网络安全系列之四十九 IIS6.0权限设置

虽然IIS的漏洞比较多，但是如果能够对Web主目录或一些关键的子目录进行适当的权限设置，那么还是可以提高IIS安全性的。

IIS中主要有两个地方可以设置权限，一是目录本身的NTFS权限，另一个是IIS管理器里【主目录】属性面板中的权限设置。

对于NTFS权限设置，首先主目录不能允许everyone可以访问，另外对于匿名用户所对应的Internet来宾账号（IUSR_xxxxxxx）不能给予过高的权限。

NTFS权限大家都比较熟悉，下面主要对主目录属性面板中的权限进行介绍。

（1）脚本资源访问

具有该权限，客户端就可以浏览网页的源代码，所以这项权限一般不启用。

（2）读取

这是一项基本权限，具有该权限，客户端才可以浏览网页。

（3）写入

具有该权限，客户端就可以上传或修改网页，一般不启用。

（4）目录浏览

具有该权限，客户端就可以浏览某个目录中的网页文件，一般不启用。

比如赋予admin目录“目录浏览”权限，

那么在客户端就可以直接查看admin目录中的内容。

（5）记录访问、索引资源

这两项权限跟安全性关系不大，一般都启用。

 

另外在属性面板的下方还有三种不同的执行权限，执行权限主要用于设置能否执行目录中的asp脚本文件。

（6）“无”权限

目录没有任何执行权限，客户端就无法在目录中执行脚本文件，而只能浏览静态网页或图片。

对于网站中的上传目录，一定要将其执行权限设为“无”，这样***即使上传了ASP等脚本程序或者exe 程序，也不会在用户浏览器里触发执行。

比如将uppic目录的执行权限设为“无”，

此时去浏览***上传到uppic目录里的webshell***，便会显示无法执行。

（7）“纯脚本”权限

客户端可以在目录中执行脚本文件，但是不能执行exe 可执行程序。

对于ASP脚本文件所在目录应给予“纯脚本”的执行权限，比如对于admin目录的权限设置，如下图所示。

（8）纯脚本和可执行程序

客户端可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行***程序了。所以这项执行权限一般很少设置。