asp.net服务器安全之磁盘访问权限设置
硬盘或文件夹: C:\ D:\ E:\ F:\ 类推
主要权限部分：
其他权限部分：
Administrators
完全控制
无
如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:\php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把user的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，可以把mysql安装目录只要同硬盘根目录权限就可以了。如果是winwebmail，则最好建立独立的应用程序池和独立IIS用户，然后整个安装目录有user用户的读/运行/写/权限，IIS用户则相同，这个IIS用户就只用在winwebmail的WEB访问中，其他IIS站点切勿使用，安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹:C:\Inetpub\
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹:C:\Inetpub\AdminScripts
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Inetpub\wwwroot
主要权限部分：
其他权限部分：
Administrators
完全控制
IIS_WPG
读取运行/列出文件夹目录/读取
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
SYSTEM
完全控制
Users
读取运行/列出文件夹目录/读取
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限
拒绝权限
Internet 来宾帐户
创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings\All Users
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
SYSTEM
完全控制
USERS组的权限仅仅限制于读取和运行，
绝对不能加上写入权限
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
Users
写入
只有子文件夹及文件
该文件夹，子文件夹
SYSTEM
完全控制
两个并列权限同用户组需要分开列权限
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
SYSTEM
完全控制
此文件夹包含 Microsoft 应用程序状态数据
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
主要权限部分：
其他权限部分：
Administrators
完全控制
Everyone
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹
Everyone这里只有读写权限，不能加运行和删除权限，仅限该文件夹
只有该文件夹
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys
主要权限部分：
其他权限部分：
Administrators
完全控制
Everyone
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹
Everyone这里只有读写权限，不能加运行和删除权限，仅限该文件夹
只有该文件夹
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm
主要权限部分：
其他权限部分：
Administrators
完全控制
Everyone
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
SYSTEM
完全控制
Everyone这里只有读和运行权限
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
SYSTEM
完全控制
Users
创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
读取权限
该文件夹，子文件夹及文件
只有该文件夹
Users
创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
只有该子文件夹和文件
硬盘或文件夹: C:\Documents and Settings\All Users\DRM
主要权限部分：
其他权限部分：
这里需要把GUEST用户组和IIS访问用户组全部禁止
Everyone的权限比较特殊，默认安装后已经带了
主要是要把IIS访问的用户组加上所有权限都禁止
Users
读取和运行
该文件夹，子文件夹及文件
Guests
拒绝所有
该文件夹，子文件夹及文件
Guest
拒绝所有
该文件夹，子文件夹及文件
IUSR_XXX
或某个虚拟主机用户组
拒绝所有
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Documents and Settings\All Users\Documents (共享文档)
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web server extensions
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默认装在C：盘)
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
硬盘或文件夹: E:\Program Files\Microsoft SQL Server (数据库部分装在E：盘的情况)
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL (数据库部分装在E：盘的情况)
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\Outlook Express
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\PowerEasy5 (如果装了动易组件的话)
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\Radmin (如果装了Radmin远程控制的话)
主要权限部分：
其他权限部分：
Administrators
完全控制
无
对应的c:\windows\system32里面有两个文件
r_server.exe和AdmDll.dll
要把Users读取运行权限去掉
默认权限只要administrators和system全部权限
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\Serv-U (如果装了Serv-U服务器的话)
主要权限部分：
其他权限部分：
Administrators
完全控制
无
这里常是提权入侵的一个比较大的漏洞点
一定要按这个方法设置
目录名字根据Serv-U版本也可能是C:\Program Files\RhinoSoft.com\Serv-U
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\Windows Media Player
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\Windows NT\Accessories
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\Program Files\WindowsUpdate
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\WINDOWS
