修复 SMB 服务的权限问题

Question 1

我已经有一段时间没有在 2003 服务器上工作了，但扫描（对我来说听起来像是 Nessus 扫描）可能发现了最佳实践问题。您可以在此处查看：保护每个磁盘卷的根文件夹（IIS 6.0）并检查是否是该问题。

具体来说：

在全新安装 Microsoft® Windows® Server 2003 后，特殊组 Everyone 对系统卷的根目录（即安装 Windows Server 2003 的磁盘卷）具有读取和执行权限。

在系统卷根目录下创建的任何文件夹都会自动继承分配给系统卷根目录的权限。这意味着 Everyone 组将对在系统卷根目录下直接创建的任何新文件夹拥有读取和执行权限。为防止意外的安全漏洞，请删除分配给专用 Web 服务器上特殊组“Everyone”的权限。

修复方法：

通过删除权限来保护系统卷的根目录

打开附件，然后单击 Windows 资源管理器。

在 Windows 资源管理器中，找到系统卷的根目录。

右键单击系统卷的根目录，单击“属性”，然后单击“安全”选项卡。

在“组或用户名”列表框中，单击“Everyone”，然后单击“删除”。

单击“确定”。

不过，我认为扫描应该已经告诉您该如何解决问题。您仍然需要小心，因为 Everyone 组的 IIS 管理服务具有某些特殊权限：http://support.microsoft.com/kb/903072

Answer

我已经有一段时间没有在 2003 服务器上工作了，但扫描（对我来说听起来像是 Nessus 扫描）可能发现了最佳实践问题。您可以在此处查看：保护每个磁盘卷的根文件夹（IIS 6.0）并检查是否是该问题。

具体来说：

在全新安装 Microsoft® Windows® Server 2003 后，特殊组 Everyone 对系统卷的根目录（即安装 Windows Server 2003 的磁盘卷）具有读取和执行权限。

在系统卷根目录下创建的任何文件夹都会自动继承分配给系统卷根目录的权限。这意味着 Everyone 组将对在系统卷根目录下直接创建的任何新文件夹拥有读取和执行权限。为防止意外的安全漏洞，请删除分配给专用 Web 服务器上特殊组“Everyone”的权限。

修复方法：

通过删除权限来保护系统卷的根目录

打开附件，然后单击 Windows 资源管理器。

在 Windows 资源管理器中，找到系统卷的根目录。

右键单击系统卷的根目录，单击“属性”，然后单击“安全”选项卡。

在“组或用户名”列表框中，单击“Everyone”，然后单击“删除”。

单击“确定”。

不过，我认为扫描应该已经告诉您该如何解决问题。您仍然需要小心，因为 Everyone 组的 IIS 管理服务具有某些特殊权限：http://support.microsoft.com/kb/903072

Question 2

使用“sc sdshow iisadmin”命令，我能够看到“每个人”在“自由支配”权限中拥有“访问”权限：

C:\Inetpub\wwwroot\FM>sc sdshow iisadmin
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)S:(AU;
FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

我只是通过以下方式重置权限来删除“WD”条目：

C:\Inetpub\wwwroot\FM>sc sdset iisadmin D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:
(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
[SC] SetServiceObjectSecurity SUCCESS

然后确认：

C:\Inetpub\wwwroot\FM>sc sdshow iisadmin
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

我重启了服务，并检查了所有网站，一切似乎都运行正常。我必须等待另一次扫描才能确定，因为扫描公司没有提供比我在问题中报告的更多详细信息。无论如何，从可自由选择中删除“所有人”条目似乎是个好主意。

我做了很多研究，并记录下来。我在这里写了以下内容：http://bit.ly/18dYVYi对于任何感兴趣的人。

Answer