2008R2服务器权限问题和安全问题

技术问题

2008R2服务器权限问题和安全问题

2024-09-20 09:12


2008R2服务器权限问题和安全问题

                                            




通过安全设置工具处理后,还是有部分权限提示有问题,一般处理方法见:

2018.9.9
C:/Windows/System32/spool/drivers/color 删除Users“创建文件/写入数据”的权限
C:/Users/All Users/SymEFASI/Temp 删除Users的特殊权限,装了诺顿14才有这个目录
C:/Users/All Users/Symantec/Symantec Endpoint Protection 删除Users的特殊权限 需暂关闭诺顿-更改设置-客户端管理-篡改防护
C:/Users/All Users/Symantec/Symantec Endpoint Protection/CurrentVersion/Data/IPS 删除Users“遍历文件夹/执行文件”的权限(先取消续存)
C:/Users/All Users/Symantec/Symantec Endpoint Protection/CurrentVersion/Data/CmnClnt/_lck 删除Users“遍历文件夹/执行文件”的权限
C:/Users/All Users/Symantec/Symantec Endpoint Protection/CurrentVersion/Data/CmnClnt/_lck 下的四个文件取消Users前后各2个共4个权限
C:/Users/All Users/Symantec/Symantec Endpoint Protection/14.0.3752.1000.105/Data/CmnClnt/_lck 下4个文件同上
C:/Users/All Users/Symantec/LocalDumps删除Users的特殊权限
C:/Users/All Users/Microsoft/User Account Pictures 删除Users“创建文件/写入数据”的权限
C:/Users/All Users/Microsoft/RAC/Temp 对Users只保留“读取和执行”权限
C:/Users/All Users/Microsoft/RAC/PublishedData 对Users只保留“读取和执行”权限
C:/Users/All Users/Microsoft/NetFramework/BreadcrumbStore 删除E“遍历文件夹/执行文件”的权限
C:/Users/All Users/Microsoft/DeviceSync 删除2个E前后各2个共4个权限

2015.7.10日
C:/Windows/SysWOW64/Tasks 删除Users、Everyone、NETWORK SERVICE 的权限
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/RemoteApp and Desktop Connections Update 删除Authenticated Users、Everyone、NETWORK SERVICE的权限
C:/Windows/SysWOW64/Tasks/Microsoft/Windows/PLA/System 删除Authenticated Users、Everyone、NETWORK SERVICE的权限
C:/Windows/System32/Tasks 删除Users、Everyone、NETWORK SERVICE 的权限
C:/Windows/System32/Tasks/Microsoft/Windows/WindowsColorSystem/Calibration Loader 无Users执行权限就可以
C:/Windows/System32/Tasks/Microsoft/Windows/RemoteApp and Desktop Connections Update 删除Authenticated Users、Everyone、NETWORK SERVICE 的权限
C:/Windows/System32/Tasks/Microsoft/Windows/PLA/System 删除Authenticated Users、Everyone、NETWORK SERVICE 的权限
C:/Windows/System32/Tasks/Microsoft/Windows/MemoryDiagnostic/DecompressionFailureDetector 用户Users只保留读取权限
C:/Windows/System32/Tasks/Microsoft/Windows/MemoryDiagnostic/CorruptionDetector 用户Users只保留读取权限
C:/Windows/System32/spool/drivers/color 先更改所有者:属性--所有者  对Users只保留读取权限
C:/Windows/System32/Microsoft/Crypto/RSA/MachineKeys 用户Everyone只保留读取权限
C:/Users/All Users/Microsoft/User Account Pictures 删除Users
C:/Users/All Users/Microsoft/NetFramework/BreadcrumbStore 用户Everyone只保留读取权限
C:/Users/All Users/Microsoft/DRM/Server 用户Everyone只保留读取权限
C:/Users/All Users/Microsoft/DeviceSync 用户Everyone只保留读取权限
C:/Users/All Users/Microsoft/Crypto/RSA/MachineKeys 用户Everyone只保留读取权限
C:/Users/All Users/Microsoft/Crypto/DSS/MachineKeys 用户Everyone只保留读取权限
C:/Users/Administrator/AppData/Local/Babylon/Setup/Setup2.zpb 用户Everyone只保留读取权限
C:/Program Files (x86)/Microsoft SQL Server/90/Shared/ErrorDumps 无Users执行权限就可以


