安全策略:

打開管理工具 

找到本地安全設(shè)置.本地策略.安全選項(xiàng) 
1.交互式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據(jù)個(gè)人需要,啟用比較好,但是我個(gè)人是不需要直接輸入密碼登陸的] 
2.網(wǎng)絡(luò)訪問.不允許SAM帳戶的匿名枚舉 啟用 
3.網(wǎng)絡(luò)訪問.可匿名的共享 將后面的值刪除 
4.網(wǎng)絡(luò)訪問.可匿名的命名管道 將后面的值刪除 
5.網(wǎng)絡(luò)訪問.可遠(yuǎn)程訪問的注冊(cè)表路徑 將后面的值刪除 
6.網(wǎng)絡(luò)訪問.可遠(yuǎn)程訪問的注冊(cè)表的子路徑 將后面的值刪除 
7.網(wǎng)絡(luò)訪問.限制匿名訪問命名管道和共享 
8.帳戶.重命名來賓帳戶guest [最好寫一個(gè)自己能記住中文名]讓黑客去猜解guest吧,而且還得刪除這個(gè)帳戶,后面有詳細(xì)解釋] 
9.帳戶.重命名系統(tǒng)管理員帳戶[建議取中文名]

E計(jì)劃.用戶權(quán)限分配策略: 
打開管理工具 
找到本地安全設(shè)置.本地策略.用戶權(quán)限分配 
1.從網(wǎng)絡(luò)訪問計(jì)算機(jī) 里面一般默認(rèn)有5個(gè)用戶,除Admin外我們刪除4個(gè),當(dāng)然,等下我們還得建一個(gè)屬于自己的ID 
2.從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī),Admin帳戶也刪除,一個(gè)都不留 
3.拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī) 將ID刪除 
4.從網(wǎng)絡(luò)訪問此計(jì)算機(jī),Admin也可刪除,如果你不使用類似3389服務(wù) 
5.通過終端允許登陸 刪除Remote Desktop Users

F計(jì)劃.終端服務(wù)配置 
打開管理工具 
終端服務(wù)配置 
1.打開后，點(diǎn)連接,右鍵,屬性,遠(yuǎn)程控制,點(diǎn)不允許遠(yuǎn)程控制 
2.常規(guī),加密級(jí)別,高,在使用標(biāo)準(zhǔn)Windows驗(yàn)證上點(diǎn)√! 
3.網(wǎng)卡,將最多連接數(shù)上設(shè)置為0 
4.高級(jí),將里面的權(quán)限也刪除.[我沒設(shè)置] 
再點(diǎn)服務(wù)器設(shè)置,在Active Desktop上,設(shè)置禁用,且限制每個(gè)使用一個(gè)會(huì)話

G計(jì)劃.用戶和組策略 
打開管理工具 
計(jì)算機(jī)管理.本地用戶和組.用戶 
刪除Support_388945a0用戶等等 
只留下你更改好名字的adminisrator權(quán)限 
計(jì)算機(jī)管理.本地用戶和組.組 
組.我們就不組了.分經(jīng)驗(yàn)的(不管他.默認(rèn)設(shè)置)

X計(jì)劃.DIY策略[根據(jù)個(gè)人需要] 
1.當(dāng)?shù)顷憰r(shí)間用完時(shí)自動(dòng)注銷用戶(本地) 防止黑客密碼滲透. 
2.登陸屏幕上不顯示上次登陸名(遠(yuǎn)程)如果開放3389服務(wù),別人登陸時(shí),就不會(huì)殘留有你登陸的用戶名.讓他去猜你的用戶名去吧. 
3.對(duì)匿名連接的額外限制 
4.禁止按 alt+crtl+del 
5.允許在未登陸前關(guān)機(jī)[防止遠(yuǎn)程關(guān)機(jī)/啟動(dòng)、強(qiáng)制關(guān)機(jī)/啟動(dòng)] 
6.只有本地登陸用戶才能訪問cd-rom 
7.只有本地登陸用戶才能訪問軟驅(qū) 
8.取消關(guān)機(jī)原因的提示

