LonHowe Blog
今天给大家演示一下web服务器的权限设置,目前网上有关的系统权限的设置本人感觉都有些说的不清楚。要么说的有些问题。有的说是给目录加什么Guests权限。那天看到一个教程,竟然还有更牛的给windows目录加everyone权限,说不加会出现什么问题。佩服!在做教程前,基本上整个系统盘的每一个文件夹我都查了一遍,确保目录没有user组和everyone权限。有点小累,为了让权限更严密些。呵呵。设置好后,系统盘任何一个目录asp网马是无权限浏览的。开始正题:
首先配置整个系统分区的权限,看演示吧
接着配置C:\Documents and Settings目录
然后配置C:\Program Files目录
TERMINAL SERVER USER这个组的权限是通过3389远程访问,取消后不能访问。可以根据需要,用时加上不用时取消这个组的权限就行了
下面开始配置windows目录及子目录,演示会精确到每一个文件夹
windows下根目录的权限设置:
C:\WINDOWS\Downloaded Program Files 默认不改
C:\WINDOWS\Offline Web Pages 默认不改
C:\WINDOWS\Help TERMINAL SERVER USER 除前两项权限不选其余都选
C:\WINDOWS\IIS Temporary Compressed Files IIS_WPG选全部权限
C:\WINDOWS\Installer 删除everyone组权限
C:\WINDOWS\Prefetch 默认权限不改
C:\WINDOWS\Registration 添加NETWORK SERVICE 选择其中三项权限,其它保留默认
C:\WINDOWS\system32 添加NETWORK SERVICE 选择其中三项权限,其它保留默认
C:\WINDOWS\TAPI 删除user组,其它组的权限保留默认
C:\WINDOWS\Temp 删除user组,其它组的权限保留默认
C:\WINDOWS\Web 注意权限设置为继承。具体看演示
C:\WINDOWS\WinSxS 添加NETWORK SERVICE 选择其中三项权限,其它保留默认
好了,到此系统盘windows根目录下的权限就如此设置。如果你的系统中比我在虚拟机中演示的的文件夹目录多,其权限设置可以遵循上面的设置灵活运用。不要保留user组权限和everyone组权限。注意添加NETWORK SERVICE组的其中三项权限,基本不会出现因为权限问题导致某些程序不能正常运行的情况。
下面开始
windows下二级目录的权限设置,没有演示到的说明权限已经默认设置好了,不需再去修改,你可以根据需要,自行再检查一下(我已经把每一级文件夹都看过了):
C:\WINDOWS\Application Compatibility Scripts 具体操作看演示
C:\WINDOWS\Debug\UserMode 删除users组的权限
C:\WINDOWS\Debug\WPD 目录删除Authenticated Users组权限。其它默认不变
C:\WINDOWS\Help 下的所有子目录,演示中的子目录数可能比你现在正运行系统中的多,也一样设置。具体看演示
C:\WINDOWS\ime 其下所有子目录,具体看演示
C:\WINDOWS\inf 其下所有子目录,具体看演示
C:\WINDOWS\Installer 删除其子目录下所有包含everyone组的权限
C:\WINDOWS\Microsoft.NET 和C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322 子目录中有很多组权限。保留默认就行
C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限
C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限
如果C:\WINDOWS\PCHealth\还有其它演示中没有的目录,也如此操作,依情况灵活运用
C:\WINDOWS\Registration\CRMLog 删除users组的权限
C:\WINDOWS\security\templates 删除users组的权限及多余权限,看演示
下面开始
system32根目录的设置:
此目录中基本上是删除user组和其它不必要的组后,其余组的权限保留就行了。要改的地方没几处
C:\WINDOWS\system32\GroupPolicy 删除Authenticated Users组,其下子目录保留默认不用改就行*******
C:\WINDOWS\system32\inetsrv 及其下子目录均保持不改就行*******
C:\WINDOWS\system32\spool*************
C:\WINDOWS\system32\spool\drivers 删除everyone组的权限
C:\WINDOWS\system32\spool\PRINTERS 同上
C:\WINDOWS\system32\wbem\AutoRecover 删除everyone组的权限
C:\WINDOWS\system32\wbem\Logs 同上
C:\WINDOWS\system32\wbem\mof 同上
C:\WINDOWS\system32\wbem\Repository 同上
下面开始
设置硬盘其它分区的权限
现在系统盘的权限和其它分区的权限已经设置完毕,这样设置后,即使你的web服务器中,某个网站放了asp网马,系统盘和其它硬盘分区的任何一个文件夹他是看不到的。也更没有权限可以做任何操作。
下面讲一下防止asp网马跨站访问的问题。比如有两个网站,一个放在america文件夹内,一个放在china文件夹内。如果在america站中在放了asp网马,怎样做才能让放了asp网马的这个webshell,只能在america站中逛荡,无法跨站到别的网站,让危害降低到最少。办法是:为这两个站点分别设置一个系统用户,每个用户的权限仅限各自的目录内。还是看操作吧,比较实际容易理解。打字没多少鸟用,呵呵。
先设置两个用户,加上密码。然后给目录加上只有该用户应有的权限。
运行america中的asp网马看看能否访问china的文件夹目录。
是吧,没有权限。现在的这个webshell只能在这个目录内活动。其它地方到不了。呵呵。同样,如果china站中有asp网马,也只能在china中这个站点内活动。
咱们看看系统的其它分区和系统盘这个webshell能访问不。
微信扫描下方的二维码阅读本文
