关于

/ns/wz/net/data/20051114012745.htm

在<<探索Access数据库最佳NTFS权限设置>>
(来源,赛迪网 http://tech.ccidnet.com/art/1099/20050420/241131_1.html
关键字： NTFS;Access;数据库
作者： 不详 发文时间：2005.04.20)

中提到了ASP.NET中Access数据库文件的NTFS最低权限设置.
其中结论部分有
=========== quote start ======================
经过上面的实验，我们已经知道如下的NTFS权限设置是可以满足一般需求的：

a)D:\wwwroot\test\data\文件夹给用户ASPNET以如下权限：

允许 拒绝
完全控制 □ □
修改 □ □
读取及运行 √ □
列出文件夹目录 √ □
读取 √ □
写入 √ □

b)D:\wwwroot\test\data\db1.mdb文件本身给用户ASPNET以如下权限：

√ 允许将来自父系的可继承权限传播给该对象


同时我们也注意到db1.mdb是否为“只读”文件对ASPNET的访问也会有一定影响。
=========== quote end ======================


但我发现,实际上"读取及运行"和"列出文件夹目录"的权限也可以不给,仅给"读取"权限就可以了.
具体可以参考 <<IIS 有问必答 �C 2003 年 8 月IIS 有问必答 �C 2003 年 8 月>>
http://www.microsoft.com/china/technet/community/columns/insider/iisi0803.mspx

"IIS 6.0 中引入的新用户和组及其默认权限"
"答：对于“应该具备什么权限”的回答是，“满足需求的最低权限”。IIS 传送静态内容和脚本只需 NTFS 读取权限。其他一切权限都是依您的业务需求而定的。"

昨晚做了个测试,
实验环境是
在win2003EE IIS6下,网站以DVBBS为主,主要是静态图片文件和asp脚本以及access数据库文件. 文件夹仅分配大致如下,除数据库文件仅有读取和写入权限外,其他文件及文件夹全部只有读取权限
--------------------
<Dir />
administrator allow all
IUSR_HOST allow 读取
</Dir>

<Dir "/database">
administrator allow all
IUSR_HOST allow 读取
[File "dvbbs7.mdb"]
administrator allow all
IUSR_HOST allow 读取 写入
[/File]
</Dir>

<Dir "/Others">
administrator allow all
IUSR_HOST allow 读取
</Dir>
---------------------
实验结果是
所有访问正常.

结论是:在网站文件结构都已设计好基本不便的情况下,让普通ACCESS数据库的IIS网站正常运行的NTFS最低权限是:除access文件本身仅读取和写入权限外,其他所有文件及文件夹仅读取权限即可.

另外要注意调整好IIS管理器中的脚本运行限制等权限,按照微软官方网站的帖子介绍,(Windows Server 2003 安全性指南介绍 http://www.microsoft.com/china/TechNet/security/Safeguidebook/book07.asp)

"NTFS访问权限应当与Web访问权限协同使用，而不是取代Web权限。NTFS权限只影响那些已经被允许或被拒绝访问站点和应用程序内容的帐户。Web权限则影响所有访问站点或应用程序的用户。如果站点权限与NTFS权限在某个文件夹或目录上发生冲突，限制性更强的设置将生效。"

===============================================
本文版权属20CN网络安全小组及其作者所有,如有转载,请保持文章完整性并注明出处
文章类型:原创 提交:Aoming 核查:NetDemon