如何设置 Web 服务器的权限

如何设置 Web 服务器的权限？如果Web服务器的权限没有设置好，那么网站就会出现漏洞并且很可能会出现被不怀好意的人黑掉的情况。我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限，出现漏洞被人黑掉的机会还是很小的（Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外）。下面是我在配置过程中总结的一些经验，希望对大家有所帮助。
IIS Web 服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。
IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：
脚本资源访问
读取
写入
浏览
记录访问
索引资源
6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这两个权限的设置。
另外在这 6 个选项下面的执行权限下拉列表中还有：
无
纯脚本
纯脚本和可执行程序
3 个选项。
而网站目录如果在 NTFS 分区（推荐用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都介绍设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASPNET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出，没有明确指出的都是指设置 IIS 属性面板上的权限。
例1 —— ASP、PHP、ASPNET 程序所在目录的权限设置：
如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASPNET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入”权限。
IIS 面板中的“写入”权限实际上是对 >现在越来越多的用户使用NTFS文件系统来增强Windows系统的安全性。通常是在图形用户界面（GUI）的“安全”选项卡中对文件或目录访问控制权限进行设置。还有一种设置方式大家可能很少使用，这就是Cacls命令。
虽然它是一个基于命令行的命令，使用起来有点繁琐，但只要你合理利用，也会在提高系统安全性方面起到很好的效果。Cacls命令使用格式如下：
Cacls
filename
[/T]
[/E]
[/C]
[/G
user:perm]
[/R
user
[]]
[/P
user:perm
[]]
[/D
user
[]]
Filename——显示访问控制列表（以下简称ACL）；
/T——更改当前目录及其所有子目录中指定文件的
ACL；
/E——
编辑
ACL
而不替换；
/C——在出现拒绝访问错误时继续；
/G
user:perm——赋予指定用户访问权限。Perm
可以是R（读取）、W（写入）、C（更改，写入）、F
（完全控制）；
/R
user——撤销指定用户的访问权限(仅在与
/E
一起使用)；
/P
user:perm——替换指定用户的访问权限；
/D
user——拒绝指定用户的访问。
1．查看目录和ACL
以Windows
XP系统为例，笔者使用Cacls命令查看E盘CCE目录访问控制权限。点击“开始→运行”，在运行对话框中输入“CMD”命令，d出命令提示符对话框，在“E:\>”提示符下输入“Cacls
CCE”命令，接着就会列出Windows
XP系统中用户组和用户对CCE目录的访问控制权限项目。如果想查看CCE目录中所有文件访问控制权限，输入“Cacls
cce\

”命令即可。
2．修改目录和ACL
设置用户访问权限：我们经常要修改目录和文件的访问权限，使用Cacls命令就很容易做到。下面要赋予本机用户Chenfeng对E盘下CCE目录及其所有子目录中的文件有完全控制权限。在命令提示符对话框中输入“Cacls
CCE
/t
/e
/c
/g
Chenfeng:f
”命令即可。
替换用户访问权限：将本机用户Chenfeng的完全控制权限替换为只读权限。在命令提示符对话框中输入“
Cacls
CCE
/t
/e
/c
/p
Chenfeng:r
”命令即可。
撤销用户访问权限：要想撤销本机用户Chenfeng对该目录的完全控制权限也很容易，在命令提示符中运行“Cacls
CCE
/t
/e
/c
/r
Chenfeng
”即可。
拒绝用户访问：要想拒绝用户Chenfeng访问CCE目录及其所有子目录中的文件，运行“Cacls
CCE
/t
/e
/c
/d
Chenfeng”即可。
以上只是简单介绍Cacls命令的使用，建议大家亲自尝试一下，你会发现它还有很多奇妙的功能。

很复杂，大致在有users、everyone等帐户写和执行的目录。
以及c:\windows\system32下的一些exe只允许administrators和system访问。
你可以到护卫神V课堂看下视频教程。

