IIS安全设置图文教程

1、IIS安全设置图文教程作者： 字体：增加 减小 类型：转载 时间：2011-01-14 每个站点的根目录为IIS来宾帐号（IUSR_XXXX）的只读权限,站内数据库目录、程序上传目录、数据库备份目录为IIS来宾帐号（IUSR_XXXX）修改权限。IIS安全设置 以我们帮客户维护网站经验来看，多用户账户分离式比较安全的，一个网站有问题不会影响别的网站安全。大家可以看这篇文章(IIS 多站点 用户隔离视频教程)再接着看下面的文章。服务器要考虑稳定、安全、性能修改默认站点为e:webdefaultwww，删掉c:/inetpub目录，删除iis不必要的映射目录安排： 在E盘建一个web目录，每个站点

2、的主域名为目录名建目录，再以每个站点的二级域名为目录名建目录做为网站根目录。 权限设置思路：每个站点的根目录为IIS来宾帐号（IUSR_XXXX）的只读权限,站内数据库目录、程序上传目录、数据库备份目录为IIS来宾帐号（IUSR_XXXX）修改权限。并对有修改权限的目录在IIS中把执行权限设置为：无。这样即使网站程序出现漏洞，入侵者能写入asp木马的目录没有脚本运行权限，有脚本运行权限的目录又无法修改和创建文件。另外access数据库没必要改扩展名为asp或asa，规矩点只用mdb后缀，然后参考下文不让下载就行了。要支持.net程序还要有Network Service的读、写、修改权限。网站根

3、目录权限是从e:继承的，取消继承，添加来宾帐户只读，ftp帐户修改。对一些asp程序的access数据库目录、上传目录等去掉继承，添加修改权限，然后在iis中查看目录属性，执行权限设置：无。修改IIS的MIME映射增加支持flv格式视频播放支持.flvvideo/x-flv增加支持7z压缩格式下载支持.7zapplication/x-7z-compress删除access数据库mdb格式，不让下载.mdb文件，安全考虑。.mdbapplication/x-msaccessWeb站点权限设定（建议） 脚本源访问 不允许 读取 允许 写入 不允许 目录浏览 建议关闭 记录访问 建议关闭网站开启日志

4、记录时使用 索引资源 建议关闭 执行权限 纯脚本在IIS管理器中删除必须之外的任何没有用到的映射（保留asa、asp、php、等必要映射即可） 启用父级路径HTTP404 Not Found出错页面定制 如果选择向客户端发送下列文本错误消息，就屏蔽了asp程序出错信息。启用默认文档 建议不使用索引，占磁盘空间和系统资源。 建议不使用日志，除非你不兴趣每天审查日志。 如果启用，最好不要使用缺省的目录，建议更换一个记日志的路径， 同时设置目录访问权限加上网络服务或者IIS工作组修改权限。 在扩展中启用ASP支持编辑权限设置批处理ASP 执行时，是以IUSR_机器名的身份访问硬盘的，这里没给该用户帐

5、号权限，ASP也就不能读写硬盘上的文件了。 下面要做的就是给每个虚拟主机用户设置一个单独的用户帐号，然后再给每个帐号分配一个允许其完全控制的目录。 如下图所示，打开计算机管理本地用户和组用户，在右栏中点击鼠标右键，在弹出的菜单中选择新用户：在弹出的新用户对话框中根据实际需要输入用户名、全名、描述、密码、确认密码，并将用户下次登录时须更改密码前的对号去掉，选中用户不能更改密码和密码永不过期。本例是给第一虚拟主机的用户建立一个匿名访问Internet 信息服务的内置帐号IUSR_VHOST1， 访问此虚拟主机时，都是以这个身份来访问的。输入完成后点创建即可。可以根据实际需要，创建多个用户，创建完毕

6、后点关闭：现在新建立的用户已经出现在帐号列表中了，在列表中双击该帐号，以便进一步进行设置：在弹出的IUSR_VHOST1（即刚才创建的新帐号）属性对话框中点隶属于选项卡：刚建立的帐号默认是属于Users组，选中该组，点删除：现在出现的是如下图所示，此时再点添加：在弹出的选择组对话框中找到Guests，点添加，此组就会出现在下方的文本框中，然后点确定：出现的就是如下图所示的内容，点确定关闭此对话框：打开Internet信息服务，开始对虚拟主机进行设置，本例中的以对第一虚拟主机设置为例进行说明，右击该主机名，在弹出的菜单中选择属性：弹出一个第一虚拟主机属性的对话框，从对话框中可以看到该虚拟主机用户

