Cómo configurar los permisos del sistema de archivos NTFS de Win2003 y la referencia de configuración de permisos de IIS
Cómo configurar los permisos del sistema de archivos NTFS de Win2003
1. Primero, comprenda el esquema de configuración de permisos
p>
1. Los objetos a los que se conceden permisos se dividen en dos tipos: usuarios y grupos de usuarios
2. Métodos para establecer permisos
1. Hay dos soluciones principales para la configuración por lotes. Al configurar los permisos del directorio, ingrese Avanzado
Primero, puede configurar si desea heredar la configuración de permisos del directorio principal (la primera verificación)
Segundo, puede configurar si desea reemplazar el configuración de permisos de subdirectorios y archivos (La segunda verificación)
La segunda es establecer los permisos del directorio de inicio del disco del sistema
C. Solo otorgue control total al sistema y a los administradores, elimine otros usuarios o grupos, no reemplace subdirectorios
C:\Documents and Settings
Solo herede el directorio principal, reemplace subdirectorios
p>
C:\Inetpub
Elimine y no utilice este directorio como directorio de publicación de red.
C:\Program Files
Solo hereda el directorio principal y reemplaza el subdirectorio
C:\Program Files\Common Files\Microsoft Shared
Elimina la herencia y conserva la configuración (elimina la primera marca de verificación en Avanzado).
Eliminar configuraciones heredadas y retenidas (desmarque la primera casilla de verificación en "Avanzado" y seleccione "Copiar" en el cuadro de diálogo emergente)
Agregar grupo de usuarios, otorgar permiso de solo lectura
Reemplazar la configuración en este directorio y sus subdirectorios (marque la segunda casilla de verificación)
C:\Windows
C :\Windows
Elimina la configuración heredada y retenida. p>
Eliminar herencia y mantener la configuración
Agregar un grupo de usuarios con permisos de solo lectura
Reemplazar la configuración de este directorio con la configuración de sus subdirectorios
p>(Igual que la configuración del directorio compartido de /Microsoft anterior)
C:\Add IIS _WPG, ASPNET, Servicios de red, Usuario de red o grupo
Concesión completa Controlar y reemplazar sus subdirectorios
Archivos C:\Windows\Microsoft.ASP.NET
Agregar todos, otorgar control total y reemplazar sus subdirectorios con esta configuración
3. Configuración de otros discos
La configuración de la unidad C está completa, otros discos solo otorgan derechos de control total al sistema y al administrador.
Conceda a los usuarios anónimos de IIS permiso de lectura para el directorio de publicación del sitio web. Agregue el grupo IIS_WPG (o los usuarios que pertenecen a este grupo) en el directorio que requiere permisos .NET y otorgue control total.
Referencia de configuración de permisos de IIS
Aunque Apache puede tener una mejor reputación que IIS, creo que todavía hay muchas personas que utilizan IIS como servidor web. Para ser honesto, creo que IIS es bastante bueno, con un rendimiento y una estabilidad bastante buenos. Sin embargo, he descubierto que muchas personas que utilizan IIS no son muy buenas configurando permisos en sus servidores web, por lo que no sorprende que existan vulnerabilidades que los piratas informáticos pueden aprovechar. Pero no deberíamos culpar al IIS por ser inseguro. Si configura los permisos correctos para cada directorio de su sitio web, sus posibilidades de ser pirateado son muy escasas (aparte de los problemas con la aplicación web en sí y comprometer el servidor por otros medios). Aquí hay algunas lecciones que aprendí durante el proceso de configuración y espero que le sean útiles.
Hay dos lugares en el servidor web IIS donde se pueden establecer permisos, uno es el propio sistema de archivos NTFS y el otro es el Sitio IIS->Sitio->Propiedades->Directorio principal (o Directorio del sitio). Directorio->Propiedades->Directorio). Los dos lugares están estrechamente relacionados. A continuación daré un ejemplo de cómo configurar permisos.
