Win2008 R2 Web服务器安全：细致文件夹权限设置与防护策略

本文档是一份关于Windows 2008 R2 Web服务器安全设置的详细指南，重点在于文件夹权限管理。它强调了保护服务器安全性的重要性，特别是在处理系统目录和应用程序上传文件夹时。以下为主要内容概要： 1. **系统目录权限设置**: - 建议所有磁盘使用NTFS文件系统，因为其提供了更好的安全性。对于非NTFS格式的磁盘，可以使用`convert d:/fs:ntfs`命令转换。 - 所有磁盘的根目录仅分配给`system`和`administrators`账户，其他账户权限全部删除。这是为了防止未经授权的访问。 2. **站点目录权限设置**: - 每个网站应有一个独立的目录，如D盘的wwwroot和其子目录blog.postcha.com。 - wwwroot目录继承D盘的权限，但blog.postcha.com需要额外赋予`IUSR`和`IIS_IUSRS`账户"列出文件夹内容"和"读取"权限。 - 对于用户上传文件功能，上传目录需要添加`IIS_IUSRS`的"修改"和"写入"权限，但同时要限制这些权限，避免恶意文件上传。 3. **配合IIS处理程序映射**: - 在IIS 7及以上版本中，可以通过配置处理程序映射来限制上传目录的脚本访问，防止潜在的攻击。只需禁用"脚本"权限，然后在upload目录下生成`web.config`文件，定义所有文件和子文件夹为只读。 4. **web.config文件的作用**: - `web.config`文件中的 `<configuration>`标签设置了upload目录的访问策略，`<system.webServer><handlers accessPolicy="Read" />` 表示该目录下的所有内容只允许读取，进一步增强了安全防护。 总结来说，这份指南提供了一套细致的Windows 2008 R2 Web服务器文件夹权限设置方法，旨在确保服务器的稳定性和数据安全性，防止未经授权的访问和潜在威胁。遵循这些步骤，可以帮助管理员更好地管理和保护Web应用环境。