IT小能手 影视后期
电视民工 资深站长

超详细web服务器权限设置,精确到每个文件夹

今天给大家演示一下web服务器的权限设置,目前网上有关的系统权限的设置本人感觉都有些说的不清楚。要么说的有些问题。有的说是给目录加什么Guests权限。那天看到一个教程,竟然还有更牛的给windows目录加everyone权限,说不加会出现什么问题。佩服!在做教程前,基本上整个系统盘的每一个文件夹我都查了一遍,确保目录没有user组和everyone权限。有点小累,为了让权限更严密些。呵呵。设置好后,系统盘任何一个目录asp网马是无权限浏览的。开始正题:
首先配置整个系统分区的权限,看演示
接着配置C:\Documents and Settings目录
然后配置C:\Program Files目录
TERMINAL SERVER USER这个组的权限是通过3389远程访问,取消后不能访问。可以根据需要,用时加上不用时取消这个组的权限就行了
下面开始配置windows目录及子目录,演示会精确到每一个文件夹
windows下根目录的权限设置:
C:\WINDOWS\Downloaded Program Files    默认不改
C:\WINDOWS\Offline Web Pages           默认不改
C:\WINDOWS\Help                      TERMINAL SERVER USER    除前两项权限不选其余都选
C:\WINDOWS\IIS Temporary Compressed Files              IIS_WPG选全部权限
C:\WINDOWS\Installer    删除everyone组权限
C:\WINDOWS\Prefetch     默认权限不改
C:\WINDOWS\Registration    添加NETWORK SERVICE 选择其中三项权限,其它保留默认
C:\WINDOWS\system32     添加NETWORK SERVICE 选择其中三项权限,其它保留默认
C:\WINDOWS\TAPI     删除user组,其它组的权限保留默认
C:\WINDOWS\Temp     删除user组,其它组的权限保留默认
C:\WINDOWS\Web     注意权限设置为继承。具体看演示
C:\WINDOWS\WinSxS    添加NETWORK SERVICE 选择其中三项权限,其它保留默认
好了,到此系统盘windows根目录下的权限就如此设置。如果你的系统中比我在虚拟机中演示的的文件夹目录多,其权限设置可以遵循上面的设置灵活运用。不要保留user组权限和everyone组权限。注意添加NETWORK SERVICE组的其中三项权限,基本不会出现因为权限问题导致某些程序不能正常运行的情况。
下面开始
windows下二级目录的权限设置,没有演示到的说明权限已经默认设置好了,不需再去修改,你可以根据需要,自行再检查一下(我已经把每一级文件夹都看过了):
C:\WINDOWS\Application Compatibility Scripts 具体操作看演示
C:\WINDOWS\Debug\UserMode    删除users组的权限
C:\WINDOWS\Debug\WPD    目录删除Authenticated Users组权限。其它默认不变
C:\WINDOWS\Help 下的所有子目录,演示中的子目录数可能比你现在正运行系统中的多,也一样设置。具体看演示
C:\WINDOWS\ime    其下所有子目录,具体看演示
C:\WINDOWS\inf    其下所有子目录,具体看演示
C:\WINDOWS\Installer 删除其子目录下所有包含everyone组的权限
C:\WINDOWS\Microsoft.NET 和C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322    子目录中有很多组权限。保留默认就行
C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限
C:\WINDOWS\PCHealth\HelpCtr     删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限
如果C:\WINDOWS\PCHealth\还有其它演示中没有的目录,也如此操作,依情况灵活运用
C:\WINDOWS\Registration\CRMLog    删除users组的权限
C:\WINDOWS\security\templates 删除users组的权限及多余权限,看演示

下面开始
system32根目录的设置:
此目录中基本上是删除user组和其它不必要的组后,其余组的权限保留就行了。要改的地方没几处
C:\WINDOWS\system32\GroupPolicy    删除Authenticated Users组,其下子目录保留默认不用改就行*******
C:\WINDOWS\system32\inetsrv 及其下子目录均保持不改就行*******
C:\WINDOWS\system32\spool*************
C:\WINDOWS\system32\spool\drivers     删除everyone组的权限
C:\WINDOWS\system32\spool\PRINTERS    同上
C:\WINDOWS\system32\wbem\AutoRecover 删除everyone组的权限
C:\WINDOWS\system32\wbem\Logs    同上
C:\WINDOWS\system32\wbem\mof     同上
C:\WINDOWS\system32\wbem\Repository 同上
下面开始
设置硬盘其它分区的权限

现在系统盘的权限和其它分区的权限已经设置完毕,这样设置后,即使你的web服务器中,某个网站放了asp网马,系统盘和其它硬盘分区的任何一个文件夹他是看不到的。也更没有权限可以做任何操作。
下面讲一下防止asp网马跨站访问的问题。比如有两个网站,一个放在america文件夹内,一个放在china文件夹内。如果在america站中在放了asp网马,怎样做才能让放了asp网马的这个webshell,只能在america站中逛荡,无法跨站到别的网站,让危害降低到最少。办法是:为这两个站点分别设置一个系统用户,每个用户的权限仅限各自的目录内。还是看操作吧,比较实际容易理解。打字没多少鸟用,呵呵。
先设置两个用户,加上密码。然后给目录加上只有该用户应有的权限。
运行america中的asp网马看看能否访问china的文件夹目录。
是吧,没有权限。现在的这个webshell只能在这个目录内活动。其它地方到不了。呵呵。同样,如果china站中有asp网马,也只能在china中这个站点内活动。

咱们看看系统的其它分区和系统盘这个webshell能访问不。

 收藏 (0) 打赏

您可以选择一种方式打赏本站

支付宝扫一扫打赏

微信钱包扫描打赏

1、本站名称:LonHowe Blog
2、本站永久网址:https://lonhowe.cn
3、本站部分文章内容可能来源于网络(除特别注明原创外),仅供大家学习与参考,如需转载请注明出处。如有侵权,请给我留言联系我们进行删除处理。
4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布任何违法的相关信息,访客如发现请给我留言向我们举报,同时我们会保留相关记录,必要时上报相关部门。
6、本站部分文章存在时效性,若有错误或已失效,请给我留言联系我们,我们会第一时间更新。
文章名称:《超详细web服务器权限设置,精确到每个文件夹》
文章链接:https://lonhowe.cn/1179.html
分享到: 生成海报
一个爱折腾的狮子座少年。

热门文章

评论 抢沙发

  • QQ号
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

IT、数码、科技、资源、教程、建站、站长、源码、生活、杂谈

关于本站服务条款
切换注册

登录

点击按钮进行验证

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活

点击按钮进行验证