web伺服器許可權設置

1. web伺服器怎麼設置

1 打開控制面板，使用它的添加/刪除程序功能，選擇「添加/刪除WINDOWS組件」

2選取INTERNET信息服務（IIS）並單擊詳細信息按鈕，選擇需要安裝訴IIS子組件，然後單擊確定按鈕開始安裝。安裝成功之後，只要啟動WINDWOS，IIS就會自動啟動。

3打開控制面板中的管理工具，雙擊INTERNET服務管理器圖標，屏幕顯示INTERNET信息服務窗口，按一下計算機名稱旁的加號，選擇默認WEB站點，單南滑鼠右鍵選取屬性。

4設置IP地址。在默認WEB站點屬性窗口中，單南WEB站點選項卡，按一下「IP地址」下拉列表框，選擇WEB伺服器要連接的IP地址。如果設置為「全部未分配」，則表示WEB伺服器會連接本地計算機的所有IP地址

5設置主目錄。單擊主目錄標簽，可以更改本地路徑，也可以更改此目錄開放的許可權。本地路徑指的是當輸入地址為本計算機IP地址時，此地址的實際路徑「C：＼INTEPUB＼WWWROOT」。只要將網頁放在這個目錄中，別人就可以輸入本機IP地址來瀏覽了

6設置默認文檔。單擊文檔選項卡，可以看到站點默認的主頁名稱為DEFAULT.htm，default.asp等。默認文檔的用途是當輸放的網址為計算機的IP地址時，瀏覽器會自動讀取與默認當檔相同名稱的文件。默認文檔可以更改。

2. Windows Server 2008 Web伺服器IIS許可權設置問題

如果是給網站創建一個獨立用戶，不是程序池裡設置，你這邊出現這個應該是用戶名不對，高級去選就好了，要麼就要用戶名輸入對。

網站設置獨立網站用戶步驟

1. 計算機管理里為網站創建一個獨立網站用戶

2. 點擊網站，右邊點擊基本設置---鏈接為--特殊用戶這里輸入創建的用戶名和密碼

3. 給網站目錄添加這個用戶的許可權。
   

3. Web伺服器配置方法教程

伺服器是一種高性能計算機，作為網路的節點，存儲、處理網路上80%的數據、信息，因此也被稱為網路的靈魂。那麼該如何配置Web伺服器呢?如果你不知道，請看我整理的Web伺服器配置方法詳解吧!

2、單擊窗口中的“添加/刪除Windows組件”圖標，彈出“Windows組件向導”對話框。

3、選中“向導”中的“應用程序伺服器”復選框。單擊“詳細信息”按鈕，彈出“應用程序伺服器”對話框。

4、選擇需要的組件，其中“Internet信息服務(IIS)”和“應用程序伺服器控制台”是必須選中的。選中“Internet信息服務(IIS)”後，再單擊“詳細信息”按鈕，彈出“Internet信息服務(IIS)”對話框。

5、選中“Internet信息服務管理器”和“萬維網服務”。並且選中“萬維網服務”後，再單擊“詳細信息”按鈕，彈出“萬維網服務”對話框。

6、其中的“萬維網服務”必須選中。如果想要伺服器支持ASP，還應該選中“Active Server Pages”。逐個單擊“確定”按鈕，關閉各對話框，直到返回圖1的“Windows組件向導”對話框。

7、單擊“下一步”按鈕，系統開始IIS的安裝，這期間可能要求插入Windows Server 2003安裝盤，系統會自動進行安裝工作。

8、安裝完成後，彈出提示安裝成功的對話框，單擊“確定”按鈕就完成了IIS的安裝。

友情提示：如果想要同時裝入FTP伺服器，在“Internet信息服務(IIS)”對話框中應該把“文件傳輸協議(FTP)服務”的復選框也選中。

在IIS中創建Web網站

打開“Internet 信息服務管理器”，在目錄樹的“網站”上單擊右鍵，在右鍵菜單中選擇“新建→網站”，彈出“網站創建向導”：

網站描述就是網站的名字，它會顯示在IIS窗口的目錄樹中，方便管理員識別各個站點。本例中起名為“枝葉的網站”。

網站IP地址：如果選擇“全部未分配”，則伺服器會將本機所有IP地址綁定在該網站上，這個選項適合於伺服器中只有這一個網站的情況。也可以從 下拉式列表框中選擇一個IP地址(下拉式列表框中列出的是本機已配置的IP地址，如果沒有，應該先為本機配置IP地址，再選擇。)

