论坛: 网站建设 标题: 关于探索Access数据库最佳NTFS权限设置一文中最低权限的异议 复制本贴地址    
作者: Aoming [aoming]    版主   登录
在<<探索Access数据库最佳NTFS权限设置>>
(来源,赛迪网      http://tech.ccidnet.com/art/1099/20050420/241131_1.html    
关键字: NTFS;Access;数据库
作者: 不详 发文时间:2005.04.20)

中提到了ASP.NET中Access数据库文件的NTFS最低权限设置.
其中结论部分有
   
引用:

经过上面的实验,我们已经知道如下的NTFS权限设置是可以满足一般需求的:

a)D:\wwwroot\test\data\文件夹给用户ASPNET以如下权限:

                允许  拒绝
完全控制          □    □
修改              □    □
读取及运行        √    □
列出文件夹目录    √    □
读取              √    □
写入              √    □


b)D:\wwwroot\test\data\db1.mdb文件本身给用户ASPNET以如下权限:

√ 允许将来自父系的可继承权限传播给该对象


同时我们也注意到db1.mdb是否为“只读”文件对ASPNET的访问也会有一定影响。


但我发现,实际上"读取及运行"和"列出文件夹目录"的权限也可以不给,仅给"读取"权限就可以了.
具体可以参考
    <<IIS 有问必答 �C 2003 年 8 月IIS 有问必答 �C 2003 年 8 月>>    
"IIS 6.0 中引入的新用户和组及其默认权限"
   
引用:
答:对于“应该具备什么权限”的回答是,“满足需求的最低权限”。IIS 传送静态内容和脚本只需 NTFS 读取权限。其他一切权限都是依您的业务需求而定的。


昨晚做了个测试,
实验环境是
  在win2003EE IIS6下,网站以DVBBS为主,主要是静态图片文件和asp脚本以及access数据库文件.  文件夹仅分配大致如下,除数据库文件仅有读取和写入权限外,其他文件及文件夹全部只有读取权限
--------------------
<Dir />
administrator allow all 
IUSR_HOST allow 读取
</Dir>

<Dir "/database">
administrator allow all 
IUSR_HOST allow 读取
  [File "dvbbs7.mdb"]
    administrator allow all 
    IUSR_HOST allow 读取 写入
  [/File]
</Dir>

<Dir "/Others">
administrator allow all 
IUSR_HOST allow 读取
</Dir>
---------------------
实验结果是
  所有访问正常.

结论是:在网站文件结构都已设计好基本不便的情况下,让普通ACCESS数据库的IIS网站正常运行的NTFS最低权限是:除access文件本身仅读取和写入权限外,其他所有文件及文件夹仅读取权限即可.

另外要注意调整好IIS管理器中的脚本运行限制等权限,按照微软官方网站的帖子介绍,(<< Windows Server 2003 安全性指南介绍 >>)

"NTFS访问权限应当与Web访问权限协同使用,而不是取代Web权限。NTFS权限只影响那些已经被允许或被拒绝访问站点和应用程序内容的帐户。Web权限则影响所有访问站点或应用程序的用户。如果站点权限与NTFS权限在某个文件夹或目录上发生冲突,限制性更强的设置将生效。"

[此贴被 Aoming(aoming) 在 10月11日11时14分 编辑过]

地主 发表时间: 05-10-11 10:56
回复: netfog [netfog]   论坛用户   登录
这个事情由网站还是站长来完成呢????

B1层 发表时间: 05-10-11 15:01
回复: Aoming [aoming]   版主   登录
楼上的是在指虚拟主机吗?能修改文件夹权限通常也就是你所说的网站了吧。以上我的观点是从能独自管理服务器的角度出发的

B2层 发表时间: 05-10-12 00:03
回复: q70213526 [q70213526]   版主   登录
那是网管的事情啊.屁颠屁颠的./

B3层 发表时间: 05-10-20 10:40
回复: amr [amr]   论坛用户   登录
马甲


B4层 发表时间: 05-10-25 21:23
回复: q70213526 [q70213526]   版主   登录
哈哈..你还记得我??