1、打開控制面板窗口，雙擊“電源選項(xiàng)”圖標(biāo)，在隨后出現(xiàn)的電源屬性窗口中，進(jìn)入到“高級(jí)”標(biāo)簽頁面； 
2、在該頁面的“電源按鈕”設(shè)置項(xiàng)處，將“在按下計(jì)算機(jī)電源按鈕時(shí)”設(shè)置為“關(guān)機(jī)”，單擊“確定”按鈕，來退出設(shè)置框； 
3、以后需要關(guān)機(jī)時(shí)，可以直接按下電源按鍵，就能直接關(guān)閉計(jì)算機(jī)了。當(dāng)然，我們也能啟用休眠功能鍵，來實(shí)現(xiàn)快速關(guān)機(jī)和開機(jī)； 
4、要是系統(tǒng)中沒有啟用休眠模式的話，可以在控制面板窗口中，打開電源選項(xiàng)，進(jìn)入到休眠標(biāo)簽頁面，并在其中將“啟用休眠”選項(xiàng)選中就可以了。 
9.禁止關(guān)機(jī)事件跟蹤 
開始“start ->”運(yùn)行“ Run ->輸入”gpedit.msc “，在出現(xiàn)的窗口的左邊部分， 
選擇 ”計(jì)算機(jī)配置“（Computer Configuration ）-> ”管理模板“ 
（Administrative Templates）-> ”系統(tǒng)“（System）,在右邊窗口雙擊 
“Shutdown Event Tracker” 在出現(xiàn)的對(duì)話框中選擇“禁止”（Disabled）， 
點(diǎn)擊然后“確定”（OK）保存后退出這樣，你將看到類似于windows 2000的關(guān)機(jī)窗口

三、修改權(quán)限防止病毒或木馬等破壞系統(tǒng) 
winxp、windows2003以上版本適合本方法. 
因?yàn)槟壳暗哪抉R抑或是病毒都喜歡駐留在system32目錄下,如果我們用命令限制system32的寫入和修改權(quán)限的話 
那么,它們就沒有辦法寫在里面了.看命令 
A命令 
cacls C:windowssystem32 /G administrator:R 禁止修改、寫入C:windowssystem32目錄 
cacls C:windowssystem32 /G administrator:F 恢復(fù)修改、寫入C:windowssystem32目錄 
呵呵，這樣病毒等就進(jìn)不去了，如果你覺得這個(gè)還不夠安全， 
還可以進(jìn)行修改覺得其他危險(xiǎn)目錄,比如直接修改C盤的權(quán)限，但修改c修改、寫入后，安裝軟件時(shí)需先把權(quán)限恢復(fù)過來才行 
B命令 
cacls C: /G administrator:R 禁止修改、寫入C盤 
cacls C: /G administrator:F 恢復(fù)修改、寫入C盤 
這個(gè)方法防止病毒， 
如果您覺得一些病毒防火墻消耗內(nèi)存太大的話 
此方法稍可解決一點(diǎn)希望大家喜歡這個(gè)方法^_^ 
X命令 
以下命令推薦給高級(jí)管理員使用[因?yàn)閣in版本不同,請(qǐng)自行修改參數(shù)] 
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用cmd 
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢復(fù)網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用tftp.exe 
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢復(fù)網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用tftp.exe 
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用tftp32.exe 
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢復(fù)網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用tftp32.exe

四、重要文件名加密[NTFS格式] 
此命令的用途可加密windows的密碼檔,QQ密碼檔等等^.^ 
命令行方式 
加密：在DOS窗口或“開始” | “運(yùn)行”的命令行中輸入“cipher /e 文件名（或文件夾名）”。 
解密：在DOS窗口或“開始” | “運(yùn)行”的命令行中輸入“cipher /d 文件名（或文件夾名）”。

五、修改注冊(cè)表防御D.D.O.S 
在注冊(cè)表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以幫助你防御一定強(qiáng)度的DoS攻擊 
SynAttackProtect REG_Dword 2 
EnablePMTUDiscovery REG_DWORD 0 
NoNameReleaseOnDemand REG_DWORD 1 
EnableDeadGWDetect REG_DWORD 0 
KeepAliveTime REG_DWORD 300,000 
PerformRouterDiscovery REG_DWORD 0 
EnableICMPRedirects REG_DWORD 0 
更多新的防御技巧請(qǐng)搜索其他信息, 
由于本人不敢拿自己的硬盤開玩笑,所以沒做實(shí)驗(yàn)... ...