TCP埠：一般使用默認的埠號80，如果改為其它值，則用戶在訪問該站點時必須在地址中加入埠號。

主機頭：如果該站點已經有域名，可以在主機頭中輸入域名。

主目錄路徑是網站根目錄的位置，可以用“瀏覽”按鈕選擇一個文件夾作為網站的主目錄。

網站訪問許可權是限定用戶訪問網站時的許可權，“讀取”是必需的，“運行腳本”可以讓站點支持ASP，其它許可權可根據需要設置。

單擊“下一步”，彈出“完成向導”對話框，就完成了新網站的創建過程，在IIS中可以看到新建的網站。把做好的網頁和相關文件復制到主目錄中，通常就可以訪問這個網站了。

訪問網站的方法是：如果在本機上訪問，可以在瀏覽器的地址欄中輸入“http://localhost/”;如果在網路中其它計算機上訪問，可以在瀏覽器的地址欄中輸入“http://網站IP地址”。

說明：如果網站的TCP埠不是80，在地址中還需加上埠號。假設TCP埠設置為8080，則訪問地址應寫為“http://localhost:8080/”或“http://網站IP地址：8080”。

網站的基本配置

如果需要修改網站的參數，可以在“網站名字”上單擊右鍵，在右鍵菜單中選擇“屬性”，可以打開“網站屬性”對話框。

1、“網站”標簽

“網站標識”：可以設置網站名字、IP地址、埠號。單擊“高級”按鈕可以設置主機頭名。

2、“主目錄”標簽

在本地路徑中可以設置主目錄的路徑名和訪問許可權。

3、“文檔”標簽

默認文檔是指訪問一個網站時想要打開的默認網頁，這個網頁通常是該網站的主頁。如果沒有啟用默認文檔或網站的主頁文件名不在默認文檔列表中，則訪問這個網站時需要在地址中指明文件名。

默認文檔列表中最初只有4個文件名：Default.htm、Default.asp、index.htm和Default.aspx。我用 “添加”按鈕加入了一個index.asp，並用“上移”按鈕把它移到了頂部。這主要是因為我的網站的主頁名為“index.asp”，所以應該把它加入 列表，至於是否位於列表頂部倒是無關緊要的。

經過以上配置，一個Web網站就可以使用了。把製作好的網頁復制到網站的主目錄中，網站主頁的文件名應該包含在默認文檔中。打開瀏覽器，在地址欄中輸入“http://本機IP地址”，就可以打開網站的主頁。其它頁面可以用網頁中的超鏈接打開。

虛擬目錄

虛擬目錄可以使一個網站不必把所有內容都放置在主目錄內。虛擬目錄從用戶的角度來看仍在主目錄之內，但實際位置可以在計算機的其它位置，而且虛擬目錄的名字也可以與真實目錄不同。如：

圖中用戶看到的一個位於主目錄下的文件夾“pic”，它的真實位置在伺服器的“D:myimage”處，而主目錄位於“C:mywww” 處。假設該網站的域名是“www.abc.com”，則用戶訪問“http://www.abc.com/pic/文件1”時，訪問的實際位置是伺服器的 “D:myimage文件1”，所以虛擬目錄的真實名字和位置對用戶是不可知的。

創建虛擬目錄的方法 ：

打開 Internet 信息服務窗口，在想要創建虛擬目錄的 Web 站點上 單擊右鍵，選擇“新建”→“虛擬目錄”。彈出虛擬目錄創建向導：

別名是映射後的名字，即客戶訪問時的名字;

路徑：伺服器上的真實路徑名，即虛擬目錄的實際位置;

訪問許可權：指客戶對該目錄的訪問許可權。

單擊“下一步”按鈕，彈出完成對話框，虛擬目錄就建立成功了。把相關文件復制到虛擬目錄中，用戶就可以按照虛擬的樹形結構訪問到指定文件了。

通常虛擬目錄的訪問許可權、默認文檔等都繼承自主目錄，如果需要修改，可在“Internet 信息服務管理器”中的虛擬目錄上單擊右鍵，選擇“屬性”，就可以修改虛擬目錄的參數設置了。