B5层 发表时间: 05-10-27 14:18
回复: Aoming [aoming]   版主   登录
有个asp.net程序要运行,做了几番调整,发现站点根目录和脚本目录是要给user 读写列表权限,其他用户其他权限都可以不给。回头来补充说明。

B6层 发表时间: 05-11-07 17:35
回复: lilong [lilong]   论坛用户   登录
  怎么 谁便跑进来就可以看到版方或见习版主.....
这个世界太小了

B7层 发表时间: 05-11-10 09:17
回复: Aoming [aoming]   版主   登录
还发现个有意思的地方,如果设置了虚拟目录后再建立一个同名目录,IIS6认可的是虚拟目录

比如:
    站点跟目录下(物理路径为D:\)虚拟一database的文件夹(物理路径在 E:\数据库  ),我再到 D:\ 建立一database,里面放与虚拟目录中同样的文件,那IIS是到底读取的那个地方呢?试试更改文件名,如果出现404找不到文件,那就说明读取的该处。

    这个有意思的地方我想可以用来伪造一个数据库,入侵者如果突破重重防范后找到的是个伪目标,一定程度上可能会放弃找真实数据库文件的进攻。军事上叫伪装。

B8层 发表时间: 05-11-12 12:55
回复: Aoming [aoming]   版主   登录
Windows XP 高级文件权限和描述

来源: Windows XP 客户端安全设置   表 3.95

引用:

遍历文件夹/执行
“遍历文件夹”权限可允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求,而无论用户有没有遍历文件夹的权限(此权限只适用于文件夹)。

列出文件夹/读取数据
“列出文件夹”权限可允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。此权限只影响此文件夹的内容,不影响是否列出正在设置权限的文件夹。此权限只适用于文件夹。“读取数据”权限可允许或拒绝用户查看文件中的数据(此权限只适用于文件)。

读取属性
“读取属性”权限可允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。

读取扩展属性
“读取扩展属性”权限可允许或拒绝用户查看文件或文件夹扩展属性的请求。扩展属性由程序定义,可能因程序而异。

创建文件/写入数据
“创建文件”权限可允许或拒绝用户在文件夹内创建文件的请求(此权限仅适用于文件夹)。“写入数据”权限可允许或拒绝用户更改文件和覆盖现有内容的请求(此权限只适用于文件)。

创建文件夹/追加数据
“创建文件夹”权限可允许或拒绝用户在指定文件夹内创建文件夹的请求(此权限仅适用于文件夹)。“追加数据”权限可允许或拒绝用户更改文件末尾,但不更改、删除或覆盖现有数据的请求(此权限仅适用于文件)。

写入属性
“写入属性”权限可允许或拒绝用户更改文件或文件夹属性(例如只读或隐藏)的请求。属性由 NTFS 定义。

写入扩展属性
“写入扩展属性”权限可允许或拒绝用户更改文件或文件夹扩展属性的请求。扩展属性由程序定义,可能因程序而异。

删除子文件夹和文件
“删除子文件夹和文件”权限可允许或拒绝用户删除子文件夹和文件的请求,而不论是否授予了对子文件夹或文件的“删除”权限(此权限适用于文件夹)。

删除
“删除”权限可允许或拒绝用户删除文件或文件夹的请求。如果您没有对文件或文件夹的“删除”权限,但是在父文件夹中已被授予“删除子文件夹和文件”权限,那么您仍然可以删除它们。

读取权限
“读取权限”权限可允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。

更改权限
“更改权限”可允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。

取得所有权
“取得所有权”权限可允许或拒绝用户取得文件或文件夹所有权的请求。文件或文件夹的所有者始终可以更改其权限,而不论用于保护该文件或文件夹的现有权限如何。





[此贴被 Aoming(aoming) 在 05月18日15时48分 编辑过]

B9层 发表时间: 06-05-18 15:47

论坛: 网站建设

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号