首页帮助中心建站知识

WIN2019和WIN2022部分目录安全设置Win2022 IIS环境中系统的权限设置

迅恒数据中心

用权限设置软件设置后,部分目录需要设置下安全权限
不要执行2016的专用权限 会造成日志不停报错,软件保护服务(software protection)不停的重启,每30秒就重启一次

删除C:/Users和C:/Users/Default目录的E权限
C:/Users/Default的权限应用到子目录

C:/Windows/servicing/Packages
C:/Users/Default/“开始”菜单/ 下的2个文件夹
C:/Users/Default/“开始”菜单/Programs下的多个文件夹
C:/Users/Default/My Documents下3个文件夹
C:/Users/Default/Local Settings/Microsoft/Windows
C:/Users/Default/Local Settings/Microsoft/InputPersonalization
C:/Users/Default/Local Settings/Microsoft/InputPersonalization/TrainedDataStore
C:/Users/Default/AppData/Roaming/Microsoft
C:/Users/Default/AppData/Roaming/Microsoft/Internet Explorer
C:/Users/Default/AppData/Roaming/Microsoft/Internet Explorer/Quick Launch
C:/Users/Default/AppData/Roaming/Microsoft/Windows
C:/Users/Default/AppData/Roaming/Microsoft/Windows下的多个文件夹
Users的特殊权限:该文件夹和子文件夹的2个创建,有的权限不能修改要先禁用续承
 
C:/Program Files (x86)/StartIsBack/Styles 删除E和U用户  //安装StartIsBack软件才有的目录
C:/Program Files (x86)/StartIsBack/Orbs 删除E和U用户  //安装StartIsBack软件才有的目录
C:/Windows/System32/inetsrv/urlscan/logs  A和S完全、CREATOR OWNER子文件夹和文件的完全、IIS_IUSRS读取和写入

安装McAfee杀毒软件才有的目录:
C:/Users/All Users/McAfee/DesktopProtection
C:/Users/All Users/McAfee/datreputation/Logs/datreputation.txt
C:/Users/All Users/Application Data/McAfee/DesktopProtection
C:/Users/All Users/Application Data/McAfee/datreputation/Logs/datreputation.txt
只保留E的读取和写入权限

 在没执行2016专用权限的情况下后我们需要操作:
C:/Windows/system32/CatRoot2 权限应用到子目录
C:/Windows/System32/catroot2/{127D0A1D-4EF2-11D1-8608-00C04FC295EE}和内catdb文件 删除NETWORK SERVICE
C:/Windows/System32/catroot2/{F750E6C3-38EE-11D1-85E5-00C04FC295EE}和内catdb文件 删除NETWORK SERVICE
C:/Windows/Vss 权限:A和S完全、U的读取和执行 将权限应用到子目录
C:/Windows/Vss/Writers 原有权限还有LOCAL SERVICE/NETWORK SERVICE/Backup Operators 完全(删除掉)
C:/Windows/tracing 权限:A和S完全、U的读取
C:/Windows/Tasks 权限是:A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,Authenticated Users对只有该文件夹的遍+列+2读+读取(删除创建)
C:/Windows/Tasks/SA.DAT 权限是:A和S完全权限,Authenticated Users读取
C:/Windows/SysWOW64/Tasks 权限是:A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/RemoteApp and Desktop Connections Update A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/PLA 参考上面的权限,但是增加了Performance Log Users的读取和执行(删除创建文件/写入数据)
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/PLA/System 参考上面的权限,又多了个E的读取和执行(将E删除)
C:/Windows/System32/Tasks A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/System32/Tasks/Microsoft A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/System32/Tasks/Microsoft/Windows/PLA 参考上面的权限,但是增加了Performance Log Users的读取和执行(删除创建文件/写入数据)
C:/Windows/System32/Tasks/Microsoft/Windows/PLA/System 参考上面的权限,又多了个E的读取和执行(将E删除)
C:/Windows/System32/Tasks/Microsoft/Windows/WindowsColorSystem/Calibration Loader 权限:A和S完全、U读取
‪C:/Windows/System32/Tasks/Microsoft/Windows/RemoteApp and Desktop Connections Update A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/SysWOW64/wbem/Logs 权限:A和S完全、U的读取和执行
C:/Windows/System32/wbem/Logs 权限:A和S完全、U的读取和执行
C:/Windows/System32/spool/drivers/color 取消U的执行 保留A和S用户,其他用户删除
C:/Windows/System32/Ipmi 权限:A和S完全、U的读取和执行
C:/Windows/SysWOW64/Ipmi 权限:A和S完全、U的读取和执行
C:/Windows/System32/ias 删除NETWORK SERVICE的写入权限
C:/Windows/serviceProfiles/NetworkService 改NETWORK SERVICE列+读+写
C:/Windows/System32/LogFiles/WMI 改LOCAL SERVICE/NETWORK SERVICE/Performance Log Users只保留读取和写入
C:/Windows/Logs/MeasuredBoot 改NET列+读+写 删除LOCAL SERVICE用户
C:/Users/All Users/Microsoft和C:/Users/All Users/Application Data/Microsoft如果是WIN2019要注意这个目录下的所有子目录删除E的权限
C:/Users/All Users/Microsoft/DeviceSync 改E只保留读取和写入(取消执行、更改、所有权)
C:/Users/All Users/Microsoft/Windows/WER 删除E用户,U的读取和执行
C:/Users/All Users/Microsoft/Windows/DeviceMetadataCache/dmrccache 删除ALL和E用户,U不能有执行权限
C:/Users/All Users/Microsoft/User Account Pictures 改U的读取和执行,删除E用户
C:/Users/All Users/Microsoft/NetFramework/BreadcrumbStore 改U的读取和执行,删除E用户
C:/Users/All Users/Microsoft/RAC/Temp 改NETWORK SERVICE读取和执行
C:/Users/All Users/Microsoft/RAC/PublishedData 改NETWORK SERVICE读取和执行

