四、系统相关目录及文件的权限设置

　　C、D、E等盘全部设置为仅Administrator组有完全控制权限(必须)

　　C:Program Files
　　这个目录，像连接数据库这些都是要读取的，是C盘下比较重要的权限设置。

　　设置为：
　　administrators组 -- 完全控制
　　SYSTEM - 完全控制
　　CREATOR GROUP - 全空的权限。（你可以先默认的加上，然后应用。再重新设置权限，会发现权限变成空的，而另外多出来一个none的用户，把那个none删了，测试过运行ASP+ACCESS的程序这样才会比较安全）
　　。。除了以上这三个以外，其它的统统删掉。

　　C:Documents and Settings
　　这个目录设置为Administrator,SYSTEM拥有所有控制权限。

　　C:WINNT
　　这个目录设置为Administrator,SYSTEM拥有所有控制权限。IIS来宾帐户设置为仅读取权限(如有建立了专门的IIS用户组，则这里设置为IIS的用户组)。

　　C:WINNT目录内 除 TEMP,system32目录以外，所有目录均设置为Administrator,SYSTEM拥有所有控制权限

　　C:Winntsystem32目录下的
　　xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
　　edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
　　qbasic.exe,runonce.exe,syskey.exe
　　这些常用的程序也要设置为仅Administrator,SYSTEM有所有控制权限。

　　五、防止虚拟主机用户利用FSO及其它权限

　　-----------------------
　　我们以建立一个 123.com站点的为例吧。设置目录权限。
　　1，新建一个用户组。例如 WebUser
　　2，新建一个站点用户，如 web_123.com (密码自定)，并设置为属于WebUser组（不要再属于其它的组了）
　　3，新建一个该站点的目录，设置该目录权限为 administrator 组为所有权限，以及Web_123.com用户为所有权限(即完全控制)
　　4，设置IIS站点。正常建立新站点后，站点属性的站点安全性里面也相应做设置...(站点属性--目录安全性--身份验证和访问控制--编辑)

标签：