¡Urgente, urgente, urgente! ! configuración de permisos de iis
Hay dos lugares donde se pueden configurar los permisos en el servidor web IIS, uno son los permisos del sistema de archivos NTFS y el otro es el Directorio de inicio del sitio IIS-gt; (o directorio del sitio ->Propiedades->Directorio). Los dos lugares están estrechamente relacionados. A continuación se muestra un ejemplo de cómo configurar permisos.
Directorio de inicio (o Directorios en Sitios-gt; Propiedades-gt; Directorios en IIS) En el panel, hay:
Acceso a recursos de script
Leer
Escribir
Navegar
Registro de acceso
Indexar recursos
6 opciones. Entre estas 6 opciones, "Acceso a registros" y "Recursos indexados" tienen poco que ver con la seguridad y generalmente están configuradas. Sin embargo, si no se configuran los primeros cuatro permisos, no es necesario configurar estos dos permisos. Sólo tenga en cuenta esta regla al configurar permisos; los ejemplos que siguen no cubrirán estos dos permisos específicamente.
Además, en la lista desplegable de permisos de ejecución debajo de estas seis opciones, hay
Ninguno
Script puro
Puro script y programa ejecutable
3 opciones.
Si el directorio web está ubicado en una partición NTFS (se recomienda la partición NTFS), también necesita establecer permisos en el directorio en la partición NTFS. Muchos lugares introducen permisos de configuración para todos, lo que en realidad no es así. Bien, pero solo puedes configurar permisos de cuenta para la cuenta de invitado de Internet (IUSR_xxxxxxxxx) o el grupo IIS_WPG. Si desea configurar permisos de directorio para programas ASP y PHP, debe configurar permisos de invitado de Internet y, para programas ASP.NET, debe configurar permisos de cuenta para el grupo IIS_WPG. Los permisos NTFS se mencionarán explícitamente más adelante; todo lo que no se mencione se refiere a la configuración de permisos en el panel de Propiedades de IIS.
Ejemplo 1: Establecer permisos para los directorios donde se encuentran los programas ASP, PHP y ASP.NET:
Si desea ejecutar estos programas, debe configurar permisos de "lectura" para ellos y cambiar los permisos de Ejecución están establecidos en "Sólo script". No establezca permisos de acceso a recursos de escritura y script, y no establezca permisos de ejecución en script simple y programa ejecutable. No establezca permisos de escritura ni modificación en los permisos NTFS para el grupo de usuarios IIS_WPG y la cuenta de invitado de Internet. Si hay archivos de configuración especiales (los archivos de configuración en sí son programas ASP, PHP), debe configurar los permisos de escritura de la cuenta de invitado de Internet (grupo IIS_WPG del programa ASP.NET) para estos archivos específicos en los permisos NTFS, no en el panel de propiedades de IIS. Configure los permisos de "escritura" en .
Configure permisos de "escritura" en el panel de propiedades de IIS.
El permiso "Escribir" en el panel IIS es en realidad un manejo del comando HTTP PUT, que generalmente no se abre en los sitios web normales.
El "Acceso a recursos de script" en el panel IIS no se refiere al permiso de acceso para ejecutar el script, sino al permiso para acceder al código fuente si el permiso de "escritura" está activado al mismo. tiempo, será muy peligroso.
El permiso "Scripts puros y programas ejecutables" le permite ejecutar cualquier programa, incluidos los programas ejecutables exe. Si el directorio también tiene permisos de "escritura", es fácil cargar y ejecutar el troyano.
Para el directorio del programa ASP.NET, a muchas personas les gusta establecer permisos de acceso web **** en el sistema de archivos, pero esto no es necesario. Solo asegúrese de que el directorio sea una aplicación en IIS. Si el directorio no es un directorio de aplicación en IIS, simplemente haga clic en Crear en la sección Configuración de la aplicación del panel Propiedades -> Directorio. El disfrute de Web *** le otorga más permisos y puede ser inseguro.