補充：伺服器介紹

伺服器，也稱伺服器，是提供計算服務的設備。由於伺服器需要響應服務請求，並進行處理，因此一般來說伺服器應具備承擔服務並且保障服務的能力。

伺服器的構成包括處理器、硬碟、內存、系統匯流排等，和通用的計算機架構類似，但是由於需要提供高可靠的服務，因此在處理能力、穩定性、可靠性、安全性、可擴展性、可管理性等方面要求較高。

在網路環境下，根據伺服器提供的服務類型不同，分為文件伺服器，資料庫伺服器，應用程序伺服器，WEB伺服器等。

相關閱讀：伺服器常見問題有哪些

1.系統藍屏、頻繁死機、重啟、反映速度遲鈍

伺服器的與我們平常電腦不論是硬體結構還是運行系統，都是極其類似的。因此，就如同我們的電腦一樣，一樣可能會感染病毒，同樣會因為系統漏洞、軟體沖突、硬體故障導致死機、藍屏、重啟等故障，同樣會因為垃圾緩存信息過多而導致反應遲鈍。

2.遠程桌面連接超出最大連接數

由於伺服器默認為允許連接數為2個，如果登陸後忘記注銷，而是直接關閉遠程桌面的話，伺服器識別此次登陸還是留在伺服器端的。出現這種情況，最常見的就是重啟伺服器，但是，如果是高峰期，重啟伺服器帶來的損失是顯而易見的。那麼此時，就可以利用mstsc/console指令進行強行登陸了。打開“運行”框，鍵入“mstsc/v:xxx.xxx.xxx.xxx(伺服器IP)/console”，即可強行登陸到遠程桌面了。

3.無法刪除的文件該怎麼清理

遇到這種情況，可能是該文件還在運行中，可以重啟刪之，或者運行CMD，輸入arrtib-a-s-h-r想要刪除的文件夾名，最後輸入del想要刪除的文件夾名即可刪除，運行該命令後無法恢復，請慎用。

4.系統埠隱患

對於伺服器來說，首要保障穩定性和安全性。因此，我們僅需保證伺服器最基本的功能即可，就像音效卡都是默認禁止的。我們並不需要太多的功能，也不需要太多的埠支持。像一些不必要，而且風險較高的埠大可封掉。而一些必要的，又有風險的埠，比如:3389、80等埠，我們可以通過修改注冊表的方法將其設置不特殊的秘密埠，這樣伺服器埠的安全隱患就不復存在了。

4. 如何使用IIS授予對Web伺服器許可權

不過，您可以更改網站中任何文件夾或文件的許可權。例如，您可以使用 Web 伺服器許可權來控制是否允許網站訪問者查看某一特定網頁、載入信息或運行腳本。
當同時配置 Web 伺服器許可權和 Windows NTFS 許可權時，您可以在多個級別(從整個網站到單個文件)控制用戶訪問 Web 內容的方式。
1. 啟動 Internet 服務管理器。或者啟動 IIS 管理單元。
2. 單擊以展開* server name，其中 server name 是伺服器的名稱。
3. 右鍵單擊要為用戶授予訪問許可權的網站、虛擬目錄、文件夾或文件，然後單擊屬性。
4. 根據您的具體情況單擊下列選項卡之一:
主目錄、 虛擬目錄、目錄、文件
5. 單擊以選中或清除下列任何一個對應要授予的 Web 許可權級別的復選框(如果存在): 腳本資源訪問:授予此許可權將允許用戶訪問源代碼。腳本資源訪問包含腳本的源代碼，如 Active Server Pages (ASP) 程序中的腳本。注意，此許可權只有在授予讀取或寫入許可權時才可用。
注意:如果單擊腳本資源訪問，用戶將可以從 ASP 程序的腳本中查看到敏感信息，例如用戶名和密碼。他們還將能夠更改您的伺服器上運行的源代碼，這會嚴重影響伺服器的安全和性能。建議您使用單個的 Windows 帳戶和更高級別的身份驗證(如集成的 Windows 身份驗證)來處理對此類信息和這些功能的訪問。
讀取:授予此許可權將允許用戶查看或下載文件或文件夾及其相關屬性。讀取許可權默認情況下是選中的。
寫入:授予此許可權將允許用戶把文件及其相關屬性上載到伺服器中啟用的文件夾，或允許用戶更改啟用了寫入許可權的文件的內容或屬性。
目錄瀏覽:授予此許可權將允許用戶查看虛擬目錄中的文件和子文件夾的超文本列表。請注意，文件夾列表中並不顯示虛擬目錄;用戶必須知道虛擬目錄的別名。
注意:如果下列兩個條件都滿足，則當用戶試圖訪問伺服器上的文件或文件夾時，Web 伺服器將在用戶的 Web 瀏覽器中顯示一條Access Forbidden(禁止訪問)錯誤信息: 目錄瀏覽被禁用。
用戶未在地址框中指定文件名，如 Filename.htm。
記錄訪問:授予此許可權可在日誌文件中記錄對此文件夾的訪問。只有在為網站啟用了日誌記錄時才會記錄日誌條目。
索引資源:授予此許可權將允許 Microsoft 索引服務在網站的全文索引中包含該文件夾。授予此項許可權後，用戶將可以對此資源執行查詢。
6. 在執行許可權框中，選擇一個設置以確定想讓腳本在此網站上以何種方式運行。可以使用以下設置:? 無:如果不希望用戶在伺服器上運行腳本或可執行的程序，則請單擊此設置。當使用此設置時，用戶只能訪問靜態文件，如超文本標記語言 (HTML) 文件和圖像文件。
僅腳本:單擊此設置可在伺服器上運行諸如 ASP 程序之類的腳本。
腳本和可執行文件:單擊此設置可在伺服器上同時運行 ASP 程序之類的腳本和可執行程序。
7. 單擊確定，然後退出Internet 服務管理器或退出 IIS 管理單元。
注意: 在您嘗試更改網站或虛擬目錄的安全屬性時，IIS 會檢查該網站或虛擬目錄中包含的子節點(虛擬目錄和文件)上的現有設置。如果在較低級別上設置的許可權不同，則 IIS 會顯示一個繼承覆蓋對話框。要指定哪些子節點應該繼承您在較高級別上設置的許可權，請單擊子節點列表中的一個或多個節點，然後單擊確定。子節點將繼承新的許可權設置。
如果文件夾或文件的 Web 許可權和 NTFS 許可權不同，則將使用這兩種設置中限制條件較嚴格的設置。

