前言:
主要是基於WINDOWS下的IIS服務器權限設置這樣的安全設置後只限於ASP腳本可以正常運行.
正題:
將X:\Inetpub刪除或改名
在做權限設置操作前先將隱藏文件恢復為可顯示的狀態
系統盤權限設置
c:鼠標右鍵[屬性][安全][高級][權限]權限項目裡給予[SYSTEM/管理員]完全控制權限在將[重置所有子對象的權限並允許傳播可繼承權限]打勾點[應用]
其它盤也做如上操作
1.權限分配
首先建立一個用戶組IIS-USERS
將客戶用戶分配到這個組裡和IIS啟動用戶
目錄權限設置
C:SYSTEM/管理員:
完全控制
C:\WINNTIIS_USERS:
進入[高級]
選擇IIS_USERS
[查看/編輯]
應用到[只有該文件夾]
權限:
列出文件夾/讀取數據
並去掉繼承
在將C:\WINNT\目錄下的所有文件夾和文件權限設置為[SYSTEM/管理員]並去掉繼承
在將下面的文件夾權限設置
C:\WINNT\RegistrationC:\WINNT\system32IIS_USERS:
讀取及運行
列出文件夾目錄
讀取
C:\WINNT\TempIIS_USERS:
進入[高級]
選擇IIS_USERS
[查看/編輯]
應用到[只有該文件夾]
權限:
創建文件/寫入數據
讀取權限
並去掉繼承
在將C:\WINNT\SYSTEM32\目錄下的所有文件夾權限設置為[SYSTEM/管理員]並去掉繼承
在將SYSTEM32目錄下文件夾權限設置為如下
C:\WINNT\system32\inetsrvIIS_USERS:
讀取及運行
列出文件夾目錄
讀取
去掉繼承
C:\WINNT\system32\inetsrv\iisadmpwdC: \WINNT\system32\inetsrv\MetaBackC:\WINNT\system32\inetsrv\iisadminC:\WINNT \system32\inetsrv\DataSYSTEM/管理員:完全控制並去掉繼承
C:\Program Files\Common Files\SystemIIS_USERS:
讀取及運行
列出文件夾目錄
讀取
並去掉繼承
如果安裝了瑞星殺毒就需要做如下操作
C:\Program Files\Rising\RavRavScrch.dll文件設置權限為
IIS_USERS:
讀取及運行
讀取
如果安裝了卡巴殺毒就需要做如下操作
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Proscrchpg.dll文件設置權限為
IIS_USERS:
讀取及運行
讀取
還有一些殺毒軟件也把IIS的vbscript.dll文件替換為殺毒軟件自帶的vbscript.dll文件了,如果使用其它殺毒軟件也替換了IIS的vbscript.dll文件就需要將替換的vbscript.dll文件權限設置為
IIS_USERS:
讀取及運行
列出文件夾目錄
讀取
2.文件權限
將SYSTEM32目錄下的文件權限設置為[SYSTEM/管理員]完全控制並去掉繼承
at.exe
cmd.exe
command.com
cacls.exe
cscript.exe
debug.exe
ftp.exe
tftp.exe
net.exe
net1.exe
netsh.exe
nbtstat.exe
netstat.exe
quser.exe
regsvr32.exe
hostname.exe
wscript.exe
ping.exe
pathping.exe
ipconfig.exe
iisreset.exe
logoff.exe
setreg.exe
setpwd.exe
telnet.exe
在將以下文件權限設置為SYSTEM和管理員並去掉繼承
C:\WINNT\system32\wshom.ocx
C:\WINNT\system32\wshext.dll
C:\WINNT\system32\scrrun.dll [可選他對應的是FSO]
3.注冊表設置
刪除或改名注冊表中以下項及相關classid值
WScript.Shell
WScript.Shell.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
Shell.application
Shell.application.1
4.卸載組件對象
在CMD中執行
卸載wscript.shell對象
regsvr32 /u wshom.ocx
regsvr32 /u wshext.dll
卸載FSO對象[可選但推薦卸載]
regsvr32 /u %windir%\system32\scrrun.dll
5.IISWEB站點目錄權限設置
建立一個新 IISWEB站點,在建立一個新用戶例如IIS_USER0001將IIS_USERS組添加此用戶的隸屬於裡注意此用戶隸屬於裡只可以有 IIS_USERS組其他組都刪掉,在找到對應的IISWEB站點目錄例如在D:\www\test001\將此目錄給予權限為 IIS_USER0001:讀取/寫入,在到IIS的匿名訪問使用帳號裡將內制用戶修改為IIS_USER0001用戶,在刪除IIS擴展名映射,右鍵單擊[Web站點→屬性→主目錄→配置],打開應用程序窗口,去掉所有映射只保留ASP/ASA就可以了,要對每個站點都要刪除這些映射,OK,多個站點使用同上的方式來對多個站點進行權限設置.
6.默認站點設置
安裝IIS後會有個默認站點,如果使用默認站點做網站就需要將默認站點自帶的所有虛擬目錄刪掉如下虛擬目錄.
Scripts
IISHelp
IISAdmin
IISSamples
MSADC
Printers
本設置在Windows2000 Server下進行測試
權限設置後可以正常運行ASP程序我也測試了一些ASP程序,動易2005SP2,DVBBS7.1,BBSXP6.0,6KBBS7.0,等其他ASP程序都可以正常運行
