WIN2019和WIN2022部分目录安全设置Win2022 IIS环境中系统的权限设置
用权限设置软件设置后,部分目录需要设置下安全权限
不要执行2016的专用权限 会造成日志不停报错,软件保护服务(software protection)不停的重启,每30秒就重启一次
删除C:/Users和C:/Users/Default目录的E权限
C:/Users/Default的权限应用到子目录
C:/Users/Default/「开始」菜单/ 下的2个文件夹
C:/Windows/System32/inetsrv/urlscan/logs A和S完全、CREATOR OWNER子文件夹和文件的完全、IIS_IUSRS读取和写入
安装McAfee杀毒软件才有的目录:
在没执行2016专用权限的情况下后我们需要操作:
C:/Windows/system32/CatRoot2 权限应用到子目录
C:/Windows/System32/catroot2/{127D0A1D-4EF2-11D1-8608-00C04FC295EE}和内catdb文件 删除NETWORK SERVICE
C:/Windows/System32/catroot2/{F750E6C3-38EE-11D1-85E5-00C04FC295EE}和内catdb文件 删除NETWORK SERVICE
C:/Windows/Vss 权限:A和S完全、U的读取和执行 将权限应用到子目录
C:/Windows/Vss/Writers 原有权限还有LOCAL SERVICE/NETWORK SERVICE/Backup Operators 完全(删除掉)
C:/Windows/tracing 权限:A和S完全、U的读取
C:/Windows/Tasks 权限是:A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,Authenticated Users对只有该文件夹的遍+列+2读+读取(删除创建)
C:/Windows/Tasks/SA.DAT 权限是:A和S完全权限,Authenticated Users读取
C:/Windows/SysWOW64/Tasks 权限是:A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/RemoteApp and Desktop Connections Update A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/PLA 参考上面的权限,但是增加了Performance Log Users的读取和执行(删除创建文件/写入数据)
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/PLA/System 参考上面的权限,又多了个E的读取和执行(将E删除)
C:/Windows/System32/Tasks A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/System32/Tasks/Microsoft A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/System32/Tasks/Microsoft/Windows/PLA 参考上面的权限,但是增加了Performance Log Users的读取和执行(删除创建文件/写入数据)
C:/Windows/System32/Tasks/Microsoft/Windows/PLA/System 参考上面的权限,又多了个E的读取和执行(将E删除)
C:/Windows/System32/Tasks/Microsoft/Windows/WindowsColorSystem/Calibration Loader 权限:A和S完全、U读取
C:/Windows/System32/Tasks/Microsoft/Windows/RemoteApp and Desktop Connections Update A和S完全权限,CREATOR OWNER对仅子文件夹和文件的完全权限,NETWORK SERVICE/LOCAL SERVICE/Authenticated Users是读取(大类)
C:/Windows/SysWOW64/wbem/Logs 权限:A和S完全、U的读取和执行
C:/Windows/System32/wbem/Logs 权限:A和S完全、U的读取和执行
C:/Windows/System32/spool/drivers/color 取消U的执行 保留A和S用户,其他用户删除
C:/Windows/System32/Ipmi 权限:A和S完全、U的读取和执行
C:/Windows/SysWOW64/Ipmi 权限:A和S完全、U的读取和执行
C:/Windows/System32/ias 删除NETWORK SERVICE的写入权限
C:/Windows/serviceProfiles/NetworkService 改NETWORK SERVICE列+读+写