六、打造更安全的防火墻 
只開放必要的端口，關(guān)閉其余端口.因?yàn)樵谙到y(tǒng)安裝好后缺省情況下,一般都有缺省的端口對(duì)外開放， 
黑客就會(huì)利用掃描工具掃描那些端口可以利用，這對(duì)安全是一個(gè)嚴(yán)重威脅。 本人現(xiàn)將自己所知道的端口公布如下(如果覺得還有危險(xiǎn)需要過濾的,請(qǐng)聯(lián)系本人：OICQ 13946296

端口 協(xié)議 應(yīng)用程序 
21 TCP FTP 
25 TCP SMTP 
53 TCP DNS 
80 TCP HTTP SERVER 
1433 TCP SQL SERVER 
5631 TCP PCANYWHERE 
5632 UDP PCANYWHERE 
6（非端口） IP協(xié)議 
8（非端口） IP協(xié)議 
那么,我們根據(jù)自己的經(jīng)驗(yàn),將下面的端口關(guān)閉 
TCP 
21 
22 
23 
25 TCP SMTP 
53 TCP DNS 
80 
135 epmap 
138 [沖擊波] 
139 smb 
445 
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b 
1026 DCE/12345778-1234-abcd-ef00-0123456789ac 
1433 TCP SQL SERVER 
5631 TCP PCANYWHERE 
5632 UDP PCANYWHERE 
3389 
4444[沖擊波] 
4489 
UDP 
67[沖擊波] 
137 netbios-ns 
161 An SNMP Agent is running/ Default community names of the SNMP Agent 
關(guān)于UDP一般只有騰訊OICQ會(huì)打開4000或者是8000端口,那么,我們只運(yùn)行本機(jī)使用4000端口就行了

七、保護(hù)個(gè)人隱私 
1、TT瀏覽器 
選擇用另外一款瀏覽器瀏覽網(wǎng)站.我推薦用TT,使用TT是有道理的. 
TT可以識(shí)別網(wǎng)頁中的腳本,JAVA程序,可以很好的抵御一些惡意的腳本等等,而且TT即使被感染,你刪除掉又重新安裝一個(gè)就是.[TT就是騰訊的瀏覽器](不過有些人喜歡用MyIE,因?yàn)槲沂褂玫臅r(shí)間和對(duì)他的了解不是很深吧,感覺不出他對(duì)安全方面有什么優(yōu)勢(shì)一_一~,希望支持MyIE的朋友不要揍我,否則我會(huì)哭... ...)

2、移動(dòng)“我的文檔” 
進(jìn)入資源管理器，右擊“我的文檔”，選擇“屬性”，在“目標(biāo)文件夾”選項(xiàng)卡中點(diǎn)“移動(dòng)”按鈕， 
選擇目標(biāo)盤后按“確定”即可。在Windows 2003中“我的文檔”已難覓芳蹤，桌面、開始等處都看不到了， 
建議經(jīng)常使用的朋友做個(gè)快捷方式放到桌面上。

3、移動(dòng)IE臨時(shí)文件 
進(jìn)入“開始→控制面板→Internet 選項(xiàng)”，在“常規(guī)”選項(xiàng)卡的“Internet 文件”欄里點(diǎn)“設(shè)置”按鈕， 
在彈出窗體中點(diǎn)“移動(dòng)文件夾”按鈕，選擇目標(biāo)文件夾后，點(diǎn)“確定”，在彈出對(duì)話框中選擇“是”， 
系統(tǒng)會(huì)自動(dòng)重新登錄。
點(diǎn)本地連接,高級(jí),安全月志,把月志的目錄更改專門分配月志的目錄， 
不建議是C:再重新分配月志存儲(chǔ)值的大小,我是設(shè)置了10000KB

