Windows下PHP+MySQL+IIS安全试验平台的搭建

PHP+MySQL+IIS安全试验平台的搭建" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图13 设置“c: Documents and Settings”的权限

我们继续看All Users目录，如图13所示，默认权限不小，我们还是只保留Administrator和SYSTEM。了解了上面的步骤以后我们依次对All Users下面的所有目录（注意这里是所有目录）都只保留Administrator和system权限。

4.设置“c:program and files”目录权限

同理c:program and files也只保留administrator和system权限。但是我们必须把common这个目录设置成如图14所示的权限。

PHP+MySQL+IIS安全试验平台的搭建" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图14 设置“c:program and files”目录权限

5.设置inetsrv目录权限

这里有个重点，如果服务器安装了IIS的话，会在c:windowssystem32目录下创建一个inetsrv的目录，这里有个文件夹叫ASP Compiled Templates如图15所示，我们可以看到IIS的启动用户IUSR_计算机名的用户的权限具有完全控制权限，因为这个目录很少有人注意，所以一直成为提权的杀手锏。我们必须要把这个目录的IUSR_计算机名这个用户删掉。

PHP+MySQL+IIS安全试验平台的搭建" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图15 删除IIS_WPG完全控制权限

6.设置“c:windowstemp目录”权限

下面也是比较重要的c:windowstemp目录的设置了，其实这个目录的设置需要考虑的因素非常多，例如第一点许多应用程序把上传的临时目录设置成这里，所以这个目录必须有可写权限，但是如果设置成可写的话，黑客能够再这里上传cmd.exe等程序来进行提权。第二点，有一些服务器的虚拟管理软件例如hzhost默认把session写入到这里，这样就造成了安全隐患，因为session中可能包括虚拟机的用户和密码，所以读权限也有谨慎的设置。第三这里也是系统的临时文件夹，很多程序的运行依赖这里。

所以权衡上面的利弊，我们需要根据具体的情况具体配置了，我们这里配置的原则是企业或者个人服务器，没有安装hzhost等软件的情况。我们设置成如图16这样的权限，我们把所有用户删除保留Administrator和system然后我们添加Everyone修改，读取及运行，列出文件目录，读取，写入权限。

PHP+MySQL+IIS安全试验平台的搭建" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图16设置“c:windowstemp目录”权限

到这里，我们就算完成了NTFS的基本配置了，这样设置的安全性会大大的提高。我们第三部分会介绍web目录权限配置和php的安全配置。我们下一讲再见。谢谢大家，更多内容可以到antian365.com论坛查看。