VPS主机-服务器合租-独立服务器-安全设置(4)

恢复扩展

exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'

exec sp_addextendedproc 'xp_dirtree', 'xpstar.dll'

exec sp_addextendedproc 'xp_enumgroups', 'xplog70.dll'

exec sp_addextendedproc 'xp_fixeddrives', 'xpstar.dll'

exec sp_addextendedproc 'xp_loginconfig', 'xplog70.dll'

exec sp_addextendedproc 'xp_regaddmultistring', 'xpstar.dll'

exec sp_addextendedproc 'xp_regdeletekey', 'xpstar.dll'

exec sp_addextendedproc 'xp_regdeletevalue', 'xpstar.dll'

exec sp_addextendedproc 'xp_regread', 'xpstar.dll'

exec sp_addextendedproc 'xp_regremovemultistring', 'xpstar.dll'

exec sp_addextendedproc 'xp_regwrite', 'xpstar.dll'

exec sp_addextendedproc 'xp_enumerrorlogs', 'xpstar.dll'

exec sp_addextendedproc 'xp_getfiledetails', 'xpstar.dll'

exec sp_addextendedproc 'xp_regenumvalues', 'xpstar.dll'

mysql数据库

为其建立独立服务帐户,属于GUESTS组,服务中进行设置;在其安装目录添加此用户,并设置[修改]读取和运行][列出文件夹目录][读取][写入],去掉高级中"允许父项的...."对钩,选择"用在此显示的..."对钩,应用.启动MYSQL,此时便以此帐户运行.

三.系统权限设置

1.系统分区 (以下所有针对目录权限操作后,都是去掉高级中"允许父项的...."对钩,选择"用在此显示的..."对钩,应用.)

支持环境:asp;asp.net;php

/ (根权限)

administrators 应用到:该文件夹,子文件夹及文件

权限:完全控制;

CREATOR OWNER 应用到:只有子文件夹及文件

权限:完全控制 (此操作在"高级"中设置)

SYSTEM 应用到:该文件夹,子文件夹及文件

权限:完全控制

设置: 用在此显示的可以应用到子对象的项目替代所有子对象的权限项目

/Program Files\Common Files

添加

everyone 读取和运行

列出文件夹目录

读取

/windows

添加

Users 读取和运行

列出文件夹目录

读取

/windows/temp

去掉users组

添加

everyone 修改

读取和运行

列出文件夹目录

读取

写入

[然后进入高级将“遍历文件夹/运行文件”去掉”]

/windows/Microsoft.NET [如果你要运行aspx网站]

给users组加 修改权限

/php [假如在C:\下有此目录"支持PHP"]安装PHP时注意要将DLL文件全部COPY到SYSTEM32下.

添加

Users 读取和运行

列出文件夹目录

读取

设置终端帐户

例如,

添加user-1帐号,将其添加到 Remote Desktop Users (为了安全可将此组改名)组,并且删除除此组外的所有其他组

此时由于/权限的设置,user-1是无法登陆的.必须给其用户目录加此帐号的权限.

既:系统分区盘符:\Documents and Settings\user-1 加 user-1 读取和运行;列出文件夹目录;读取

这里不建议以组的方式来统一用户权限,需要用到什么,就在其文件夹上加其帐号权限

如果要用IE,则必须给 C:\Program Files\Internet Explorer 给其 user-1 权限,同时也可以限制让不同用户可使用和不使用IE

如果要让所有终端用户使用IE可添加 Remote Desktop Users 组权限 读取和运行;列出文件夹目录;读取

(注意:由于这里只给用户目录 赋予用户的权限,所以当新建立终端用户后,此用户仍无权登陆,必须先给系统分区盘符:\Documents and Settings 此目录赋予

此用户或Remote Desktop Users 读取和运行;列出文件夹目录;读取 后,才可以登陆,登陆后,利用管理员帐号再对其设置更加严格的权限,只给其用户目录

设置用户权限即可)

如何防止直接利用路径访问到可访问目录。（利用如上操作，user-1是可以利用路径直接访问到c:\windows 和 c;\windows\temp和它自身的目录的，但通过，在

user-1用户目录中，将“「开始」菜单”“user-1 的文档”“WINDOWS”“收藏夹”“我最近的文档”去掉user-1权限，"桌面"分配[读取和运行][列出文件夹目录]

[读取]，即可]-测试中，但效果已达到

终端用户目录权限分配以及文件目录权限分配说明：

以user-1为例：

\Documents and Settings\user-1 此目录给予 administrators 应用到：该文件夹，子文件夹及文件

权限：完全控制

user-1 应用到：该文件夹，子文件夹及文件

权限：列出文件夹/读取数据

读取属性

读取扩展属性

读取权限

这里设置完成后，进入user-1目录，去掉“user-1 的文档”“WINDOWS”“收藏夹”“我最近的文档”去掉user-1权限，删除“「开始」菜单”。

”桌面“分配 user-1 应用到：该文件夹，子文件夹及文件

权限：列出文件夹/读取数据

读取属性

读取扩展属性

读取权限

用户文件目录权限及上层权限设置：[假设e为用户文件目录]

例如：E:\wwwroot\user-1 这里给 E:\ root$ 应用到:该文件夹，子文件夹及文件

权限:完全控制

Remote Desktop Users 应用到:该文件夹，子文件夹及文件

权限：列出文件夹/读取数据

读取属性

读取扩展属性

读取权限

作用:可以让终端用户删除建立自己的文件,根权限作用.

E:\wwwroot\user-1 这里给 root$ 应用到:该文件夹，子文件夹及文件