從以往的知識(shí)中，我們了解到僅啟用在您的 IIS 服務(wù)器環(huán)境下運(yùn)行的站點(diǎn)和應(yīng)用軟件所必需的 Web 服務(wù)擴(kuò)展，通過(guò)最大限度精簡(jiǎn)服務(wù)器的功能，可以減少每個(gè) IIS 服務(wù)器的受攻擊面，從而增強(qiáng)了安全性。

Windows Server 2003 將檢查 NTFS 文件系統(tǒng)的權(quán)限,以確定用戶或進(jìn)程對(duì)特定文件或文件夾具有的訪問(wèn)權(quán)限類(lèi)型。

您應(yīng)該分配相應(yīng)的 NTFS 權(quán)限，以便在本指南定義的三種環(huán)境下，允許或拒絕特定用戶對(duì) IIS 服務(wù)器上站點(diǎn)的訪問(wèn)。

NTFS 訪問(wèn)權(quán)限應(yīng)當(dāng)與 Web 訪問(wèn)權(quán)限協(xié)同使用，而不是取代 Web 權(quán)限。NTFS 權(quán)限只影響那些已經(jīng)被允許或被拒絕訪問(wèn)站點(diǎn)和應(yīng)用程序內(nèi)容的帳戶。Web 權(quán)限則影響所有訪問(wèn)站點(diǎn)或應(yīng)用程序的用戶。如果站點(diǎn)權(quán)限與 NTFS 權(quán)限在某個(gè)文件夾或目錄上發(fā)生沖突，限制性更強(qiáng)的設(shè)置將生效。

對(duì)于不允許匿名訪問(wèn)的站點(diǎn)和應(yīng)用程序，匿名帳戶訪問(wèn)將被明確拒絕。當(dāng)沒(méi)有經(jīng)過(guò)身份驗(yàn)證的用戶訪問(wèn)系統(tǒng)資源時(shí)，就是匿名訪問(wèn)。匿名帳戶包括內(nèi)置“Guest”帳戶、“Guests”組和“IIS Anonymous”帳戶。此外，除了 IIS 管理員之外，對(duì)其它任何用戶都應(yīng)該清除所有的寫(xiě)權(quán)限。

下表提供了關(guān)于 NTFS 權(quán)限的一些建議，這些權(quán)限將應(yīng)用于 IIS 服務(wù)器上不同的文件類(lèi)型。不同的文件類(lèi)型可以被組織在不同的文件夾中，以簡(jiǎn)化應(yīng)用 NTFS 權(quán)限的過(guò)程。

NTFS 權(quán)限

文件類(lèi)型 建議的 NTFS 權(quán)限
CGI 文件（.exe、.dll、.cmd、.pl）
Everyone（執(zhí)行）
Administrators（完全控制）
System（完全控制）

腳本文件 (.asp)
Everyone（執(zhí)行）
Administrators（完全控制）
System（完全控制）

包含文件（.inc、.shtm、.shtml）
Everyone（執(zhí)行）
Administrators（完全控制）
System（完全控制）

靜態(tài)內(nèi)容（.txt、.gif、.jpg、.htm、.html）
Everyone（只讀）
Administrators（完全控制）
System（完全控制）

IIS 服務(wù)器的設(shè)置 NTFS 權(quán)限知識(shí)，我們就說(shuō)到這里。

【編輯推薦】

1. IIS 服務(wù)器在專用磁盤(pán)卷中放置內(nèi)容
2. 學(xué)習(xí)IIS 服務(wù)器中的一些安全設(shè)置知識(shí)
3. IIS 服務(wù)器向Windows Server 2003中添加Web服務(wù)器功能
4. IIS 服務(wù)器拒絕通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)
5. IIS 服務(wù)器4項(xiàng)知識(shí)分析講解