超详细web服务器权限设置 精确到每个文件夹

超详细web服务器权限设置 精确到每个文件夹 超详细web服务器权限设置 精确到 每个文件夹 超详细web服务器权限设置,精确到每个文件夹2010-07-23 09:57今天给大家演示一下web服务器的权限设置，目前网上有关的系统权限的设置本人感觉都有些说的不清楚。要么说的有些问。有的说是给目录加什么Guests权限。那天看到一个教程，竟然还有更牛的给windows目录加everyone权限,说不加会出现什么问题。佩服～在做教程前，基本上整个系统盘的每一个文件夹我都查了一遍，确保目录没有user组和everyone权限。有点小累，为了让权限更严密些。呵呵。设置好后，系统盘任何一个目录asp网马是无权限浏览的。开始正题: 首先配置整个系统分区的权限，看演示吧 接着配置C:\Documents and Settings目录 然后配置C:\Program Files目录 TERMINAL SERVER USER这个组的权限是通过3389远程访问，取消后不能访问。可以根据需要，用时加上不用时取消这个组的权限就行了 下面开始配置windows目录及子目录，演示会精确到每一个文件夹 windows下根目录的权限设置: C:\WINDOWS\Downloaded Program Files默认不改 C:\WINDOWS\Offline Web Pages默认不改 C:\WINDOWS\Help TERMINAL SERVER USER除前两项权限不选其余都选 C:\WINDOWS\IIS Temporary Compressed Files IIS_WPG选全部权限 C:\WINDOWS\Installer删除everyone组权限 C:\WINDOWS\Prefetch默认权限不改 C:\WINDOWS\Registration添加NETWORK SERVICE选择其中三项权限，其它保留默认 C:\WINDOWS\system32添加NETWORK SERVICE选择其中三项权限，其它保留默认 C:\WINDOWS\TAPI删除user组，其它组的权限保留默认 C:\WINDOWS\Temp删除user组，其它组的权限保留默认 C:\WINDOWS\Web注意权限设置为继承。具体看演示 C:\WINDOWS\WinSxS添加NETWORK SERVICE选择其中三项权限，其它保留默认 好了，到此系统盘windows根目录下的权限就如此设置。如果你的系统中比我在虚拟机中演示的的文件夹目录多，其权限设置可以遵循上面的设置灵活运用。不要保留user组权限和everyone组权限。注意添加NETWORK SERVICE 组的其中三项权限，基本不会出现因为权限问题导致某些程序不能正常运行的情况。 下面开始 windows下二级目录的权限设置，没有演示到的说明权限已经默认设置好了，不需再去修改，你可以根据需要，自行再检查一下(我已经把每一级文件夹都看过了): C:\WINDOWS\Application Compatibility Scripts具体操作看演示 C:\WINDOWS\Debug\UserMode删除users组的权限 C:\WINDOWS\Debug\WPD目录删除Authenticated Users组权限。其它默认不变 C:\WINDOWS\Help下的所有子目录，演示中的子目录数可能比你现在正运行系统中的多，也一样设置。具体看演示 C:\WINDOWS\ime其下所有子目录，具体看演示 C:\WINDOWS\inf其下所有子目录，具体看演示 C:\WINDOWS\Installer删除其子目录下所有包含everyone组的权限 C:\WINDOWS\Microsoft.NET和C:\WINDOWS\Microsoft.NET\Framework\v 1.1.4322子目录中有很多组权限。保留默认就行 C:\WINDOWS\PCHealth\UploadLB删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限 C:\WINDOWS\PCHealth\HelpCtr删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限 如果C:\WINDOWS\PCHealth\还有其它演示中没有的目录，也如此操作，依情况灵活运用 C:\WINDOWS\Registration\CRMLog删除users组的权限 C:\WINDOWS\security\templates删除users组的权限及多余权限，看演示 下面开始 system32根目录的设置: 此目录中基本上是删除user组和其它不必要的组后，其余组的权限保留就行了。要改的地方没几处 C:\WINDOWS\system32\GroupPolicy删除Authenticated Users组，其下子目录保留默认不用改就行* C:\WINDOWS\system32\inetsrv及其下子目录均保持不改就行* C:\WINDOWS\system32\spool* C:\WINDOWS\system32\spool\drivers删除everyone组的权限 C:\WINDOWS\system32\spool\PRINTERS同上 C:\WINDOWS\system32\wbem\AutoRecover删除everyone组的权限 C:\WINDOWS\system32\wbem\Logs同上 C:\WINDOWS\system32\wbem\mof同上 C:\WINDOWS\system32\wbem\Repository同上 下面开始 设置硬盘其它分区的权限 现在系统盘的权限和其它分区的权限已经设置完毕，这样设置后，即使你的web服务器中，某个网站放了asp网马，系统盘和其它硬盘分区的任何一个文件夹他是看不到的。也更没有权限可以做任何操作。 下面讲一下防止asp网马跨站访问的问题。比如有两个网站，一个放在america文件夹内，一个放在china文件夹内。如果在america站中在放了asp网马，怎样做才能让放了asp网马的这个webshell，只能在america站中逛荡，无法跨站到别的网站，让危害降低到最少。是:为这两个站点分别设置一个系统用户，每个用户的权限仅限各自的目录内。还是看操作吧，比较实际容易理解。打字没多少鸟用，呵呵。 先设置两个用户，加上密码。然后给目录加上只有该用户应有的权限。 运行america中的asp网马看看能否访问china的文件夹目录。 是吧，没有权限。现在的这个webshell只能在这个目录内活动。其它地方到不了。呵呵。同样，如果china站中有asp网马，也只能在china中这个站点内活动。 咱们看看系统的其它分区和系统盘这个webshell能访问不。