本節(jié)提供了下列分步指導(dǎo)來(lái)幫助您確保 Web 站點(diǎn)和虛擬目錄安全：

• 將 Web 站點(diǎn)移至非系統(tǒng)驅(qū)動(dòng)器

• 禁用父路徑設(shè)置

• 配置 Web 站點(diǎn)權(quán)限


將 Web 站點(diǎn)移至非系統(tǒng)驅(qū)動(dòng)器
請(qǐng)不要使用默認(rèn)的 \inetpub\wwwroot 目錄保存 Web 站點(diǎn)內(nèi)容。例如，假如系統(tǒng)安裝在 C 盤(pán)，請(qǐng)考慮將 Web 站點(diǎn)和內(nèi)容目錄移至 D 盤(pán)，這可緩解目錄遍歷帶來(lái)的風(fēng)險(xiǎn)，防止攻擊者瀏覽 Web 服務(wù)器的目錄結(jié)構(gòu)。

要求

• 憑據(jù)：您必須以 Web 服務(wù)器 Administrators 組成員的身份登錄。

• 工具：Internet 服務(wù)治理器，命令提示符。

• 將 Web 站點(diǎn)移至非系統(tǒng)驅(qū)動(dòng)器

1.
單擊“開(kāi)始”>“程序”>“治理工具”>“Internet 服務(wù)治理器”。

2.
右鍵單擊要移動(dòng)內(nèi)容的 Web 站點(diǎn)，單擊“停止”。

3.
在任務(wù)欄中，單擊“開(kāi)始”，單擊“運(yùn)行”，然后鍵入 cmd，單擊“確定”。

4.
在命令提示符中鍵入下列命令：

xcopy c:\inetpub\wwwroot\<site name>
<drive>:\wwwroot\<site name> /s /i /o

5.
返回 Internet 服務(wù)治理器治理單元。

6.
右鍵單擊 Web 站點(diǎn)，單擊“屬性”。

7.
單擊“主目錄”選項(xiàng)卡，單擊“瀏覽”，找到剛才已復(fù)制的文件的新目錄位置。

8.
右鍵單擊 Web 站點(diǎn)，單擊“開(kāi)始”。



驗(yàn)證新的設(shè)置

驗(yàn)證本地計(jì)算機(jī)是否應(yīng)用了正確的安全設(shè)置。

• 驗(yàn)證是否已將 Web 站點(diǎn)內(nèi)容移至非系統(tǒng)驅(qū)動(dòng)器或文件夾

1.
單擊“開(kāi)始”>“程序”>“治理工具”>“Internet 服務(wù)治理器”。

2.
右鍵單擊包含移動(dòng)內(nèi)容的 Web 站點(diǎn)，單擊“屬性”。

3.
單擊“主目錄”選項(xiàng)卡，確認(rèn)“本地路徑”中是否包含文件的新位置，然后單擊“確定”。



禁用父路徑設(shè)置
IIS 元數(shù)據(jù)庫(kù)設(shè)置可防止在腳本和應(yīng)用程序調(diào)用中使用父路徑。禁用父路徑有助于防御目錄遍歷攻擊。下例顯示了 ASP 文件中的父路徑：

<!--#include file="../<filename.ext>"-->

一旦禁用父路徑，ASP 文件將包含下面格式的路徑聲明：

<!--#include virtual="/<virtual path>/<filename.ext>"-->

其中，<virtual path> 是文件駐留在 Web 服務(wù)器中的虛擬目錄的名稱(chēng)。

要求

• 憑據(jù)：您必須以 Web 服務(wù)器 Administrators 組成員的身份登錄。

• 工具：Internet 服務(wù)治理器

• 禁用父路徑

1.
單擊“開(kāi)始”>“程序”>“治理工具”>“Internet 服務(wù)治理器”。

2.
右鍵單擊 Web 站點(diǎn)的根目錄，單擊“屬性”。

3.
單擊“主目錄”選項(xiàng)卡，單擊“配置”。

4.
單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡，清除“啟用父路徑”復(fù)選框。



驗(yàn)證新的設(shè)置

驗(yàn)證本地計(jì)算機(jī)是否應(yīng)用了正確的安全設(shè)置。

• 驗(yàn)證是否已禁用父路徑

1.
單擊“開(kāi)始”>“程序”>“治理工具”>“Internet 服務(wù)治理器”。

2.
右鍵單擊 Web 站點(diǎn)的根目錄，單擊“屬性”。

3.
單擊“主目錄”選項(xiàng)卡，單擊“配置”。

4.
單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡，確�！皢⒂酶嘎窂健睆�(fù)選框已清除，然后單擊“確定”。



設(shè)置 Web 站點(diǎn)權(quán)限
您可以針對(duì)特定站點(diǎn)、目錄和文件配置 Web 服務(wù)器訪(fǎng)問(wèn)權(quán)限。這些權(quán)限適用于所有用戶(hù)，無(wú)論用戶(hù)的具體訪(fǎng)問(wèn)權(quán)限如何。

配置文件系統(tǒng)目錄的權(quán)限
Internet 信息服務(wù)依靠 NTFS 權(quán)限使各文件和目錄拒絕未經(jīng)授權(quán)的訪(fǎng)問(wèn)，從而確保了安全性。與 Web 站點(diǎn)權(quán)限（應(yīng)用于所有用戶(hù)）不同，NTFS 權(quán)限精確定義了有 Web 站點(diǎn)內(nèi)容訪(fǎng)問(wèn)權(quán)限的具體用戶(hù)，以及用戶(hù)如何處理這些內(nèi)容。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板