C:/WINDOWS/system32/WindowsPowerShell/v1.0/powershell.exe 先更改所有者:属性--所有者,删除Users
C:/Windows/System32/reg.exe 和 regedt32.exe 删除Users
c:/windows/ServicePackFiles删除这个目录内文件,进入深层的文件夹内删除
c:/php下的php.exe,php-cgi.exe,php-win.exe删除
请将"Distributed Transaction Coordinator" MSDTC服务禁止
请将Remote Registry服务禁止:如果需要升级SQL的时候需要开启这个服务
拒绝freehostrunat用户远程桌面提高安全: 管理工具-本地安全策略-本地策略-用户权限分配,再双击右边的拒绝通过远程桌面服务登陆,再点添加用户或组,输入freehostrunat用户名,确定,确定后就生效了。
远程桌面连接配置:管理工具-远程桌面服务-远程桌面会话主机配置 选择右侧”RDP-tcp”右击属性 > 安全  先添加单一的允许使用的管理员账户,然后删除(除system和刚才添加的用户外)其他所有用户组,这样即使服务器被创建了其它的管理员.也无法使用终端服务。


2015年前的
C:/Windows/Temp  一般不需要另外处理权限
Users 该文件夹和子文件夹:列出文件夹/读取数据 读取属性 读取扩展属性 创建文件/写入数据 创建文件夹/附加数据
SYSTEM 该文件夹,子文件夹及文件:完全权限
Power Users 该文件夹,子文件夹及文件 去掉:完全控制 删除子文件夹及文件 更改权限 取得所有权
NETWORK SERVICE 该文件夹和子文件夹:列出文件夹/读取数据 创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性 删除子文件夹及文件 删除
CREATOR OWNER 只有子文件夹及文件 去掉:完全控制 遍历文件夹/运行文件 更改权限 取得所有权
Administrators 该文件夹,子文件夹及文件:完全权限

C:/Windows/SysWOW64/Tasks/Microsoft/Windows/PLA/System
C:/Windows/System32/Tasks/Microsoft/Windows/PLA/System
C:/Users/All Users/Microsoft/User Account Pictures
C:/Users/All Users/LSI/Wdcfg
C:/Users/All Users/Application Data/LSI/Wdcfg
Users或Everyone 取消:遍历文件夹/执行文件

C:/Users/All Users/Microsoft/RAC/Temp
C:/Users/All Users/Microsoft/RAC/PublishedData
Users 取消:前后的4个权限 其中有2个Users用户的权限记得都设置
Everyone 取消:遍历文件夹/执行文件

C:/Users/All Users/Microsoft/DeviceSync
C:/Users/All Users/Application Data/Microsoft/DeviceSync
C:/Users/All Users/Application Data/Application Data/Microsoft/DeviceSync
第一个Everyone 取消:遍历文件夹/执行文件-最后2项
第二个Everyone 取消:取消前后的4个权限

C:/Users/All Users/McAfee/DesktopProtection
C:/Users/All Users/Application Data/McAfee/DesktopProtection
C:/Users/All Users/Application Data/Application Data/McAfee/DesktopProtection
下3个文件的权限 取消:取消前后的4个权限

权限处理原则:
提示有权限问题的文件,都不能有everyone或users用户运行的权限.

设置后重新扫描权限


windows 2008R2 无法安装操作系统补丁,或无法安装Sp1升级包的解决办法给
1、C:/ 加上users读的权限,只该文件夹
2、将 C:/Windows/System32/catroot2 目录权限应用到所有子目录及文件上.(里面有一个关键的权限是CrytSvc用户要用全部的权限.)
 


标签:
  • 2008R2服务器权限问题和安全问题