服務(wù)器上如何修改文件權(quán)限

現(xiàn)在越來越多的用戶使用NTFS文件系統(tǒng)來增強Windows系統(tǒng)的安全性。通常是在圖形用戶界面（GUI）的“安全”選項卡中對文件或目錄訪問控制權(quán)限進行設(shè)置。還有一種設(shè)置方式大家可能很少使用，這就是Cacls命令。

10多年的淮濱網(wǎng)站建設(shè)經(jīng)驗，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。全網(wǎng)營銷推廣的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整淮濱建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗。成都創(chuàng)新互聯(lián)公司從事“淮濱網(wǎng)站設(shè)計”,“淮濱網(wǎng)站推廣”以來，每個客戶項目都認真落實執(zhí)行。

雖然它是一個基于命令行的命令，使用起來有點繁瑣，但只要你合理利用，也會在提高系統(tǒng)安全性方面起到很好的效果。Cacls命令使用格式如下：

Cacls

filename

[/T]

[/E]

[/C]

[/G

user:perm]

[/R

user

[...]]

[/P

user:perm

[...]]

[/D

user

[...]]

Filename——顯示訪問控制列表（以下簡稱ACL）；

/T——更改當(dāng)前目錄及其所有子目錄中指定文件的

ACL；

/E——

編輯

ACL

而不替換；

/C——在出現(xiàn)拒絕訪問錯誤時繼續(xù)；

/G

user:perm——賦予指定用戶訪問權(quán)限。Perm

可以是R（讀取）、W（寫入）、C（更改，寫入）、F

（完全控制）；

/R

user——撤銷指定用戶的訪問權(quán)限(僅在與

/E

一起使用)；

/P

user:perm——替換指定用戶的訪問權(quán)限；

/D

user——拒絕指定用戶的訪問。

1．查看目錄和ACL

以Windows

XP系統(tǒng)為例，筆者使用Cacls命令查看E盤CCE目錄訪問控制權(quán)限。點擊“開始→運行”，在運行對話框中輸入“CMD”命令，彈出命令提示符對話框，在“E:\”提示符下輸入“Cacls

CCE”命令，接著就會列出Windows

XP系統(tǒng)中用戶組和用戶對CCE目錄的訪問控制權(quán)限項目。如果想查看CCE目錄中所有文件訪問控制權(quán)限，輸入“Cacls

cce\

.

”命令即可。

2．修改目錄和ACL

設(shè)置用戶訪問權(quán)限：我們經(jīng)常要修改目錄和文件的訪問權(quán)限，使用Cacls命令就很容易做到。下面要賦予本機用戶Chenfeng對E盤下CCE目錄及其所有子目錄中的文件有完全控制權(quán)限。在命令提示符對話框中輸入“Cacls

CCE

/t

/e

/c

/g

Chenfeng:f

”命令即可。

替換用戶訪問權(quán)限：將本機用戶Chenfeng的完全控制權(quán)限替換為只讀權(quán)限。在命令提示符對話框中輸入“

Cacls

CCE

/t

/e

/c

/p

Chenfeng:r

”命令即可。

撤銷用戶訪問權(quán)限：要想撤銷本機用戶Chenfeng對該目錄的完全控制權(quán)限也很容易，在命令提示符中運行“Cacls

CCE

/t

/e

/c

/r

Chenfeng

”即可。

拒絕用戶訪問：要想拒絕用戶Chenfeng訪問CCE目錄及其所有子目錄中的文件，運行“Cacls

CCE

/t

/e

/c

/d

Chenfeng”即可。

以上只是簡單介紹Cacls命令的使用，建議大家親自嘗試一下，你會發(fā)現(xiàn)它還有很多奇妙的功能。

如何設(shè)置Windows服務(wù)器安全設(shè)置

如何設(shè)置Windows服務(wù)器安全設(shè)置

一、取消文件夾隱藏共享在默認狀態(tài)下，Windows 2000/XP會開啟所有分區(qū)的隱藏共享，從“控制面板/管理工具/計算機管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”，就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”。但是只要鍵入“計算機名或者IPC$”，系統(tǒng)就會詢問用戶名和密碼，遺憾的是，大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空，入侵者可以輕易看到C盤的內(nèi)容，這就給網(wǎng)絡(luò)安全帶來了極大的隱患。

怎么來消除默認共享呢?方法很簡單，打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個名為“AutoShareWKs”的雙字節(jié)值，并將其值設(shè)為“0”，然后重新啟動電腦，這樣共享就取消了。關(guān)閉“文件和打印共享”文件和打印共享應(yīng)該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，我們可以將它關(guān)閉。用鼠標右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對話框中的兩個復(fù)選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協(xié)議對于服務(wù)器來說，只安裝TCP/IP協(xié)議就夠了。鼠標右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉，避免針對NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級”，進入“高級TCP/IP設(shè)置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關(guān)閉NETBIOS。四、禁用不必要的服務(wù):Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠程修改注冊表)Server(文件共享)Task Scheduler(計劃任務(wù))TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設(shè)置一個強大復(fù)雜的密碼(個人建議至少12位)，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計算機給別人當(dāng)玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規(guī)”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。七、防范木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預(yù)防的作用。

● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務(wù)，還需要對IIS服務(wù)進行安全配置：

(1) 更改Web服務(wù)主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

(2) 刪除原默認安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。系統(tǒng)提供了九類可以審核的事件，對于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對象訪問：失敗事件過程追蹤：根據(jù)需要選用目錄服務(wù)訪問：失敗事件特權(quán)使用：失敗事件系統(tǒng)事件：成功和失敗賬戶登錄事件：成功和失敗賬戶管理：成功和失敗十、安裝必要的安全軟件

我們還應(yīng)在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網(wǎng)時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。當(dāng)然我們也不應(yīng)安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統(tǒng)打上補丁，微軟那些沒完沒了的補丁還是很有用的。

如何使FTP服務(wù)器安全

一、操作系統(tǒng)的選擇

FTP服務(wù)器首先是基于操作系統(tǒng)而運作的，因而操作系統(tǒng)本身的安全性就決定了FTP服務(wù)器安全性的級別。雖然Windows 98／Me一樣可以架設(shè)FTP服務(wù)器，但由于其本身的安全性就不強，易受攻擊，因而不要采用。Windows NT就像雞肋，不用也罷。采用Windows 2000及以上版本，并記住及時打上補丁。至于Unix、Linux，則不在討論之列。

二、使用防火墻

端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全，一般來說，僅打開你需要使用的端口，將其他不需要使用的端口屏蔽掉會比較安全。限制端口的方法比較多，可以使用第三方的個人防火墻，如天網(wǎng)個人防火墻等，這里只介紹Windows自帶的防火墻設(shè)置方法。

1。利用TCP／IP篩選功能

在Windows 2000和Windows XP中，系統(tǒng)都帶有TCP／IP篩選功能，利用它可以簡單地進行端口設(shè)置。以Windows XP為例，打開“本地連接”的屬性，在“常規(guī)”選項中找到“Internet協(xié)議（TCP／IP）”，雙擊它打開該協(xié)議的屬性設(shè)置窗口。點擊右下方的“高級”按鈕，進入“高級TCP／IP設(shè)置”。在“選項”中選中“TCP／IP篩選”并雙擊進入其屬性設(shè)置。這里我們可以設(shè)置系統(tǒng)只允許開放的端口，假如架設(shè)的FTP服務(wù)器端口為21，先選中“啟用TCP／IP篩選（所有適配器）”，再在TCP端口選項中選擇“只允許”，點“添加”，輸入端口號21，確定即可。這樣，系統(tǒng)就只允許打開21端口。要開放其他端口，繼續(xù)添加即可。這可以有效防止最常見的139端口入侵。缺點是功能過于簡單，只能設(shè)置允許開放的端口，不能自定義要關(guān)閉的端口。如果你有大量端口要開放，就得一個個地去手工添加，比較麻煩。

2。打開Internet連接防火墻

對于Windows XP系統(tǒng)，自帶了“Internet連接防火墻”功能，與TCP／IP篩選功能相比，設(shè)置更方便，功能更強大。除了自帶防火墻端口開放規(guī)則外，還可以自行增刪。在控制面板中打開“網(wǎng)絡(luò)連接”，右擊撥號連接，進入“高級”選項卡，選中“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡(luò)”，啟用它。系統(tǒng)默認狀態(tài)下是關(guān)閉了FTP端口的，因而還要設(shè)置防火墻，打開所使用的FTP端口。點擊右下角的“設(shè)置”按鈕進入“高級設(shè)置”，選中“FTP服務(wù)器”，我它。由于FTP服務(wù)默認端口是21，因而除了IP地址一欄外，其余均不可更改。在IP地址一欄中填入服務(wù)器公網(wǎng)IP，確定后退出即可即時生效。如果架設(shè)的FTP服務(wù)器端口為其他端口，比如22，則可以在“服務(wù)”選項卡下方點“添加”，輸入服務(wù)器名稱和公網(wǎng)IP后，將外部端口號和內(nèi)部端口號均填入22即可。

三、對IIS、Serv－U等服務(wù)器軟件進行設(shè)置

除了依靠系統(tǒng)提供的安全措施外，就需要利用FTP服務(wù)器端軟件本身的設(shè)置來提高整個服務(wù)器的安全了。

1。IIS的安全性設(shè)置

1）及時安裝新補丁

對于IIS的安全性漏洞，可以說是“有口皆碑”了，平均每兩三個月就要出一兩個漏洞。所幸的是，微軟會根據(jù)新發(fā)現(xiàn)的漏洞提供相應(yīng)的補丁，這就需要你不斷更新，安裝最新補丁。

2）將安裝目錄設(shè)置到非系統(tǒng)盤，關(guān)閉不需要的服務(wù)