5. 如何設置windows服務以及web Service服務的訪問許可權

Windows 7 的 IIS 上發布 webservice操作如下：1、在控制面板->程序和功能->打開或關閉Windows功能.找到 "Internet 信息服務",並將其子集全部打上勾，開啟了 IIS 功能。

2、在開啟 IIS 後,到 控制面板->管理工具->Internet信息服務(IIS)管理器,雙擊打開一個新的控制面板。

3、找到網站->Default Web Site->添加應用程序；

4、填寫應用程序的別名,應用程序池默認就可以,物理路徑選擇上篇文章中建立Webservice時所保存的路徑，然後點擊 "連接為" 按鈕：

5、選擇特定用戶, 點擊右邊的 "設置" 按鈕 , 填寫電腦的用戶名跟密碼,用戶名一般默認都是 administrator：

6、填寫好證據後,點擊 "測試設置" 按鈕. 在測試連接裡面,如果 "身份驗證"跟"授權"前面都打了綠色的勾,那麼說明配置成功，這一步是對於 IIS 訪問許可權的配置。也就是獲得系統管理員許可權。

7、找到 IIS 選項裡面的 "目錄瀏覽" , 雙擊打開新面板。

8、點擊選擇最右邊側面的 "啟用" 按鈕。

9、這里的啟用可以讓我們有瀏覽應用程序內部文件目錄的許可權；

10、點擊右側的瀏覽應用程序，在後面加上我們上一篇文章里新添加的 "一般處理程序" Handler1.ashx就可以訪問到剛發布到 IIS 的網站。

6. Windows操作系統賬戶許可權設置步驟詳解

難道我們真的無能為力了嗎?其實，只要你弄明白了NTFS系統下的許可權設置問題，我們可以對crackers們說:NO!

