通過控制文件夾權(quán)限來提高站點(diǎn)的安全性。

這一篇權(quán)限設(shè)置包括二個方面，一個是系統(tǒng)目錄、盤符的權(quán)限，一個是應(yīng)用程序的上傳文件夾權(quán)限設(shè)置。

系統(tǒng)目錄

確保所有盤符都是NTFS格式，如果不是，可以用命令 convert d:/fs:ntfs 轉(zhuǎn)換為NTFS格式。

所有磁盤根目錄只給system和administrators權(quán)限，其它刪除。

其中系統(tǒng)盤符會有幾個提示，直接確定就可以了。在做這步操作之前，你的運(yùn)行環(huán)境軟件必須都安裝好以后才能做。不然可能會導(dǎo)致軟件安裝錯誤，記住一點(diǎn)所有安全性的操作設(shè)置都必須在軟件安裝完以后才能進(jìn)行。

站點(diǎn)目錄

每個網(wǎng)站對應(yīng)一個目錄，并為這個網(wǎng)站目錄加上IUSR和IIS_IUSRS權(quán)限，都只給“列出文件夾內(nèi)容”和“讀取”權(quán)限。

例如我在D盤根目錄下創(chuàng)建了一個wwwroot的目錄，再在里面創(chuàng)建了一個blog.postcha.com的目錄，這個目錄里面放的是我的網(wǎng)站程序。其中wwwroot只要繼存d盤的權(quán)限即可，而blog.postcha.com這個目錄，我們需要再添加二個權(quán)限，即IUSR和IIS_IUSRS。

wwwroot權(quán)限：

站點(diǎn)目錄權(quán)限：

一般的網(wǎng)站都有上傳文件、圖片功能，而用戶上傳的文件都是不可信的。所以還要對上傳目錄作單獨(dú)設(shè)置。上傳目錄還需要給IIS_IUSRS組再添加“修改”、“寫入”權(quán)限。

經(jīng)過上面這樣設(shè)置承在一個執(zhí)行權(quán)限，一旦用戶上傳了惡意文件，我們的服務(wù)器就淪陷了，但是我們這里又不能不給，所以我們還要配合IIS來再設(shè)置一下。

在iis7以上版本里，這個設(shè)置非常的方便。打開IIS管理器，找到站點(diǎn)，選中上傳目錄，在中間欄IIS下雙擊打開“處理程序映射”，再選擇“編輯功能權(quán)限”，把“腳本”前面的勾掉就可以了。

好了，我們打開upload文件夾看一下，是不是多了一個web.config。

web.config里的內(nèi)容如下：

<?xml version="1.0" encoding="UTF-8"?><configuration>  <system.webServer>    <handlers accessPolicy="Read" />  </system.webServer></configuration>

意思是upload目錄下的所有文件（包括所有子文件夾下的）將只有只讀權(quán)限。這樣用戶即使上傳了惡意文件，也發(fā)揮不了作用。