555
Windows 2003网站系统安全快速设置
系统权限的设置
C:\Users\xuningbo>cacls/?
显示或者修改文件的访问控制列表(ACL)
CACLS filename [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G user:perm]
[/R user [...]] [/P user:perm [...]] [/D user [...]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中,指定文件的 ACL。
/L 对照目标处理符号链接本身
/M 更改装载到目录的卷的 ACL
/S 显示 DACL 的 SDDL 字符串。
/S:SDDL 使用 SDDL 字符串中指定的 ACL 替换ACL。/E、/G、/R、/P 或 /D 无效)。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。
Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
我们先看一个实例,针对此实例来再加以分析:
cacls C:\ /t /c /g administrators:F system:F
C:\ 表示C盘
/t 表示这里的C盘的根目录及其所有子目录
/c 表示在出现拒绝访问错误时继续
/g administrators:F system:F 表示赋予C盘的根目录及其所有子目录administrators与system的完全控制的权限,这里的F是完全控制,还有R表示读取,W表示写入,C表示更改
再讲几个我们下面需要的参数,OK?
/e 在原有权限的基本上增加用户的访问权限
/r 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)
系统盘加固脚本:(非原创,感谢原作者tamenglang)
@echo off
echo 本程序用于自动加固您的系统(目前仅适用windows 2003服务器) …………………
cacls C:\ /t /c /g administrators:F system:F
Cacls “C:\Program Files\Common Files” /t /e /c /g everyone:R
Cacls “C:\WINDOWS\IIS Temporary Compressed Files” /t /e /c /g everyone:C
Cacls C:\WINDOWS\Microsoft.Net /t /e /c /g everyone:R
Cacls “C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files” /t /e /c /g everyone:C
Cacls “C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files” /t /e /c /g everyone:C
Cacls C:\WINDOWS\Registration /t /e /c /g everyone:R
Cacls C:\WINDOWS\Temp /t /e /c /g everyone:C
Cacls C:\WINDOWS\assembly /t /e /c /g everyone:R
Cacls C:\WINDOWS\WinSxS /t /e /c /g everyone:R
Cacls C:\WINDOWS\Fonts /t /e /c /g everyone:R
Cacls C:\WINDOWS\System32 /t /e /c /g everyone:R
Cacls C:\windows\system32\msdtc /t /e /c /g networkservice:C
Cacls “C:\WINDOWS\system32\inetsrv\ASP Compiled Templates” /t /e /c /g everyone:C
Cacls C:\WINDOWS\System32\*.exe /e /c /r everyone
Cacls C:\WINDOWS\System32\cmd.exe /e /c /r system
Cacls C:\WINDOWS\System32\net.exe /e /c /r system
Cacls C:\WINDOWS\System32\net1.exe /e /c /r system
Cacls C:\WINDOWS\System32\msdtc.exe /e /c /g everyone:R
Cacls C:\WINDOWS\System32\dllhost.exe /e /c /g everyone:R
Cacls C:\WINDOWS\System32\svchost.exe /e /c /g everyone:R 此bat脚本的功能如下: C:\ administrators,system完全控制
C:\Program Files\Common Files everyone 读取
C:\WINDOWS\IIS Temporary Compressed Files everyone 更改
C:\Windows\Microsoft.Net everyone 读取
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files everyone 更改
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files everyone 更改
C:\Windows\Registration everyone 读取
C:\Windows\Temp everyone 更改
C:\Windows\assembly everyone 读取
C:\Windows\WinSxS everyone 读取
C:\Windows\Fonts everyone 读取
C:\Windows\System32 everyone 读取
C:\windows\system32\msdtc NETWORK SERVICE 更改
C:\WINDOWS\system32\inetsrv\ASP Compiled Templates Everyone 更改
C:\Windows\System32\*.exe 去除 everyone 权限
C:\windows\system32\msdtc.exe everyone 读取
C:\Windows\System32\dllhost.exe everyone 读取
C:\Windows\System32\svchost.exe everyone 读取
最后更新:2017-01-04 22:34:37