要打造一台安全的WEB伺服器，那麼這台伺服器就一定要使用NTFS和Windows NT/2000/2003。眾所周知，Windows是一個支持多用戶、多任務的操作系統，這是許可權設置的基礎，一切許可權設置都是基於用戶和進程而言的，不同的用戶在訪問這台計算機時，將會有不同的許可權。

DOS跟WinNT的許可權的分別

DOS是個單任務、單用戶的操作系統。但是我們能說DOS沒有許可權嗎?不能!當我們打開一台裝有DOS操作系統的計算機的時候，我們就擁有了這個操作系統的管理員許可權，而且，這個許可權無處不在。所以，我們只能說DOS不支持許可權的設置，不能說它沒有許可權。隨著人們安全意識的提高，許可權設置隨著NTFS的發布誕生了。

Windows NT里，用戶被分成許多組，組和組之間都有不同的許可權，當然，一個組的用戶和用戶之間也可以有不同的許可權。下面我們來談談NT中常見的用戶組。

Administrators,管理員組，默認情況下，Administrators中的用戶對計算機/域有不受限制的完全訪問權。分配給該組的默認許可權允許對整個系統進行完全控制。所以，只有受信任的人員才可成為該組的成員。

Power Users，高級用戶組，Power Users 可以執行除了為 Administrators 組保留的任務外的其他任何操作系統任務。分配給 Power Users 組的默認許可權允許 Power Users 組的成員修改整個計算機的設置。但Power Users 不具有將自己添加到 Administrators 組的許可權。在許可權設置中，這個組的許可權是僅次於Administrators的。

Users:普通用戶組，這個組的用戶無法進行有意或無意的改動。因此，用戶可以運行經過驗證的應用程序，但不可以運行大多數舊版應用程序。Users 組是最安全的組，因為分配給該組的默認許可權不允許成員修改操作系統的設置或用戶資料。Users 組提供了一個最安全的程序運行環境。在經過 NTFS 格式化的卷上，默認安全設置旨在禁止該組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統注冊表設置、操作系統文件或程序文件。Users 可以關閉工作站，但不能關閉伺服器。Users 可以創建本地組，但只能修改自己創建的.本地組。

Guests:來賓組，按默認值，來賓跟普通Users的成員有同等訪問權，但來賓帳戶的限制更多。

Everyone:顧名思義，所有的用戶，這個計算機上的所有用戶都屬於這個組。

其實還有一個組也很常見，它擁有和Administrators一樣、甚至比其還高的許可權，但是這個組不允許任何用戶的加入，在察看用戶組的時候，它也不會被顯示出來，它就是SYSTEM組。系統和系統級的服務正常運行所需要的許可權都是靠它賦予的。由於該組只有這一個用戶SYSTEM，也許把該組歸為用戶的行列更為貼切。

許可權實例攻擊

許可權將是你的最後一道防線!那我們現在就來對這台沒有經過任何許可權設置，全部採用Windows默認許可權的伺服器進行一次模擬攻擊，看看其是否真的固若金湯。

假設伺服器外網域名為x，用掃描軟體對其進行掃描後發現開放WWW和FTP服務，並發現其服務軟體使用的是IIS5.0和Serv-u 5.1，用一些針對他們的溢出工具後發現無效，遂放棄直接遠程溢出的想法。

打開網站頁面，發現使用的是動網的論壇系統，於是在其域名後面加個/upfile.asp，發現有文件上傳漏洞，便抓包，把修改過的ASP木馬用NC提交，提示上傳成功，成功得到WEBSHELL，打開剛剛上傳的ASP木馬，發現有MS-SQL、Norton Antivirus和BlackICE在運行，判斷是防火牆上做了限制，把SQL服務埠屏蔽了。

通過ASP木馬查看到了Norton Antivirus和BlackICE的PID，又通過ASP木馬上傳了一個能殺掉進程的文件，運行後殺掉了Norton Antivirus和BlackICE。再掃描，發現1433埠開放了，到此，便有很多種途徑獲得管理員許可權了，可以查看網站目錄下的conn.asp得到SQL的用戶名密碼，再登陸進SQL執行添加用戶，提管理員許可權。也可以抓SERV-U下的ServUDaemon.ini修改後上傳，得到系統管理員許可權。

還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等。大家可以看到，一旦黑客找到了切入點，在沒有許可權限制的情況下，黑客將一帆風順的取得管理員許可權。

那我們現在就來看看Windows 2000的默認許可權設置到底是怎樣的。對於各個卷的根目錄，默認給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。

系統卷下有三個目錄比較特殊，系統默認給了他們有限制的許可權，這三個目錄是Documents and settings、Program files和Winnt。對於Documents and settings，默認的許可權是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運，列和讀許可權;Power users擁有讀&運，列和讀許可權;SYSTEM同Administrators;Users擁有讀&運，列和讀許可權。對於Program files，Administrators擁有完全控制權;Creator owner擁有特殊許可權;Power users有完全控制權;SYSTEM同Administrators;Terminal server users擁有完全控制權，Users有讀&運，列和讀許可權。

對於Winnt，Administrators擁有完全控制權;Creator owner擁有特殊許可權;Power users有完全控制權;SYSTEM同Administrators;Users有讀&運，列和讀許可權。而非系統卷下的所有目錄都將繼承其父目錄的許可權，也就是Everyone組完全控制權!