Resumen: En otras palabras, generalmente no abra - Directorio de inicio - (Escribir), (Acceso a recursos de script) y no seleccione (Script puro y programa ejecutable), seleccione (Script puro). . Si necesita una aplicación asp.net, si hay varias aplicaciones en el directorio de la aplicación, puede crear un directorio (propiedades) en la carpeta-directorio-crear de la aplicación. No seleccione web**** en la carpeta.
Ejemplo 2: configuración de permisos para el directorio de carga:
Los usuarios pueden tener uno o más directorios en su sitio web que les permitan cargar archivos, generalmente a través de ASP, PHP, ASP. NET y otros programas. Esto significa que el permiso de ejecución del directorio de carga debe establecerse en "Ninguno", de modo que incluso si se cargan scripts o programas ejecutables como ASP y PHP, la ejecución no se activará en el navegador del usuario.
Del mismo modo, si no requiere que los usuarios realicen cargas mediante el comando PUT, no establezca permisos de "escritura" para el directorio de carga. En su lugar, establezca permisos de escritura para la cuenta de invitado de Internet en permisos NTFS (el directorio de carga para programas ASP.NET está en el grupo IIS_WPG).
Si la descarga la realiza un programa que lee el contenido del archivo y lo reenvía al usuario, ni siquiera configures el permiso "Lectura". Esto garantiza que sólo los usuarios autorizados del programa puedan descargar archivos cargados por el usuario. Esto garantiza que los archivos cargados por los usuarios solo puedan ser descargados por usuarios autorizados por el programa y no serán descargados por usuarios que conocen el directorio donde están almacenados los archivos. Tampoco active el permiso "Examinar" a menos que desee que los usuarios puedan explorar su directorio de carga y seleccionar lo que desean descargar.
Resumen: Algunos programas asp.php tienen un directorio de carga. Por ejemplo, foros. Heredarán las propiedades anteriores para ejecutar scripts. Deberíamos configurar estos directorios en nuevas propiedades. Cambie (Pure Script) a (Ninguno).
Ejemplo 3: configuración de permisos para el directorio donde se encuentra la base de datos de Access:
Muchos usuarios de IIS adoptan el método de cambiar el nombre de la base de datos de Access (cambiarle el nombre a la extensión asp o aspx, etc.) .) o colóquelo Método fuera del directorio de distribución para evitar que los espectadores descarguen su base de datos de Access. De hecho, esto no es necesario. Simplemente elimine los permisos de "Lectura" y "Escritura" en un directorio (o archivo) de Access para evitar que se descargue o se altere. No tiene que preocuparse de que su programa no pueda leer ni escribir en una base de datos de Access. Lo que su programa necesita es acceso a la cuenta de invitado de Internet o a la cuenta del grupo IIS_WPG en NTFS, y puede asegurarse de que su programa se ejecute correctamente configurando los permisos para que estos usuarios lean y escriban.
Resumen: La cuenta de invitado de Internet o la cuenta de grupo IIS_WPG tiene permisos de lectura y escritura. Luego, eliminar los permisos de "lectura" y "escritura" del directorio (o archivo) de Access puede evitar que se descargue o se altere.
Ejemplo 4: Otros directorios. Otros permisos de directorio:
Su sitio web también puede tener un directorio de imágenes puro, un directorio de plantillas html puro, un directorio de archivos js de cliente puro o un directorio de hojas de estilo, etc. Estos directorios solo deben configurarse con " Los permisos de lectura" y los permisos de ejecución están establecidos en "Ninguno". No es necesario establecer ningún otro permiso.
Los ejemplos anteriores cubren la mayoría de las configuraciones de permisos, por lo que una vez que comprenda los conceptos básicos de la configuración, podrá configurar permisos fácilmente en otras situaciones.
Los ejemplos anteriores cubren la mayoría de los casos.