對(duì)于任何降權(quán)的操作都是為了更好的保護(hù)自己的服務(wù)器免受危害，所以我們使用ApacheTomcat也不了外，也需要進(jìn)行降權(quán)操作.因?yàn)楫?dāng) Tomcat以系統(tǒng)管理員身份或作為系統(tǒng)服務(wù)運(yùn)行時(shí)，Java運(yùn)行時(shí)取得了系統(tǒng)用戶或系統(tǒng)管理員所具有的全部權(quán)限。這樣一來，Java運(yùn)行時(shí)就取得了所有文件夾中所有文件的全部權(quán)限。并且Servlets(JSP在運(yùn)行過程中要轉(zhuǎn)換成Servlets)取得了同樣的權(quán)限。所以Java代碼可以調(diào)用Java SDK中的文件API列出文件夾中的全部文件，刪除任何文件，最大的危險(xiǎn)在于以系統(tǒng)權(quán)限運(yùn)行一個(gè)程序。當(dāng)任一Servlets含有如下代碼： b4ae04fd6dYsJkr5　Runtime rt = Runtime.getRuntime();rt.exec(”c:SomeDirectorySomeUnsafePRogram.exe”)，其服務(wù)是以system權(quán)限啟動(dòng)。根據(jù)權(quán)限最小安全原則，降低了腳本所獲取的操作本地系統(tǒng)權(quán)限。此操作如下：
步驟：1、新建一個(gè)帳戶用戶,為其設(shè)置一個(gè)密碼,保證”密碼永不過期”(PassWord Never Expires)和不過期被選中，并且刪除隸屬于的組群。

2、修改Tomcat安裝文件夾的訪問權(quán)限
選定環(huán)境參數(shù)CATALINA_HOME或TOMCAT_HOME指向的Tomcat安裝文件夾

3在ApacheTomcat為用戶賦予讀、寫、執(zhí)行的訪問權(quán)限。用戶賦予對(duì)WebApps文件夾的只讀訪問權(quán)限。
如果某些Web應(yīng)用程序需要寫訪問權(quán)限，單獨(dú)為其授予對(duì)那個(gè)文件夾的寫訪問權(quán)限。

4、設(shè)置服務(wù)

    1. 到”控制面板”，選擇”管理工具”，然后選擇”服務(wù)”。
    2. 找到Tomcat：比如Apache Tomcat.exe等等，打開其”屬性”。
    3. 選擇其”登錄”(Log)標(biāo)簽。
    4. 選擇”以…登錄”(Log ON Using)選項(xiàng)。
    5. 鍵入新建的”ITOMCAT_計(jì)算機(jī)名”用戶作為用戶名。
    6. 輸入密碼。
    7. 重啟。

這樣就完成降權(quán)了在任務(wù)管理器中查看。