[转载]MBSA和IISLockdown造成父目录支持问题及目录无法访问
文章作者:闪亮晨星1、安全基准分析器一般会建议关闭站点属性中的父目录支持,关闭后会造成ASP文件中的某些路径指向被拒绝,比如../dir/file.asp , 如果你的ASP站点关闭父目录支持后,出现异常,那么就需要打开这一选项。
2、IISlockdown问题,给所有的站点目录的安全属性中添加了2 个 用户拒绝服务,一个是Web 匿名用户,一个是Web应用程序用户( Web Applications 和 Web Anonymous Users ),这两个用户都是拒绝写入,从安全角度出发,这是对的,但是使用Access库的站点就会有麻烦,举例来说,一个论坛程序,当匿名用户登录时,ASP文件会自动把该用户的各项信息写入Access库,但如果存放数据库的目录的安全属性中,禁止写入,这样程序就会出错。
解决办法是,数据库文件所在目录的安全属性中要给予上述两个用户最小限度的权限(读取和写入)。
参考 “操作必须使用一个可更新的查询”
[url]http://bbs.netbuddy.org/msft/5496.html[/url]
3、IISlockdown的问题,全自动执行,其中有一个操作会带来非常大的麻烦,就是禁止了带有英文句号目录的访问,所有类似 \dir.file\ (带点的目录是我同事发明的,晕死我了),都无法访问,这样,我的站点中所有指向上述目录的文件和图片以及css和js都无法访问,部分站点乱七八糟,还好我今天来得早,处理及时,没被老板发现。
对于第三点,我的建议是,使用IISlockdown前要注意是否有以点分隔的目录,如果有,要事先更改目录名和修改asp文件的链接指向,免得捅漏子。当然附带一句,禁止访问带点目录也是出于安全考虑。。。
4、补充,Dreamfish说得没错
还有连以.exe后缀名的文件也不能下载,因该也是为安全考虑
页:
[1]