對于任何降權(quán)的操作都是為了更好的保護(hù)自己的服務(wù)器免受危害，所以我們使用ApacheTomcat也不了外，也需要進(jìn)行降權(quán)操作.因為當(dāng) Tomcat以系統(tǒng)管理員身份或作為系統(tǒng)服務(wù)運行時，Java運行時取得了系統(tǒng)用戶或系統(tǒng)管理員所具有的全部權(quán)限。這樣一來，Java運行時就取得了所有文件夾中所有文件的全部權(quán)限。并且Servlets(JSP在運行過程中要轉(zhuǎn)換成Servlets)取得了同樣的權(quán)限。所以Java代碼可以調(diào)用Java SDK中的文件API列出文件夾中的全部文件，刪除任何文件，最大的危險在于以系統(tǒng)權(quán)限運行一個程序。當(dāng)任一Servlets含有如下代碼： b4ae04fd6dYsJkr5　Runtime rt = Runtime.getRuntime();rt.exec(”c:SomeDirectorySomeUnsafePRogram.exe”)，其服務(wù)是以system權(quán)限啟動。根據(jù)權(quán)限最小安全原則，降低了腳本所獲取的操作本地系統(tǒng)權(quán)限。此操作如下：
步驟：1、新建一個帳戶用戶,為其設(shè)置一個密碼,保證”密碼永不過期”(PassWord Never Expires)和不過期被選中，并且刪除隸屬于的組群。

2、修改Tomcat安裝文件夾的訪問權(quán)限
選定環(huán)境參數(shù)CATALINA_HOME或TOMCAT_HOME指向的Tomcat安裝文件夾

3在ApacheTomcat為用戶賦予讀、寫、執(zhí)行的訪問權(quán)限。用戶賦予對WebApps文件夾的只讀訪問權(quán)限。
如果某些Web應(yīng)用程序需要寫訪問權(quán)限，單獨為其授予對那個文件夾的寫訪問權(quán)限。

4、設(shè)置服務(wù)

    1. 到”控制面板”，選擇”管理工具”，然后選擇”服務(wù)”。
    2. 找到Tomcat：比如Apache Tomcat.exe等等，打開其”屬性”。
    3. 選擇其”登錄”(Log)標(biāo)簽。
    4. 選擇”以…登錄”(Log ON Using)選項。
    5. 鍵入新建的”ITOMCAT_計算機名”用戶作為用戶名。
    6. 輸入密碼。
    7. 重啟。

這樣就完成降權(quán)了在任務(wù)管理器中查看。