超详细web服务器权限设置,精确到每个文件夹

今天给大家演示一下web服务器的权限设置，目前网上有关的系统权限的设置本人感觉都有些说的不清楚。要么说的有些问题。有的说是给目录加什么Guests权限。那天看到一个教程，竟然还有更牛的给windows目录加everyone权限,说不加会出现什么问题。佩服！在做教程前，基本上整个系统盘的每一个文件夹我都查了一遍，确保目录没有user组和everyone权限。有点小累，为了让权限更严密些。呵呵。设置好后，系统盘任何一个目录asp网马是无权限浏览的。开始正题：
首先配置整个系统分区的权限，看演示吧
接着配置C:\Documents and Settings目录
然后配置C:\Program Files目录
TERMINAL SERVER USER这个组的权限是通过3389远程访问，取消后不能访问。可以根据需要，用时加上不用时取消这个组的权限就行了
下面开始配置windows目录及子目录，演示会精确到每一个文件夹
windows下根目录的权限设置：
C:\WINDOWS\Downloaded Program Files    默认不改
C:\WINDOWS\Offline Web Pages           默认不改
C:\WINDOWS\Help                      TERMINAL SERVER USER    除前两项权限不选其余都选
C:\WINDOWS\IIS Temporary Compressed Files              IIS_WPG选全部权限
C:\WINDOWS\Installer    删除everyone组权限
C:\WINDOWS\Prefetch     默认权限不改
C:\WINDOWS\Registration    添加NETWORK SERVICE 选择其中三项权限，其它保留默认
C:\WINDOWS\system32     添加NETWORK SERVICE 选择其中三项权限，其它保留默认
C:\WINDOWS\TAPI     删除user组，其它组的权限保留默认
C:\WINDOWS\Temp     删除user组，其它组的权限保留默认
C:\WINDOWS\Web     注意权限设置为继承。具体看演示
C:\WINDOWS\WinSxS    添加NETWORK SERVICE 选择其中三项权限，其它保留默认
好了，到此系统盘windows根目录下的权限就如此设置。如果你的系统中比我在虚拟机中演示的的文件夹目录多，其权限设置可以遵循上面的设置灵活运用。不要保留user组权限和everyone组权限。注意添加NETWORK SERVICE组的其中三项权限，基本不会出现因为权限问题导致某些程序不能正常运行的情况。
下面开始
windows下二级目录的权限设置，没有演示到的说明权限已经默认设置好了，不需再去修改，你可以根据需要，自行再检查一下(我已经把每一级文件夹都看过了)：
C:\WINDOWS\Application Compatibility Scripts 具体操作看演示
C:\WINDOWS\Debug\UserMode    删除users组的权限
C:\WINDOWS\Debug\WPD    目录删除Authenticated Users组权限。其它默认不变
C:\WINDOWS\Help 下的所有子目录，演示中的子目录数可能比你现在正运行系统中的多，也一样设置。具体看演示
C:\WINDOWS\ime    其下所有子目录，具体看演示
C:\WINDOWS\inf    其下所有子目录，具体看演示
C:\WINDOWS\Installer 删除其子目录下所有包含everyone组的权限
C:\WINDOWS\Microsoft.NET 和C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322    子目录中有很多组权限。保留默认就行
C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限
C:\WINDOWS\PCHealth\HelpCtr     删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限
如果C:\WINDOWS\PCHealth\还有其它演示中没有的目录，也如此操作，依情况灵活运用
C:\WINDOWS\Registration\CRMLog    删除users组的权限
C:\WINDOWS\security\templates 删除users组的权限及多余权限，看演示

下面开始
system32根目录的设置：
此目录中基本上是删除user组和其它不必要的组后，其余组的权限保留就行了。要改的地方没几处
C:\WINDOWS\system32\GroupPolicy    删除Authenticated Users组，其下子目录保留默认不用改就行*******
C:\WINDOWS\system32\inetsrv 及其下子目录均保持不改就行*******
C:\WINDOWS\system32\spool*************
C:\WINDOWS\system32\spool\drivers     删除everyone组的权限
C:\WINDOWS\system32\spool\PRINTERS    同上
C:\WINDOWS\system32\wbem\AutoRecover 删除everyone组的权限
C:\WINDOWS\system32\wbem\Logs    同上
C:\WINDOWS\system32\wbem\mof     同上
C:\WINDOWS\system32\wbem\Repository 同上
下面开始
设置硬盘其它分区的权限

现在系统盘的权限和其它分区的权限已经设置完毕，这样设置后，即使你的web服务器中，某个网站放了asp网马，系统盘和其它硬盘分区的任何一个文件夹他是看不到的。也更没有权限可以做任何操作。
下面讲一下防止asp网马跨站访问的问题。比如有两个网站，一个放在america文件夹内，一个放在china文件夹内。如果在america站中在放了asp网马，怎样做才能让放了asp网马的这个webshell，只能在america站中逛荡，无法跨站到别的网站，让危害降低到最少。办法是：为这两个站点分别设置一个系统用户，每个用户的权限仅限各自的目录内。还是看操作吧，比较实际容易理解。打字没多少鸟用，呵呵。
先设置两个用户，加上密码。然后给目录加上只有该用户应有的权限。
运行america中的asp网马看看能否访问china的文件夹目录。
是吧，没有权限。现在的这个webshell只能在这个目录内活动。其它地方到不了。呵呵。同样，如果china站中有asp网马，也只能在china中这个站点内活动。

咱们看看系统的其它分区和系统盘这个webshell能访问不。