通常，您將看到下面的消息：

訪問被拒絕。



設(shè)置 IIS 元數(shù)據(jù)庫權(quán)限
IIS 元數(shù)據(jù)庫是一種二進制文件，其中包括了大多數(shù)的 IIS 配置信息。只有 Administrators 組的成員和 LocalSystem 帳戶才有完全控制元數(shù)據(jù)庫的權(quán)限。您必須審核 Everyone 組成員的所有元數(shù)據(jù)庫訪問操作，這一點非常重要。

本節(jié)提供了下列分步指導來幫助您配置 IIS 元數(shù)據(jù)庫：

• 限制 MetaBase.bin 文件的訪問權(quán)限

• 審核 MetaBase.bin 文件的訪問權(quán)限

• 禁用 FileSystemObject 組件


要求

• 憑據(jù)：您必須以 Web 服務(wù)器 Administrators 組成員的身份登錄。

• 工具：我的電腦。

• 限制 MetaBase.bin 文件的訪問權(quán)限

1.
右鍵單擊桌面的“我的電腦”，單擊“資源治理器”。

2.
查找 C:\WINNT\system32\inetsrv\MetaBase.bin 文件，右鍵單擊文件，然后單擊“屬性”。

3.
在“安全”選項卡中，刪除元數(shù)據(jù)庫的所有文件權(quán)限，然后將“完全控制”權(quán)限僅授予 Administrators 和 LocalSystem。


• 審核 MetaBase.bin 文件的訪問權(quán)限

1.
右鍵單擊桌面的“我的電腦”，單擊“資源治理器”。

2.
查找 C:\WINNT\system32\inetsrv\MetaBase.bin 文件，右鍵單擊文件，然后單擊“屬性”。

3.
單擊“安全”選項卡，單擊“高級”，單擊“審核”，最后單擊“添加”。

4.
選擇“Everyone”，單擊“添加”，然后單擊“確定”。

5.
為下列訪問類型選擇“答應(yīng)”或“拒絕”，然后單擊“確定”。

• 遍歷文件夾/運行文件

• 列出文件夾/讀取數(shù)據(jù)

• 創(chuàng)建文件/寫入數(shù)據(jù)




驗證新的設(shè)置

驗證本地計算機是否應(yīng)用了正確的安全設(shè)置來審核并限制 MetaBase.bin 文件的訪問權(quán)限。

• 驗證是否已限制 MetaBase.bin 文件的訪問權(quán)限

1.
按 Ctrl Alt Del 組合鍵，單擊“注銷”。

2.
使用沒有 MetaBase.bin 文件訪問權(quán)限的帳戶登錄 Web 服務(wù)器。

3.
右鍵單擊“我的電腦”，單擊“資源治理器”，查找 MetaBase.bin 的地址。

4.
右鍵單擊 MetaBase.bin 文件，單擊“打開”。
您將看到下面的消息：

訪問被拒絕。



禁用 FileSystemObject 組件
ASP、Windows 腳本宿主和其他腳本應(yīng)用程序都使用 FileSystemObject (FSO) 組件來創(chuàng)建、刪除和獲取相關(guān)信息并操作驅(qū)動程序、文件夾和文件。請考慮禁用 FSO 組件，但注重這將刪除字典對象。此外，請確認沒有其他程序必須使用該組件。

要求

• 憑據(jù)：您必須以 Web 服務(wù)器 Administrators 組成員的身份登錄。

• 工具：命令提示符。

• 禁用 FileSystemObject 組件

1.
單擊“開始”>“運行”，在“打開”字段鍵入 cmd，單擊“確定”。

2.
將目錄更改到 C:\WINNT\system32。

3.
在命令提示符中，鍵入 regsvr32 scrrun.dll /u，然后按 Enter。
您將看到下面的消息：

DllUnregisterServer in scrrun.dll succeeded.

4.
單擊“確定”。

5.
在命令提示符中，鍵入 exit，關(guān)閉命令提示符窗口。



返回頁首
確保 Web 站點和虛擬目錄的安全
將 Web 根目錄和虛擬目錄重新分配到非系統(tǒng)分區(qū)可使它們免受目錄遍歷 (directory traversal) 攻擊。攻擊者利用這種攻擊可執(zhí)行運行操作系統(tǒng)的程序和工具。由于不可能跨驅(qū)動器遍歷，因此將 Web 站點內(nèi)容重新分配到其他驅(qū)動器可增強防御此攻擊的能力。

查看更多 動易Cms教程  動易Cms模板