一些惡意用戶可以通過IIS的溢出漏洞獲得對系統(tǒng)的訪問權(quán)。把IIS安放在系統(tǒng)分區(qū)上，會使系統(tǒng)文件與IIS同樣面臨非法訪問，容易使非法用戶侵入系統(tǒng)分區(qū)。另外，由于IIS是一個綜合性服務(wù)組件，每開設(shè)一個服務(wù)都將會降低整個服務(wù)的安全性，因而，對不需要的服務(wù)盡量不要安裝或啟動。

3）只允許匿名連接

FTP的安全漏洞在于其默認傳輸密碼的過程是明文傳送，很容易被人嗅探到。而IIS又是基于Windows用戶賬戶進行管理的，因而很容易泄漏系統(tǒng)賬戶名及密碼，如果該賬戶擁有一定管理權(quán)限，則更會影響到整個系統(tǒng)的安全。設(shè)置為“只允許匿名連接”，可以免卻傳輸過程中泄密的危險。進入“默認FTP站點”，在屬性的“安全賬戶”選項卡中，將此選項選中。

4）謹慎設(shè)置主目錄及其權(quán)限

IIS可以將FTP站點主目錄設(shè)為局域網(wǎng)中另一臺計算機的共享目錄，但在局域網(wǎng)中，共享目錄很容易招致其他計算機感染的病毒攻擊，嚴重時甚至?xí)斐烧麄€局域網(wǎng)癱瘓，不到萬不得已，使用本地目錄并將主目錄設(shè)為NTFS格式的非系統(tǒng)分區(qū)中。這樣，在對目錄的權(quán)限設(shè)置時，可以對每個目錄按不同組或用戶來設(shè)置相應(yīng)的權(quán)限。右擊要設(shè)置的目錄，進入“共享和安全→安全”中設(shè)置，如非必要，不要授予“寫入”權(quán)限。

5）盡量不要使用默認端口號21

啟用日志記錄，以備出現(xiàn)異常情況時查詢原因。

2。Serv－U的安全性設(shè)置

與IIS的FTP服務(wù)相比，Serv－U在安全性方面做得比較好。

1）對“本地服務(wù)器”進行設(shè)置

首先，選中“攔截FTP＿bounce攻擊和FXP”。什么是FXP呢？通常，當(dāng)使用FTP協(xié)議進行文件傳輸時，客戶端首先向FTP服務(wù)器發(fā)出一個“PORT”命令，該命令中包含此用戶的IP地址和將被用來進行數(shù)據(jù)傳輸?shù)亩丝谔枺?wù)器收到后，利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下，上述過程不會出現(xiàn)任何問題，但當(dāng)客戶端是一名惡意用戶時，可能會通過在PORT命令中加入特定的地址信息，使FTP服務(wù)器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權(quán)直接訪問某一特定機器，但是如果FTP服務(wù)器有權(quán)訪問該機器的話，那么惡意用戶就可以通過FTP服務(wù)器作為中介，仍然能夠最終實現(xiàn)與目標服務(wù)器的連接。這就是FXP，也稱跨服務(wù)器攻擊。選中后就可以防止發(fā)生此種情況。

其次，在“高級”選項卡中，檢查“加密密碼”和“啟用安全”是否被選中，如果沒有，選擇它們。“加密密碼”使用單向hash函數(shù)（MD5）加密用戶口令，加密后的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項，用戶口令將以明文形式保存在文件中：“啟用安全”將啟動Serv－U服務(wù)器的安全成功。

2）對域中的服務(wù)器進行設(shè)置

前面說過，F(xiàn)TP默認為明文傳送密碼，

容易被人嗅探，對于只擁有一般權(quán)限的賬戶，危險并不大，但如果該賬戶擁有遠程管理尤其是系統(tǒng)管理員權(quán)限，則整個服務(wù)器都會被別人遠程控制。Serv－U對每個賬戶的密碼都提供了以下三種安全類型：規(guī)則密碼、OTP S／KEY MD4和OTP S／KEY MD5。不同的類型對傳輸?shù)募用芊绞揭膊煌砸?guī)則密碼安全性最低。進入擁有一定管理權(quán)限的賬戶的設(shè)置中，在“常規(guī)”選項卡的下方找到“密碼類型”下拉列表框，選中第二或第三種類型，保存即可。注意，當(dāng)用戶憑此賬戶登錄服務(wù)器時，需要FTP客戶端軟件支持此密碼類型，如CuteFTP Pro等，輸入密碼時選擇相應(yīng)的密碼類型方可通過服務(wù)器驗證。

與IIS一樣，還要謹慎設(shè)置主目錄及其權(quán)限，凡是沒必要賦予寫入等能修改服務(wù)器文件或目錄權(quán)限的，盡量不要賦予。最后，進入“設(shè)置”，在“日志”選項卡中將“啟用記錄到文件”選中，并設(shè)置好日志文件名及保存路徑、記錄參數(shù)等，以方便隨時查詢服務(wù)器異常原因。