C:/Windows/System32/LogFiles/WMI 改LOCAL SERVICE/NETWORK SERVICE/Performance Log Users只保留读取和写入
C:/Windows/Logs/MeasuredBoot 改NET列+读+写 删除LOCAL SERVICE用户
C:/Users/All Users/Microsoft和C:/Users/All Users/Application Data/Microsoft如果是WIN2019要注意这个目录下的所有子目录删除E的权限
C:/Users/All Users/Microsoft/DeviceSync 改E只保留读取和写入(取消执行、更改、所有权)
C:/Users/All Users/Microsoft/Windows/WER 删除E用户,U的读取和执行
C:/Users/All Users/Microsoft/Windows/DeviceMetadataCache/dmrccache 删除ALL和E用户,U不能有执行权限
C:/Users/All Users/Microsoft/User Account Pictures 改U的读取和执行,删除E用户
C:/Users/All Users/Microsoft/NetFramework/BreadcrumbStore 改U的读取和执行,删除E用户
C:/Users/All Users/Microsoft/RAC/Temp 改NETWORK SERVICE读取和执行
C:/Users/All Users/Microsoft/RAC/PublishedData 改NETWORK SERVICE读取和执行
2019.12更新(WIN2019)
C:/Windows/WinSxS/amd64_microsoft-windows-i..cyscripts.resources_31bf3856ad364e35_10.0.17763.1_zh-cn_6879ca8149ba47ca/adsutil.ini取消E运行权限
C:/Users/All Users/USOShared/Logs取消U的写
2020.3更新(WIN2019)
C:\Windows\System32\Tasks\Microsoft\Windows\Speech\HeadsetButtonPress对Authenticated Users保留读取
C:\Windows\System32\Tasks\Microsoft\Windows\Speech\SpeechModelDownloadTask对NETWORK读取和执行
C:\Windows\SysWOW64\Tasks\Microsoft\Windows\RemoteApp and Desktop Connections Update对Authenticated Users、LOCAL SERVICE、NETWORK SERVICE读取(大类)
C:\Windows\System32\Tasks\Microsoft\Windows\File Classification Infrastructure\Property Definition Syn对Authenticated Users保留读取
C:\Users\All Users\Microsoft\User Account Pictures删除U的创建
C:\Windows\Vss\Writers\System对NETWORK SERVICE、Backup Operators、LOCAL SERVICE读取和执行
C:\Windows\Vss\Writers\Application对NETWORK SERVICE、Backup Operators、LOCAL SERVICE读取和执行
C:\Users\All Users\Microsoft\Windows Defender\Clean Store对NETWORK SERVICE读取和写入(这个权限不要做修改,见下一条的说明)
2020年11月
C:\Users\All Users\Microsoft\Windows Defender\Clean Store
的NETWORK SERVICE完全权限不要做修改否则系统会无法被外网连接
2020.12月
C:\Windows\System32\catroot2\{E388E269-F451-4FE2-B549-CD23C26317DC} 和内的2个文件 删除NETWORK SERVICE 系统更新补丁后要检查下
C:\Users\All Users\McAfee\datreputation\Logs\datreputation.txt取消E的执行权限
C:\Users\All Users\McAfee\Agent\AgentEvents\Upload看E是否有执行权限 默认是没有 不需要检查
安装了诺顿目录有权限问题,如果诺顿正常运行这些目录是无法修改和执行的,如果卸载诺顿要注意看下这些目录:
C:\Users\All Users\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IPS
