IIS站點(diǎn)屬性的“主目錄”選項(xiàng)卡下，有一個(gè)執(zhí)行權(quán)限的設(shè)置。站點(diǎn)或目錄的執(zhí)行權(quán)限應(yīng)該如何設(shè)置？

IIS中執(zhí)行權(quán)限

IIS中的執(zhí)行權(quán)限有如下三種：

1、無(wú)權(quán)限
無(wú)權(quán)限是指不能執(zhí)行動(dòng)態(tài)腳本程序。說(shuō)得更明白一點(diǎn)就是像asp、php、asp.net、jsp等均不能執(zhí)行，只有像html這樣的頁(yè)面可以通過(guò)IIS來(lái)訪問(wèn)。
2、純腳本
像ASP、PHP、JSP等服務(wù)器端腳本程序需要開(kāi)啟純腳本權(quán)限。
3、純腳本和應(yīng)用程序
除了可以執(zhí)行腳本之外還可以執(zhí)行可執(zhí)行文件。你有沒(méi)有遇到一個(gè)網(wǎng)頁(yè)的后綴是.dll？經(jīng)常看到微軟就這么干。這就是是可執(zhí)行文件，有exe或dll。

網(wǎng)站和目錄設(shè)置執(zhí)行權(quán)限

明白了IIS三種執(zhí)行權(quán)限就可以根據(jù)不同的情況來(lái)設(shè)置了，大多數(shù)網(wǎng)站都是ASP（ASPX)、PHP、JSP等編寫(xiě)的，一般要開(kāi)啟純腳本執(zhí)行權(quán)限，但不要開(kāi)啟應(yīng)用程序權(quán)限。

上面講了網(wǎng)站的執(zhí)行權(quán)限設(shè)置，下面還得說(shuō)一下目錄的執(zhí)行權(quán)限。單個(gè)目錄也可以設(shè)置與網(wǎng)站不一樣的執(zhí)行權(quán)限。比如我們一個(gè)用php寫(xiě)好的網(wǎng)站，我給整個(gè)網(wǎng)站“純腳本”的權(quán)限。但網(wǎng)站下面一個(gè)upload目錄，這個(gè)目錄里面是沒(méi)有php程序，所以可以給一個(gè)“無(wú)”的權(quán)限。

在IIS中，右鍵點(diǎn)擊左邊列表中的upload目錄，選擇屬性，在“目錄”選項(xiàng)卡中將“執(zhí)行權(quán)限”一項(xiàng)設(shè)置為“無(wú)”即可。

設(shè)置執(zhí)行權(quán)限的意義

設(shè)置執(zhí)行權(quán)限有著重要的安全意義。對(duì)于整個(gè)網(wǎng)站來(lái)講，我們給的執(zhí)行權(quán)限不能過(guò)高（不能為了方便起見(jiàn)而把所有的站點(diǎn)都設(shè)置純腳本和應(yīng)用程序），太高了就會(huì)有安全性的問(wèn)題。試想一個(gè)純HTML的網(wǎng)站，你給它“無(wú)”的權(quán)限，它里面任何腳本、木馬都執(zhí)行不了，安全性大大提高。

而對(duì)于一些沒(méi)有程序文件的目錄（如前面提到的upload），堅(jiān)決不能給他腳本運(yùn)行權(quán)限，否則黑客就可以利用網(wǎng)站的漏洞將木馬傳入到這些目錄中，并且可以執(zhí)行，從而實(shí)施破壞。

也許大家要問(wèn)了，他傳到upload里面不能運(yùn)行，那他可以傳到其它目錄啊，黑客又不傻！是的，要解決這個(gè)問(wèn)題，就需要了解NTFS權(quán)限了。假設(shè)我們整個(gè)網(wǎng)站只有upload目錄是上傳用的，可以寫(xiě)入新的文件，其它目錄都是程序目錄，一旦上傳后，就不變了。那么我們就可以將其它目錄設(shè)置為只讀權(quán)限，這樣黑客就不能上傳文件到其它了目錄了。這樣的結(jié)果就是，要上傳只能上傳到upload，而上傳到upload后又不能執(zhí)行，所以，網(wǎng)站安全了。

關(guān)于IIS中設(shè)置站點(diǎn)或目錄的執(zhí)行權(quán)限，本文就介紹這么多，希望對(duì)大家有所幫助，謝謝！