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\WINDOWS\system32
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
IUSR_XXX
或某个虚拟主机用户组
列出文件夹/读取数据 ：拒绝
读取权限 ：拒绝
只有子文件夹及文件
只有该文件夹
SYSTEM
完全控制
虚拟主机用户访问组拒绝读取，有助于保护系统数据
该文件夹，子文件夹及文件
硬盘或文件夹: C:\WINDOWS\system32\config
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
IUSR_XXX
或某个虚拟主机用户组
列出文件夹/读取数据 ：拒绝
读取权限 ：拒绝
只有子文件夹及文件
只有该文件夹
SYSTEM
完全控制
虚拟主机用户访问组拒绝读取，有助于保护系统数据
该文件夹，子文件夹及文件
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
IUSR_XXX
或某个虚拟主机用户组
读取 ：拒绝
只有子文件夹及文件
只有该文件夹
SYSTEM
完全控制
虚拟主机用户访问组拒绝读取，有助于保护系统数据
该文件夹，子文件夹及文件
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
主要权限部分：
其他权限部分：
Administrators
完全控制
IIS_WPG
完全控制
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
IUSR_XXX
或某个虚拟主机用户组
读取 ：拒绝
该文件夹，子文件夹及文件
虚拟主机用户访问组拒绝读取，有助于保护系统数据
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd
主要权限部分：
其他权限部分：
Administrators
完全控制
无
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
只有子文件夹及文件
SYSTEM
完全控制
该文件夹，子文件夹及文件
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack
主要权限部分：
其他权限部分：
Administrators
完全控制
Users
读取和运行
该文件夹，子文件夹及文件
该文件夹，子文件夹及文件
CREATOR OWNER
完全控制
IUSR_XXX
或某个虚拟主机用户组
读取 ：拒绝
只有子文件夹及文件
只有该文件夹
SYSTEM
完全控制
虚拟主机用户访问组拒绝读取，有助于保护系统数据
该文件夹，子文件夹及文件
ASP.NET 进程帐户所需的 NTFS 权限
目录
所需权限
Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files
进程帐户和模拟标识：
完全控制
临时目录 (%temp%)
进程帐户
完全控制
.NET Framework 目录%windir%\Microsoft.NET\Framework\{版本}
进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取
.NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG
进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取
网站根目录
C:\inetpub\wwwroot
或默认网站指向的路径
进程帐户：
读取
系统根目录
%windir%\system32
进程帐户：
读取
全局程序集高速缓存
%windir%\assembly
进程帐户和模拟标识：
读取
内容目录
C:\inetpub\wwwroot\YourWebApp
(一般来说不用默认目录，管理员可根据实际情况调整比如D:\wwwroot)
进程帐户：
读取和执行
列出文件夹内容
读取
注意对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括：
C:\
C:\inetpub\
C:\inetpub\wwwroot\
一般网站最容易发生的故障的解决方法
1.出现提示网页无法显示,500错误的时候，又没有详细的提示信息可以进行下面的操作显示详细的提示信息：IE－工具－internet选项－高级－友好的http错误信息提示，将这选项前面不打勾，则可以看到详细的提示信息了
2.系统在安装的时候提示数据库连接错误一是检查const文件的设置关于数据库的路径设置是否正确
二是检查服务器上面的数据库的路径和用户名、密码等是否正确
3.IIS不支持ASP解决办法：IIS的默认解析语言是否正确设定？将默认改为VBSCRIPT，进入IIS，右键单击默认Web站点，选择属性，在目录安全性选项卡的匿名访问和身份验证控制中，单击编辑，在身份验证方法属性页中，去掉匿名访问的选择试试.
4.FSO没有权限FSO的权限问题，可以在后台测试是否能删除文件，解决FSO组件是否开启的方法如下：
首先在系统盘中查找scrrun.dll，如果存在这个文件，请跳到第三步，如果没有，请执行第二步。
在安装文件目录i386中找到scrrun.dl_，用winrar解压缩，得scrrun.dll，然后复制到(你的系统盘)C:\windows\system32\目录中。 运行regsvr32 scrrun.dll即可。
如果想关闭FSO组件，请运行regsvr32/u scrrun.dll即可
关于服务器FSO权限设置的方法，给大家一个地址可以看看详细的操作：5.Microsoft JET Database Engine 错误 '80040e09' 不能更新。数据库或对象为只读原因分析：
未打开数据库目录的读写权限
解决方法：
( 1 )检查是否在 IIS 中对整个网站打开了 “ 写入 ” 权限，而不仅仅是数据库文件。
( 2 )检查是否在 WIN2000 的资源管理器中，将网站所在目录对 EveryOne 用户打开所有权限。具体方法是：
打开 “ 我的电脑 ”---- 找到网站所在文件夹 ---- 在其上点右键 ---- 选 “ 属性 ”----- 切换到 “ 安全性 ” 选项卡，在这里给 EveryOne 用户所有权限。
注意： 如果你的系统是 XP ，请先点 “ 工具 ”----“ 文件夹选项 ”----“ 查看 ”----- 去掉 “ 使用简单文件共享 ” 前的勾，确定后，文件夹 “ 属性 ” 对话框中才会有 “ 安全性 ” 这一个选项卡。
6.验证码不能显示原因分析：
造成该问题的原因是 Service Pack 2 为了提高系统的稳定性，默认状态下是屏蔽了对 XBM，也即是 x-bitmap 格式的图片的显示，而这些验证码恰恰是 XBM 格式的，所以显示不出来了。
解决办法：
解决的方法其实也很简单，只需在系统注册表中添加键值 "BlockXBM"=dword:00000000 就可以了，具体操作如下：
1》打开系统注册表；
2》依次点开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security；
3》在屏幕右边空白处点击鼠标右键，选择新建一个名为“BlockXBM”为的 DWORD 键，其值为默认的0。
4》退出注册表编辑器。
如果操作系统是2003系统则看是否开启了父路径
7.windows 2003配置IIS支持.shtml要使用 Shtml 的文件，则系统必须支持SSI，SSI必须是管理员通过Web 服务扩展启用的
windows 2003安装好IIS之后默认是支持.shtml的，只要在“WEB服务扩展”允许“在服务器前端的包含文件”即可 (www.jb51.net)
8.如何去掉“处理 URL 时服务器出错。请与系统管理员联系。”如果是本地服务器的话，请右键点IIS默认网站，选属性，在主目录里点配置，选调试。 选中向客户端发送详细的ASP错误消息。 然后再调试程序，此时就可以显示出正确的错误代码。
如果你是租用的空间的话，请和你的空间商联系

当我们每天使用win10系统计算机时，许多用户遇到了windows拒绝访问文件夹的问题。以下小编就带给大家拒绝访问文件夹怎么解决的具体方法，有兴趣的小伙伴赶紧来看看。
①右键点击打不开的文件夹，选择属性，点击安全选卡，选择高级功能。
②点击所有者后面的变更键。
③在弹出的选择用户和组窗口中输入管理员帐户，然后选择检测名称，确认正确后点击确定。
④重新返回高级安全设置，检查所有者下面的替换子容器和对象的所有者，再次单击确定。
⑤此时会弹出“变更所有权”的提示弹出窗口。
以上是小编为小伙伴们带来的win10文件夹拒绝访问怎么办的解决方法。

本文就介绍如何恢复拒绝访问
不管你是因为杀毒出现的硬盘拒绝访问还是 点了其他的东西
1 找到拒绝访问的硬盘
2 点击属性
3选择到安全项
4点击 高级
5 选择点击更改（c）前面带有一个护盾图标  在所在者这一栏  也就第二行
6 对象类型 选择用户
7查找位置 就选择第一个默认
8点击左下的高级 有一个立即查找 在里面选择 你平时登录这台电脑的用户名 点击确定
9在第二行所有者下 有个 选项 代替子容器和对象的所有 选择
10 最后 点击右下的确定 很快 就可以自动恢复。

下面附图.



在这里插入图片描述

	

近日，腾讯云安全运营中心监测到，宝塔面板官方发布通告，披露了一个数据库管理未授权访问漏洞，漏洞被利用可导致数据库管理页面未授权访问。
为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。
漏洞详情
宝塔面板存在未授权访问漏洞，利用该漏洞，攻击者可以通过访问特定URL，直接访问到数据库管理页面，从而达到访问数据库数据、获取系统权限、进行危险操作等目的。
风险等级
高风险
漏洞风险
攻击者可利用该漏洞访问特定URL，从而直接访问到数据库管理页面。
影响版本
宝塔面板 Linux 版本：7.4.2 版本和测试版本 7.5.14
宝塔面板 Windows 版本：6.8 版本
安全版本
宝塔面板 Linux 版本：7.4.3 版本和测试版本 7.5.15
宝塔面板 Windows 版本：6.9.0 版本
修复建议
1)官方已发布最新安全版本，检查您的宝塔面板是否在受影响版本范围
2)如受影响，请你选择合理时间进行更新操作，更新到安全版本，避免影响业务。
     更新方法：登录面板后台，右上角点击更新，弹窗后，点击立即更新。
3)或使用升级脚本(注意：优先在面板首页直接点更新，失败的情况下，才使用此命令，且不能在面板自带的 SSH 终端执行)
curl https://download.bt.cn/install/update_panel.sh|bash
4)离线升级步骤：
     1、下载离线升级包：
http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
     2、将升级包上传到服务器中的 /root 目录
     3、解压文件：unzip LinuxPanel-7.4.3.zip
     4、切换到升级包目录：cd panel
     5、执行升级脚本：bash update.sh
     6、删除升级包：
cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel
5)请配置安全组，关闭888端口的公网访问，或进行访问限制。
腾讯 T-Sec 主机安全(云镜)漏洞库日期 2020-08-23 之后的版本，已支持检测云主机系统是否受宝塔面板未授权漏洞的影响。
腾讯 T-Sec 主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等，关于腾讯 T-Sec 主机安全的更多信息，可参考：
https://cloud.tencent.com/product/cwp
腾讯T-Sec 漏洞扫描服务(Vulnerability Scan Service，VSS)已支持检测全网资产是否存在宝塔面板数据库管理未授权访问漏洞，并提醒相关用户修复。
关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：
https://cloud.tencent.com/product/vss
腾讯T-Sec高级威胁检测系统(御界)规则库日期2020-08-23之后的版本，已支持对宝塔面板数据库管理未授权访问漏洞的攻击检测。
漏洞参考
官方公告：
https://www.bt.cn/bbs/thread-54644-1-1.html
更多精彩内容点击下方扫码关注哦~
   云鼎实验室视频号
  一分钟走进趣味科技
     -扫码关注我们-
 云鼎实验室互动星球
 一个多元的科技社交圈
  -扫码关注我们-
关注云鼎实验室，获取更多安全情报