Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

挑战系统盘最小权限

[复制链接]
xgocn 发表于 2008-12-28 18:39:17 | 显示全部楼层 |阅读模式
情况说明:虚拟主机,只提供web服务。

C盘根目录                 给system和administrator用户(不是administrators组)完全控制权限,将权限继承下去
C:\Program files\common files\system      给everyone用户读取、列目录、执行权限
C:\WINNT\Temp                                    给everyone用户列目录、读取、写入权限(注意不要给执行权限)
C:\winnt\system32\inetsrv              给everyone用户列目录、读取、执行权限(如果你对安全要求比较严格,这里可继续把权限分配到下面的文件,而不用给到这个目录,我这里懒得弄了,还要注意把这个目录下的data文件夹的写权限给废了)
c:\winnt\system32下的所有非exe、com、msc文件(注意是文件,不包含目录)   给everyone读取和执行权限
再给c:\winnt\system32\dllhost.exe      给everyone用户读取和执行权限
如果还需要跑PHP给C:\WINNT\php.ini      给everyone读取权限即可
当然跑PHP的话你还需要给PHP、MYSQL目录  给everyone读取、列目录、执行权限(你可以只给需要执行PHP的网站用户开这个权限)

大致就如上,这里我只说权限设置,其他方面的安全设置另外需要再做。
然后把c:\winnt\system32下的shell32.dll和wshom.ocx用regsvr32注销掉之后删除这两个文件
至于FSO一般虚拟主机都需要用到,所以就不设置了。如果需要给有些用户用另一些不用可以给scrrun.dll加上权限设置,重新启动IIS即可生效。

以上设置在2000server上测试通过,web测试程序使用DVBBS7.1和CTB论坛测试通过。然后用海阳2006和phpspy2006[php已经做了安全设置]进行测试,发现效果不错。


询问:
但是主管对于这个权限配置还不满意,对于这些目录能不能再给到其他组而不使用everyone?
还有几点问题,应用软件装在C盘还有PHP、PERL这些装在C盘下对安全有影响吗?(当然,权限是设置了的)
 楼主| xgocn 发表于 2008-12-28 18:39:58 | 显示全部楼层
C盘根目录               给system和administrator用户(不是administrators组)完全控制权限,将权限继承下去
C:\Program files\common files\system   给users组读取、列目录、执行权限
C:\WINNT\Temp                          给users组列目录、读取、写入权限(注意不要给执行权限)
C:\winnt\system32\inetsrv下的所有文件(除MetaBase.bin外,不包含inetsrv下的目录)给users组列目录、读取、执行权限
c:\winnt\system32下的所有非exe、com、msc文件(注意是文件,不包含目录)   给users组读取和执行权限
再给c:\winnt\system32\dllhost.exe      给users读取和执行权限
如果还需要跑PHP给C:\WINNT\php.ini      给users读取权限即可
当然跑PHP的话你还需要给PHP、MYSQL目录  给users读取、列目录、执行权限(你可以只给需要执行PHP的网站用户开这个权限)

然后再去除部分危险命令的system的权限防止缓冲区溢出等引发的安全问题。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-18 09:44 , Processed in 0.019582 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表