IIS网站安全控制

当我们基于IIS发布Web应用的时候，对主目录、上传目录、具备可执行的特定文件类型执行权限等关闭不及时，可能会引发安全问题，进而成为安全隐患，今日我们就这一主题进行探讨。

约定：

　　OS:Win10（自win2012及以上版本，本文设置方法适用）

　　OS管理员账号:administrator

　　试验目录：D:/WWW/ABC（主目录）,D:/WWW/ABC/Web（应用目录）,D:WWW/ABC/Web/UploadFiles（上传目录）

1.主目录权限配置

　　a.找到主目录右键打开属性弹窗，切换到安全页签，点击高级按钮，点击底部的禁用按钮；删除所有的自定义权限配置；最后添加administrator账号，其权限配置为读取、写入（系统发布更新时候会用到，因此需要开通这两权限）；

   　　

 

　　b.添加IUSER、IIS_IUSERS 两个账号，保留一下截图中的权限，其他权限统统关闭

　　　　

 

 2.应用目录权限配置

　　a.右键目录，再安全页签-高级下面先禁用继承、删除自定义权限；再启用继承，以启用主目录权限配置

 3.上传目录权限配置

　　a.由于应用目录继承于主目录，因此上传目录也需要删除自定权限、默认权限；在属性弹窗高级里面先停用继承，再重新启用继承；

　　b.上传目录右键弹窗的安全页签里面点击编辑，分别给IUSER、IIS_IUSERS启用写入权限，以确保上传目录可以上传

 4.关闭可执行文件的执行权限

　　通过以上设置服务的写入、执行权限基本得到了控制，同时在非上传目录比如Content关闭脚本执行权限，具体如下：

　　　　a.找到非上传目录处理程序映射配置界面

　　　　　　

 

 　　　　b.找到功能权限

　　　　　　

 

 　　　　c.关闭功能执行权限

　　　　　　

　　通过以上配置基本实现了具备可执行能力文件的执行权限，但由于每次都会发布，甚至会覆盖已有配置，为避免覆盖操作导致功能权限处于启用状态，建议应通过代码进行解决，具体操作如下：

　　 在发布出去的应用目录的子目录面下面新建Web.config文件，配置文件内容如下（配置的目和发挥的作用同上）

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <handlers accessPolicy="Read" />
    </system.webServer>
</configuration>

　　至此基本完成了IIS站点服务端的权限控制、实现了系统可正常部署、上传文件、防止后门文件执行的控制。