現在大家知道為什麼我們剛剛在測試的時候能一帆風順的取得管理員許可權了吧?許可權設置的太低了!一個人在訪問網站的時候，將被自動賦予IUSR用戶，它是隸屬於Guest組的。本來許可權不高，但是系統默認給的Everyone組完全控制權卻讓它「身價倍增」，到最後能得到Administrators了。

那麼，怎樣設置許可權給這台WEB伺服器才算是安全的呢?大家要牢記一句話:「最少的服務+最小的許可權=最大的安全」對於服務，不必要的話一定不要裝，要知道服務的運行是SYSTEM級的哦，對於許可權，本著夠用就好的原則分配就是了。

對於WEB伺服器，就拿剛剛那台伺服器來說，我是這樣設置許可權的，大家可以參考一下:各個卷的根目錄、Documents and settings以及Program files，只給Administrator完全控制權，或者乾脆直接把Program files給刪除掉;給系統卷的根目錄多加一個Everyone的讀、寫權;給e:www目錄，也就是網站目錄讀、寫權。

最後，還要把cmd.exe這個文件給挖出來，只給Administrator完全控制權。經過這樣的設置後，再想通過我剛剛的方法入侵這台伺服器就是不可能完成的任務了。可能這時候又有讀者會問:「為什麼要給系統卷的根目錄一個Everyone的讀、寫權?網站中的ASP文件運行不需要運行許可權嗎?」問的好，有深度。是這樣的，系統卷如果不給Everyone的讀、寫權的話，啟動計算機的時候，計算機會報錯，而且會提示虛擬內存不足。

當然這也有個前提----虛擬內存是分配在系統盤的，如果把虛擬內存分配在其他卷上，那你就要給那個卷Everyone的讀、寫權。ASP文件的運行方式是在伺服器上執行，只把執行的結果傳回最終用戶的瀏覽器，這沒錯，但ASP文件不是系統意義上的可執行文件，它是由WEB服務的提供者----IIS來解釋執行的，所以它的執行並不需要運行的許可權。