7、的使用的是F:VHOST1这个文件夹：暂时先不管刚才的第一虚拟主机属性对话框，切换到资源管理器，找到F:VHOST1这个文件夹，右击，选属性安全选项卡，此时可以看到该文件夹的默认安全设置是Everyone完全控制（视不同情况显示的内容不完全一样），首先将最将下的允许将来自父系的可继承权限传播给该对象前面的对号去掉：此时会弹出如下图所示的安全警告，点删除：此时安全选项卡中的所有组和用户都将被清空（如果没有清空，请使用删除将其清空），然后点添加按钮。将如图中所示的Administrator及在前面所创建的新帐号IUSR_VHOST1添加进来，将给予完全控制的权限，还可以根据实际需要添加其他组或用户

8、，但一定不要将Guests组、IUSR_机器名这些匿名访问的帐号添加上去！再切换到前面打开的第一虚拟主机属性的对话框，打开目录安全性选项卡，点匿名访问和验证控制的编辑：在弹出的验证方法对方框（如下图所示），点编辑：弹出了匿名用户帐号，默认的就是IUSR_机器名，点浏览：在选择用户对话框中找到前面创建的新帐号IUSR_VHOST1，双击：此时匿名用户名就改过来了，在密码框中输入前面创建时，为该帐号设置的密码：再确定一遍密码：OK，完成了，点确定关闭这些对话框。 经此设置后，第一虚拟主机的用户，使用 ASP 的FileSystemObject 组件也只能访问自己的目录：F:VHOST1下的内容，当

9、试图访问其他内容时，会出现诸如没有权限、硬盘未准备好、5a8zd_00服务器内部错误等出错提示了。另：如果该用户需要读取硬盘的分区容量及硬盘的序列号，那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容，请右键点击该硬盘的分区（卷），选择属性安全，将这个用户的帐号添加到列表中，并至少给予读取权限。由于该卷下的子目录都已经设置为禁止将来自父系的可继承权限传播给该对象，所以不会影响下面的子目录的权限设置。IIS6.0的默认权限和用户权限设置小结作者： 字体：增加 减小 类型：转载 时间：2008-09-27 网上高手整理的一些win服务器下，ntfs的权限设置NTFS 权限 目录

10、用户组 权限 %windir%helpiishelpcommon Administrators 完全控制 %windir%helpiishelpcommon System 完全控制 %windir%helpiishelpcommon IIS_WPG 读取、执行 %windir%helpiishelpcommon Users（请参见“注意 1”。） 读取、执行 %windir%IIS Temporary Compressed Files Administrators 完全控制 %windir%IIS Temporary Compressed Files System 完全控制 %windir%I

11、IS Temporary Compressed Files IIS_WPG 完全控制 %windir%IIS Temporary Compressed Files Creator owner 完全控制 %windir%system32inetsrv Administrators 完全控制 %windir%system32inetsrv System 完全控制 %windir%system32inetsrv Users 读取、执行 %windir%system32inetsrv*.vbs Administrators 完全控制 %windir%system32inetsrvASP compile

12、d templates Administrators 完全控制 %windir%system32inetsrvASP compiled templates IIS_WPG 完全控制 %windir%system32inetsrvHistory Administrators 完全控制 %windir%system32inetsrvHistory System 完全控制 %windir%system32Logfiles Administrators 完全控制 %windir%system32inetsrvmetaback Administrators 完全控制 %windir%system32in

13、etsrvmetaback System 完全控制 InetpubAdminscripts Administrators 完全控制 Inetpubwwwroot（或内容目录） Administrators 完全控制 Inetpubwwwroot（或内容目录） System 完全控制 Inetpubwwwroot（或内容目录） IIS_WPG 读取、执行 Inetpubwwwroot（或内容目录） IUSR_MachineName 读取、执行 Inetpubwwwroot（或内容目录） ASPNET（请参见“注意 2”。） 读取、执行 注意 1：在使用基本身份验证或集成身份验证时以及在配置自定义

