挑战系统盘最小权限

情况说明：虚拟主机，只提供web服务。

C盘根目录                 给system和administrator用户(不是administrators组)完全控制权限，将权限继承下去
C:\Program files\common files\system      给everyone用户读取、列目录、执行权限
C:\WINNT\Temp                                    给everyone用户列目录、读取、写入权限(注意不要给执行权限)
C:\winnt\system32\inetsrv              给everyone用户列目录、读取、执行权限(如果你对安全要求比较严格，这里可继续把权限分配到下面的文件，而不用给到这个目录，我这里懒得弄了，还要注意把这个目录下的data文件夹的写权限给废了)
c:\winnt\system32下的所有非exe、com、msc文件(注意是文件，不包含目录)   给everyone读取和执行权限
再给c:\winnt\system32\dllhost.exe      给everyone用户读取和执行权限
如果还需要跑PHP给C:\WINNT\php.ini      给everyone读取权限即可
当然跑PHP的话你还需要给PHP、MYSQL目录  给everyone读取、列目录、执行权限(你可以只给需要执行PHP的网站用户开这个权限)

大致就如上，这里我只说权限设置，其他方面的安全设置另外需要再做。
然后把c:\winnt\system32下的shell32.dll和wshom.ocx用regsvr32注销掉之后删除这两个文件
至于FSO一般虚拟主机都需要用到，所以就不设置了。如果需要给有些用户用另一些不用可以给scrrun.dll加上权限设置，重新启动IIS即可生效。

以上设置在2000server上测试通过，web测试程序使用DVBBS7.1和CTB论坛测试通过。然后用海阳2006和phpspy2006[php已经做了安全设置]进行测试，发现效果不错。


询问：
但是主管对于这个权限配置还不满意，对于这些目录能不能再给到其他组而不使用everyone？
还有几点问题，应用软件装在C盘还有PHP、PERL这些装在C盘下对安全有影响吗？（当然，权限是设置了的）

C盘根目录               给system和administrator用户(不是administrators组)完全控制权限，将权限继承下去
C:\Program files\common files\system   给users组读取、列目录、执行权限
C:\WINNT\Temp                          给users组列目录、读取、写入权限(注意不要给执行权限)
C:\winnt\system32\inetsrv下的所有文件(除MetaBase.bin外，不包含inetsrv下的目录)给users组列目录、读取、执行权限
c:\winnt\system32下的所有非exe、com、msc文件(注意是文件，不包含目录)   给users组读取和执行权限
再给c:\winnt\system32\dllhost.exe      给users读取和执行权限
如果还需要跑PHP给C:\WINNT\php.ini      给users读取权限即可
当然跑PHP的话你还需要给PHP、MYSQL目录  给users读取、列目录、执行权限(你可以只给需要执行PHP的网站用户开这个权限)

然后再去除部分危险命令的system的权限防止缓冲区溢出等引发的安全问题。