win2003权限设置与安全.doc

WINDOWS2003服务器目录权限设置推荐以下是详细的相应目录权限设置清单： Administrators 完全控制 System 完全控制 D:盘 权限 Administrators 完全控制 System 完全控制 E:盘 权限 Administrators 完全控制 System 完全控制 如果你还有其他盘符如F、G.盘，权限和上面一样设置。C:Documents and Settings 目录权限Administrators 完全控制System 完全控制C:Program Files 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:windows 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:windowssystem 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:windowssystem32 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:windowstemp 目录权限Administrators 完全控制System 完全控制Everyone 完全控制WWWROOT（网站根目录）目录权限Administrators 完全控制System 完全控制Internet来宾账户 读取和运行+列出文件夹目录+读取PHP目录权限：Administrators 完全控制System 完全控制Everyone 读取和运行+列出文件夹目录+读取Zend目录权限：Administrators 完全控制System 完全控制Everyone 完全控制Mysql目录权限： 3Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取1.删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WSCRIPT.NETWORKWSCRIPT.NETWORK.1regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车Windows 2003 硬盘安全设置c:administrators 全部system 全部iis_wpg 只有该文件夹列出文件夹/读数据读属性读扩展属性读取权限c:inetpubmailrootadministrators 全部system 全部service 全部c:inetpubftprooteveryone 只读和运行c:windowsadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部IIS_WPG 读取和运行，列出文件夹目录，读取Users 读取和运行(此权限最后调整完成后可以取消)C:WINDOWSMicrosoft.Netadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部Users 读取和运行，列出文件夹目录，读取C:WINDOWSMicrosoft.Netadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部Users 读取和运行，列出文件夹目录，读取C:WINDOWSMicrosoft.Nettemporary ASP.NET Filesadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部Users 全部c:Program FilesEveryone 只有该文件夹不是继承的列出文件夹/读数据administrators 全部iis_wpg 只有该文件夹列出文件/读数据读属性读扩展属性读取权限c:windowstempAdministrator 全部权限System全部权限users 全部权限c:Program FilesCommon Filesadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部TERMINAL SERVER Users(如果有这个用户)修改，读取和运行，列出文件夹目录，读取，写入Users 读取和运行，列出文件夹目录，读取c:Program FilesDimac(如果有这个目录)Everyone 读取和运行，列出文件夹目录，读取administrators 全部c:Program FilesComPlus Applications (如果有)administrators 全部c:Program FilesGflSDK (如果有)administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部TERMINAL SERVER Users修改，读取和运行，列出文件夹目录，读取，写入Users 读取和运行，列出文件夹目录，读取Everyone 读取和运行，列出文件夹目录，读取c:Program FilesInstallShield Installation Information (如果有)c:Program FilesInternet Explorer (如果有)c:Program FilesNetMeeting (如果有)administrators 全部c:Program FilesWindowsUpdateCreator owner不是继承的只有子文件夹及文件完全administrators 全部Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部c:Program FilesMicrosoft SQL(如果SQL安装在这个目录)administrators 全部Service 全部system 全部d: (如果用户网站内容放置在这个分区中)administrators 全部权限d:FreeHost (如果此目录用来放置用户网站内容)administrators 全部权限SERVICE 读取与运行从安全角度，我们建议WebEasyMail(WinWebMail)安装在独立的盘中，例如E:E:(如果webeasymail安装在这个盘中)administrators 全部权限system 全部权限IUSR_*，默认的Internet来宾帐户(或专用的运行用户)读取与运行E:WebEasyMail (如果webeasymail安装在这个目录中)administrators 全部system 全部权限SERVICE全部IUSR_*，默认的Internet来宾帐户 (或专用的运行用户)全部权限C:phpuploadtempC:phpsessiondataeveryone全部C:phpadministrators 全部system 全部权限SERVICE全部Users 只读和运行c:windowsphp.iniadministrators 全部system 全部权限SERVICE全部Users 只读和运行防止海洋木马列出WIN服务器的用户和进程禁用服务里面倒数第二个 workstation 服务，可以防止列出用户和服务设网站文件目录与数据库权限 拒绝黑客入侵 2009年09月02日08:54 天极网 极富创意灵感的Flash网站设计欣赏建资讯网站 应该选择什么样的CMS产品“格式塔”原理在网页设计中的应用点击查看更多设计软件资讯在网站运营的过程中，最令站长头痛的可能就是网站被入侵了，实际上，如果提前设置好网站的目录权限，就可以保证网站能够经受大部分的漏洞攻击。本文介绍了设置文件目录和数据库权限的方法，设置权限的方法也并不难，只要根据本文一步步进行操作，就可以大大提高网站的安全性。网站目录权限的设置方法大多数网站都是采用程序搭建，对于系统管理的目录，可以将其设置为可读也可执行脚本，但不可写入的权限;但是对于放置网页静态文件的目录，以及放置图片文件、模板文件的目录，就可以将其设置为可读写但不可执行的系统权限。在权限分配明确之后，即使系统被入侵，也只能浏览而无法对文件进行直接的操作。对于能够执行脚本的文件，最好设置只能读而不能写的权限(如图)，而需要写入的文件则将其设置为不能执行脚本，目录权限这样配置下来，网站系统的安全性会大大提高。数据库权限也要仔细设置 对于网站来说，数据库可以说是站点的核心，所有网站的内容都存储在数据库中。所以说数据库安全也是需要注意的地方。对于MySQL数据库来说，最好不要对网站直接使用root管理用户的权限，而要专门为每个站点开通一个数据库账号，而且将账户的权限设置仅限于操作当前数据库目录，并且对这些单独的MYSQL账号去掉file和EXECUTE的执行权限，这样一来，即使数据库被SQL注入，也只能到数据库一级，而无法拿到整个数据库服务器的权限。这样一来，只要经常对网站的数据库进行备份，就很少会出现数据库被入侵的情况。另外需要注意的是，由于很多建站系统并没有使用数据库的存储过程，因此最好禁用FILE、EXECUTE等执行存储过程或文件操作的权限。小提示：对于Access的数据库来说，可以将数据库的存放位置进行修改，最好是较为隐蔽的目录，这样会避免数据库文件被恶意探测下载。另外，一些程序也支持修改后缀，比如可以将。mdb的数据库文件修改为。asa等后缀名，同样可以有效地保护数