作者:monface
发布时间:August 31, 2009
分类:服务器
win2003服务器硬盘目录权限设置清单(iis+php+mysql)
0
推荐以下是详细的相应目录权限设置清单:
Administrators 完全控制
System 完全控制
D:\盘 权限
Administrators 完全控制
System 完全控制
E:\盘 权限
Administrators 完全控制
System 完全控制
如果你还有其他盘符如“F、G..”盘,权限和上面一样设置
C:\Documents and Settings 目录权限
Administrators 完全控制
System 完全控制
C:\Program Files 目录权限
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
C:\windows 目录权限
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
C:\windows\system 目录权限
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
C:\windows\system32 目录权限
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
C:\windows\temp 目录权限
Administrators 完全控制
System 完全控制
Everyone 完全控制
WWWROOT(网站根目录)目录权限
Administrators 完全控制
System 完全控制
Internet来宾账户 读取和运行+列出文件夹目录+读取
PHP目录权限:
Administrators 完全控制
System 完全控制
Everyone 读取和运行+列出文件夹目录+读取
Zend目录权限:
Administrators 完全控制
System 完全控制
Everyone 完全控制
Mysql目录权限: 3
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
1.
删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车
Windows 2003 硬盘安全设置
c:\
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只读和运行
c:\windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
IIS_WPG 读取和运行,列出文件夹目录,读取
Users 读取和运行(此权限最后调整完成后可以取消)
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取
'www.knowsky.com
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取
C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 全部
c:\Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:\windows\temp
Administrator 全部权限
System全部权限
users 全部权限
c:\Program Files\Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
c:\Program Files\Dimac(如果有这个目录)
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
Everyone 读取和运行,列出文件夹目录,读取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
c:\Program Files\Microsoft SQL(如果SQL安装在这个目录)
administrators 全部
Service 全部
system 全部
d:\ (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:\FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 读取与运行
从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E:
E:\(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_*,默认的Internet来宾帐户(或专用的运行用户)
读取与运行
E:\WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE全部
IUSR_*,默认的Internet来宾帐户 (或专用的运行用户)
全部权限
C:\php\uploadtemp
C:\php\sessiondata
everyone
全部
C:\php\
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行
c:\windows\php.ini
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行
防止海洋木马列出WIN服务器的用户和进程
禁用服务里面倒数第二个 workstation 服务,可以防止列出用户和服务
作者:monface
发布时间:August 31, 2009
分类:服务器
我们经常会碰到个人博客被黑客入侵并挂木马的事情,我以前曾经介绍过“服务器的安全配置技巧总结”,但是没有具体结合某个博客程序讲解,今天,我这里就介绍一下在Z-Blog 1.7的系统以及主机可配置的条件下(托管、租用或者合租主机)的系统安全设置。让黑客的入侵变得不那么容易。
首先Windows 2000或者Windows Server必须格式化为NTFS的格式,格式完成后,设置网站硬盘的安全性。C盘为操作系统盘,D盘放常用软件,E盘网站,格式化完成后立刻设置磁盘权限,C盘默认,D盘的安全设置为Administrator和System完全控制,其他用户删除,E盘放网站,设置Administrator和System完全控制,Everyone读取。
将Z-Blog的文件目录复制过来,此时会自动将所有文件设置为Everyone读取,这时,选择DATA目录设置为Everyone修改、读取和写入。选择UPLOAD、INCLUDE、CACHE、POST目录,设置为Everyone读取写入,选择RSS.XML、ATOM.XML文件也设置为Everyone读取写入。
下一步非常关键,就是在IIS管理界面中,选择目录属性,将上面设置的所有“可写”目录的应用程序执行许可都设置为“无”,如下图所示,这样设置之后,可写的目录就无法运行任何ASP或者其他脚本,其意义在于,即使黑客通过某个漏洞上传到了某个可写目录下一段恶意程序代码,这个恶意程序代码依旧无法执行,这就从根本上杜绝了黑客上传木马的可能性。
最后总结一下安全设置的要点,所有ASP程序应该放在只读目录下,可写的目录均不能放置ASP程序,所有可写的目录均不能有执行许可,DATA目录最好能设置为不能下载。按照我所介绍的这样配置之后,Z-Blog系统的安全性就应该是不错的了。
作者:monface
发布时间:August 28, 2009
分类:随&杂
2002.10.3好像是3号还是几号,装的电脑,LG 772 17"纯平,价格大概1200,还有一个月就是7年了,她终于光荣退休了.
最近显示器开机的时候越来越混了,要开一会才清晰一点,哎,老了,是该换了.搬到办公室又太重,所以还是把它给退休了吧
终于换了19"的液晶.眼睛再也不受罪了.
作者:monface
发布时间:August 22, 2009
分类:计算机&网络
难道因为我升级到windows 2008+IIS7有关?
2008版本的火车没问题
还没找到解决办法,继续~~~~~~~~
终于找到原因了,原来IIS7默认是开启了"保持http连接"
解决办法:在火车里面的全局选项--http请求设置勾选Keep-Alive 即可
作者:monface
发布时间:August 20, 2009
分类:服务器
For those of you not familiar with the "FastCGI" extension its a very light weight and high speed CGI engine that's designed to speed up PHP and Perl based sites. More info can be found here
http://www.fastcgi.com/drupal/
.
Anyway After its all setup and configured you may still have to tweak it. One of the things I had to do was extend the default activity timeout window. This is how much time the FastCGI extension will "wait" for PHP to get finished doing whatever its doing. For those of you familiar with FastCGI before you may have worked with the fcgiext.ini file - well on Windows 2008 that file is no longer available. Instead you must use following commands to set your timeout.
I had to tweak it to get the Gallery2 photo album to work - without this setting the connection would time out waiting for a large set of photos to be uploaded and processed. This fixed it.
XML/HTML代码
- %windir%\system32\inetsrv\appcmd set config -section:system.webServer/fastCgi /[fullPath='C:\php\php-cgi.exe'].activityTimeout:600
查看当前配置
%windir%\system32\inetsrv\appcmd list config -section:system.webServer/fastCgi
都是在cmd下运行
也可以在C:\Windows\System32\inetsrv\config\applicationHost.config 进行编辑
作者:monface
发布时间:August 19, 2009
分类:计算机&网络
序号 |
用户类型 |
说明 |
权限 |
对应的Vista版本 |
1. |
Administrator |
管理员 |
拥有所有权限,可执行所有的任务,如安装软件、备份/恢复系统,监控系统运行等。 |
所有版本 |
2. |
Standard User |
标准用户 |
这是一个组用户,适合所有用户。在缺省情况下,Vista系统把所有新建的用户都作为是标准用户。 |
所有版本 |
3. |
Anonymous Logon |
匿名用户 |
需要管理员为其分配可访问的目录和相应的读写权限。 |
所有版本 |
4. |
Backup Operators |
备份操作员 |
有读/写所有文件和目录的权限。 |
所有版本 |
5. |
Batch |
批处理用户 |
可以通过执行批处理登陆用户,比如执行计划的批处理任务。 |
所有版本 |
6. |
Event Log Readers |
事件日志用户 |
在查看系统所有事件日志(包括安全日志)时拥有和管理员相同的权限。 (注:标准用户只能通过事件浏览器查看部分系统日志。) |
所有版本 |
7. |
Guest |
来宾用户 |
系统内建的账户,可访问有限的、无权限要求的系统资源。 |
所有版本 |
8. |
IIS_IUSRS (or IUSR) |
IIS用户 |
此类型的用户拥有访问IIS服务器内所有网页的权限。 另外,Vista使用IUSR用户来实现对IIS 上部署的Web页面的匿名访问。 |
商业版、企业版和最终版 |
9. |
Interactive |
交互用户 |
这是一种特殊的用户类型,专用于通过远程桌面连接登陆计算机。与Network用户相反。 |
商业版、企业版和最终版 |
10. |
Local Service |
本地服务用户 |
这也是一种特殊的用户类型,可运行指定机器上的本地服务,与标准用户拥有相同的权限。 |
所有版本 |
11. |
Network |
网络用户 |
这也是一种特殊的用户类型,可通过网络(而不是远程桌面连接)访问Vista资源。 |
商业版、企业版和最终版 |
12. |
Network Configuration Operators |
网络配置操作员 |
这是一个组用户,拥有Vista的与网络相关的权限,可管理标准用户账户的网络配置。 |
所有版本 |
13. |
Network Service |
网络服务 |
这也是一种特殊的用户类型,拥有将任意服务设置为网络服务的权限。 |
所有版本 |
14. |
Performance Log User |
性能日志用户 |
这是一个组用户,拥有Vista Windows可靠性和性能监视器日志相关的权限,比如能够初始化日志数据记录,或修改数据收集器集。 |
商业版、企业版和最终版 |
15. |
Performance Monitor User |
性能监控用户 |
这是一个组用户,拥有Vista Windows可靠性和性能监视器相关的权限。 |
商业版、企业版和最终版 |
16. |
Service |
服务用户 |
这是一种特殊的用户类型,可以把任意服务当做服务来运行。默认情况下,其权限与标准用户相同。 |
所有版本 |
17. |
System |
系统用户 |
这是一种特殊的用户,用于Vista操作系统自身。缺省情况下,它拥有所有操作系统所需的权限。 |
所有版本 |
作者:monface
发布时间:August 18, 2009
分类:随&杂
在我们伟大的祖国,这限塑令虽然颁布实施了下来,但是究竟对环境有多大改善?得益的是老百姓还是ZF为了讨一个好口彩?
生产厂家还是继续在生产,超市也在继续使用,小贩也在继续使用,塑料垃圾还是堆积成山.
超市只是没有免费提供了,而是变成了卖塑料口袋,有些超市一个口袋还卖到了0.5元,又给商家赚了一大碗,而且如果自带口袋去,超市还不帮忙给你装货,还得自己慢慢装,限塑令还限制了超市的态度?
限,还是百姓苦.
- 1
- 2
- 3
- »