555
Windows 2003網站係統安全快速設置
係統權限的設置
C:\Users\xuningbo>cacls/?
顯示或者修改文件的訪問控製列表(ACL)
CACLS filename [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G user:perm]
[/R user [...]] [/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 更改當前目錄及其所有子目錄中,指定文件的 ACL。
/L 對照目標處理符號鏈接本身
/M 更改裝載到目錄的卷的 ACL
/S 顯示 DACL 的 SDDL 字符串。
/S:SDDL 使用 SDDL 字符串中指定的 ACL 替換ACL。/E、/G、/R、/P 或 /D 無效)。
/E 編輯 ACL 而不替換。
/C 在出現拒絕訪問錯誤時繼續。
/G user:perm 賦予指定用戶訪問權限。
Perm 可以是: R 讀取
W 寫入
C 更改(寫入)
F 完全控製
/R user 撤銷指定用戶的訪問權限(僅在與 /E 一起使用時合法)。
/P user:perm 替換指定用戶的訪問權限。
Perm 可以是: N 無
R 讀取
W 寫入
C 更改(寫入)
F 完全控製
我們先看一個實例,針對此實例來再加以分析:
cacls C:\ /t /c /g administrators:F system:F
C:\ 表示C盤
/t 表示這裏的C盤的根目錄及其所有子目錄
/c 表示在出現拒絕訪問錯誤時繼續
/g administrators:F system:F 表示賦予C盤的根目錄及其所有子目錄administrators與system的完全控製的權限,這裏的F是完全控製,還有R表示讀取,W表示寫入,C表示更改
再講幾個我們下麵需要的參數,OK?
/e 在原有權限的基本上增加用戶的訪問權限
/r 撤銷指定用戶的訪問權限(僅在與 /E 一起使用時合法)
係統盤加固腳本:(非原創,感謝原作者tamenglang)
@echo off
echo 本程序用於自動加固您的係統(目前僅適用windows 2003服務器) …………………
cacls C:\ /t /c /g administrators:F system:F
Cacls “C:\Program Files\Common Files” /t /e /c /g everyone:R
Cacls “C:\WINDOWS\IIS Temporary Compressed Files” /t /e /c /g everyone:C
Cacls C:\WINDOWS\Microsoft.Net /t /e /c /g everyone:R
Cacls “C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files” /t /e /c /g everyone:C
Cacls “C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files” /t /e /c /g everyone:C
Cacls C:\WINDOWS\Registration /t /e /c /g everyone:R
Cacls C:\WINDOWS\Temp /t /e /c /g everyone:C
Cacls C:\WINDOWS\assembly /t /e /c /g everyone:R
Cacls C:\WINDOWS\WinSxS /t /e /c /g everyone:R
Cacls C:\WINDOWS\Fonts /t /e /c /g everyone:R
Cacls C:\WINDOWS\System32 /t /e /c /g everyone:R
Cacls C:\windows\system32\msdtc /t /e /c /g networkservice:C
Cacls “C:\WINDOWS\system32\inetsrv\ASP Compiled Templates” /t /e /c /g everyone:C
Cacls C:\WINDOWS\System32\*.exe /e /c /r everyone
Cacls C:\WINDOWS\System32\cmd.exe /e /c /r system
Cacls C:\WINDOWS\System32\net.exe /e /c /r system
Cacls C:\WINDOWS\System32\net1.exe /e /c /r system
Cacls C:\WINDOWS\System32\msdtc.exe /e /c /g everyone:R
Cacls C:\WINDOWS\System32\dllhost.exe /e /c /g everyone:R
Cacls C:\WINDOWS\System32\svchost.exe /e /c /g everyone:R 此bat腳本的功能如下: C:\ administrators,system完全控製
C:\Program Files\Common Files everyone 讀取
C:\WINDOWS\IIS Temporary Compressed Files everyone 更改
C:\Windows\Microsoft.Net everyone 讀取
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files everyone 更改
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files everyone 更改
C:\Windows\Registration everyone 讀取
C:\Windows\Temp everyone 更改
C:\Windows\assembly everyone 讀取
C:\Windows\WinSxS everyone 讀取
C:\Windows\Fonts everyone 讀取
C:\Windows\System32 everyone 讀取
C:\windows\system32\msdtc NETWORK SERVICE 更改
C:\WINDOWS\system32\inetsrv\ASP Compiled Templates Everyone 更改
C:\Windows\System32\*.exe 去除 everyone 權限
C:\windows\system32\msdtc.exe everyone 讀取
C:\Windows\System32\dllhost.exe everyone 讀取
C:\Windows\System32\svchost.exe everyone 讀取
最後更新:2017-01-04 22:34:37