14、错误时，都必须对此目录拥有相应的权限。例如，在出现错误 401.1 时，只有向已登录用户授予了读取 4011.htm 文件的权限，该用户才会看到预期的自定义错误详细信息。 注意 2：默认情况下，IIS 5.0 隔离模式中使用 ASP.NET 作为 ASP.NET 进程标识。如果将 ASP.NET 切换到 IIS 5.0 隔离模式，则 ASP.NET 必须对内容区域具有访问权限。IIS 帮助中对 ASP.NET 进程隔离进行了详细说明。有关其他信息，请访问下面的 Microsoft 网站： ASP.NET 进程隔离 ( 注册表权限 位置 用户组 权限 HKLMSystemCurrentContr

15、olSetServicesASP Administrators 完全控制 HKLMSystemCurrentControlSetServicesASP System 完全控制 HKLMSystemCurrentControlSetServicesASP IIS_WPG 读取 HKLMSystemCurrentControlSetServicesHTTP Administrators 完全控制 HKLMSystemCurrentControlSetServicesHTTP System 完全控制 HKLMSystemCurrentControlSetServicesHTTP IIS_WPG 读取

16、 HKLMSystemCurrentControlSetServicesIISAdmin Administrators 完全控制 HKLMSystemCurrentControlSetServicesIISAdmin System 完全控制 HKLMSystemCurrentControlSetServicesIISAdmin IIS_WPG 读取 HKLMSystemCurrentControlSetServicesw3svc Administrators 完全控制 HKLMSystemCurrentControlSetServicesw3svc System 完全控制 HKLMSystem

17、CurrentControlSetServicesw3svc IIS_WPG 读取 Windows 用户权限 策略 用户 从网络访问此计算机 Administrators 从网络访问此计算机 ASPNET 从网络访问此计算机 IUSR_MachineName 从网络访问此计算机 IWAM_MachineName 从网络访问此计算机 Users 调整进程内存配额 Administrators 调整进程内存配额 IWAM_MachineName 调整进程内存配额 Local service 调整进程内存配额 Network service 跳过遍历检查 IIS_WPG 允许本地登录（请参见“注意”

18、） Administrators 允许本地登录（请参见“注意”） IUSR_MachineName 拒绝本地登录 ASPNET 在身份验证之后模拟客户端 Administrators 在身份验证之后模拟客户端 ASPNET 在身份验证之后模拟客户端 IIS_WPG 在身份验证之后模拟客户端 Service 作为批处理作业登录 ASPNET 作为批处理作业登录 IIS_WPG 作为批处理作业登录 IUSR_MachineName 作为批处理作业登录 IWAM_MachineName 作为批处理作业登录 Local service 作为服务登录 ASPNET 作为服务登录 Network serv

19、ice 替换进程级别令牌 IWAM_MachineName 替换进程级别令牌 Local service 替换进程级别令牌 Network service 注意：在以默认设置全新安装的带有 IIS 6.0 的 Microsoft Windows Server 2003 中，Users 组和 Everyone 组都拥有“跳过遍历检查”权限。工作进程标识通过这两个组当中的一个继承“跳过遍历检查”权限。如果从“跳过遍历检查”权限中删除这两个组，工作进程标识将不会通过任何其他分配继承“跳过遍历检查”权限，因此工作进程将无法启动。如果必须从“跳过遍历检查”权限中删除 Users 组和 Everyone

20、组，请添加 IIS_WPG 组以允许 IIS 按预期方式运行。 注意：在 IIS 6.0 中，如果将基本身份验证配置为身份验证选项之一，则基本身份验证的“LogonMethod”元数据库属性将为 NETWORK_CLEARTEXT。NETWORK_CLEARTEXT 登录类型不需要“允许本地登录”用户权限。这同样适用于匿名身份验证。有关其他信息，请参见 IIS 帮助中的“基本身份验证默认登录类型”主题。您也可以访问下面的 Microsoft 网站： 基本身份验证 ( iis权限设置如何设置 Web 服务器的权限？如果Web服务器的权限没有设置好，那么网站就会出现漏洞并且很可能会出现被不怀好意的

21、人黑掉的情况。我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限，出现漏洞被人黑掉的机会还是很小的（Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外）。下面是我在配置过程中总结的一些经验，希望对大家有所帮助。 IIS Web 服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS 下网站-站点-属性-主目录（或站点下目录-属性-目录）面板上。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。iis权限和NTFS权限的区别iis权限就相当于规定iis在依据http协议进行工作的时候能够进行那些动作.比如,如果iis打

