蒙面人生

win2003服务器硬盘目录权限设置清单(iis+php+mysql)

0
推荐以下是详细的相应目录权限设置清单：
Administrators 完全控制
System 完全控制

D:\盘 权限
Administrators 完全控制

System 完全控制

E:\盘 权限

Administrators 完全控制   
System 完全控制

如果你还有其他盘符如“F、G..”盘，权限和上面一样设置

C:\Documents and Settings 目录权限

Administrators 完全控制

System 完全控制

C:\Program Files 目录权限

Administrators 完全控制

System 完全控制

User 读取和运行+列出文件夹目录+读取

C:\windows 目录权限
Administrators 完全控制

System 完全控制

User 读取和运行+列出文件夹目录+读取

C:\windows\system 目录权限
Administrators 完全控制

System 完全控制

User 读取和运行+列出文件夹目录+读取

C:\windows\system32 目录权限

Administrators 完全控制

System 完全控制

User 读取和运行+列出文件夹目录+读取

C:\windows\temp 目录权限

Administrators 完全控制

System 完全控制

Everyone 完全控制

WWWROOT（网站根目录）目录权限

Administrators 完全控制

System 完全控制

Internet来宾账户 读取和运行+列出文件夹目录+读取

PHP目录权限：

Administrators 完全控制

System 完全控制

Everyone 读取和运行+列出文件夹目录+读取

Zend目录权限：

Administrators 完全控制

System 完全控制

Everyone 完全控制

Mysql目录权限： 3
Administrators 完全控制

System 完全控制

User 读取和运行+列出文件夹目录+读取

1.
删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车
Windows 2003 硬盘安全设置
c:\
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只读和运行
c:\windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
IIS_WPG 读取和运行，列出文件夹目录，读取
Users 读取和运行(此权限最后调整完成后可以取消)
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
Users 读取和运行，列出文件夹目录，读取
'www.knowsky.com
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全

Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
Users 读取和运行，列出文件夹目录，读取
C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
Users 全部
c:\Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:\windows\temp
Administrator 全部权限
System全部权限
users 全部权限
c:\Program Files\Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改，读取和运行，列出文件夹目录，读取，写入
Users 读取和运行，列出文件夹目录，读取
c:\Program Files\Dimac(如果有这个目录)
Everyone 读取和运行，列出文件夹目录，读取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
TERMINAL SERVER Users
修改，读取和运行，列出文件夹目录，读取，写入
Users 读取和运行，列出文件夹目录，读取
Everyone 读取和运行，列出文件夹目录，读取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
c:\Program Files\Microsoft SQL(如果SQL安装在这个目录)
administrators 全部
Service 全部
system 全部
d:\ (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:\FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 读取与运行
从安全角度，我们建议WebEasyMail(WinWebMail)安装在独立的盘中，例如E:
E:\(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_*，默认的Internet来宾帐户(或专用的运行用户)
读取与运行
E:\WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE全部
IUSR_*，默认的Internet来宾帐户 (或专用的运行用户)
全部权限
C:\php\uploadtemp
C:\php\sessiondata
everyone
全部
C:\php\
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行
c:\windows\php.ini
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行
防止海洋木马列出WIN服务器的用户和进程
禁用服务里面倒数第二个 workstation 服务，可以防止列出用户和服务

我们经常会碰到个人博客被黑客入侵并挂木马的事情，我以前曾经介绍过“服务器的安全配置技巧总结”，但是没有具体结合某个博客程序讲解，今天，我这里就介绍一下在Z-Blog 1.7的系统以及主机可配置的条件下（托管、租用或者合租主机）的系统安全设置。让黑客的入侵变得不那么容易。

　　首先Windows 2000或者Windows Server必须格式化为NTFS的格式，格式完成后，设置网站硬盘的安全性。C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他用户删除，E盘放网站，设置Administrator和System完全控制，Everyone读取。

　　将Z-Blog的文件目录复制过来，此时会自动将所有文件设置为Everyone读取，这时，选择DATA目录设置为Everyone修改、读取和写入。选择UPLOAD、INCLUDE、CACHE、POST目录，设置为Everyone读取写入，选择RSS.XML、ATOM.XML文件也设置为Everyone读取写入。

　　下一步非常关键，就是在IIS管理界面中，选择目录属性，将上面设置的所有“可写”目录的应用程序执行许可都设置为“无”，如下图所示，这样设置之后，可写的目录就无法运行任何ASP或者其他脚本，其意义在于，即使黑客通过某个漏洞上传到了某个可写目录下一段恶意程序代码，这个恶意程序代码依旧无法执行，这就从根本上杜绝了黑客上传木马的可能性。

　　最后总结一下安全设置的要点，所有ASP程序应该放在只读目录下，可写的目录均不能放置ASP程序，所有可写的目录均不能有执行许可，DATA目录最好能设置为不能下载。按照我所介绍的这样配置之后，Z-Blog系统的安全性就应该是不错的了。

2002.10.3好像是3号还是几号,装的电脑,LG 772 17"纯平,价格大概1200,还有一个月就是7年了,她终于光荣退休了.

最近显示器开机的时候越来越混了,要开一会才清晰一点,哎,老了,是该换了.搬到办公室又太重,所以还是把它给退休了吧

终于换了19"的液晶.眼睛再也不受罪了.

难道因为我升级到windows 2008+IIS7有关?

2008版本的火车没问题

还没找到解决办法,继续~~~~~~~~

终于找到原因了,原来IIS7默认是开启了"保持http连接"

解决办法:在火车里面的全局选项--http请求设置勾选Keep-Alive 即可

For those of you not familiar with the "FastCGI" extension its a very light weight and high speed CGI engine that's designed to speed up PHP and Perl based sites. More info can be found here

http://www.fastcgi.com/drupal/

.

Anyway After its all setup and configured you may still have to tweak it. One of the things I had to do was extend the default activity timeout window. This is how much time the FastCGI extension will "wait" for PHP to get finished doing whatever its doing. For those of you familiar with FastCGI before you may have worked with the fcgiext.ini file - well on Windows 2008 that file is no longer available. Instead you must use following commands to set your timeout.

I had to tweak it to get the Gallery2 photo album to work - without this setting the connection would time out waiting for a large set of photos to be uploaded and processed. This fixed it.

查看当前配置

%windir%\system32\inetsrv\appcmd list config -section:system.webServer/fastCgi
都是在cmd下运行

也可以在C:\Windows\System32\inetsrv\config\applicationHost.config 进行编辑