服务器安全配置和web权限管理

最近很多人在MSN上问我服务器安全设置问题，我把资料整理一下发上来,以便大家到看的到

　一、Windows Server2003的安装

　　、安装系统最少两需要个分区，分区格式都采用NTFS格式

　　2、在断开网络的情况安装好2003系统

　　3、安装IIS，仅安装必要的 IIS 组件（禁用不需要的如FTP 和 SMTP 服务）。默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：

　　Internet 信息服务管理器；

　　公用文件；

　　后台智能传输服务 (BITS) 服务器扩展；

　　万维网服务。

　　如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions

　　4、安装MSSQL及其它所需要的软件然后进行Up�ate。

　　5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分析计算机的安全配置，并标识缺少的修补程序和更新

　　二、设置和管理账户

　　、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于4位。

　　2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

　　3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

　　4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

　　5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

　　6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。

　　7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

　　三、网络服务安全管理

　　、禁止C$、D$、ADMIN$一类的缺省共享

　　打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0

　　2、 解除NetBios与TCP/IP协议的绑定

　　右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

　　3、关闭不需要的服务，以下为建议选项

　　Computer Browser:维护网络计算机更新，禁用

　　Distributed File System: 局域网管理共享文件，不需要禁用

　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用

　　Error reporting service：禁止发送错误报告

　　Microsoft Serch：提供快速的单词搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果没有打印机可禁用

　　Remote Registry：禁止远程修改注册表

　　Remote Desktop Help Session Manager：禁止远程协助

　　四、打开相应的审核策略

　　在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

　　推荐的要审核的项目是：

　　登录事件 成功 失败

　　账户登录事件 成功 失败

　　系统事件 成功 失败

　　策略更改 成功 失败

　　对象访问 失败

　　目录服务访问 失败

　　特权使用 失败

　　五、其它安全相关设置

　　、隐藏重要文件/目录

　　可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由改为0

　　2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

　　3、防止SYN洪水攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为SynAttackProtect，值为2

　　4. 禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名为PerformRouterDiscovery 值为0

　　5. 防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　将EnableICMPRedirects 值设为0

　　6. 不支持IGMP协议

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为IGMPLevel 值为0

　　7、禁用DCOM：

　　运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

　　清除“在这台计算机上启用分布式 COM”复选框。

　　注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。

　　六、配置 IIS 服务：

　　、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、删除不必要的IIS扩展名映射。

　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

　　5、更改IIS日志的路径

　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

　　7、使用UrlScan

　　UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装.0或2.0的版本。

　　如果没有特殊的要求采用UrlScan默认配置就可以了。

　　但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan

　　文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。

　　如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

　　如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为

　　在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset

　　如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

　　8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

　　下载地址：[http://www.fanvb.net/websample/othersample.aspx]VB.NET爱好者[/url]

　　七、配置Sql服务器

　　、System Administrators 角色最好不要超过两个

　　2、如果是在本机最好将身份验证配置为Win登陆

　　3、不要使用Sa账户，为其配置一个超级复杂的密码

　　4、删除以下的扩展存储过程格式为： 　　use master 　　sp_droextendedproc '扩展存储过程名'

　　xp_cmdshell：是进入操作系统的最佳捷径，删除

　　访问注册表的存储过程，删除 　　Xp_regaddmultistring　　Xp_regdel�tekey　　Xp_regdel�tevalue　　Xp_regenumvalues 　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

　　OLE自动存储过程，不需要删除 　　Sp_OACr�ate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty 　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

　　5、隐藏 SQL Server、更改默认的433端口

　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的433端口。

　　八、如果只做服务器，不进行其它操作，使用IPSec

　　、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击

　　添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型

设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。

　　2、再在管理IP筛选器表选项下点击添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。

　　3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口

　　4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成

　　5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的 Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止 ——下一步——完成——确定

　　6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.

　　九、建议

　　如果你按本文去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了

十、权限部分

要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。 Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。 Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。

我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。

下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序；D盘为软件卷，该服务器上所有安装的软件都在D盘中；E盘是WEB程序卷，网站程序都在该卷下的WWW目录中；F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。为了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U 5..0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和2端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。 假设服务器外网域名为http://www.webserver.com，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。 那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Power users拥有读&运，列和读权限；SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。对于Winnt，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！

现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。那么，怎样设置权限给这台WEB服务器才算是安全的呢？大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉；给系统卷的根目录多加一个Everyone的读、写权；给e:\www目录，也就是网站目录读、写权。最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权？网站中的ASP文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。

经过上面的讲解以后，你一定对权限有了一个初步了了解了吧？想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性 、优先性、交叉性的。 继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。 累加是说如一个组GROUP中有两个用户USER、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP对该文件或目录的访问权限就为USER和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。 又如一个用户USER同属于组GROUP和GROUP2，而GROUP对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。 优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。 交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER设置的共享权限为“只读”，同时目录A为用户USER设置的访问权限为“完全控制”，那用户USER的最终访问权限为“只读”。权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在NTFS分区中才能实现的，FAT32是不支持权限设置的。同时还想给各位管理员们一些建议：

.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。

2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。

3.尽量不要把各种软件安装在默认的路径下

4.在英文水平不是问题的情况下，尽量安装英文版操作系统。

5.切忌在服务器上乱装软件或不必要的服务。

6.牢记：没有永远安全的系统，经常更新你的知识。

（全文完）

上一篇: 轻松部署Windows2003的DHCP服务
下一篇: WIN2003 IIS最小权限分配的批处理文件
文章来自:
引用通告: 查看所有引用 | 我要引用此文章
Tags: 安全安全 配置配置 webweb 权限权限 服务器服务器 服务服务
相关日志: