Apache安裝之后默認(rèn)是用“system”系統(tǒng)權(quán)限運(yùn)行的，這樣做非常危險(xiǎn)，非常容易被黑客入侵更改其配置，進(jìn)一步威脅到apache下網(wǎng)站的安全，因此安裝后需要對(duì)其進(jìn)行降權(quán)操作，確保其權(quán)限的最小化。

方法步驟

1.開(kāi)始—命令提示符，這里我們要為apache服務(wù)新建一個(gè)匿名用戶(hù)，并從users組刪除并在計(jì)算機(jī)管理-用戶(hù)管理里面設(shè)置其密碼永不過(guò)期。

命令“net user apache root@123 /add”
“net localgroup users apache /del”

2.緊接著，在命令行輸入“services.msc”打開(kāi)服務(wù)，

3.找到apache的服務(wù)項(xiàng)，右鍵—屬性，對(duì)其登錄方式進(jìn)行設(shè)置；

選擇登錄—此賬戶(hù)—瀏覽—高級(jí)——立即查找，找到剛才新建的匿名用戶(hù)，確定，然后

填入密碼—應(yīng)用，會(huì)提示“已授予賬戶(hù).apache”以服務(wù)方式登錄“的權(quán)限，確定即可；

4.找到apache的安裝目錄，右鍵—屬性，先把除SYSTEM和Administrtors以外的用戶(hù)或組刪除，

編輯—添加—高級(jí)—立即查找，找到apache確定,給它“讀取和執(zhí)行”、“列出文件夾內(nèi)容”、“讀取”權(quán)限即可；

這里設(shè)置設(shè)置完確定之后，需要找到apache安裝目錄下找需要寫(xiě)入文件的文件夾，例如日志文件夾，右鍵屬性—安全，對(duì)其增加一個(gè)“寫(xiě)入”權(quán)限，否則設(shè)置apache用戶(hù)運(yùn)行服務(wù)后可能導(dǎo)致無(wú)法啟動(dòng)apache服務(wù)。

5.應(yīng)用之后，在服務(wù)里找到“apache”服務(wù)項(xiàng)，右鍵—重新啟動(dòng)，啟動(dòng)正常后打開(kāi)任務(wù)管理器查看httpd.exe是否以apache用戶(hù)運(yùn)行了。

到這里，apache的降權(quán)已經(jīng)成功了。

為了讓整個(gè)服務(wù)器環(huán)境的安全，還需做一個(gè)PHP函數(shù)的禁用，具體方法是找到PHP安裝目錄下的”php.ini”配置文件，搜索

disable_functions改為disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,dl,chmod。