本節(jié)提供了下列分步指導來幫助您確保 Web 站點和虛擬目錄安全：

• 將 Web 站點移至非系統(tǒng)驅(qū)動器

• 禁用父路徑設置

• 配置 Web 站點權限


將 Web 站點移至非系統(tǒng)驅(qū)動器
請不要使用默認的 \inetpub\wwwroot 目錄保存 Web 站點內(nèi)容。例如，假如系統(tǒng)安裝在 C 盤，請考慮將 Web 站點和內(nèi)容目錄移至 D 盤，這可緩解目錄遍歷帶來的風險，防止攻擊者瀏覽 Web 服務器的目錄結(jié)構(gòu)。

要求

• 憑據(jù)：您必須以 Web 服務器 Administrators 組成員的身份登錄。

• 工具：Internet 服務治理器，命令提示符。

• 將 Web 站點移至非系統(tǒng)驅(qū)動器

1.
單擊“開始”>“程序”>“治理工具”>“Internet 服務治理器”。

2.
右鍵單擊要移動內(nèi)容的 Web 站點，單擊“停止”。

3.
在任務欄中，單擊“開始”，單擊“運行”，然后鍵入 cmd，單擊“確定”。

4.
在命令提示符中鍵入下列命令：

xcopy c:\inetpub\wwwroot\<site name>
<drive>:\wwwroot\<site name> /s /i /o

5.
返回 Internet 服務治理器治理單元。

6.
右鍵單擊 Web 站點，單擊“屬性”。

7.
單擊“主目錄”選項卡，單擊“瀏覽”，找到剛才已復制的文件的新目錄位置。

8.
右鍵單擊 Web 站點，單擊“開始”。



驗證新的設置

驗證本地計算機是否應用了正確的安全設置。

• 驗證是否已將 Web 站點內(nèi)容移至非系統(tǒng)驅(qū)動器或文件夾

1.
單擊“開始”>“程序”>“治理工具”>“Internet 服務治理器”。

2.
右鍵單擊包含移動內(nèi)容的 Web 站點，單擊“屬性”。

3.
單擊“主目錄”選項卡，確認“本地路徑”中是否包含文件的新位置，然后單擊“確定”。



禁用父路徑設置
IIS 元數(shù)據(jù)庫設置可防止在腳本和應用程序調(diào)用中使用父路徑。禁用父路徑有助于防御目錄遍歷攻擊。下例顯示了 ASP 文件中的父路徑：

<!--#include file="../<filename.ext>"-->

一旦禁用父路徑，ASP 文件將包含下面格式的路徑聲明：

<!--#include virtual="/<virtual path>/<filename.ext>"-->

其中，<virtual path> 是文件駐留在 Web 服務器中的虛擬目錄的名稱。

要求

• 憑據(jù)：您必須以 Web 服務器 Administrators 組成員的身份登錄。

• 工具：Internet 服務治理器

• 禁用父路徑

1.
單擊“開始”>“程序”>“治理工具”>“Internet 服務治理器”。

2.
右鍵單擊 Web 站點的根目錄，單擊“屬性”。

3.
單擊“主目錄”選項卡，單擊“配置”。

4.
單擊“應用程序選項”選項卡，清除“啟用父路徑”復選框。



驗證新的設置

驗證本地計算機是否應用了正確的安全設置。

• 驗證是否已禁用父路徑

1.
單擊“開始”>“程序”>“治理工具”>“Internet 服務治理器”。

2.
右鍵單擊 Web 站點的根目錄，單擊“屬性”。

3.
單擊“主目錄”選項卡，單擊“配置”。

4.
單擊“應用程序選項”選項卡，確保“啟用父路徑”復選框已清除，然后單擊“確定”。



設置 Web 站點權限
您可以針對特定站點、目錄和文件配置 Web 服務器訪問權限。這些權限適用于所有用戶，無論用戶的具體訪問權限如何。

配置文件系統(tǒng)目錄的權限
Internet 信息服務依靠 NTFS 權限使各文件和目錄拒絕未經(jīng)授權的訪問，從而確保了安全性。與 Web 站點權限（應用于所有用戶）不同，NTFS 權限精確定義了有 Web 站點內(nèi)容訪問權限的具體用戶，以及用戶如何處理這些內(nèi)容。

查看更多 動易Cms教程  動易Cms模板