1、服務器安全設置之--硬盤權限篇
這里著重談需要的權限,也就是最終文件夾或硬盤需要的權限,可以防御各種木馬入侵,提權攻擊,跨站攻擊等。本實例經過多次試驗,安全性能很好,服務器基本沒有被木馬威脅的擔憂了。
硬盤或文件夾: C:/
D:/
E:/
F:/ 類推
主要權限部分: 其他權限部分:
Administrators
完全控制 無
如果安裝了其他運行環境,比如PHP等,則根據PHP的環境功能要求來設置硬盤權限,一般是安裝目錄加上users讀取運行權限就足夠了,比如c:/php的話,就在根目錄權限繼承的情況下加上users讀取運行權限,需要寫入數據的比如tmp文件夾,則把users的寫刪權限加上,運行權限不要,然后把虛擬主機用戶的讀權限拒絕即可。如果是mysql的話,用一個獨立用戶運行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨立的應用程序池和獨立IIS用戶,然后整個安裝目錄有users用戶的讀/運行/寫/權限,IIS用戶則相同,這個IIS用戶就只用在winwebmail的WEB訪問中,其他IIS站點切勿使用,安裝了winwebmail的服務器硬盤權限設置后面舉例
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER
完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM
完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Inetpub/
主要權限部分: 其他權限部分:
Administrators
完全控制 無
該文件夾,子文件夾及文件
<繼承于c:/>
CREATOR OWNER
完全控制
只有子文件夾及文件
<繼承于c:/>
SYSTEM
完全控制
該文件夾,子文件夾及文件
<繼承于c:/>
硬盤或文件夾: C:/Inetpub/AdminScripts
主要權限部分: 其他權限部分:
Administrators
完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM
完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Inetpub/wwwroot
主要權限部分: 其他權限部分:
Administrators
完全控制 IIS_WPG
讀取運行/列出文件夾目錄/讀取
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM
完全控制 Users
讀取運行/列出文件夾目錄/讀取
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
這里可以把虛擬主機用戶組加上
同Internet 來賓帳戶一樣的權限
拒絕權限
Internet 來賓帳戶
創建文件/寫入數據/:拒絕
創建文件夾/附加數據/:拒絕
寫入屬性/:拒絕
寫入擴展屬性/:拒絕
刪除子文件夾及文件/:拒絕
刪除/:拒絕
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Inetpub/wwwroot/aspnet_client
主要權限部分: 其他權限部分:
Administrators
完全控制 Users
讀取
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM
完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings
主要權限部分: 其他權限部分:
Administrators
完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM
完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users
主要權限部分: 其他權限部分:
Administrators
完全控制 Users
讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM
完全控制 USERS組的權限僅僅限制于讀取和運行,
絕對不能加上寫入權限
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/「開始」菜單
主要權限部分: 其他權限部分:
Administrators
完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM
完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data
主要權限部分: 其他權限部分:
Administrators
完全控制 Users
讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER
完全控制 Users
寫入
只有子文件夾及文件 該文件夾,子文件夾
<不是繼承的> <不是繼承的>
SYSTEM
完全控制 兩個并列權限同用戶組需要分開列權限
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft
主要權限部分: 其他權限部分:
Administrators
完全控制 Users
讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM
完全控制 此文件夾包含 Microsoft 應用程序狀態數據
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/RSA/MachineKeys
主要權限部分: 其他權限部分:
Administrators
完全控制 Everyone
列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限
只有該文件夾 Everyone這里只有讀寫權限,不能加運行和刪除權限,僅限該文件夾
只有該文件夾
<不是繼承的> <不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/DSS/MachineKeys
主要權限部分: 其他權限部分:
Administrators
完全控制 Everyone
列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限
只有該文件夾 Everyone這里只有讀寫權限,不能加運行和刪除權限,僅限該文件夾 只有該文件夾
<不是繼承的> <不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/HTML Help
主要權限部分: 其他權限部分:
Administrators
完全控制 Users
讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM
完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Connections/Cm
主要權限部分: 其他權限部分:
Administrators
完全控制 Everyone
讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM
完全控制 Everyone這里只有讀和運行權限
該文件夾,子文件夾及文件
<不是繼承的>
新聞熱點
疑難解答