当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > 服务器安全设置教程:硬盘权限设置

Windows服务器
配置 Windows Server 2003-IIS 6
Windows 2003系统也玩图片收藏屏保
远程如何修改Windows 2003机器名
在Windows 2003中重置TCP/IP
查看Windows 2003系统日志的简单办法
根治Windows 2003操作系统登录及关机麻烦
为Windows 2003安全—层层设防
保障Windows Server 2003域控制器的安全性
自己动手抠出2003中的IIS6安装程序
Windows 2003操作系统十例最新配置技巧
架设维护Windows Server 2003网页服务器
轻松配置windows2003自带mail服务器
Windows 2003系统中如何实现网络共享还原
Windows Server 2003全接触(1)
Windows Server 2003全接触(2)
Windows Server 2003全接触(3)
Win Server2003常见问题及解决然方案
Windows Server 2003 防火墙
备份与恢复Win2003的AD数据库
Windows Server 2003的Web接口

Windows服务器 中的 服务器安全设置教程:硬盘权限设置


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-01-04   浏览: 149 ::
收藏到网摘: n/a

这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
硬盘或文件夹: C:\ D:\ E:\ F:\ 类推
主要权限部分: 其他权限部分:
Administrators
完全控制

如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有users用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹,子文件夹及文件
  <不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Inetpub\
主要权限部分: 其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
  <继承于c:\>
CREATOR OWNER
完全控制
只有子文件夹及文件
<继承于c:\>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承于c:\>
  
硬盘或文件夹: C:\Inetpub\AdminScripts
主要权限部分: 其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
  <不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Inetpub\wwwroot
主要权限部分: 其他权限部分:
Administrators
完全控制
IIS_WPG
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
SYSTEM
完全控制
Users
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限
拒绝权限
Internet 来宾帐户
创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client
主要权限部分: 其他权限部分:
Administrators
完全控制
Users
读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
SYSTEM
完全控制  
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Documents and Settings
主要权限部分: 其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
  <不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Documents and Settings\All Users
主要权限部分: 其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
SYSTEM
完全控制
USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单
主要权限部分: 其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
  <不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
  
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data
主要权限部分: 其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
CREATOR OWNER
完全控制
Users
写入
只有子文件夹及文件
该文件夹,子文件夹
<不是继承的>
<不是继承的>
SYSTEM
完全控制
两个并列权限同用户组需要分开列权限
  该文件夹,子文件夹及文件
  <不是继承的>
  
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft
主要权限部分: 其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
  <不是继承的>
<不是继承的>
SYSTEM
完全控制
此文件夹包含 Microsoft 应用程序状态数据