En el panel Sitios->Sitios->Propiedades->Inicio (o Directorios->Propiedades->Directorios en Sitios) en IIS, puede:
Acceso a recursos de secuencias de comandos < / p>
Sitios incluidos gratis en www.admin5.net
Leer
Escribir
Navegación <
Acceso a registros
p>Recursos indexados
6 opciones. Entre estas 6 opciones, "Acceso a registros" y "Recursos indexados" tienen poco que ver con la seguridad y generalmente están configuradas. Sin embargo, no es necesario configurar estos dos permisos si no se configuran los primeros cuatro permisos. Tenga en cuenta esta regla al configurar permisos; no especificaremos estos dos permisos en ejemplos posteriores.
Además, en la lista desplegable de permisos de ejecución debajo de estas seis opciones:
Ninguno
Script puro
Script puro y programas ejecutables
3 opciones.
Si el directorio web está ubicado en una partición NTFS (se recomienda la partición NTFS), también debe configurar los permisos del directorio en la partición NTFS. En realidad, esto es así. No es bueno, pero solo puedes configurar una cuenta de invitado de Internet (IUSR_xxxxxxx) o una cuenta para el grupo IIS_WPG. Si desea configurar permisos de directorio para programas ASP y PHP, debe configurar permisos de invitado de Internet y, para programas ASP.NET, debe configurar permisos de cuenta para el grupo IIS_WPG. Los permisos NTFS se mencionarán explícitamente más adelante, pero todo lo que no se mencione explícitamente se refiere a la configuración de permisos en el panel Propiedades de IIS.
Ejemplo 1 - Establecer los permisos del directorio donde se encuentran los programas ASP, PHP y ASP.NET:
Si desea ejecutar estos programas, debe configurar el " permiso de lectura" y establezca el permiso de ejecución para "script puro". En los permisos NTFS, no configure IIS_WPG ni las cuentas de invitados de Internet en IIS_WPG. No establezca permisos de escritura ni modificación en los permisos NTFS para el grupo de usuarios IIS_WPG y la cuenta de invitado de Internet. Si hay archivos de configuración especiales (los archivos de configuración en sí son programas ASP, PHP), debe configurar los permisos de escritura de la cuenta de invitado de Internet (grupo IIS_WPG del programa ASP.NET) para estos archivos específicos en los permisos NTFS, no en las propiedades de IIS. Configure los permisos de "escritura" en el panel. Configure permisos de "escritura" en el panel de propiedades de IIS.
Un sitio web que los webmasters deben visitar es www.admin5.com
El permiso de "escritura" en el panel IIS es en realidad el procesamiento del comando HTTP PUT que suelen realizar los sitios web normales. no Este comando se abrirá.
El "Permiso de acceso a recursos de script" en el panel IIS no significa el permiso para ejecutar el script, sino el permiso para acceder al código fuente si el permiso "Escribir" está activado al mismo tiempo. , será muy peligroso.
El permiso "Scripts puros y programas ejecutables" puede ejecutar cualquier programa, incluidos los programas ejecutables exe.
Si el directorio también tiene permisos de "escritura", un programa troyano puede cargarlo y ejecutarlo fácilmente.
Para el directorio del programa ASP.NET, a muchas personas les gusta configurar el servidor web en el sistema de archivos, pero esto no es necesario. Solo asegúrese de que el directorio sea una aplicación en IIS. Si el directorio no es un directorio de aplicación en IIS, simplemente haga clic en Crear en la sección Configuración de la aplicación del panel Propiedades->Directorios. El disfrute de Web *** le otorga más permisos y puede ser inseguro.
Resumen de Kenshin: En otras palabras, generalmente no abra -Directorio de inicio-(Escritura), (Acceso a recursos de secuencias de comandos) y no seleccione (Secuencias de comandos puras y programas ejecutables), seleccionar (Secuencia de comandos pura) será suficiente. . Si necesita una aplicación asp.net, si hay varias aplicaciones en el directorio de la aplicación, puede crear un directorio (propiedades) en la carpeta-directorio-crear de la aplicación. No seleccione web**** en la carpeta.
