Windows 2003伺服器許可權詳細配置方案第1/9頁_伺服器

1、伺服器安全設定之--硬碟許可權篇

   這裡著重談需要的許可權，也就是最終檔案夾或硬碟需要的許可權，可以防禦各種木馬入侵，提權攻擊，跨站攻擊等。本執行個體經過多次實驗，安全效能很好，伺服器基本沒有被木馬威脅的擔憂了。 
硬碟或檔案夾: C:\
     D:\
     E:\
     F:\ 類推  
主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 無
如果安裝了其他運行環境，比如PHP等，則根據PHP的環境功能要求來設定硬碟許可權，一般是安裝目錄加上users讀取運行許可權就足夠了，比如c:\php的話，就在根目錄許可權繼承的情況下加上users讀取運行許可權，需要寫入資料的比如tmp檔案夾，則把users的寫刪許可權加上，運行許可權不要，然後把虛擬機器主機使用者的讀許可權拒絕即可。如果是mysql的話，用一個獨立使用者運行MYSQL會更安全，下面會有介紹。如果是winwebmail，則最好建立獨立的應用程式集區和獨立IIS使用者，然後整個安裝目錄有users使用者的讀/運行/寫/許可權，IIS使用者則相同，這個IIS使用者就只用在winwebmail的WEB訪問中，其他IIS網站切勿使用，安裝了winwebmail的伺服器硬碟使用權限設定後面舉例


 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
CREATOR OWNER
 完全控制 
 只有子檔案夾及檔案 
 <不是繼承的> 
SYSTEM
 完全控制 
 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Inetpub\

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 無

 該檔案夾，子檔案夾及檔案 
 <繼承於c:\> 
CREATOR OWNER
 完全控制 
 只有子檔案夾及檔案 
 <繼承於c:\> 
SYSTEM
 完全控制 
 該檔案夾，子檔案夾及檔案 
 <繼承於c:\> 
硬碟或檔案夾: C:\Inetpub\AdminScripts

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 無

 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
SYSTEM
 完全控制 
 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Inetpub\wwwroot  
主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 IIS_WPG
 讀取運行/列出檔案夾目錄/讀取

 該檔案夾，子檔案夾及檔案  該檔案夾，子檔案夾及檔案

 <不是繼承的>  <不是繼承的> 
SYSTEM
 完全控制 Users
 讀取運行/列出檔案夾目錄/讀取 
 該檔案夾，子檔案夾及檔案  該檔案夾，子檔案夾及檔案 
 <不是繼承的>  <不是繼承的> 


這裡可以把虛擬機器主機使用者組加上
同Internet 來賓帳戶一樣的許可權
拒絕許可權

 Internet 來賓帳戶 
 建立檔案/寫入資料/:拒絕
建立檔案夾/附加資料/:拒絕 
寫入屬性/:拒絕
寫入擴充屬性/:拒絕 
刪除子檔案夾及檔案/:拒絕
刪除/:拒絕 
 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Inetpub\wwwroot\aspnet_client

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 Users
 讀取 
 該檔案夾，子檔案夾及檔案  該檔案夾，子檔案夾及檔案 
 <不是繼承的>  <不是繼承的> 
SYSTEM
 完全控制  
 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Documents and Settings  
主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 無

 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
SYSTEM
 完全控制 
 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Documents and Settings\All Users

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 Users
 讀取和運行 
 該檔案夾，子檔案夾及檔案  該檔案夾，子檔案夾及檔案 
 <不是繼承的>  <不是繼承的> 
SYSTEM
 完全控制 USERS組的許可權僅僅限制於讀取和運行，
絕對不能加上寫入許可權

 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Documents and Settings\All Users\「開始」菜單

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 無

 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
SYSTEM
 完全控制 
 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 Users
 讀取和運行 
 該檔案夾，子檔案夾及檔案  該檔案夾，子檔案夾及檔案 
 <不是繼承的>  <不是繼承的> 
CREATOR OWNER
 完全控制 Users
 寫入 
 只有子檔案夾及檔案  該檔案夾，子檔案夾 
 <不是繼承的>  <不是繼承的> 
SYSTEM
 完全控制 兩個並列許可權同使用者組需要分開列許可權

 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 Users
 讀取和運行 
 該檔案夾，子檔案夾及檔案  該檔案夾，子檔案夾及檔案 
 <不是繼承的>  <不是繼承的> 
SYSTEM
 完全控制 此檔案夾包含 Microsoft 應用程式狀態資料

 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 Everyone
 列出檔案夾、讀取屬性、讀取擴充屬性、建立檔案、建立檔案夾、寫入屬性、寫入擴充屬性、讀取許可權 

 只有該檔案夾 Everyone這裡只有讀寫權限，不能加運行和刪除許可權，僅限該檔案夾
 只有該檔案夾 
 <不是繼承的> <不是繼承的> 
硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 Everyone
 列出檔案夾、讀取屬性、讀取擴充屬性、建立檔案、建立檔案夾、寫入屬性、寫入擴充屬性、讀取許可權 

 只有該檔案夾 Everyone這裡只有讀寫權限，不能加運行和刪除許可權，僅限該檔案夾 只有該檔案夾 
 <不是繼承的> <不是繼承的> 
硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 Users
 讀取和運行 
 該檔案夾，子檔案夾及檔案  該檔案夾，子檔案夾及檔案 
 <不是繼承的>  <不是繼承的> 
SYSTEM
 完全控制  
 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 
硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm

主要許可權部分： 其他許可權部分： 
Administrators
 完全控制 Everyone
 讀取和運行 
 該檔案夾，子檔案夾及檔案  該檔案夾，子檔案夾及檔案 
 <不是繼承的>  <不是繼承的> 
SYSTEM
 完全控制 Everyone這裡只有讀和運行許可權

 該檔案夾，子檔案夾及檔案 
 <不是繼承的> 

當前1/9頁  123456789下一頁閱讀全文