C:\Users\All Users\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\_lck
C:\Users\All Users\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\IPS
C:\Users\All Users\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\CmnClnt\_lck
安装了诺顿目录有权限问题,如果诺顿正常运行这些目录是无法修改和执行的,如果卸载诺顿要注意看下这些目录:
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IPS
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\_lck
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\IPS
C:\Users\All Users\Application Data\Symantec\Symantec Endpoint Protection\14.2.5587.2100.105\Data\CmnClnt\_lck
2021.5:
针对PHP软件安装目录保留A和S权限,Users运行和读取,其他权限全部删除
同时要注意PHP缓存目录的权限php\*\tmp要单独看一下
C:\Windows\Temp取消Power Users的执行权限
C:\Program Files (x86)\Persits Software\AspJpeg\Samples删除E的权限 并删除IIS中的虚拟目录网站
C:\ProgramData取消U的写入(文件夹和子文件)(安装最新版McAfee后无法设置,需要系统进入安全模式下设置)
实际上C:\Users\All Users=C:\ProgramData
系统进入安全模式:msconfig--引导--勾选'安全引导'-重启服务器进入安全模式
安装了McAfee杀毒软件才有的目录:
C:\ProgramData\McAfee
C:\ProgramData\McAfee\datreputation\Logs\datreputation.txt
C:\ProgramData\McAfee\Agent\AgentEvents 简单看看 一般不需要修改
E:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\DATA 先启用继承,再禁用继承,删除U的权限
ASP.NET的安全设置:
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
将
<location allowOverride="true">修改为<location allowOverride="false">
<trust level="Full" originUrl=""/>修改为
<trust level="High" originUrl=""/>
<identity impersonate="true" />
为.Net的严格权限
<trust level="Full" originUrl=""/>修改为
<trust level="Full" originUrl=""/>
<identity impersonate="true" />
为.Net的宽松权限
自定义规则:
禁止php-cgi.exe,php.exe,php-win.exe,deplister.exe,phpdbg.exe对C盘执行权限
禁止php-cgi.exe,php.exe,php-win.exe,deplister.exe,phpdbg.exe对E盘的全部权限
禁止php-cgi.exe,php.exe,php-win.exe,deplister.exe,phpdbg.exe对F盘的全部权限
| 机房名称 | 机房介绍 | 是否推荐 |
|---|---|---|
| 广州较场西路机房 | 中国电信5星级机房,华南骨干出口,广州市中心机房,交通便利,总带宽200G,为华南骨干出口。 |  |
| 广州人民中路机房 | 中国电信3星级机房,超高速的20Gx2主备双线路带宽直接接入ChinaNET骨干层。 | |
| 广州天河科技园机房 | 天河软件园建中路4号,中国互联网应急中心机房,国家政府机关直属。多线接入骨干BGP线路。 | |
| 电子商务部广州机房 | 天河软件建业路上(科韵路)的国际电子商务中心大厦甲级写字楼内,机房环境一流。多线接入骨干BGP线路。 | |
| 广州电信加速器机房 | 位于广州市萝岗区开源大道1号企业加速器B1栋一楼,按照国际T3+及国标B+级标准建造,机房环境一流。多线接入骨干网。 | |
| 广州移动旗锐机房 | 广州科学城南翔二路1号旗锐数字科技园区内,属于第三方私立机房,现由移动运营,从粤西汇聚节点直连CMNET骨干网。 | |