Ejemplo 2: configuración de permisos para directorios de carga:
Los usuarios pueden haber configurado uno o más directorios en su sitio web para permitir la carga de archivos generalmente a través de ASP, PHP. ASP.NET y otros programas. En este caso, es importante tener en cuenta que el directorio de carga debe configurarse para permitir la carga de archivos desde un único directorio. En este caso, debe tenerse en cuenta que el permiso de ejecución del directorio de carga debe establecerse en "Ninguno", de modo que incluso si se cargan programas script o programas exe como ASP y PHP, la ejecución no se activará en el navegador del usuario. . Aspectos destacados del sitio web top.admin5.com
Del mismo modo, si los usuarios no están obligados a realizar cargas mediante el comando PUT, no abra los permisos de "escritura" para el directorio de carga. En su lugar, establezca permisos de escritura para la cuenta de invitado de Internet en permisos NTFS (el directorio de carga para programas ASP.NET está en el grupo IIS_WPG).
Si la descarga la realiza un programa que lee el contenido del archivo y lo reenvía al usuario, entonces ni siquiera es necesario establecer permisos de "lectura". Esto garantiza que sólo los usuarios autorizados del programa puedan descargar archivos cargados por el usuario. Esto garantiza que los archivos cargados por los usuarios solo puedan ser descargados por usuarios autorizados por el programa y no serán descargados por usuarios que conocen el directorio donde están almacenados los archivos. Tampoco active el permiso "Examinar" a menos que solo desee que los usuarios puedan explorar su directorio de carga y seleccionar lo que quieren descargar.
Resumen de Kenshin: Algunos programas asp.php tienen un directorio de carga. Por ejemplo, foros. Heredan las propiedades anteriores y pueden ejecutar scripts. Deberíamos configurar estos directorios en nuevas propiedades. Cambie (Pure Script) a (Ninguno).
Ejemplo 3: configuración de permisos para el directorio donde se encuentra la base de datos de Access:
Muchos usuarios de IIS han adoptado el método de cambiar el nombre de la base de datos de Access (cambiarle el nombre a la extensión asp o aspx). , etc.) o cambiarlo a Un método para colocarlo fuera del directorio de distribución para evitar que los espectadores descarguen su base de datos de Access. En realidad, no es necesario hacer esto. Puede evitar que el directorio (o archivo) de Access se descargue o se altere simplemente eliminando los permisos de "Lectura" y "Escritura". No tiene que preocuparse de que su programa no pueda leer ni escribir en una base de datos de Access. Lo que su programa necesita es acceso a la cuenta de invitado de Internet o a la cuenta del grupo IIS_WPG en NTFS. Puede asegurarse de que su programa se ejecute correctamente configurando permisos de lectura y escritura para estos usuarios.
Webmaster www.admin5.com
Resumen de Kenshin: la cuenta de invitado de Internet o la cuenta de grupo IIS_WPG tiene permisos de lectura y escritura. Luego puede eliminar los permisos de lectura y escritura del directorio (o archivo) donde se encuentra Access para evitar que se descargue o se altere. Configuración de permisos para otros directorios:
Su sitio web también puede tener un directorio de imágenes puro, un directorio de plantillas html puro, un directorio de archivos js de cliente puro o un directorio de hojas de estilo, etc. Estos directorios solo requieren permisos de "lectura" y los permisos de ejecución se pueden establecer en "ninguno".
Estos directorios solo requieren permisos de "lectura" y los permisos de ejecución se pueden establecer en "ninguno". No es necesario establecer ningún otro permiso.
Bien, creo que los ejemplos anteriores han cubierto la mayoría de las situaciones en las que es necesario establecer permisos y, para otras situaciones, creo que puedes descubrir cómo establecer permisos basándose en estos ejemplos.