7. 如何設置 Web 伺服器的許可權

如果Web伺服器的許可權沒有設置好，那麼網站就會出現漏洞並且很可能會出現被不懷好意的人黑掉的情況。我們不應該把這歸咎於 IIS 的不安全。如果對站點的每個目錄都配以正確的許可權，出現漏洞被人黑掉的機會還是很小的（Web 應用程序本身有問題和通過其它方式入侵黑掉伺服器的除外）。下面是我在配置過程中總結的一些經驗，希望對大家有所幫助。
IIS 下網站->站點->屬性->主目錄（或站點下目錄->屬性->目錄）面板上有：
腳本資源訪問讀取寫入瀏覽記錄訪問索引資源6 個選項。這 6 個選項中，「記錄訪問」和「索引資源」跟安全性關系不大，一般都設置。但是如果前面四個許可權都沒有設置的話，這兩個許可權也沒有必要設置。在設置許可權時，記住這個規則即可，後面的例子中不再特別說明這兩個許可權的設置。
另外在這 6 個選項下面的執行許可權下拉列表中還有：無純腳本純腳本和可執行程序3 個選項。
而網站目錄如果在 NTFS 分區（推薦用這種）的話，還需要對 NTFS 分區上的這個目錄設置相應許可權，許多地方都介紹設置 everyone 的許可權，實際上這是不好的，其實只要設置好 Internet 來賓帳號（IUSR_xxxxxxx）或 IIS_WPG 組的帳號許可權就可以了。如果是設置 ASP、PHP 程序的目錄許可權，那麼設置 Internet 來賓帳號的許可權，而對於 ASP.NET 程序，則需要設置 IIS_WPG 組的帳號許可權。在後面提到 NTFS 許可權設置時會明確指出，沒有明確指出的都是指設置 IIS 屬性面板上的許可權。
例1 —— ASP、PHP、ASP.NET 程序所在目錄的許可權設置： 如果這些程序是要執行的，那麼需要設置「讀取」許可權，並且設置執行許可權為「純腳本」。不要設置「寫入」和「腳本資源訪問」，更不要設置執行許可權為「純腳本和可執行程序」。NTFS 許可權中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設置寫和修改許可權。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），則需要給這些特定的文件配置 NTFS 許可權中的 Internet 來賓帳號（ASP.NET 程序是 IIS_WPG 組）的寫許可權，而不要配置 IIS 屬性面板中的「寫入」許可權。
IIS 面板中的「寫入」許可權實際上是對 HTTP PUT 指令的處理，對於普通網站，一般情況下這個許可權是不打開的。
IIS 面板中的「腳本資源訪問」不是指可以執行腳本的許可權，而是指可以訪問源代碼的許可權，如果同時又打開「寫入」許可權的話，那麼就非常危險了。
執行許可權中「純腳本和可執行程序」許可權可以執行任意程序，包括 exe 可執行程序，如果目錄同時有「寫入」許可權的話，那麼就很容易被人上傳並執行木馬程序了。
對於ASP.NET 程序的目錄，許多人喜歡在文件系統中設置成 Web 共享，實際上這是沒有必要的。只需要在 IIS 中保證該目錄為一個應用程序即可。如果所在目錄在 IIS 中不是一個應用程序目錄，只需要在其屬性->目錄面板中應用程序設置部分點創建就可以了。Web 共享會給其更多許可權，可能會造成不安全因素。
總結: 也就是說一般不要打開-主目錄-(寫入),(腳本資源訪問) 這兩項以及不要選上(純腳本和可執行程序),選(純腳本)就可以了.需要asp.net的應用程序的如果應用程序目錄不止應用程序一個程序的可以在應用程序文件夾上(屬性)-目錄-點創建就可以了.不要在文件夾上選web共享.
例2 —— 上傳目錄的許可權設置： 用戶的網站上可能會設置一個或幾個目錄允許上傳文件，上傳的方式一般是通過 ASP、PHP、ASP.NET 等程序來完成。這時需要注意，一定要將上傳目錄的執行許可權設為「無」，這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序，也不會在用戶瀏覽器里就觸發執行。
同樣，如果不需要用戶用 PUT 指令上傳，那麼不要打開該上傳目錄的「寫入」許可權。而應該設置 NTFS 許可權中的 Internet 來賓帳號（ASP.NET 程序的上傳目錄是 IIS_WPG 組）的寫許可權。
如果下載時，是通過程序讀取文件內容然後再轉發給用戶的話，那麼連「讀取」許可權也不要設置。這樣可以保證用戶上傳的文件只能被程序中已授權的用戶所下載。而不是知道文件存放目錄的用戶所下載。「瀏覽」許可權也不要打開，除非你就是希望用戶可以瀏覽你的上傳目錄，並可以選擇自己想要下載的東西。
總結: 一般的一些asp.php等程序都有一個上傳目錄.比如論壇.他們繼承了上面的屬性可以運行腳本的.我們應該將這些目錄從新設置一下屬性.將(純腳本)改成(無).
例3 —— Access 資料庫所在目錄的許可權設置： 許多IIS 用戶常常採用將 Access 資料庫改名（改為 asp 或者 aspx 後綴等）或者放在發布目錄之外的方法來避免瀏覽者下載它們的 Access 資料庫。而實際上，這是不必要的。其實只需要將 Access 所在目錄（或者該文件）的「讀取」、「寫入」許可權都去掉就可以防止被人下載或篡改了。你不必擔心這樣你的程序會無法讀取和寫入你的 Access 資料庫。你的程序需要的是 NTFS 上 Internet 來賓帳號或 IIS_WPG 組帳號的許可權，你只要將這些用戶的許可權設置為可讀可寫就完全可以保證你的程序能夠正確運行了。
總結: Internet 來賓帳號或 IIS_WPG 組帳號的許可權可讀可寫.那麼Access所在目錄（或者該文件）的「讀取」、「寫入」許可權都去掉就可以防止被人下載或篡改了
例4 —— 其它目錄的許可權設置： 你的網站下可能還有純圖片目錄、純 html 模版目錄、純客戶端 js 文件目錄或者樣式表目錄等，這些目錄只需要設置「讀取」許可權即可，執行許可權設成「無」即可。其它許可權一概不需要設置。
上面的幾個例子已經包含了大部分情況下的許可權設置，只要掌握了設置的基本原理，也就很容易地完成能其它情況下的許可權設置。