安全配置Windows 2003服务器远离脚本攻击（2）

接下来我们就能对“IUSR_SERVERNAME”用户帐号权限进行有针对性设置了。在设置“IUSR_SERVERNAME”用户帐号权限时，我们先从图1所示的“组或用户名称”列表框中选中“IUSR_SERVERNAME”用户帐号，然后在对应该帐号下面的权限列表框中将“列出文件夹目录”、“写入”、“读取”等权限全部设置为“允许”，而不要将“完全控制”、“读取和运行”等权限设置为允许；此外，对于那些不需要通过Web进行写入操作的文件夹，我们只需要将“列出文件夹目录”、“读取”等权限赋予给“IUSR_SERVERNAME”用户帐号就可以了。到了这里，作为网站普通访问者的“IUSR_SERVERNAME”用户帐号就没有执行脚本的权利，那么这些普通来宾用户自然就无法对Web服务器进行各种形式的脚本攻击了，这样的话Web服务器的安全性就能在一定程度上得到保证了。

图2

　　从脚本权限下手，防范脚本攻击

　　从网站存放文件的类型来看，保存在Web服务器中的文件类型主要分为两大类，一类就是各种形式的脚本文件，另外一类就是非脚本文件，这包括普通的网页文件、数据库文件以及各种格式的图象文件等。所以，为了保护Web服务器的安全，我们有必要对不同类型文件的执行权限进行有针对性地设置，确保Web服务器中的各种脚本文件能够被安全、稳定地执行，而避免非脚本文件被随意执行。

　　在设置脚本文件的执行权限时，我们可以先依次单击“开始”/“程序”/“管理工具”/“Internet信息服务管理器”命令，在弹出的IIS控制台窗口中，找到存放各类脚本文件的指定文件夹，并用鼠标右键该文件夹所对应的图标，从随后弹出的快捷菜单中执行“属性”命令，打开对应文件夹的属性设置窗口。

                                                                                                                              图3

　　单击该设置窗口中的“目录”标签，打开如图3所示的标签页面， 在该页面的“应用程序设置”处，单击“执行权限:”右侧的下拉按钮，从随后弹出的下拉列表中选中“纯脚本”选项，并单击“确定”按钮，那样的话指定目录中的脚本文件才能被网站服务器执行，而对于那些不属于脚本类型的文件都不会被执行。按照相同的操作方法，我们打开网站中其他目录的属性设置界面，并在该界面中将其他目录的应用程序执行权限设置为“无”，那样一来其他目录中的脚本或者普通文件都不会被网站服务器系统执行的。