如果Web服务器的权限没有设置好,那么网站就会出现漏洞并且很可能会出现被不怀好意的人黑掉的情况。我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的(Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。下面是我在配置过程中总结的一些经验,希望对大家有所帮助。
IIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置,另一个是 IIS 下网站- >站点- >属性- >主目录(或站点下目录- >属性- >目录)面板上。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。
IIS下网站- >站点- >属性- >主目录(或站点下目录- >属性- >目录)面板上有:
脚本资源访问、读取 、写入、浏览、记录访问、索引资源 6个选项。这 6 个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设置。
另外在这 6 个选项下面的执行权限下拉列表中还有:
无、纯脚本、纯脚本和可执行程序 3 个选项。
而网站目录如果在 NTFS 分区(推荐用这种)的话,还需要对 NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置 everyone 的权限,实际上这是不好的,其实只要设置好 Internet 来宾帐号(IUSR_xxxxxxx)或 IIS_WPG 组的帐号权限就可以了。
如果是设置ASP、PHP 程序的目录权限,那么设置Internet来宾帐号的权限,而对于ASP.NET程序,则需要设置IIS_WPG组的帐号权限。在后面提到 NTFS 权限设置时会明确指出,没有明确指出的都是指设置 IIS 属性面板上的权限。
例1 ASP、PHP、ASP.NET 程序所在目录的权限设置:
如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序),则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号(ASP.NET 程序是 IIS_WPG 组)的写权限,而不要配置 IIS 属性面板中的“写入”权限。
IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理,对于普通网站,一般情况下这个权限是不打开的。
IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,如果同时又打开“写入”权限的话,那么就非常危险了。
执行权限中“纯脚本和可执行程序”权限可以执行任意程序,包括 exe 可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行木马程序了。
对于 ASP.NET 程序的目录,许多人喜欢在文件系统中设置成 Web 共享,实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录,只需要在其属性- >目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限,可能会造成不安全因素。
总结:也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.
例2 上传目录的权限设置:
用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序,也不会在用户浏览器里就触发执行。
同样,如果不需要用户用 PUT 指令上传,那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号(ASP.NET 程序的上传目录是 IIS_WPG 组)的写权限。
如果下载时,是通过程序读取文件内容然后再转发给用户的话,那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开,除非你就是希望用户可以浏览你的上传目录,并可以选择自己想要下载的东西。
总结:一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).
例3 Access 数据库所在目录的权限设置:
许多 IIS 用户常常采用将 Access 数据库改名(改为 asp 或者 aspx 后缀等)或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上,这是不必要的。其实只需要将 Access 所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限,你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。
总结: Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了
例4 其它目录的权限设置:
你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等,这些目录只需要设置“读取”权限即可,执行权限设成“无”即可。其它权限一概不需要设置。
上面的几个例子已经包含了大部分情况下的权限设置,只要掌握了设置的基本原理,也就很容易地完成能其它情况下的权限设置
HTTP错误401 - 您未被授权查看该页 在配置IIS的时候,如果安全稍微做的好一些。就会出现各式各样的问题。比如,常见的访问网页会弹出用户名密码的登陆界面,或者是访问某种页面比如html,asp没事情,但是访问jsp或者php就有问题,显示401.3 ACL 禁止访问资源等 通常的解决办法是。
1、错误号401.1
症状:HTTP 错误 401.1 - 未经授权:访问由于凭据无效被拒绝。
分析:
由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用,或者没有权限访问计算机,将造成用户无法访问。
解决方案:
(1)查看IIS管理器中站点安全设置的匿名帐户是否被禁用,如果是,请尝试用以下办法启用:
控制面板- >管理工具- >计算机管理- >本地用户和组,将IUSR_机器名账号启用。如果还没有解决,请继续下一步。
(2)查看本地安全策略中,IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限,如果没有尝试用以下步骤赋予权限:
开始- >程序- >管理工具- >本地安全策略- >安全策略- >本地策略- >用户权限分配,双击“从网络访问此计算机”,添加IIS默认用户或者其所属的组。
注意:一般自定义 IIS默认匿名访问帐号都属于组,为了安全,没有特殊需要,请遵循此规则。
2、错误号401.2
症状:HTTP 错误 401.2 - 未经授权:访问由于服务器配置被拒绝。
原因:关闭了匿名身份验证
解决方案:
运行inetmgr,打开站点属性- >目录安全性- >身份验证和访问控制- >选中“启用匿名访问”,输入用户名,或者点击“浏览”选择合法的用户,并两次输入密码后确定。
3、错误号:401.3
症状:HTTP 错误 401.3 - 未经授权:访问由于 ACL 对所请求资源的设置被拒绝。
原因:IIS匿名用户一般属于Guests组,而我们一般把存放网站的硬盘的权限只分配给administrators组,这时候按照继承原则,网站文件夹也只有administrators组的成员才能访问,导致IIS匿名用户访问该文件的NTFS权限不足,从而导致页面无法访问。
解决方案:
给IIS匿名用户访问网站文件夹的权限,方法:进入该文件夹的安全选项,添加IIS匿名用户,并赋予相应权限,一般是读、写。
分享到:
相关推荐
以下是一份详细的IIS配置步骤,包括权限设置。 1. **安装IIS** - 打开“控制面板” -> “程序” -> “程序和功能” -> “启用或关闭Windows功能”。 - 在弹出的窗口中,找到“IIS”相关选项,如“Web管理工具”、...
