新闻动态
设置NTFS权限保护文件和目录
https://www.sytm.net 发布日期:2013/10/16 15:21:03

在默认情况下,NTFS分区的所有文件对所有人授予完全控制权限,这使攻击者有可能使用一般用户身份对目录和文件进行增加、删除和执行等操作。

NTFS权限的基本级别介绍:

(1)完全控制:可以修改、添加、移动和删除文件及目录,以及与文件相关的属性,还可更改对其所有文件和子目录的权限设置。

(2)修改:对于文件,可查看并修改文件和文件属性;对于目录,可在其中增删文件或修改文件属性。

(3)读取及运行:运行可执行文件,包括脚本。

(4)列出文件夹目录:仅对目录而言,可查看文件夹内容的类表。

(5)读取:可以查看文件和文件属性。

(6)写入:可以将内容写入文件。

(7)无法访问:无法访问任何资源,即使用户拥有对更高级别父目录的权限。要使用NTFS权限来保护目录 或文件,必须具备两个条件。

(1)要设置权限的目录或文件必须位于NTFS分区中。

(2)对于要授予权限的用户或 用户组,应设立有效的windows账户。

这种权限也成为访问控制列表。组权限和用户权限的关系是:用户获得所在组的全部权限,如果用户又定义了其他权限,则将累计用户和组的权限;对于一个属于多个组的用户,其权限就是各组权限与该用户权限的累加。

无论WEB服务器本身的权限多大,都要受制于NTFS权限。这里针对WEB服务器文件系统的安全,给出几条具体建议,供网络管理员参考。

(1)对一般用户给予读取权限,只有管理员和system账户才能授予完全控制权限。这样有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这就需要对这些文件所在的文件夹权限进行更改。建议在更改前先在测试机器上进行测试,一定要慎重更改。

(2)对操作系统文件和文件夹、web服务器文件和文件夹   分别设置访问权限。

(3)对于web服务器来说,可以对“IIS_计算机名”账户赋予读取权限。

(4)不能允许EVERYONE组对任一目录具有写和执行权限。

(5)限制浏览目录,即一般不要授予“列出文件夹目录”的权限。

(6)在默认情况下,IIS  FTP和SMTP两个默认的目录对Everyone组授予完全控制权限,应当加以更改。只给管理员和syetem账户授予完全控制权限,对Everyone组授予执行权限。


更多阅读
  • 线上订货系统让全渠道销售触手可及 近年来,中国电商平台发展迅速,以淘宝、京东等电商为代表的新兴商业模式被越来越多的客户所推崇,中国网民...
  • 添美订货系统十月更新日志 添美订货系统是东北开发订货软件的厂商,该订货软件实现了全渠道全客户端的覆盖。拥有南方的易订货、订货宝...
  • 三好街的渠道订货系统 现如今,人们对电子数码产品的需求与日俱增,但是不少电子数码产品企业的生意却未见起色,为什么?以三好街...
返回列表
© 2010 TianMei Technology All rights reserved. ICP:辽B2-20150138辽公网安备 21010202000010号  目录概览