錄裡面放的是我的網站程式。其中wwwroot只要繼存d盤的權限即可，而blog.postcha.com這個目錄，我們需要再增加二個權限，也就是IUSR和IIS_IUSRS。

wwwroot權限：

網站目錄權限：

一般的網站都有上傳檔案、圖片功能，而使用者上傳的檔案都是不可信的。所以也要對上傳目錄作單獨設定。上傳目錄還需要給IIS_IUSRS群組再新增「修改」、「寫入」權限。

經過上面這樣設定承在一個執行權限，一旦用戶上傳了惡意文件，我們的伺服器就淪陷了，但是我們這裡又不能不給，所以我們還要配合IIS來再設定一下。

在iis7以上版本裡，這個設定非常的方便。打開IIS管理器，找到站點，選中上傳目錄，在中間欄IIS下雙擊打開“處理程序映射”，再選擇“編輯功能權限”，把“腳本”前面的勾掉就可以了。

好了，我們打開upload資料夾看一下，是不是多了一個web.config。

web.config裡的內容如下：

#

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <handlers accessPolicy="Read" />
  </system.webServer>
</configuration>

意思是upload目錄下的所有檔案（包括所有子資料夾下的）將只有唯讀權限。這樣用戶即使上傳了惡意文件，也發揮不了作用。

0fe995300a9341982f551a8181798c3f的取值可以為“Read, Execute, Script”，分別表示“唯讀、執行、腳本”。

每個網站程式的功能不同，設定也各不相同。最少的權限就是最大的安全。

以上是Win2008 R2 WEB伺服器安全設定指南之資料夾權限設定技巧的詳細內容。更多資訊請關注PHP中文網其他相關文章！