通常，您將看到下面的消息：

訪問(wèn)被拒絕。



設(shè)置 IIS 元數(shù)據(jù)庫(kù)權(quán)限
IIS 元數(shù)據(jù)庫(kù)是一種二進(jìn)制文件，其中包括了大多數(shù)的 IIS 配置信息。只有 Administrators 組的成員和 LocalSystem 帳戶才有完全控制元數(shù)據(jù)庫(kù)的權(quán)限。您必須審核 Everyone 組成員的所有元數(shù)據(jù)庫(kù)訪問(wèn)操作，這一點(diǎn)非常重要。

本節(jié)提供了下列分步指導(dǎo)來(lái)幫助您配置 IIS 元數(shù)據(jù)庫(kù)：

• 限制 MetaBase.bin 文件的訪問(wèn)權(quán)限

• 審核 MetaBase.bin 文件的訪問(wèn)權(quán)限

• 禁用 FileSystemObject 組件


要求

• 憑據(jù)：您必須以 Web 服務(wù)器 Administrators 組成員的身份登錄。

• 工具：我的電腦。

• 限制 MetaBase.bin 文件的訪問(wèn)權(quán)限

1.
右鍵單擊桌面的“我的電腦”，單擊“資源治理器”。

2.
查找 C:\WINNT\system32\inetsrv\MetaBase.bin 文件，右鍵單擊文件，然后單擊“屬性”。

3.
在“安全”選項(xiàng)卡中，刪除元數(shù)據(jù)庫(kù)的所有文件權(quán)限，然后將“完全控制”權(quán)限僅授予 Administrators 和 LocalSystem。


• 審核 MetaBase.bin 文件的訪問(wèn)權(quán)限

1.
右鍵單擊桌面的“我的電腦”，單擊“資源治理器”。

2.
查找 C:\WINNT\system32\inetsrv\MetaBase.bin 文件，右鍵單擊文件，然后單擊“屬性”。

3.
單擊“安全”選項(xiàng)卡，單擊“高級(jí)”，單擊“審核”，最后單擊“添加”。

4.
選擇“Everyone”，單擊“添加”，然后單擊“確定”。

5.
為下列訪問(wèn)類(lèi)型選擇“答應(yīng)”或“拒絕”，然后單擊“確定”。

• 遍歷文件夾/運(yùn)行文件

• 列出文件夾/讀取數(shù)據(jù)

• 創(chuàng)建文件/寫(xiě)入數(shù)據(jù)




驗(yàn)證新的設(shè)置

驗(yàn)證本地計(jì)算機(jī)是否應(yīng)用了正確的安全設(shè)置來(lái)審核并限制 MetaBase.bin 文件的訪問(wèn)權(quán)限。

• 驗(yàn)證是否已限制 MetaBase.bin 文件的訪問(wèn)權(quán)限

1.
按 Ctrl Alt Del 組合鍵，單擊“注銷(xiāo)”。

2.
使用沒(méi)有 MetaBase.bin 文件訪問(wèn)權(quán)限的帳戶登錄 Web 服務(wù)器。

3.
右鍵單擊“我的電腦”，單擊“資源治理器”，查找 MetaBase.bin 的地址。

4.
右鍵單擊 MetaBase.bin 文件，單擊“打開(kāi)”。
您將看到下面的消息：

訪問(wèn)被拒絕。



禁用 FileSystemObject 組件
ASP、Windows 腳本宿主和其他腳本應(yīng)用程序都使用 FileSystemObject (FSO) 組件來(lái)創(chuàng)建、刪除和獲取相關(guān)信息并操作驅(qū)動(dòng)程序、文件夾和文件。請(qǐng)考慮禁用 FSO 組件，但注重這將刪除字典對(duì)象。此外，請(qǐng)確認(rèn)沒(méi)有其他程序必須使用該組件。

要求

• 憑據(jù)：您必須以 Web 服務(wù)器 Administrators 組成員的身份登錄。

• 工具：命令提示符。

• 禁用 FileSystemObject 組件

1.
單擊“開(kāi)始”>“運(yùn)行”，在“打開(kāi)”字段鍵入 cmd，單擊“確定”。

2.
將目錄更改到 C:\WINNT\system32。

3.
在命令提示符中，鍵入 regsvr32 scrrun.dll /u，然后按 Enter。
您將看到下面的消息：

DllUnregisterServer in scrrun.dll succeeded.

4.
單擊“確定”。

5.
在命令提示符中，鍵入 exit，關(guān)閉命令提示符窗口。



返回頁(yè)首
確保 Web 站點(diǎn)和虛擬目錄的安全
將 Web 根目錄和虛擬目錄重新分配到非系統(tǒng)分區(qū)可使它們免受目錄遍歷 (directory traversal) 攻擊。攻擊者利用這種攻擊可執(zhí)行運(yùn)行操作系統(tǒng)的程序和工具。由于不可能跨驅(qū)動(dòng)器遍歷，因此將 Web 站點(diǎn)內(nèi)容重新分配到其他驅(qū)動(dòng)器可增強(qiáng)防御此攻擊的能力。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板