怎样禁止IIS上各个IUSR用户运行EXE文件?

number321 2014-01-14 03:02:11

如果IIS上有很多网站，并且这些网站是由其他人管理的，不能确保安全性。那么怎样防止有人用webshell执行一些提权命令呢？

我目前是给每个网站单独创建一个账户，在网站的匿名身份认证里分别设置为这些账户，并且只给各网站主目录相应账户的权限。但我目前给的权限是读和写，其中就包括"遍历文件夹/执行文件"的权限。
如果有一个网站被人黑了，上传了webshell和提权的EXE工具，是可以通过webshell来执行EXE的。

我想禁止掉webshell执行EXE的权限，具体操作就是把所有IIS相关账户单独放到一个组里面，然后给放置网站数据的整个盘都添加该组的拒绝"遍历文件夹/执行文件"权限，但不知道这样会不会影响到正常访问。
另外"遍历文件夹/执行文件"这个对于文件来说是执行权限，对于文件夹来说是遍历权限。而我只是想去掉文件的执行，并不想阻止遍历文件夹。我看安全策略里面"跳过遍历检查"里默认是有everyone账户的，是不是默认情况下所有账户都不受"遍历文件夹"权限的限制，我的这个设置并不会对文件夹遍历的权限产生影响呢?

...全文

208 7 打赏收藏转发到动态举报

写回复

用AI写文章

7 条回复

切换为时间正序

请发表友善的回复…

发表回复

number321 2014-01-15

打赏
举报

http://technet.microsoft.com/en-us/magazine/2005.11.howitworksntfs.aspx 按这篇文章里的说法，好像是子目录中的允许权限优先于父目录的拒绝权限的，看来我只要一个一个目录加权限了。。。

number321 2014-01-15

打赏
举报

是啊，这样的话里面的文件既继承了允许读又继承了拒绝执行，最后的结果应该是拒绝才对啊。在我要执行的那个文件上看权限，也是能看到两个权限都有的，都是继承来的。

qishine 版主 2014-01-15

打赏
举报

NTFS权限有继承的能力, 另外,最后还是要看你要访问的文件是否有权限,即使上层没权限也没问题. 你可以在安全选项卡里看有效权限来判断.

number321 2014-01-14

打赏
举报

另外我刚才在验证我的想法的时候，发现了一个问题。我的测试网站在D:\wwwroot\test\wwwroot目录下，里面有一个aspxspy的webshell和一个whoami.exe文件，ASPX文件是以network service身份运行的。给目录加network service的读取和运行等权限，下面简称"允许权限" 给目录加network service的拒绝"遍历文件夹/运行文件"权限，下面简称"拒绝权限" 1.如果我是给某个目录先添加允许权限，再给它的父目录下添加拒绝权限，那么webshell仍然可以运行whoami，例如: a.将允许权限加在D:\wwwroot\test下，将拒绝权限加在D:\下 b.将允许权限加在D:\wwwroot\test\wwwroot下，将拒绝权限加在D:\wwwroot\test下等等 2.如果我是给某个目录先添加允许权限，再给它的子目录下添加拒绝权限，那么webshell是没有执行whoami权限的，例如: a.将允许权限加在D:\wwwroot\test下，将拒绝权限加在D:\wwwroot\test\wwwroot下 b.将允许权限加在D:\下，将拒绝权限加在D:\wwwroot\test下等等 3.如果是把允许和拒绝加到同一个目录下，webshell也是没有执行权限的，例如: a.都加在D:\wwwroot\test\wwwroot下 b.都加在D:\wwwroot\test下等等请问这是windows权限设置的bug吗，还是按照NTFS权限的设置规则就应该这样的呢，是根据什么规则才会出现我说的这个现象呢？

number321 2014-01-14