從以往的知識中，我們了解到僅啟用在您的 IIS 服務(wù)器環(huán)境下運行的站點和應(yīng)用軟件所必需的 Web 服務(wù)擴展，通過最大限度精簡服務(wù)器的功能，可以減少每個 IIS 服務(wù)器的受攻擊面，從而增強了安全性。

Windows Server 2003 將檢查 NTFS 文件系統(tǒng)的權(quán)限,以確定用戶或進程對特定文件或文件夾具有的訪問權(quán)限類型。

您應(yīng)該分配相應(yīng)的 NTFS 權(quán)限，以便在本指南定義的三種環(huán)境下，允許或拒絕特定用戶對 IIS 服務(wù)器上站點的訪問。

NTFS 訪問權(quán)限應(yīng)當(dāng)與 Web 訪問權(quán)限協(xié)同使用，而不是取代 Web 權(quán)限。NTFS 權(quán)限只影響那些已經(jīng)被允許或被拒絕訪問站點和應(yīng)用程序內(nèi)容的帳戶。Web 權(quán)限則影響所有訪問站點或應(yīng)用程序的用戶。如果站點權(quán)限與 NTFS 權(quán)限在某個文件夾或目錄上發(fā)生沖突，限制性更強的設(shè)置將生效。

對于不允許匿名訪問的站點和應(yīng)用程序，匿名帳戶訪問將被明確拒絕。當(dāng)沒有經(jīng)過身份驗證的用戶訪問系統(tǒng)資源時，就是匿名訪問。匿名帳戶包括內(nèi)置“Guest”帳戶、“Guests”組和“IIS Anonymous”帳戶。此外，除了 IIS 管理員之外，對其它任何用戶都應(yīng)該清除所有的寫權(quán)限。

下表提供了關(guān)于 NTFS 權(quán)限的一些建議，這些權(quán)限將應(yīng)用于 IIS 服務(wù)器上不同的文件類型。不同的文件類型可以被組織在不同的文件夾中，以簡化應(yīng)用 NTFS 權(quán)限的過程。

NTFS 權(quán)限

文件類型 建議的 NTFS 權(quán)限
CGI 文件（.exe、.dll、.cmd、.pl）
Everyone（執(zhí)行）
Administrators（完全控制）
System（完全控制）

腳本文件 (.asp)
Everyone（執(zhí)行）
Administrators（完全控制）
System（完全控制）

包含文件（.inc、.shtm、.shtml）
Everyone（執(zhí)行）
Administrators（完全控制）
System（完全控制）

靜態(tài)內(nèi)容（.txt、.gif、.jpg、.htm、.html）
Everyone（只讀）
Administrators（完全控制）
System（完全控制）

IIS 服務(wù)器的設(shè)置 NTFS 權(quán)限知識，我們就說到這里。

【編輯推薦】

1. IIS 服務(wù)器在專用磁盤卷中放置內(nèi)容
2. 學(xué)習(xí)IIS 服務(wù)器中的一些安全設(shè)置知識
3. IIS 服務(wù)器向Windows Server 2003中添加Web服務(wù)器功能
4. IIS 服務(wù)器拒絕通過網(wǎng)絡(luò)訪問該計算機
5. IIS 服務(wù)器4項知識分析講解