八、第三方軟件的幫助 
防火墻：天網(wǎng)防火墻（建議）[二道販子注:winxp以上可以考慮用系統(tǒng)自帶的防火墻,win2000可以考慮用IPSEC,是個(gè)鍛煉的機(jī)會(huì)) 
殺毒軟件：卡巴斯基 
二道販子后注: 
現(xiàn)在黑客的攻擊有從傳統(tǒng)的系統(tǒng)漏洞轉(zhuǎn)向了你的瀏覽器,所以要在升級(jí)一些傳統(tǒng)漏洞補(bǔ)丁的同時(shí)要注意你的瀏覽器. 
Windows 2000服務(wù)器的安全設(shè)置 
設(shè)置禁用，構(gòu)建第一道防線c_ 
在安裝完Windows 2000后，首先要裝上最新的系統(tǒng)補(bǔ)丁。但即使裝上了，在因特網(wǎng)上的任何一臺(tái)機(jī)器上只要輸入“＼＼你的IP地址＼c”，然后輸入用戶名 Guest，密碼空，就能進(jìn)入你的C盤，你還是完全暴露了。解決的方法是禁用?格斯特賬號(hào)，為管理人設(shè)置一個(gè)安全的密碼，將各驅(qū)動(dòng)器的共享設(shè)為不共享。同時(shí)你還要關(guān)閉不需要的服務(wù)。你可以在管理工具的服務(wù)中將它們?cè)O(shè)置為禁用，但要提醒的是一定要慎重，有的服務(wù)是不能禁用的。一般可以禁用的服務(wù)有Telnet、任務(wù)調(diào)度程序(允許程序在指定時(shí)間運(yùn)行)、遙遠(yuǎn)的登記服務(wù)(允許遠(yuǎn)程注冊(cè)表操作)等。這是你構(gòu)建的服務(wù)器的第一道防線。-設(shè)置第二，構(gòu)建第二道防線<*i 
? 作為校園網(wǎng)的服務(wù)器，很多學(xué)校將該服務(wù)器同時(shí)作為網(wǎng)站服務(wù)器，而第二的漏洞也是一個(gè)棘手的問題。實(shí)際上，你可以通過簡(jiǎn)單的設(shè)置，完全可以將網(wǎng)站的漏洞補(bǔ)上。你可以將第二默認(rèn)的服務(wù)都停止(如圖 1，F(xiàn)TP服務(wù)你是不需要的，要的話筆者推薦用Serv-U；“管理網(wǎng)站點(diǎn)”和“默認(rèn)網(wǎng)站點(diǎn)”都會(huì)給你帶來麻煩；簡(jiǎn)單郵件傳輸協(xié)議一般也不用)，然后再新建一個(gè)網(wǎng)站點(diǎn)&h

?設(shè)置好常規(guī)內(nèi)容后，在“屬性→主目錄”的配置中對(duì)應(yīng)用程序映射進(jìn)行設(shè)置，刪除不需要的映射(如圖 2)，這些映射是第二受到攻擊的直接原因。如果你需要CGI和PHP的話，可參閱一些資料進(jìn)行設(shè)置LB

這樣，配合常規(guī)設(shè)置，你的第二就可以安全運(yùn)行了，你的服務(wù)器就有了第二道防線。>#_t1) 
運(yùn)用掃描程序，堵住安全漏洞[J=

?要做到全面解決安全問題，你需要掃描程序的幫助。筆者推薦使用X瀏覽(如圖 3)，它可以幫助你檢測(cè)服務(wù)器的安全問題。rmp 
掃描完成后，你要看一下，是否存在口令漏洞，若有，則馬上要修改口令設(shè)置；再看一下是否存在第二漏洞，若有，請(qǐng)檢查第二的設(shè)置。其他漏洞一般很少存在，我要提醒大家的是注意開放的端口，你可以將掃描到的端口記錄下來，以方便進(jìn)行下一步設(shè)置。vY)

