站内搜索  

哈尔滨百姓网首页 | 操作系统 | 软件应用 | 平面设计 | 程序开发 | 硬件维护 | 网络安全
 您的位置: 哈尔滨百姓网 > 电脑网络 > 网络安全 > 阅读文章:Windows 2003 server变态磁盘权限配置
Windows 2003 server变态磁盘权限配置
2009-4-15 16:08:43 哈尔滨百姓网 来源:51CTO.com 浏览 次 【 】【打印】【关闭

  1.常见提权方法

  如果想把Windows权限配置的变态,主要是必须了解现在常见的提权方法,网上有很多提权方法和视频,我们这里就不多说了。

  2.设置用户的磁盘权限

  介绍具体的权限前我们看一下普通的磁盘的权限,如图12所示。这里包括了Everyone和Users账户,他们的权限是可以查看目录的内容,这里必须禁止,因为我们的系统盘的内容不希望被其他的人看到,这里我们把Everyone和Users用户删掉我们只留下Administrator和SYSTEM。同理我们把D,E,F盘都设置成这样的权限。注意,这里我的服务器只有4个磁盘所以设置成了4个,如果你的磁盘有多个的话一定要把所有的磁盘都设置成跟C盘一样的权限。这里重点提示,除了web目录有些目录设置成可写以外,其他地方绝对不允许有可写目录的出现,当然这里有个例外就是c:\windows\temp目录,因为很多程序需要把文件上传到这里,不过没关系,我会讲解如何详细配置c:\windows\temp的。

 
图 12 普通磁盘用户的权限

  3. 设置“c:\ Documents and Settings”的权限

  然后我们设置“c:\ Documents and Settings”的权限,我们同样只保留administrator和SYSTEM权限,这里注意,虽然我们设置了“Documents and Settings”目录的权限,但是对于目录下的文件权限我们可以看到还是具有自己的权限,如图13所示,所以这里我们还需要继续修改。在Documents and Settings下面的Administrator我们可以看到默认权限只有administrator,administrators和SYSTEM,所以这里不需要修改了。

 
图13 设置“c:\ Documents and Settings”的权限

  我们继续看All Users目录,如图13所示,默认权限不小,我们还是只保留Administrator和SYSTEM。了解了上面的步骤以后我们依次对All Users下面的所有目录(注意这里是所有目录)都只保留Administrator和system权限。

  4.设置“c:\program and files”目录权限

  同理c:\program and files也只保留administrator和system权限。但是我们必须把common这个目录设置成如图14所示的权限。

 
图14 设置“c:\program and files”目录权限

  5.设置inetsrv目录权限

  这里有个重点,如果服务器安装了IIS的话,会在c:\windows\system32目录下创建一个inetsrv的目录,这里有个文件夹叫ASP Compiled Templates如图15所示,我们可以看到IIS的启动用户IUSR_计算机名的用户的权限具有完全控制权限,因为这个目录很少有人注意,所以一直成为提权的杀手锏。我们必须要把这个目录的IUSR_计算机名这个用户删掉。

 
图15 删除IIS_WPG完全控制权限

  6.设置“c:\windows\temp目录”权限

  下面也是比较重要的c:\windows\temp目录的设置了,其实这个目录的设置需要考虑的因素非常多,例如第一点许多应用程序把上传的临时目录设置成这里,所以这个目录必须有可写权限,但是如果设置成可写的话,黑客能够再这里上传cmd.exe等程序来进行提权。第二点,有一些服务器的虚拟管理软件例如hzhost默认把session写入到这里,这样就造成了安全隐患,因为session中可能包括虚拟机的用户和密码,所以读权限也有谨慎的设置。第三这里也是系统的临时文件夹,很多程序的运行依赖这里。

  所以权衡上面的利弊,我们需要根据具体的情况具体配置了,我们这里配置的原则是企业或者个人服务器,没有安装hzhost等软件的情况。我们设置成如图16这样的权限,我们把所有用户删除保留Administrator和system然后我们添加Everyone修改,读取及运行,列出文件目录,读取,写入权限。

