以win2003操作系统,硬盘采用NTFS文件系统为例。
网站的权限设置包含两部分:主要是网站文件夹与文件的访问权限,其次是IIS中的internet匿名用户的访问权限。
一、网站文件夹与文件访问权限的设置
假设ASP网站在以下文件夹中:web 、bbs,我们称其为网站根文件夹。
1、相同的设置
(1)本地用户一般都要对站点内的文件夹和文件进行维护,所以所有的文件夹和文件必须给予本地超级用户完全控制的权限(不要忘记给超级用户设置强大的密码)。
(2)我们知道网站中大部分文件都是asp程序,这些文件必须具有“读取和运行”的权限。所以要给web、bbs根文件夹添加internet来宾用户,设置读取和运行的权限,并让它们底下的所有子文件夹和文件继承到这个权限。(请注意:先不要取消子文件夹的继承权——特殊的毕竟是“少数分子”,我们后面来个别对付它们)
(3)所有的文件夹只保留administrator和internet来客用户,其它的用户都删除。[注意:如果同时有.net环境还需要USERS用户!]
使权限可编辑的操作方法:文件夹的权限默认是继承来的,而继承的权限不能直接编辑。操作方法如下,以web为例,打开该文件夹的属性对话框,点击“安全”标签,点击“高级”按钮,把“允许把来自父系的可继承权限传播给该对象”的复选框中的钩去掉,然后,又会弹出一对话框,点击“复制”,这样,这个文件夹就复制到了默认的那些权限(不是继承的),就可以编辑了。
2、web的设置
如上所述,现在,web站点内的所有文件internet来客用户都有“读取和运行”的权限。在此基础上,需要进行特别设置的有(不作特别说明,都指internet来客用户):
database、 count:再添加“修改”的权限。
各频道(如article)内的UploadFiles和js文件夹:添加“修改”权限。
4、动网BBS:Data、UploadFiles、UploadFaces、Dv_ForumNews这几个文件夹都添加“修改”的权限。
5、再次强调:那些需要写入/修改权限的只是被改动的文件或文件夹,比如数据库文件、数据库文件夹;用来进行数据库操作的asp文件不需要设置为修改/写入权限,它们只需要统一设置为读取和运行!
二、IIS中的internet匿名用户访问权限的设置
一般地,IIS中,Asp网站中大多数的文件夹和文件要给予internet匿名用户“读取”和“纯脚本”的执行许可,切记不能选“写入”,其它的用默认设置。
但是,对那些在文件夹权限设置时,给了internet来客用户“修改”权的,要在IIS中重新设置它们的“执行许可”权:如果文件夹中没有asp 和js文件的(如:data、UploadFiles),钩选“读取”,执行许可都设置为“无”,即不允许任何脚本运行。这样,即使这个文件夹中被写入了恶意程序,也不能运行。