? 封鎖端口，全面構(gòu)建防線YD_
 
?《 黑客大多通過端口進(jìn)行入侵，所以你的服務(wù)器只能開放你需要的端口，那么你需要哪些端口呢？以下是常用端口，你可根據(jù)需要取舍：7e| 
80為網(wǎng)網(wǎng)站服務(wù)；21為FTP服務(wù)；25為電子郵件簡(jiǎn)單郵件傳輸協(xié)議服務(wù)；110為發(fā)郵件給POP3服務(wù)。?[U 
? 其他還有SQL服務(wù)者的端口1433等，你可到網(wǎng)上查找相關(guān)資料。那些不用的端口一定要關(guān)閉！關(guān)閉這些端口，我們可以通過Windows 2000的安全策略進(jìn)行。B

?《借助它的安全策略，完全可以阻止入侵者的攻擊。你可以通過“管理工具→本地安全策略”進(jìn)入，右擊“IP安全策略”，選擇“創(chuàng)建IP安全策略”，點(diǎn)[下一步]。輸入安全策略的名稱，點(diǎn)[下一步]，一直到完成，你就創(chuàng)建了一個(gè)安全策略O(shè)kQcy 
接著你要做的是右擊“IP安全策略”，進(jìn)入管理IP篩選器和篩選器操作，在管理IP篩選器列表中，你可以添加要封鎖的端口，這里以關(guān)閉ICMP和 139端口為例說明。b]}

關(guān)閉了ICMP，黑客軟件如果沒有強(qiáng)制掃描功能就不能掃描到你的機(jī)器，也砰不到你的機(jī)器。關(guān)閉ICMP的具體操作如下：點(diǎn)[添加]，然后在名稱中輸入“關(guān)閉ICMP”，點(diǎn)右邊的[添加]，再點(diǎn)[下一步]。在源地址中選“任何IP地址”，點(diǎn)[下一步]。在目標(biāo)地址中選擇“我的IP地址”，點(diǎn)[下一步]。在協(xié)議中選擇“ICMP”，點(diǎn)[下一步]。回到關(guān)閉ICMP屬性窗口，即關(guān)閉了ICMP。sf7 FQ

下面我們?cè)僭O(shè)置關(guān)閉 139，同樣在管理IP篩選器列表中點(diǎn)“添加”，名稱設(shè)置為“關(guān)閉 139”，點(diǎn)右邊的“添加”，點(diǎn)[下一步]。在源地址中選擇“任何IP地址”，點(diǎn)[下一步]。在目標(biāo)地址中選擇“我的IP地址”，點(diǎn)[下一步]。在協(xié)議中選擇“TCP”，點(diǎn)[下一步]。在設(shè)置IP協(xié)議端口中選擇從任意端口到此端口，在此端口中輸入 139，點(diǎn)下一步。即完成關(guān)閉 139端口，其他的端口也同樣設(shè)置，結(jié)果如圖 5。f6WL 
特別指出的是關(guān)閉UDP4000可以禁止校園網(wǎng)中的機(jī)器使用QQ。Q

?然后進(jìn)入設(shè)置管理篩選器操作，點(diǎn)“添加”，點(diǎn)下一步，在名稱中輸入“拒絕”，點(diǎn)下一步。選擇“阻止”，點(diǎn)[下一步]。u然后關(guān)閉該屬性頁，右擊新建的IP安全策略“安全”，打開屬性頁。在規(guī)則中選擇“添加”，點(diǎn)[下一步]。選擇“此規(guī)則不指定隧道”，點(diǎn)下一步。在選擇網(wǎng)絡(luò)類型中選擇“所有網(wǎng)絡(luò)連接”，點(diǎn)下一步。在IP篩選器列表中選擇“關(guān)閉ICMP”，點(diǎn)[下一步]。在篩選器操作中選擇“拒絕”，點(diǎn)下一步。這樣你就將“關(guān)閉ICMP”的篩選器加入到名為“安全”的IP安全策略中。同樣的方法，你可以將“關(guān)閉 139”等其他篩選器加入進(jìn)來。添加后的結(jié)果如圖 7。(8 
?《我 最后要做的是指派該策略，只有指派后，它才起作用。方法是右擊“安全”，在菜單中選擇“所有任務(wù)”，選擇“指派”。IP安全設(shè)置到此結(jié)束，你可根據(jù)自己的情況，設(shè)置相應(yīng)的策略。2

