易勇整理地虚拟主机安全设置详细说明.doc

本人整理的虚拟主机安全的详细设置 （针对win2003系统） 正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点： 1、系统盘权限设置 C:分区部分： c:  administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) system 全部(该文件夹，子文件夹及文件)  IIS_WPG 创建文件/写入数据(只有该文件夹)  IIS_WPG(该文件夹，子文件夹及文件)  遍历文件夹/运行文件  列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:Documents and Settings administrators 全部(该文件夹，子文件夹及文件) Power Users (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 SYSTEM全部(该文件夹，子文件夹及文件) C:Program Files  administrators 全部(该文件夹，子文件夹及文件)  CREATOR OWNER全部(只有子文件来及文件)  IIS_WPG (该文件夹，子文件夹及文件)  读取和运行  列出文件夹目录  读取  Power Users(该文件夹，子文件夹及文件)  修改权限  SYSTEM全部(该文件夹，子文件夹及文件)  TERMINAL SERVER USER (该文件夹，子文件夹及文件)  修改权限 2、网站及虚拟机权限设置(比如网站在E盘)  说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理 E:  Administrators全部(该文件夹，子文件夹及文件) E:wwwsite  Administrators全部(该文件夹，子文件夹及文件)  system全部(该文件夹，子文件夹及文件)  service全部(该文件夹，子文件夹及文件) E:wwwsitevhost1 Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) vhost1全部(该文件夹，子文件夹及文件) 3、数据备份盘  数据备份盘最好只指定一个特定的用户对它有完全操作的权限 ，比如F盘为数据备份盘，我们只指定一个管 理员对它有完全操作的权限4、其它地方的权限设置 请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许administrators访问 net.exe net1.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe 另外，对任务管理器进行权限限制，Taskmgr程序在sytem32子目录中，执行右键“运行方式”菜单后出现运行身份对话框，输入管理员用户名和密码即可，其它用户无权使用taskmgr程序 CMD.EXE文件的权限设置：Administrator 和System完全控制权限 ，USER读取执行权限（有些数据库需要调用此功能，不能删除） 5.删除c:inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述 第三招：禁用不必要的服务，提高安全性和系统效率 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消