从以往的知识中,我们了解到仅启用在您的 IIS 服务器环境下运行的站点和应用软件所必需的 Web 服务扩展,通过最大限度精简服务器的功能,可以减少每个 IIS 服务器的受攻击面,从而增强了安全性。
Windows Server 2003 将检查 NTFS 文件系统的权限,以确定用户或进程对特定文件或文件夹具有的访问权限类型。
您应该分配相应的 NTFS 权限,以便在本指南定义的三种环境下,允许或拒绝特定用户对 IIS 服务器上站点的访问。
NTFS 访问权限应当与 Web 访问权限协同使用,而不是取代 Web 权限。NTFS 权限只影响那些已经被允许或被拒绝访问站点和应用程序内容的帐户。Web 权限则影响所有访问站点或应用程序的用户。如果站点权限与 NTFS 权限在某个文件夹或目录上发生冲突,限制性更强的设置将生效。
对于不允许匿名访问的站点和应用程序,匿名帐户访问将被明确拒绝。当没有经过身份验证的用户访问系统资源时,就是匿名访问。匿名帐户包括内置“Guest”帐户、“Guests”组和“IIS Anonymous”帐户。此外,除了 IIS 管理员之外,对其它任何用户都应该清除所有的写权限。
下表提供了关于 NTFS 权限的一些建议,这些权限将应用于 IIS 服务器上不同的文件类型。不同的文件类型可以被组织在不同的文件夹中,以简化应用 NTFS 权限的过程。
NTFS 权限
文件类型 建议的 NTFS 权限
CGI 文件(.exe、.dll、.cmd、.pl)
Everyone(执行)
Administrators(完全控制)
System(完全控制)
脚本文件 (.asp)
Everyone(执行)
Administrators(完全控制)
System(完全控制)
包含文件(.inc、.shtm、.shtml)
Everyone(执行)
Administrators(完全控制)
System(完全控制)
静态内容(.txt、.gif、.jpg、.htm、.html)
Everyone(只读)
Administrators(完全控制)
System(完全控制)
IIS 服务器的设置 NTFS 权限知识,我们就说到这里。
【编辑推荐】
