用权限设置软件设置后,部分目录需要设置下安全权限
不要执行2016的专用权限 会造成日志不停报错,软件保护服务(software protection)不停的重启,每30秒就重启一次
删除C:/Users和C:/Users/Default目录的E权限
C:/Users/Default的权限应用到子目录
C:/Users/Default/“开始”菜单/ 下的2个文件夹
2个版本都要确保iissafe文件夹内的所有文件拥有A和S用户完全权限,U用户读取和执行权限(不需要有IIS用户的权限)
C:/7i24.com/iissafe/log 取消E删除权限(小项) 增加FreeHost的拒绝所有权限
删除文件夹C:/7i24.com/iissafe/log/sys
C:/Windows/System32/inetsrv/urlscan/logs A和S完全、CREATOR OWNER子文件夹和文件的完全、IIS_IUSRS读取和写入
C:/Windows/7i24.com 只保留A和S用户(删除E用户的读取和执行)
C:/Windows/7i24.com/LicenseFreeHost 只保留A和S用户(删除E用户的读取和执行)
C:/Windows/7i24.com/FreeHost 只保留A和S用户 (原始:ALL APPLICATION PACKAGES与Users用户的读取和执行,TrustedInstaller子文件夹和此文件夹的完全,CREATOR OWNER仅子文件夹和文件的完全,A和S的完全)
C:/Windows/7i24.com/FreeHost下的文件 A和S用户完全权限,U用户读取和执行权限(删除ALL APPLICATION PACKAGESIIS(读取和执行))
C:/Windows/7i24.com/FreeHost/log A和S完全,U读取和执行,增加FreeHost的拒绝所有权限
在没执行2016专用权限的情况下后我们需要操作:
C:/Windows/system32/CatRoot2 权限应用到子目录
C:/Windows/System32/catroot2/{127D0A1D-4EF2-11D1-8608-00C04FC295EE}和内catdb文件 删除NETWORK SERVICE
C:/Windows/System32/catroot2/{F750E6C3-38EE-11D1-85E5-00C04FC295EE}和内catdb文件 删除NETWORK SERVICE
C:/Windows/Vss 权限:A和S完全、U的读取和执行 将权限应用到子目录
C:/Windows/Vss/Writers 原有权限还有LOCAL SERVICE/NETWORK SERVICE/Backup Operators 完全(删除掉)
C:/Windows/tracing 权限:A和S完全、U的读取
C:/Windows/Tasks 权限是:A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,Authenticated Users对只有该文件夹的遍+列+2读+读取(删除创建)
C:/Windows/Tasks/SA.DAT 权限是:A和S完全权限,Authenticated Users读取
C:/Windows/SysWOW64/Tasks 权限是:A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/RemoteApp and Desktop Connections Update A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/PLA 参考上面的权限,但是增加了Performance Log Users的读取和执行(删除创建文件/写入数据)
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/PLA/System 参考上面的权限,又多了个E的读取和执行(将E删除)
C:/Windows/System32/Tasks A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/System32/Tasks/Microsoft A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/System32/Tasks/Microsoft/Windows/PLA 参考上面的权限,但是增加了Performance Log Users的读取和执行(删除创建文件/写入数据)
C:/Windows/System32/Tasks/Microsoft/Windows/PLA/System 参考上面的权限,又多了个E的读取和执行(将E删除)
C:/Windows/System32/Tasks/Microsoft/Windows/WindowsColorSystem/Calibration Loader 权限:A和S完全、U读取
C:/Windows/System32/Tasks/Microsoft/Windows/RemoteApp and Desktop Connections Update A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/SysWOW64/wbem/Logs 权限:A和S完全、U的读取和执行
C:/Windows/System32/wbem/Logs 权限:A和S完全、U的读取和执行
C:/Windows/System32/spool/drivers/color 取消U的执行 保留A和S用户,其他用户删除
C:/Windows/System32/Ipmi 权限:A和S完全、U的读取和执行
C:/Windows/SysWOW64/Ipmi 权限:A和S完全、U的读取和执行
C:/Windows/System32/ias 删除NETWORK SERVICE的写入权限
C:/Windows/serviceProfiles/NetworkService 改NETWORK SERVICE列+读+写
C:/Windows/System32/LogFiles/WMI 改LOCAL SERVICE/NETWORK SERVICE/Performance Log Users只保留读取和写入
C:/Windows/Logs/MeasuredBoot 改NET列+读+写 删除LOCAL SERVICE用户
C:/Users/All Users/Microsoft和C:/Users/All Users/Application Data/Microsoft如果是WIN2019要注意这个目录下的所有子目录删除E的权限
C:/Users/All Users/Microsoft/DeviceSync 改E只保留读取和写入(取消执行、更改、所有权)
C:/Users/All Users/Microsoft/Windows/WER 删除E用户,U的读取和执行
C:/Users/All Users/Microsoft/Windows/DeviceMetadataCache/dmrccache 删除ALL和E用户,U不能有执行权限
C:/Users/All Users/Microsoft/User Account Pictures 改U的读取和执行,删除E用户
C:/Users/All Users/Microsoft/NetFramework/BreadcrumbStore 改U的读取和执行,删除E用户
C:/Users/All Users/Microsoft/RAC/Temp 改NETWORK SERVICE读取和执行
C:/Users/All Users/Microsoft/RAC/PublishedData 改NETWORK SERVICE读取和执行
2019.12更新(WIN2019)
