下載安裝最新的Tomcat版本，?新版本一般都修復(fù)了舊版本的問(wèn)題，包括安全性問(wèn)題；

修改Tomcat管理后臺(tái)的賬號(hào)和密碼（tomcatconf omcat-user.xml）

修改tomcat運(yùn)行的用戶權(quán)限：

在Windows環(huán)境下，Tomcat默認(rèn)以System權(quán)限運(yùn)行，這個(gè)權(quán)限過(guò)大，導(dǎo)致一些黑客通過(guò)tomcat上傳一些提權(quán)的webshell工具，可以遠(yuǎn)程創(chuàng)建用戶，并遠(yuǎn)程訪問(wèn)你的服務(wù)器，所以要給tomcat降權(quán)運(yùn)行。

首先新建一個(gè)用戶，設(shè)置復(fù)雜的密碼，并且讓它不屬于任何用戶組，接著打開(kāi)“本地安全策略”--->“本地策略”--->“用戶權(quán)限分配”，找到“作為服務(wù)登錄”項(xiàng)，把剛剛新建的用戶添加進(jìn)去再找到Tomcat安裝目錄，只為“Administrators組”和“tomcat”賬戶分配完全控制權(quán)限，并將其他賬戶權(quán)限全部刪除。如果不為tomcat賬戶分配權(quán)限，Tomcat服務(wù)將無(wú)法啟動(dòng)。

然后需要以最小權(quán)限原則為Tomcat日志目錄和WEB目錄單獨(dú)分配權(quán)限，日志目錄只需要分配“讀取”和“寫(xiě)入”權(quán)限即可。

然后需修改  C:Program FilesJavajre6 （java的安裝路徑）的權(quán)限，需要新加入tomcat用戶權(quán)限，否則也會(huì)報(bào)錯(cuò)。

如果是apache+tomcat的架構(gòu)，還需修改apach目錄權(quán)限，apache服務(wù)也需要以tomcat用戶運(yùn)行，apache的目錄也需要添加tomcat用戶的讀寫(xiě)執(zhí)行權(quán)限，否則apache起不來(lái)。