办公室局域网共享设置的全部方法，
一，共享的前提工作：
1更改不同的计算机名，设置相同的工作组！
2我的电脑右键－管理－计算机管理－本地用户和组－用户：更改管理员用户名
3手动设置IP，将ip设置在同一个网段，子网掩码和DNS解析相同及选上Microsoft网络的文件和打印机共享；
4如何设置DNS解析：首先你可以使用自动获取，然后在开始－运行里面输入cmd后回车，在命令里面输入ipconfig/all后回车
5运行里输入servicesmsc回车打开服务
二：共享的准备工作（注意设置完成后最好重启一下生效）：
1开始－设置－控制面板－防火墙－例外－勾选“文件和打印机共享”！当然你也可以关闭防火墙。
2运行里面输入secpolmsc回车进入本地安全设置－本地策略－安全选项
将“网络访问：不允许SAM账户的匿名枚举”停用 注意此点只对来宾起效，将在第六章说到。将“账户：使用空白密码的本地账户只允许进行控制台登录”停用
3双击我的电脑打开资源管理器－工具－文件夹选项－查看－将“使用简单的文件夹共享”前面的勾去除！
4设置共享文件夹或共享盘符（我这里设置D盘为共享盘符，当然你可以自己设置磁盘里面的任意文件夹为共享文件）
打开资源管理器－右键D盘－共享和安全－左键点选打开
注意：经过上两个图的共享资源设置，偶们进入对方的机子只有“只读”权限，只能看不能动的哦！
这可是XP默认的这安全性呵呵！当然你可以设置完全控制。这样你就可以为所欲为了哈哈。
三：用管理员登录的局域网共享方式
经过上面两章的设置，我们已经可以访问计算机today了
1在主机中双击网上邻居－工作组计算机
2双击today或是右键打开
3还有一个更快捷的访问方法就是在主机的地址栏里面直接输入\\today后回车，出现的界面和上面相同。
4在登录框输入用户名play和密码（这里密码为空，所以不用输入），确定后就进入today的共享盘符了
小提示：以后我们再次登录today的时候就不用再输入用户名和密码了呵呵
四：以来宾登录的局域网共享方式
经过第一和第二两的设置，我们还要进一步设置才能做到来宾共享
1“我的电脑”右键－管理－本地用户和组－用户－启用来宾（注意：在这里启用来宾的效果和在控制面板－用户账户里面启用来宾是一样的。区别就是在此启用后面板里面的来宾还是显示没有启用的，而在面板里面启用来宾的话这里也就启用了。）
2运行里输入secpolmsc启动“本地安全设置”－“用户权利指派”－将“拒绝从网络访问这台计算机”里面的guest用户删除。
3运行里输入secpolmsc启动“本地安全设置”－“安全选项”－“网络访问：本地账户的共享和安全模式”－将“经典”改为“仅来宾”。
4运行里输入secpolmsc启动“本地安全设置”－“用户权利指派”－将“拒绝作为服务器和批作业”里面的用户删除
注意：以上设置需重启后生效
5我们现在可以象第三章的进入方法进入today的共享资源了。
区别就是来宾登录的共享方式没有d出登录框，不用输入用户名和密码就可以直接进入了。
小提示：从以上的设置方法我们可以看出，管理员登录的共享方式是狭义的共享，而来宾登录的共享方式就是广义的共享。
可以这么说：来宾共享里面已经包含了管理员共享的方式。不过启用来宾登录的方式就去除了管理员登录的方式了呵呵
第五章：用磁盘映射，将today的共享资源直接映射到主机中。
以后在主机资源管理器里面就可以直接打开了。前提就是today在局域网内也必须开机。
1在主机中右键“网上邻居”－点选“映射网络驱动器”
2浏览today的共享盘符
3完成后在主机里面出现了today的共享盘符
六：局域网访问常见的故障及解决方法
1访问对方电脑时不d出用户名框，打不开对方电脑上的共享文件夹
原因为本机的管理员用户名为Administrator,将其改为任意名即可！
注意:这个现象是用来宾登录的共享方式才会出现的。！
2访问对方机子时，登录对话框中的用户名始终为灰色的guest不可选
解决方法：本地策略－安全选项－“网络访问：本地账户的共享和安全模式”改为“经典－本地用户以自己的身份验证”即可！
注意:以上这种现象是用来宾登录的共享方式以后，我们不注意禁用了来宾才出现的。禁用了来宾后我们就变成了以管理员登录的共享方式了呵呵！
3以管理员登录的共享方式登录对方的机子时出现没有权限使用网络资源的现象
这是我们正常的共享使用之中因为在安装某些安全软件的时候给关闭了。我们只要再次把“使用简单的文件共享”前面的勾去除即可！
4以来宾登录的共享方式在局域网使用中突然也会出现第3点的情况。原因也是使用了某些安全软件把我们的SAM账户恢复为默认的启用状态了。
我们只要进入组策略禁用后重启即可！
友情提示：需要注意的是我们安装有些软件比如金山杀毒软件，它会关闭了我们的共享设置里面的某些服务导致不能正常共享。我们只要按照以上各章的设置和本章的设置就可以解决了。
七：增加局域网安全性，为来宾用户设置密码。
其实我们在第二章的共享盘符设置里面已经提到权限的设置了,默认是只读这本

---