同时,了解如何正确配置IIS的权限设置,例如使用最小权限原则,限制特定用户的访问权限,以及启用日志记录和审核,以便追踪任何异常活动。 总的来说,IIS写权限的利用工具是一种强大的安全评估工具,帮助识别和修复...
【IIS写权限利用工具】是一种针对Internet Information Services(IIS)服务器的安全漏洞利用程序,主要涉及IIS服务器上的文件写权限配置问题。在IIS服务器的管理中,如果一个目录给予了不必要的写权限,攻击者可能...
在IIS的配置过程中,对于权限的管理至关重要,尤其是写权限,因为不当的设置可能导致严重的安全问题。 “iis写权限利用工具”是一种专门针对IIS服务器写权限漏洞进行测试和利用的工具。这类工具通常由网络安全领域...
IIS配置网站访问权限 IIS配置网站访问权限是IIS服务器管理的一项重要任务,涉及到网站的安全性和访问控制。本文将详细介绍IIS配置网站访问权限的方法和步骤,并对IIS配置网站访问权限的相关知识进行详细的解释。 ...
1. **识别受影响的目录**:确定哪个目录或文件存在写权限问题。 2. **更改权限**:调整IIS的目录权限,撤销不必要的写权限。 3. **清理恶意文件**:删除由攻击者上传的任何可疑文件。 4. **恢复备份**:如果数据被...
例如,可以使用前面提到的`cacls`命令来设置权限,或者通过图形界面的方式进行修改。 ##### 典型目录权限配置 为了确保IIS服务的正常运行,一些关键目录应具备适当的权限。下面列出了一些常见的目录及其推荐的权限...
在IT行业中,IIS(Internet Information Services)是微软公司提供的一款强大的Web服务器...如果遇到相关问题,可参考提供的文本文件"两个与IIS有关的ASP运行错误解决方案-IIS目录权限问题.txt"获取更详细的操作指南。
【IIS配置——通过IIS.EXE实现服务器管理】 IIS,全称为Internet Information Services,是微软公司开发的一款强大的Web服务器软件。它提供了多种服务,包括HTTP、HTTPS、FTP、SMTP等,使得用户可以通过网络发布...
当从IIS6迁移到IIS7时,由于权限模型的变化,可能会遇到访问权限问题,例如“401 - 未经授权”的错误。本文将详细解释如何正确配置IIS7以允许用户上传文件到特定目录。 首先,IIS7采用了基于角色的安全性,与IIS6中...
- 扫描后,根据报告结果调整IIS的权限设置,遵循最小权限原则,只授予应用程序和服务必要的访问权限。 7. **总结**: "IIS写权限工具"和"IISPutScan"涉及了IIS服务器的安全管理,特别是文件写权限和PUT方法的审计...
标题 "IIS写权限" 涉及到的是在Internet Information Services (IIS)服务器上配置网站或应用程序的文件系统访问权限。IIS是微软公司提供的一个用于Windows操作系统的Web服务器,它允许用户通过网络发布内容和服务。...
在IIS管理器中 》应用程序池 》ASP.NET V4.0 》高级设置 》标识 》改为localSystem 不安全 2).Internet信息服务(IIS)管理器-->网站-->你的网站-->身份验证 >匿名身份验证 >应用程序池标识 > 确认
【IIS写入权限测试】是一项针对Internet Information Services(IIS)服务器安全性的关键检查,主要目的是确保服务器上的文件系统权限设置得当,防止未经授权的用户进行恶意写入操作。IIS是微软提供的一个用于托管...
- 对于需要写入的配置文件,通过NTFS权限单独设置Internet来宾账户(ASP.NET为IIS_WPG组)的写权限,而不是使用IIS的"写入"权限。 2. **上传目录**: - 将执行权限设为"无",防止上传的脚本或程序被执行。 - 若...
1. **配置不当**:管理员在设置IIS服务器时,可能无意间给予了不必要的高权限,如允许匿名用户对服务器上的特定目录有写入权限。 2. **默认设置问题**:IIS的一些默认设置可能过于宽松,例如默认的应用程序池账户...
- **性能问题**:如果Mantis在IIS上运行缓慢,可能需要优化IIS配置,例如调整缓存策略或优化数据库查询。 总之,Mantis与IIS的服务配置是一个细致且重要的过程,需要按照正确的步骤进行,同时密切关注可能出现的...
本篇文章将详细介绍如何在IIS 6.0上进行网站建设以及设置权限,这对于管理和保护网站的安全至关重要。 首先,我们要进行**网站建设**。这个过程通常包括创建一个新的网站实例。在IIS 6.0中,可以通过双击桌面快捷...
要理解这种漏洞如何被利用,我们首先要了解IIS的文件系统权限配置。在IIS中,每个网站或应用程序池都有自己的身份标识(例如,应用程序池身份或特定用户账户),这些身份在操作文件系统时具有不同的权限。如果配置...
在IT领域,尤其是在Web开发与服务器管理中,处理ASP.NET应用程序在IIS(Internet Information Services)上遇到的权限问题是一项常见的挑战。当遇到“解决ASP.NET的进程帐户没有访问IIS的权限”这一问题时,它通常指向...