22、开了写的权限,就以为着可以根据http协议在客户端直接上传文件到服务器端.由于客户端和iis能够依据一些指令进行交互.所以给于iis过多的权限会有很大的风险.而NTFS权限是服务器端文件系统的.这个文件系统客户端是不可能直接和他打交道的.只有该计算机的相关用户才能在此权限下操作.IIS 下网站-站点-属性-主目录（或站点下目录-属性-目录）面板上有：脚本资源访问读取写入浏览记录访问索引资源 6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这

23、两个权限的设置。 另外在这 6 个选项下面的执行权限下拉列表中还有：无纯脚本纯脚本和可执行程序3 个选项。 而网站目录如果在 NTFS 分区（推荐用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都介绍设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASP.NET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出，没有明确指

24、出的都是指设置 IIS 属性面板上的权限。例1 ASP、PHP、ASP.NET 程序所在目录的权限设置： 如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入

25、”权限。 IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理，对于普通网站，一般情况下这个权限是不打开的。 IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就非常危险了。 执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。 对于 ASP.NET 程序的目录，许多人喜欢在文件系统中设置成 Web 共享，实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个

26、应用程序目录，只需要在其属性-目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限，可能会造成不安全因素。总结: 也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.例2 上传目录的权限设置： 用户的网站上可能会设置一个或几个目录允许上传文件，上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了

27、 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里就触发执行。 同样，如果不需要用户用 PUT 指令上传，那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序的上传目录是 IIS_WPG 组）的写权限。 如果下载时，是通过程序读取文件内容然后再转发给用户的话，那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开，除非你就是希望用户可以浏览你的上传目录，并可以选择自己想要下载的东西。总结: 一般的一些asp.php等程序

28、都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).例3 Access 数据库所在目录的权限设置： 许多 IIS 用户常常采用将 Access 数据库改名（改为 asp 或者 aspx 后缀等）或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上，这是不必要的。其实只需要将 Access 所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 I

29、IS_WPG 组帐号的权限，你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。总结: Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了例4 其它目录的权限设置： 你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不需要设置。 上面的几个例子已经包含了大部分情况下的权限设置，只要掌握了设置的基本原理，也就很容易地完成能其它情况下的权限设置。-向

30、IIS传文件大家可能都会去写一个接收的页面，其实只要在IIS里设置“允许写”就可以直接向IIS所在的虚拟目录中上传文件了，不过这个很危险，本人并不建议使用，因为你可以方便上传下载文件，也代表其他人也可以轻易上传下载文件。IIS6.0权限设置来源：本站整理作者：佚名时间：2014-11-24TAG：我要投稿虽然IIS的漏洞比较多，但是如果能够对Web主目录或一些关键的子目录进行适当的权限设置，那么还是可以提高IIS安全性的。IIS中主要有两个地方可以设置权限，一是目录本身的NTFS权限，另一个是IIS管理器里【主目录】属性面板中的权限设置。对于NTFS权限设置，首先主目录不能允许everyone

31、可以访问，另外对于匿名用户所对应的Internet来宾账号（IUSR_xxxxxxx）不能给予过高的权限。NTFS权限大家都比较熟悉，下面主要对主目录属性面板中的权限进行介绍。（1）脚本资源访问具有该权限，客户端就可以浏览网页的源代码，所以这项权限一般不启用。（2）读取这是一项基本权限，具有该权限，客户端才可以浏览网页。（3）写入具有该权限，客户端就可以上传或修改网页，一般不启用。（4）目录浏览具有该权限，客户端就可以浏览某个目录中的网页文件，一般不启用。比如赋予admin目录“目录浏览”权限，那么在客户端就可以直接查看admin目录中的内容。（5）记录访问、索引资源这两项权限跟安全性关系不大，一般都启用。另外在属性面板的下方还有三种不同的执行权限，执行权限主要用于设置能否执行目录中的asp脚本文件。（6）“无”权限目录没有任何执行权限，客户端就无法在目录中执行脚本文件，而只能浏览静态网页或图片。对于网站中的上传目录，一定要将其执行权限设为“无”，这样黑客即使