网络安全系列之四十九 IIS6.0权限设置
虽然IIS的漏洞比较多,但是如果能够对Web主目录或一些关键的子目录进行适当的权限设置,那么还是可以提高IIS安全性的。IIS中主要有两个地方可以设置权限,一是目录本身的NTFS权限,另一个是IIS管理器里【主目录】属性面板中的权限设置。
对于NTFS权限设置,首先主目录不能允许everyone可以访问,另外对于匿名用户所对应的Internet来宾账号(IUSR_xxxxxxx)不能给予过高的权限。
http://s3.运维网.com/wyfs02/M00/53/C7/wKioL1RwBGKTzs6fAAFprf9cJ94045.jpg
NTFS权限大家都比较熟悉,下面主要对主目录属性面板中的权限进行介绍。
http://s3.运维网.com/wyfs02/M00/53/C9/wKiom1RwA-eA8TPFAAFGz51tJaM189.jpg
(1)脚本资源访问
具有该权限,客户端就可以浏览网页的源代码,所以这项权限一般不启用。
(2)读取
这是一项基本权限,具有该权限,客户端才可以浏览网页。
(3)写入
具有该权限,客户端就可以上传或修改网页,一般不启用。
(4)目录浏览
具有该权限,客户端就可以浏览某个目录中的网页文件,一般不启用。
比如赋予admin目录“目录浏览”权限,
http://s3.运维网.com/wyfs02/M01/53/C9/wKiom1RwA-fyvZwYAADQhHOZ1u8421.jpg
那么在客户端就可以直接查看admin目录中的内容。
http://s3.运维网.com/wyfs02/M02/53/C7/wKioL1RwBGOg57C3AAEum4U63R8000.jpg
(5)记录访问、索引资源
这两项权限跟安全性关系不大,一般都启用。
另外在属性面板的下方还有三种不同的执行权限,执行权限主要用于设置能否执行目录中的asp脚本文件。
http://s3.运维网.com/wyfs02/M00/53/C7/wKioL1RwBGPDOm9fAACTr7_DDwo383.jpg
(6)“无”权限
目录没有任何执行权限,客户端就无法在目录中执行脚本文件,而只能浏览静态网页或图片。
对于网站中的上传目录,一定要将其执行权限设为“无”,这样***即使上传了ASP等脚本程序或者exe 程序,也不会在用户浏览器里触发执行。
比如将uppic目录的执行权限设为“无”,
http://s3.运维网.com/wyfs02/M00/53/C9/wKiom1RwA-jzce-OAAEU2S8XaqQ248.jpg
此时去浏览***上传到uppic目录里的webshell***,便会显示无法执行。
http://s3.运维网.com/wyfs02/M01/53/C9/wKiom1RwA-nB7Ea1AADRT0OZAns827.jpg
(7)“纯脚本”权限
客户端可以在目录中执行脚本文件,但是不能执行exe 可执行程序。
对于ASP脚本文件所在目录应给予“纯脚本”的执行权限,比如对于admin目录的权限设置,如下图所示。
http://s3.运维网.com/wyfs02/M00/53/C9/wKiom1RwA-mhSTumAAEmpcLrrN0887.jpg
(8)纯脚本和可执行程序
客户端可以执行任意程序,包括 exe 可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行***程序了。所以这项执行权限一般很少设置。
页:
[1]