C:/Windows/WinSxS/amd64_microsoft-windows-i..cyscripts.resources_31bf3856ad364e35_10.0.17763.1_zh-cn_6879ca8149ba47ca/adsutil.ini取消E运行权限
C:/Users/All Users/USOShared/Logs取消U的写
2020.3更新(WIN2019)
C:\Windows\System32\Tasks\Microsoft\Windows\Speech\HeadsetButtonPress对Authenticated Users保留读取
C:\Windows\System32\Tasks\Microsoft\Windows\Speech\SpeechModelDownloadTask对NETWORK读取和执行
C:\Windows\SysWOW64\Tasks\Microsoft\Windows\RemoteApp and Desktop Connections Update对Authenticated Users、LOCAL SERVICE、NETWORK SERVICE读取(大类)
C:\Windows\System32\Tasks\Microsoft\Windows\File Classification Infrastructure\Property Definition Syn对Authenticated Users保留读取
C:\Users\All Users\Microsoft\User Account Pictures删除U的创建
C:\Windows\Vss\Writers\System对NETWORK SERVICE、Backup Operators、LOCAL SERVICE读取和执行
C:\Windows\Vss\Writers\Application对NETWORK SERVICE、Backup Operators、LOCAL SERVICE读取和执行
C:\Users\All Users\Microsoft\Windows Defender\Clean Store对NETWORK SERVICE读取和写入(这个权限不需要做修改,见下一条的说明)
2020年11月
C:\Users\All Users\Microsoft\Windows Defender\Clean Store
的NETWORK SERVICE完全权限不能做修改否则系统会无法被外网连接
2020.12月
C:\Windows\System32\catroot2\{E388E269-F451-4FE2-B549-CD23C26317DC} 和内的2个文件 删除NETWORK SERVICE 系统更新补丁后要检查下
C:\Users\All Users\McAfee\datreputation\Logs\datreputation.txt取消E的执行权限
C:\Users\All Users\McAfee\Agent\AgentEvents\Upload看E是否有执行权限 默认是没有 不需要检查
安装了诺顿目录有权限问题,如果诺顿正常运行这些目录是无法修改和执行的,如果卸载诺顿要注意看下这些目录:
C:\Users\All Users\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IPS
C:\Users\All Users\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\_lck
C:\Users\All Users\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\IPS
C:\Users\All Users\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\CmnClnt\_lck
安装了诺顿目录有权限问题,如果诺顿正常运行这些目录是无法修改和执行的,如果卸载诺顿要注意看下这些目录:
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IPS
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\_lck
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\IPS
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\CmnClnt\_lck
2021.5:
C:\Windows\Temp取消Power Users的执行权限
D:\ZKEYS\ZHost\ZTotal删除U权限 好像会反弹,加入到McAfee自定义规则禁止执行和删除(=禁止修改属性)
D:\ZKEYS\ZHost\reg.ini删除U权限 好像会反弹,加入到McAfee自定义规则禁止执行和删除(=禁止修改属性)
D:\ZKEYS\ZHost\nyctrl删除U权限 好像会反弹,加入到McAfee自定义规则禁止执行和删除(=禁止修改属性)
C:\Program Files (x86)\Persits Software\AspJpeg\Samples删除E的权限 并删除IIS中的虚拟目录网站
C:\ProgramData取消U的写入(文件夹和子文件)(安装了最新版McAfee后无法设置,需要系统进入安全模式下设置)
实际上C:\Users\All Users=C:\ProgramData
系统进入安全模式:msconfig--引导--勾选'安全引导'-重启服务器进入安全模式
C:\ProgramData
C:\ProgramData\McAfee
C:\ProgramData\McAfee\datreputation\Logs\datreputation.txt
C:\ProgramData\McAfee\Agent\AgentEvents 简单看看 一般不需要修改
修改D:\ZKEYS\server 只给Users读取
修改D:\ZKEYS\server\PHP 给Users运行和读取
D:\ZKEYS\server\PHP\php\*\tmp 麦咖啡自定义规则-禁止删除(=禁止修改属性)
E:\Program Files\Microsoft sql Server\MSSQL12.MSSQLSERVER\MSSQL\DATA 先启用继承,再禁用继承,删除U的权限 麦咖啡自定义规则-禁止删除(=禁止修改属性)
ASP.NET的安全设置:
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
将
<location allowOverride="true">修改为<location allowOverride="false">
<trust level="Full" originUrl=""/>修改为
<trust level="High" originUrl=""/>
<identity impersonate="true" />
为.Net的严格权限
<trust level="Full" originUrl=""/>修改为
<trust level="Full" originUrl=""/>
<identity impersonate="true" />
为.Net的宽松权限
用麦咖啡自定义规则:
禁止php-cgi.exe,php.exe,php-win.exe,deplister.exe,phpdbg.exe对C盘执行权限
禁止php-cgi.exe,php.exe,php-win.exe,deplister.exe,phpdbg.exe对E盘的全部权限
禁止php-cgi.exe,php.exe,php-win.exe,deplister.exe,phpdbg.exe对F盘的全部权限