| 广州移动南方基地机房 | 中国移动广州南方基地机房位于广州市天河软件园高塘大道333号,用于移动骨干网线路,是移动服务器托管优质机房。 | |
| 东莞电信道滘机房 | 中国电信4星级机房,总带宽320G,可提供电信和多线BGP线路,华南骨干机房,稳定高速,性价比高。 | |
| 东莞电信东城机房 | 中国电信4星级机房,总带宽320G,性价比高,可提供电信和多线BGP线路和200G集群硬件防火墙VIP防护。 | |
| 东莞电信樟木头机房 | 中国电信4星级机房,总带宽320G,可提供电信和多线BGP线路和100G集群硬件防火墙企业级防护。 | |
| 深圳互联港湾机房 | 深圳南山高新区中区软件大厦四楼,电信3星级机房,20G带宽接入骨干网络。 | |
| 深圳南山科兴机房 | 位于深圳市南山区科技园科苑路15号科兴科学园,3星级机房,可提供双线接入等业务。 | |
| 深圳百旺信机房 | 深圳市南山区西丽松白公路百旺信工业区A区(一区)一栋属于第三方机房,可提供双线接入等业务。 | |
| 佛山电信信息大厦机房 | 佛山市汾江南路35号电信佛山分公司信息大厦8-9层,是中国电信3星级机房,可提供双线接入等业务。 | |
| 中山电信火炬机房 | 机房位于中山市火炬区康乐大道47号电信3楼,是中国电信3星级机房,可提供双线接入等业务。 | |
| 江苏徐州电信机房 | 机房位于江苏徐州市新城区镜泊东路4号,徐州市档案馆东侧,是中国电信3星级机房,可提供双线接入等业务。 | |
| 江苏常州电信机房 | 机房位于江苏省常州市清凉路108号常州信息港,是中国电信4星级机房,可提供双线接入等业务。 | |
| 香港TKO机房 | 机房靠近香港交易所的数据中心位置和香港商业中心,拥有PCCW、GTT、Cogent、Telia、TATA、CT、CN2、CU线路。 | |
| 香港将军澳机房 | 机房在香港新界將軍澳工業邨駿昌街22號,与阿里云香港机房同属一栋楼,拥有多种线路接入。 | |
| 香港新世界机房 | 香港新世界机房的海底电缆系统遍布全球,能直接连接多个国家,免备案,服务器租用、云服务器等业务。 | |
| 香港NTT机房 | 香港NTT电讯机房,是一座专用数据中心,在香港大埔,免备案,提供服务器租用、VPS云服务器等业务。 | |
| 美国洛杉矶机房 | 位于美国洛杉矶,直连全球,是全球带宽最集中的地方,是外贸企业首选,该机房只提供服务器租用业务。 | |
| 美国加州DCS机房 | 位于美国加州,直连全球,是美国的华人机房,是外贸企业首选,该机房只提供服务器租用业务。 | |
| 美国圣何塞机房 | 位于美国圣何塞,紧邻科技中心-硅谷,直连全球,是外贸企业首选,该机房只提供服务器租用业务。 | |
| 韩国首尔KT机房 | 韩国首尔的江南区道谷洞数据中心,光纤直连电信(CN2)、移动、PCCW、NTT等网络核心骨干。 | |
| 台湾中华电信机房 | 台湾中华电信机房位于台湾台北市114内湖区瑞光路68号3楼,是台湾对外最重要的电信枢纽之一。 | |
| 菲律宾PLDT机房 | 菲律宾PLDT机房拥有PCCW、TATA、CT、CN2等线路接入,优化线路到中国大陆速度快,延迟低,网络稳定。 | |
-
云虚拟主机
¥99元/年起 网站空间 原价:199元
-
独立物理服务器
¥488/月起 物理机 原价:699元
-
网站建设
¥580起 企业建站 原价:1999元起
迅恒建站·ABOUT US
迅恒专注于企业建站,海量精美网站风格模板供您选择!
迅恒是一家充满朝气蓬勃的互联网公司,坐落于羊城广州,拥有先进的管理理念,专业的技术团队。专注网站建设,为广大企业提供一站式企业建站服务。
- 全网品牌建站
帮您塑造行业品牌/企业品牌/产品品牌,快速缔造品牌美誉度
- 快速广泛传播
通过营销策划传播,快速提升网络知名度及曝光度
- 充分信任于你
通过对企业平台软硬实力深度包装,塑造公信力,让客户更信任你
- 高效转化成交
完善网站业务逻辑及在线客服沟通体系,快速提升询盘率及成交转化率
建站流程·PROCEDURE
网络营销推广的第一步就是做一个属于自己的网站
沟通联系
提出需求,咨询报价
达成协议
交流达成详细建站协议
支付费用
支付建站相关费用
建站开发
根据客户需求,制作网站
验收
客户验收网站
提交上线
验收合格,解析域名上线
售后服务
一对一的售后服务客服我们的优势·OUR STRENGTHS
做网站,为什么要选迅恒建站?
技术团队
专业的设计团队、技术团队,为客户提供专业的技术服务支持
源码交付
客户查验合格,提供源码交付/FTP信息。网站商业授权,避免产权纠纷
四合一建站多终端展示
网站能够在CP+平板+手机+小程序 完美响应展示。
无隐形收费
所有收费项公开透明,正规签订合同,合同清楚明确
高端设计
提供网站个性化定制设计,拒绝千篇一律
安全稳定
我司与华为云/腾讯云长期合作,采用安全稳定服务器,保障网站安全稳定运行
所有重要网络节点和核心设备均采用华为电信级交换设备,网络总体交换能力高达684G,网络联通率达到99.99%,
并且多点冗余备份,提高网络性能,避免单点故障。
