1.先以C盘为例,右击C盘,点击“安全”,将Everyone、Users组删除,设置administrators、system完全控制;iis_wpg只有该文件夹(列出文件夹/读数据/读属性/读扩展属性/读取权限) 2. c:\inetpub\mailroot administrators 完全;system 完全;service 完全 c:\inetpub\ftproot everyone 只读和运行 如果装了软件: c:\Program Files\soft Everyone 读取和运行,列出文件夹目录,读取 administrators 完全 具体要看软件的性质 3.让asp顺利运行 C:\Program Files\Common Files everyone默认权限 C:\WINNT\Temp everyone 读写 C:\WINDOWS\system32 everyone默认权限
其他盘,也只留administrators、system 两个用户即可,如果安装有软件,具体设置见附录硬盘权限设置 4.防止asp木马 首先,设置system32下程序:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe,只允许administrator访问 然后,给每个虚拟站点单独设一个用户,分给每个用户文件夹相应用户名完全控制的权限(防止FSO),具体设置见附录 或参看 (http://www.xiugoo.com/bbs)
如果服务器不需要 Wscript.Shell,stream对象 支持的话可以将其卸载 regsvr32 WSHom.Ocx /u
regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 注:此项不能轻易去掉,否则数据库连接是可能出现 错误’ASP 0177 : 800401f3’ server.createobject
上文主要是简单的走一下过程,如有什么不明白的地方可以参考附录
附录(参考文献): 注:全来自网上,版权归原撰写人
Win 2003 硬盘安全设置(针对ASP类网站)
C:分区部分: c:\ administrators 全部 iis_wpg 只有该文件夹 列出文件夹/读数据 读属性 读扩展属性 读取权限
c:\inetpub\mailroot administrators 全部 system 全部 service 全部
c:\inetpub\ftproot everyone 只读和运行
c:\windows administrators 全部 Creator owner 不是继承的 只有子文件夹及文件 完全 Power Users 修改,读取和运行,列出文件夹目录,读取,写入 system 全部 Users 读取和运行,列出文件夹目录,读取
c:\Program Files Everyone 只有该文件夹 不是继承的 列出文件夹/读数据 administrators 全部 iis_wpg 只有该文件夹 列出文件/读数据 读属性 读扩展属性 读取权限
c:\Program Files\Common Files administrators 全部 Creator owner 不是继承的 只有子文件夹及文件 完全 Power Users 修改,读取和运行,列出文件夹目录,读取,写入 system 全部 TERMINAL SERVER Users(如果有这个用户) 修改,读取和运行,列出文件夹目录,读取,写入 Users 读取和运行,列出文件夹目录,读取
如果安装了我们的软件: c:\Program Files\LIWEIWENSOFT Everyone 读取和运行,列出文件夹目录,读取 administrators 全部 IIS_WPG 读取和运行,列出文件夹目录,读取
c:\Program Files\Dimac(如果有这个目录) Everyone 读取和运行,列出文件夹目录,读取 administrators 全部
c:\Program Files\ComPlus Applications (如果有) administrators 全部
c:\Program Files\GflSDK (如果有) administrators 全部 Creator owner 不是继承的 只有子文件夹及文件 完全 Power Users 修改,读取和运行,列出文件夹目录,读取,写入 system 全部 TERMINAL SERVER Users 修改,读取和运行,列出文件夹目录,读取,写入 Users 读取和运行,列出文件夹目录,读取 Everyone 读取和运行,列出文件夹目录,读取
c:\Program Files\InstallShield Installation Information (如果有) c:\Program Files\Internet Explorer (如果有) c:\Program Files\NetMeeting (如果有) administrators 全部
c:\Program Files\WindowsUpdate Creator owner 不是继承的 只有子文件夹及文件 完全 administrators 全部 Power Users 修改,读取和运行,列出文件夹目录,读取,写入 system 全部
D:分区部分: d:\ (如果用户网站内容放置在这个分区中) administrators 全部权限
d:\FreeHost (如果此目录用来放置用户网站内容) administrators 全部权限 SERVICE 全部权限
|