Apache安裝之后默認是用“system”系統(tǒng)權(quán)限運行的，這樣做非常危險，非常容易被黑客入侵更改其配置，進一步威脅到apache下網(wǎng)站的安全，因此安裝后需要對其進行降權(quán)操作，確保其權(quán)限的最小化。

方法步驟

1.開始—命令提示符，這里我們要為apache服務(wù)新建一個匿名用戶，并從users組刪除并在計算機管理-用戶管理里面設(shè)置其密碼永不過期。

命令“net user apache root@123 /add”
“net localgroup users apache /del”

2.緊接著，在命令行輸入“services.msc”打開服務(wù)，

3.找到apache的服務(wù)項，右鍵—屬性，對其登錄方式進行設(shè)置；

選擇登錄—此賬戶—瀏覽—高級——立即查找，找到剛才新建的匿名用戶，確定，然后

填入密碼—應(yīng)用，會提示“已授予賬戶.apache”以服務(wù)方式登錄“的權(quán)限，確定即可；

4.找到apache的安裝目錄，右鍵—屬性，先把除SYSTEM和Administrtors以外的用戶或組刪除，

編輯—添加—高級—立即查找，找到apache確定,給它“讀取和執(zhí)行”、“列出文件夾內(nèi)容”、“讀取”權(quán)限即可；

這里設(shè)置設(shè)置完確定之后，需要找到apache安裝目錄下找需要寫入文件的文件夾，例如日志文件夾，右鍵屬性—安全，對其增加一個“寫入”權(quán)限，否則設(shè)置apache用戶運行服務(wù)后可能導(dǎo)致無法啟動apache服務(wù)。

5.應(yīng)用之后，在服務(wù)里找到“apache”服務(wù)項，右鍵—重新啟動，啟動正常后打開任務(wù)管理器查看httpd.exe是否以apache用戶運行了。

到這里，apache的降權(quán)已經(jīng)成功了。

為了讓整個服務(wù)器環(huán)境的安全，還需做一個PHP函數(shù)的禁用，具體方法是找到PHP安裝目錄下的”php.ini”配置文件，搜索

disable_functions改為disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,dl,chmod。