确保 Internet 信息服务 5.0 和 5.1 的安全(9)_动易Cms教程

通常，您将看到下面的消息：

访问被拒绝。



设置 IIS 元数据库权限
IIS 元数据库是一种二进制文件，其中包括了大多数的 IIS 配置信息。只有 Administrators 组的成员和 LocalSystem 帐户才有完全控制元数据库的权限。您必须审核 Everyone 组成员的所有元数据库访问操作，这一点非常重要。

本节提供了下列分步指导来帮助您配置 IIS 元数据库：

• 限制 MetaBase.bin 文件的访问权限

• 审核 MetaBase.bin 文件的访问权限

• 禁用 FileSystemObject 组件


要求

• 凭据：您必须以 Web 服务器 Administrators 组成员的身份登录。

• 工具：我的电脑。

• 限制 MetaBase.bin 文件的访问权限

1.
右键单击桌面的“我的电脑”，单击“资源治理器”。

2.
查找 C:\WINNT\system32\inetsrv\MetaBase.bin 文件，右键单击文件，然后单击“属性”。

3.
在“安全”选项卡中，删除元数据库的所有文件权限，然后将“完全控制”权限仅授予 Administrators 和 LocalSystem。


• 审核 MetaBase.bin 文件的访问权限

1.
右键单击桌面的“我的电脑”，单击“资源治理器”。

2.
查找 C:\WINNT\system32\inetsrv\MetaBase.bin 文件，右键单击文件，然后单击“属性”。

3.
单击“安全”选项卡，单击“高级”，单击“审核”，最后单击“添加”。

4.
选择“Everyone”，单击“添加”，然后单击“确定”。

5.
为下列访问类型选择“答应”或“拒绝”，然后单击“确定”。

• 遍历文件夹/运行文件

• 列出文件夹/读取数据

• 创建文件/写入数据




验证新的设置

验证本地计算机是否应用了正确的安全设置来审核并限制 MetaBase.bin 文件的访问权限。

• 验证是否已限制 MetaBase.bin 文件的访问权限

1.
按 Ctrl Alt Del 组合键，单击“注销”。

2.
使用没有 MetaBase.bin 文件访问权限的帐户登录 Web 服务器。

3.
右键单击“我的电脑”，单击“资源治理器”，查找 MetaBase.bin 的地址。

4.
右键单击 MetaBase.bin 文件，单击“打开”。
您将看到下面的消息：

访问被拒绝。



禁用 FileSystemObject 组件
ASP、Windows 脚本宿主和其他脚本应用程序都使用 FileSystemObject (FSO) 组件来创建、删除和获取相关信息并操作驱动程序、文件夹和文件。请考虑禁用 FSO 组件，但注重这将删除字典对象。此外，请确认没有其他程序必须使用该组件。

要求

• 凭据：您必须以 Web 服务器 Administrators 组成员的身份登录。

• 工具：命令提示符。

• 禁用 FileSystemObject 组件

1.
单击“开始”>“运行”，在“打开”字段键入 cmd，单击“确定”。

2.
将目录更改到 C:\WINNT\system32。

3.
在命令提示符中，键入 regsvr32 scrrun.dll /u，然后按 Enter。
您将看到下面的消息：

DllUnregisterServer in scrrun.dll succeeded.

4.
单击“确定”。

5.
在命令提示符中，键入 exit，关闭命令提示符窗口。



返回页首
确保 Web 站点和虚拟目录的安全
将 Web 根目录和虚拟目录重新分配到非系统分区可使它们免受目录遍历 (directory traversal) 攻击。攻击者利用这种攻击可执行运行操作系统的程序和工具。由于不可能跨驱动器遍历，因此将 Web 站点内容重新分配到其他驱动器可增强防御此攻击的能力。

查看更多 动易Cms教程  动易Cms模板