当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > 服务器安全设置教程:硬盘权限设置

Windows服务器
无法加载php_curl.dll解决办法
在IIS中启用父路径,不被黑客利用
iis 权限设置
win2003 x64 apache php 开发环境配置日志
win2003 x64下 php5 配置运行简单方法
windows2003 IIS6配置PHP和MySql数据库
IIS 7.x FastCGI 运行 PHP的配置方法
rsync 端口更换(默认873)
IIS 应用程序池自动关闭的解决办法
windows2003 服务器安全配置的建议
iis resin使iis支持jsp
Windows IIS配置Jsp和php环境方法
efang4.0 易方4.1的一个常见错误
Windows 操作系统的安全设置
IIS 上传文件大小配置步骤(默认200K)
windows 服务器安全之磁盘访问权限设置[完整篇]
Windows 2000 FSO权限设置 图文教程
Win2003 安全设置大全
WINDOWS 2003 安全设置(伪装篇)
win2003 虚机主机全面支持 access 2007的方法

Windows服务器 中的 服务器安全设置教程:硬盘权限设置


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-01-04   浏览: 166 ::
收藏到网摘: n/a

这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
硬盘或文件夹: C:\ D:\ E:\ F:\ 类推
主要权限部分: 其他权限部分:
Administrators
完全控制

如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有users用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹,子文件夹及文件
  <不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Inetpub\
主要权限部分: 其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
  <继承于c:\>
CREATOR OWNER
完全控制
只有子文件夹及文件
<继承于c:\>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承于c:\>
  
硬盘或文件夹: C:\Inetpub\AdminScripts
主要权限部分: 其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
  <不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Inetpub\wwwroot
主要权限部分: 其他权限部分:
Administrators
完全控制
IIS_WPG
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
SYSTEM
完全控制
Users
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限
拒绝权限
Internet 来宾帐户
创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client
主要权限部分: 其他权限部分:
Administrators
完全控制
Users
读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
SYSTEM
完全控制  
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Documents and Settings
主要权限部分: 其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
  <不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Documents and Settings\All Users
主要权限部分: 其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
SYSTEM
完全控制
USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单
主要权限部分: 其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
  <不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data
主要权限部分: 其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
CREATOR OWNER
完全控制
Users
写入
只有子文件夹及文件
该文件夹,子文件夹
<不是继承的>
<不是继承的>
SYSTEM
完全控制
两个并列权限同用户组需要分开列权限
  该文件夹,子文件夹及文件
  <不是继承的>
  
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft
主要权限部分: 其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
SYSTEM
完全控制
此文件夹包含 Microsoft 应用程序状态数据