2019.12更新(WIN2019)
C:/Windows/WinSxS/amd64_microsoft-windows-i..cyscripts.resources_31bf3856ad364e35_10.0.17763.1_zh-cn_6879ca8149ba47ca/adsutil.ini取消E运行权限
C:/Users/All Users/USOShared/Logs取消U的写

2020.3更新(WIN2019)
C:\Windows\System32\Tasks\Microsoft\Windows\Speech\HeadsetButtonPress对Authenticated Users保留读取
C:\Windows\System32\Tasks\Microsoft\Windows\Speech\SpeechModelDownloadTask对NETWORK读取和执行
C:\Windows\SysWOW64\Tasks\Microsoft\Windows\RemoteApp and Desktop Connections Update对Authenticated Users、LOCAL SERVICE、NETWORK SERVICE读取(大类)
C:\Windows\System32\Tasks\Microsoft\Windows\File Classification Infrastructure\Property Definition Syn对Authenticated Users保留读取
C:\Users\All Users\Microsoft\User Account Pictures删除U的创建
C:\Windows\Vss\Writers\System对NETWORK SERVICE、Backup Operators、LOCAL SERVICE读取和执行
C:\Windows\Vss\Writers\Application对NETWORK SERVICE、Backup Operators、LOCAL SERVICE读取和执行
C:\Users\All Users\Microsoft\Windows Defender\Clean Store对NETWORK SERVICE读取和写入(这个权限不要做修改,见下一条的说明)

2020年11月
C:\Users\All Users\Microsoft\Windows Defender\Clean Store
的NETWORK SERVICE完全权限不要做修改否则系统会无法被外网连接

2020.12月
‪C:\Windows\System32\catroot2\{E388E269-F451-4FE2-B549-CD23C26317DC} 和内的2个文件 删除NETWORK SERVICE  系统更新补丁后要检查下
C:\Users\All Users\McAfee\datreputation\Logs\datreputation.txt取消E的执行权限
C:\Users\All Users\McAfee\Agent\AgentEvents\Upload看E是否有执行权限 默认是没有 不需要检查

安装了诺顿目录有权限问题,如果诺顿正常运行这些目录是无法修改和执行的,如果卸载诺顿要注意看下这些目录:
C:\Users\All Users\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IPS
C:\Users\All Users\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\_lck
C:\Users\All Users\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\IPS
C:\Users\All Users\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\CmnClnt\_lck
安装了诺顿目录有权限问题,如果诺顿正常运行这些目录是无法修改和执行的,如果卸载诺顿要注意看下这些目录:
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IPS
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\_lck
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\IPS
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\CmnClnt\_lck

2021.5
针对PHP软件安装目录保留A和S权限,Users运行和读取,其他权限全部删除
同时要注意PHP缓存目录的权限php\*\tmp要单独看一下
C:\Windows\Temp取消Power Users的执行权限
C:\Program Files (x86)\Persits Software\AspJpeg\Samples删除E的权限   并删除IIS中的虚拟目录网站
C:\ProgramData取消U的写入(文件夹和子文件)(安装最新版McAfee后无法设置,需要系统进入安全模式下设置)
实际上C:\Users\All Users=C:\ProgramData
系统进入安全模式:msconfig--引导--勾选'安全引导'-重启服务器进入安全模式
安装了McAfee杀毒软件才有的目录:
C:\ProgramData\McAfee
C:\ProgramData\McAfee\datreputation\Logs\datreputation.txt
C:\ProgramData\McAfee\Agent\AgentEvents  简单看看 一般不需要修改
E:\Program Files\Microsoft sql Server\MSSQL12.MSSQLSERVER\MSSQL\DATA  先启用继承,再禁用继承,删除U的权限

ASP.NET的安全设置
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config

<location allowOverride="true">修改为<location allowOverride="false">
<trust level="Full" originUrl=""/>修改为
<trust level="High" originUrl=""/>
<identity impersonate="true" />
为.Net的严格权限
<trust level="Full" originUrl=""/>修改为
<trust level="Full" originUrl=""/>
<identity impersonate="true" />
为.Net的宽松权限

自定义规则:
禁止php-cgi.exe,php.exe,php-win.exe,deplister.exe,phpdbg.exe对C盘执行权限
禁止php-cgi.exe,php.exe,php-win.exe,deplister.exe,phpdbg.exe对E盘的全部权限
禁止php-cgi.exe,php.exe,php-win.exe,deplister.exe,phpdbg.exe对F盘的全部权限

分类:建站知识 百度收录 必应收录

文章来源: 网络小编D
版权声明: 本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请联系本站立刻删除。

上一篇Trellix Endpoint Security原McAfee麦咖啡企业版10.7.0.6149安装方法和免费下载

下一篇帝国ECMS7.5忘记后台密码怎么办?帝国ECMS7.0 7.2 7.5重置后台管理员密码方法,数据库配置文件

最新图文