IIS許可權設定

經常一設定許可權就迷茫

iis web 伺服器的許可權設定有兩個地方，乙個是 ntfs 檔案系統本身的許可權設定，另乙個是 iis 下 **->預設**->右擊屬性->虛擬目錄面板上。這兩個地方是密切相關的。下面我會以例項的方式來講解如何設定許可權。

指令碼資源訪問：使用者可以對**目錄的指令碼檔案有操作的許可權，前提是開啟讀取或者寫入許可權，開啟讀取許可權就有讀取指令碼檔案（源**）的許可權，開啟寫入許可權就有寫入指令碼檔案的許可權。

如果開啟寫入許可權不開啟指令碼資源訪問許可權，則只有上傳普通檔案的許可權，沒有修改為指令碼檔案字尾的許可權。

索引資源：授予此許可權將允許microsoft 索引服務在**的全文索引中包含該資料夾。授予此項許可權後，使用者將可以對此資源執行查詢。

6 個選項。這 6 個選項中，「記錄訪問」和「索引資源」跟安全性關係不大，一般都設定。但是如果前面四個許可權都沒有設定的話，這兩個許可權也沒有必要設定。在設定許可權時，記住這個規則即可，後面的例子中不再特別說明這兩個許可權的設定。

另外在這 6 個選項下面的【虛擬目錄】|【應用程式設定】|【執行許可權】下拉列表中還有「無」、「純指令碼」和「純指令碼和可執行程式」3 個選項。

「純指令碼」：單擊此設定可在伺服器上執行諸如 asp 程式之類的指令碼。

「指令碼和可執行檔案」：單擊此設定可在伺服器上同時執行 asp 程式之類的指令碼和可執行程式。

iis 5.1新建虛擬目錄，預設情況下，勾選了讀取、記錄訪問和索引資源，執行許可權為「純指令碼」，應用程式保護為「中（共用）」。在文件標籤中勾選了「啟用預設文件」。目錄安全性選項中啟用了匿名訪問，匿名訪問賬戶為iusr_，勾選了「允許iis控制密碼」。

**目錄如果在 ntfs 分割槽（推薦用這種）的話，還需要對 ntfs 分割槽上的這個目錄設定相應許可權，許多地方都介紹設定 everyone 的許可權，實際上這是不好的，其實只要設定好 internet 來賓帳號（iusr_******x）或 iis_wpg 組的帳號許可權就可以了。如果是設定 asp、php 程式的目錄許可權，那麼設定 internet 來賓帳號的許可權，而對於 asp.net 程式，則需要設定 iis_wpg 組的帳號許可權。在後面提到 ntfs 許可權設定時會明確指出，沒有明確指出的都是指設定 iis 屬性面板上的許可權。

例1—— asp、php、asp.net 程式所在目錄的許可權設定：

如果這些程式是要執行的，那麼需要設定「讀取」許可權，並且設定執行許可權為「純指令碼」。不要設定「寫入」和「指令碼資源訪問」，更不要設定執行許可權為「純指令碼和可執行程式」。ntfs 許可權中不要給 iis_wpg 使用者組和 internet 來賓帳號設定寫和修改許可權。如果有一些特殊的配置檔案（而且配置檔案本身也是 asp、php 程式），則需要給這些特定的檔案配置 ntfs 許可權中的 internet 來賓帳號（asp.net 程式是 iis_wpg 組）的寫許可權，而不要配置 iis 屬性面板中的「寫入」許可權。

iis 面板中的「寫入」許可權實際上是對 http put 指令的處理，對於普通**，一般情況下這個許可權是不開啟的。

iis 面板中的「指令碼資源訪問」不是指可以執行指令碼的許可權，而是指可以訪問源**的許可權，如果同時又開啟「寫入」許可權的話，那麼就非常危險了。

執行許可權中「純指令碼和可執行程式」許可權可以執行任意程式，包括exe 可執行程式，如果目錄同時有「寫入」許可權的話，那麼就很容易被人上傳並執行木馬程式了。

例2—— 上傳目錄的許可權設定：

使用者的**上可能會設定乙個或幾個目錄允許上傳檔案，上傳的方式一般是通過 asp、php、asp.net 等程式來完成。這時需要注意，一定要將上傳目錄的執行許可權設為「無」，這樣即使上傳了 asp、php 等指令碼程式或者 exe 程式，也不會在使用者瀏覽器裡就觸發執行。

同樣，如果不需要使用者用 put 指令上傳，那麼不要開啟該上傳目錄的「寫入」許可權。而應該設定 ntfs 許可權中的 internet 來賓帳號（asp.net 程式的上傳目錄是 iis_wpg 組）的寫許可權。

例3—— access 資料庫所在目錄的許可權設定：

例4—— 其它目錄的許可權設定：

你的**下可能還有純目錄、純 html 模版目錄、純客戶端 js 檔案目錄或者樣式表目錄等，這些目錄只需要設定「讀取」許可權即可，執行許可權設成「無」即可。其它許可權一概不需要設定。

**這裡

IIS許可權設定

IIS許可權設定

IIS許可權設定

IIS許可權設定

相關推薦