 
图16设置“c:\windows\temp目录”权限

  到这里,我们就算完成了NTFS的基本配置了,这样设置的安全性会大大的提高。我们第三部分会介绍web目录权限配置和php的安全配置。我们下一讲再见。谢谢大家,更多内容可以到antian365.com论坛查看。

[责任编辑:佚名]
 相关文章
·Web服务器如何避免CC攻击 (2011-3-18 13:07:03)
·局域网遭ARP攻击网络掉线批处理 (2010-3-2 13:34:37)
·保障远程桌面Web连接安全四项注意 (2010-1-25 10:28:12)
·教你六招处理服务器数据意外丢失 (2010-1-25 10:26:07)
·IIS安全设置让Webshell无用武之地 (2009-11-3 11:07:16)
·SQL Server 2000 安全模 (2009-9-21 14:47:07)
·资深网管教你打造SSL加密的安全站点 (2009-8-4 12:21:34)
·利用麦咖啡打造超安全的Web站点目录 (2009-6-23 10:05:18)
·让你的电脑在局域网中轻松隐身 (2009-4-27 11:29:38)
·安全防护策略-打造堡垒主机 (2009-4-17 9:06:45)
·SA弱口令带来的安全隐患 (2009-4-15 16:55:38)
·Microsoft SQL Server SA (2009-4-15 16:53:11)
·ISA Server 2006常用功能疑难 (2009-4-15 16:45:32)
·ISA Server 2006高级应用指南 (2009-4-15 16:38:42)
·十招妙招 确保WindowsXP系统安全 (2009-4-15 16:25:26)
·Windows 2003服务器安全配置终极技 (2009-4-15 16:18:12)
·Windows下PHP+MySQL+IIS安全平台III  (2009-4-15 15:49:42)
·Windows XP中鲜为人知的热键漏洞 (2009-4-15 15:42:55)
·利用xp网络身份验证功能 让远程连接 (2009-4-15 15:41:22)
·终级Win2003服务器安全配置篇 (2009-4-15 15:38:50)
 热门文章 哈尔滨电脑
·安全防护策略-打造堡垒主机
·SQL Server到底需要使用哪些端口?
·把重要的Word 2003文档放到菜单中
·您试图在此 Web 服务器上访问的 
·Photoshop制作火焰的神龙
·Win2003架设多用户隔离Ftp服务器
·XP系统服务恢复批处理
·还有2天发布 Windows7必备77条小知识
·情侣玩儿法:用虚拟硬盘打造坚不可摧的影子系统
·用U盘当钥匙 轻松绕过WinXP的登陆密码
·Photoshop打造漂亮的心形挂链壁纸
 推荐文章 哈尔滨电脑
·精简节约!小公司办公打印省钱全攻略
·CSS布局方法的十八般技巧和兼容方案
·三种方法 教你解决输入法不显示的问题
·当红情侣QQ表情:茉莉和龙井
·Win 7出现休眠Bug 微软提供解决方案
·将Powerpoint文档转换为Word文档
·非常实用来学习连续供墨系统入门知识
·怕吃亏?怕假的?鉴别真假耗材的小窍门
·情侣玩儿法:用虚拟硬盘打造坚不可摧的影子系统
·开始—运行(cmd)命令大全
·您试图在此 Web 服务器上访问的 
 最新文章 哈尔滨电脑
·Web服务器如何避免CC攻击
·SQL Server到底需要使用哪些端口?
·XP系统服务恢复批处理
·局域网遭ARP攻击网络掉线批处理
·CISCO 2811 路由器配置命令全集
·避免“悲剧” 打印机使用技巧全面攻略
·保障远程桌面Web连接安全四项注意
·教你六招处理服务器数据意外丢失
·挑选相纸有学问 教你如何辨别相纸优劣
·精简节约!小公司办公打印省钱全攻略
·CSS布局方法的十八般技巧和兼容方案