WINDOWS服務器安全設置教程:硬盤權限設置_Windows教程
這里著重談需要的權限,也就是最終文件夾或硬盤需要的權限,可以防御各種木馬入侵,提權攻擊,跨站攻擊等。本實例經過多次試驗,安全性能很好,服務器基本沒有被木馬威脅的擔憂了。
| 硬盤或文件夾: C:\ D:\ E:\ F:\ 類推 | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
無
如果安裝了其他運行環境,比如PHP等,則根據PHP的環境功能要求來設置硬盤權限,一般是安裝目錄加上users讀取運行權限就足夠了,比如c:\php的話,就在根目錄權限繼承的情況下加上users讀取運行權限,需要寫入數據的比如tmp文件夾,則把users的寫刪權限加上,運行權限不要,然后把虛擬主機用戶的讀權限拒絕即可。如果是mysql的話,用一個獨立用戶運行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨立的應用程序池和獨立IIS用戶,然后整個安裝目錄有users用戶的讀/運行/寫/權限,IIS用戶則相同,這個IIS用戶就只用在winwebmail的WEB訪問中,其他IIS站點切勿使用,安裝了winwebmail的服務器硬盤權限設置后面舉例 |
|
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
|
CREATOR OWNER
|
完全控制 | ||
| 只有子文件夾及文件 | |||
| <不是繼承的> | |||
|
SYSTEM
|
完全控制 | ||
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
| 硬盤或文件夾: C:\Inetpub\ | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
無
|
|
| 該文件夾,子文件夾及文件 | |||
| <繼承于c:\> | |||
|
CREATOR OWNER
|
完全控制 | ||
| 只有子文件夾及文件 | |||
| <繼承于c:\> | |||
|
SYSTEM
|
完全控制 | ||
| 該文件夾,子文件夾及文件 | |||
| <繼承于c:\> | |||
| 硬盤或文件夾: C:\Inetpub\AdminScripts | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
無
|
|
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
|
SYSTEM
|
完全控制 | ||
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
| 硬盤或文件夾: C:\Inetpub\wwwroot | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
IIS_WPG
|
讀取運行/列出文件夾目錄/讀取
|
| 該文件夾,子文件夾及文件 |
該文件夾,子文件夾及文件
|
||
| <不是繼承的> | <不是繼承的> | ||
|
SYSTEM
|
完全控制 |
Users
|
讀取運行/列出文件夾目錄/讀取 |
| 該文件夾,子文件夾及文件 | 該文件夾,子文件夾及文件 | ||
| <不是繼承的> | <不是繼承的> | ||
|
這里可以把虛擬主機用戶組加上
同Internet 來賓帳戶一樣的權限 拒絕權限 |
Internet 來賓帳戶
|
創建文件/寫入數據/:拒絕 創建文件夾/附加數據/:拒絕 寫入屬性/:拒絕 寫入擴展屬性/:拒絕 刪除子文件夾及文件/:拒絕 刪除/:拒絕 |
|
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
| 硬盤或文件夾: C:\Inetpub\wwwroot\aspnet_client | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
Users
|
讀取 |
| 該文件夾,子文件夾及文件 | 該文件夾,子文件夾及文件 | ||
| <不是繼承的> | <不是繼承的> | ||
|
SYSTEM
|
完全控制 | ||
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
| 硬盤或文件夾: C:\Documents and Settings | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
無
|
|
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
|
SYSTEM
|
完全控制 | ||
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
| 硬盤或文件夾: C:\Documents and Settings\All Users | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
Users
|
讀取和運行 |
| 該文件夾,子文件夾及文件 | 該文件夾,子文件夾及文件 | ||
| <不是繼承的> | <不是繼承的> | ||
|
SYSTEM
|
完全控制 |
USERS組的權限僅僅限制于讀取和運行,
絕對不能加上寫入權限 |
|
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
| 硬盤或文件夾: C:\Documents and Settings\All Users\「開始」菜單 | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
無
|
|
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
|
SYSTEM
|
完全控制 | ||
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
| 硬盤或文件夾: C:\Documents and Settings\All Users\Application Data | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
Users
|
讀取和運行 |
| 該文件夾,子文件夾及文件 | 該文件夾,子文件夾及文件 | ||
| <不是繼承的> | <不是繼承的> | ||
|
CREATOR OWNER
|
完全控制 |
Users
|
寫入 |
| 只有子文件夾及文件 | 該文件夾,子文件夾 | ||
| <不是繼承的> | <不是繼承的> | ||
|
SYSTEM
|
完全控制 |
兩個并列權限同用戶組需要分開列權限
|
|
| 該文件夾,子文件夾及文件 | |||
| <不是繼承的> | |||
| 硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft | |||
| 主要權限部分: | 其他權限部分: | ||
|
Administrators
|
完全控制 |
Users
|
讀取和運行 |
| 該文件夾,子文件夾及文件 | 該文件夾,子文件夾及文件 | ||
| <不是繼承的> | <不是繼承的> | ||
|
SYSTEM
|
完全控制 |
此文件夾包含 Microsoft 應用程序狀態數據
|
|
相關Windows教程:
- 相關鏈接:
- 教程說明:
Windows教程-WINDOWS服務器安全設置教程:硬盤權限設置
。