提高IIS的安全性(2)_動易Cms教程

CACLS C:\*.* /T /E /C /G Users:F /R Everyone

參數　　Meaning
/G Users:F　　賦予Users組所有權限
/R Everyone　　取消Everyone組所有權限

這樣可以保證ACL中不為空。然而這樣做帶來兩個問題：本機完全開放給本地網絡；變動太多的系統文件權限。最好的方法其實是找出那些文件只有everyone組權限，不幸地是WindowsNT沒有提供該功能，但有一些第三方工具能做到這個功能。（原文中沒有提到到底是哪些工具）假如有這些工具的話，該命令改為：

CACLS C:\*.* /T /E /C /R Everyone

步驟三：處理數據庫

假如你的系統包括數據庫或ActiveX,例如搜索引擎，guest book什么的，那還需要執行步驟三。對于guest book，執行：

CACLS /T /E /C /G WWW:C

參數　　Meaning
/G WWW:C　　賦予 WWW 組change權限.

這時，你可能會發現從Web上還是無法更新guest book，甚至連數據庫讀操作都無法執行。假如出現這種情況，你一定是使用了ODBC連接數據庫。問題就出在ODBC的臨時文件。當ODBC 建立時，系統會建立一個臨時文件記錄鎖定信息等。省缺情況下，這些文件是存放在system32目錄下。Internet用戶是沒有在該目錄下寫和創建的權限的。比較好的解決辦法是指定另一個Internet用戶有權限的目錄來存放ODBC臨時文件。在Control Panel的system applet中加入以下系統變量

變量　　
TEMP　　%SystemDrive%\TEMP
TMP　　%SystemDrive%\TEMP

然后給該目錄授權：

CACLS C:\TEMP\*.* /E /C /G WWW:F

然后重啟機器。

步驟四：ActiveX 部件

假如使用ASP去連結數據庫，還會有問題。ASP使用ActiveX部件ADO 去訪問數據庫。一個ASP連結數據庫的典型語法是：

var DBConn = Server.CreateObject('ADODB.Connection');

ADODB.Connection是一個Program ID,實際上是一個文件。在實際使用中要被翻譯成實際的地址以便調用。這個信息被記錄在注冊表的 HKEY_CLASSES_ROOT 段中。現在明白要改什么了嗎？就是要給ADODB.Connection所在目錄加上WWW組的讀權限。用Regedit去找到該目錄吧。

祝賀你

你現在已經使你的系統安全很多了。但記住，hacker會不斷尋找新漏洞來攻破你的系統，所以這種安全性設置只是與hacker進行的第一場戰爭。

查看更多 動易Cms教程  動易Cms模板