windows 2003服务器系统目前最完善最完美的安全权限方案(2)
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
2003服务器安全设置
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
恢复的命令是
EXEC sp_addextendedproc 存储过程的名称,@dllname ='存储过程的dll'
例如:恢复存储过程xp_cmdshell
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'
注意,恢复时如果xplog70.dll已删除需要copy一个。
>> WEB目录权限设置
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
最好在C盘以外(如D,E,F.....)的根目录建立到三级目录,一级目录只给Administrator权限,二级目录给Administrator完全控制权限和Everyone除了完全控制,更改,取得,其它全部打勾的权限和IUSR只有该文件夹的完全拒绝权限,三级目录是每个客户的虚拟主机网站,给Administrator完全控制权限和Everyone除了完全控制,更改,取得,其它全部打勾的权限即可.
C盘的目录权限以表格的方式来说明,简单明了。
| 硬盘或文件夹: C:\ D:\ E:\ F:\ 类推 | |||
| 主要权限部分: | 其他权限部分: | ||
|
Administrators
|
完全控制 |
无
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有winwebmail进程用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例 |
|
| 该文件夹,子文件夹及文件 | |||
| <不是继承的> | |||
|
CREATOR OWNER
|
完全控制 | ||
| 只有子文件夹及文件 | |||
| <不是继承的> | |||
|
SYSTEM
|
完全控制 | ||
| 该文件夹,子文件夹及文件 | |||
| <不是继承的> | |||
| 硬盘或文件夹: C:\Inetpub\ | |||
| 主要权限部分: | 其他权限部分: | ||
|
Administrators
|
完全控制 |
无
|
|
| 该文件夹,子文件夹及文件 | |||
| <继承于c:\> | |||
|
CREATOR OWNER
|
完全控制 | ||
| 只有子文件夹及文件 | |||
| <继承于c:\> | |||
|
SYSTEM
|
完全控制 | ||
| 该文件夹,子文件夹及文件 | |||
| <继承于c:\> | |||
2003服务器安全设置
| 硬盘或文件夹: C:\Inetpub\AdminScripts | |||
| 主要权限部分: | 其他权限部分: | ||
|
Administrators
|
完全控制 |
无
|
|
| 该文件夹,子文件夹及文件 | |||
| <不是继承的> | |||
|
SYSTEM
|
完全控制 | ||
| 该文件夹,子文件夹及文件 | |||
| <不是继承的> | |||
| 硬盘或文件夹: C:\Inetpub\wwwroot | |||
| 主要权限部分: | 其他权限部分: | ||
|
Administrators
|
完全控制 |
IIS_WPG
|
读取运行/列出文件夹目录/读取
|
| 该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件
|
||
| <不是继承的> | <不是继承的> | ||
|
SYSTEM
|
完全控制 |
Users
|
读取运行/列出文件夹目录/读取 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
| <不是继承的> | <不是继承的> | ||
|
这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限 拒绝权限 |
Internet 来宾帐户
|
创建文件/写入数据/:拒绝 创建文件夹/附加数据/:拒绝 写入属性/:拒绝 写入扩展属性/:拒绝 删除子文件夹及文件/:拒绝 删除/:拒绝 |
|
| 该文件夹,子文件夹及文件 | |||
| <不是继承的> | |||
| 硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client | |||
| 主要权限部分: | 其他权限部分: | ||
|
Administrators
|
完全控制 |
Users
|
读取 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
| <不是继承的> | <不是继承的> | ||
|
SYSTEM
|
完全控制 | ||
| 该文件夹,子文件夹及文件 | |||
| <不是继承的> | |||
2003服务器安全设置
| 硬盘或文件夹: C:\Documents and Settings | |||
| 主要权限部分: | 其他权限部分: | ||
|
Administrators
|
完全控制 |
无
|
|
| 该文件夹,子文件夹及文件 | |||
| <不是继承的> | |||
|
SYSTEM
|
完全控制 | ||
| 该文件夹,子文件夹及文件 | |||
| <不是继承的> | |||
| 硬盘或文件夹: C:\Documents and Settings\All Users | |||
| 主要权限部分: | 其他权限部分: | ||
|
Administrators
|
完全控制 |
Users
|
读取和运行 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
|
顶(5)
踩(0)
| |||