?《設(shè)置完成后，你可再用X瀏覽進(jìn)行檢查，發(fā)現(xiàn)問題再補(bǔ)上。9g 
通過以上的設(shè)置，你的Windows 2000服務(wù)器可以說是非常安全了。希望你早日筑起服務(wù)器的安全防護(hù)林。 
Windows下權(quán)限設(shè)置詳解 
隨著動(dòng)網(wǎng)論壇的廣泛應(yīng)用和動(dòng)網(wǎng)上傳漏洞的被發(fā)現(xiàn)以及SQL注入式攻擊越來越多的被使用，WEBSHELL讓防火墻形同虛設(shè)，一臺(tái)即使打了所有微軟補(bǔ)丁、只讓80端口對(duì)外開放的WEB服務(wù)器也逃不過被黑的命運(yùn)。難道我們真的無能為力了嗎？其實(shí)，只要你弄明白了NTFS系統(tǒng)下的權(quán)限設(shè)置問題，我們可以對(duì)crackers們說：NO! 要打造一臺(tái)安全的WEB服務(wù)器，那么這臺(tái)服務(wù)器就一定要使用NTFS和Windows NT/2000/2003。眾所周知，Windows是一個(gè)支持多用戶、多任務(wù)的操作系統(tǒng)，這是權(quán)限設(shè)置的基礎(chǔ)，一切權(quán)限設(shè)置都是基于用戶和進(jìn)程而言的，不同的用戶在訪問這臺(tái)計(jì)算機(jī)時(shí)，將會(huì)有不同的權(quán)限。DOS是個(gè)單任務(wù)、單用戶的操作系統(tǒng)。但是我們能說DOS沒有權(quán)限嗎？不能！當(dāng)我們打開一臺(tái)裝有DOS操作系統(tǒng)的計(jì)算機(jī)的時(shí)候，我們就擁有了這個(gè)操作系統(tǒng)的管理員權(quán)限，而且，這個(gè)權(quán)限無處不在。所以，我們只能說DOS不支持權(quán)限的設(shè)置，不能說它沒有權(quán)限。隨著人們安全意識(shí)的提高，權(quán)限設(shè)置隨著NTFS的發(fā)布誕生了。

Windows NT里，用戶被分成許多組，組和組之間都有不同的權(quán)限，當(dāng)然，一個(gè)組的用戶和用戶之間也可以有不同的權(quán)限。下面我們來談?wù)凬T中常見的用戶組。 Administrators,管理員組，默認(rèn)情況下，Administrators中的用戶對(duì)計(jì)算機(jī)/域有不受限制的完全訪問權(quán)。分配給該組的默認(rèn)權(quán)限允許對(duì)整個(gè)系統(tǒng)進(jìn)行完全控制。所以，只有受信任的人員才可成為該組的成員。

Power Users，高級(jí)用戶組，Power Users 可以執(zhí)行除了為 Administrators 組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給 Power Users 組的默認(rèn)權(quán)限允許 Power Users 組的成員修改整個(gè)計(jì)算機(jī)的設(shè)置。但Power Users 不具有將自己添加到 Administrators 組的權(quán)限。在權(quán)限設(shè)置中，這個(gè)組的權(quán)限是僅次于Administrators的。

Users:普通用戶組，這個(gè)組的用戶無法進(jìn)行有意或無意的改動(dòng)。因此，用戶可以運(yùn)行經(jīng)過驗(yàn)證的應(yīng)用程序，但不可以運(yùn)行大多數(shù)舊版應(yīng)用程序。Users 組是最安全的組，因?yàn)榉峙浣o該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。Users 組提供了一個(gè)最安全的程序運(yùn)行環(huán)境。在經(jīng)過 NTFS 格式化的卷上，默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊(cè)表設(shè)置、操作系統(tǒng)文件或程序文件。Users 可以關(guān)閉工作站，但不能關(guān)閉服務(wù)器。Users 可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。 
Guests:來賓組，按默認(rèn)值，來賓跟普通Users的成員有同等訪問權(quán)，但來賓帳戶的限制更多。

Everyone:顧名思義，所有的用戶，這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組。 
其實(shí)還有一個(gè)組也很常見，它擁有和Administrators一樣、甚至比其還高的權(quán)限，但是這個(gè)組不允許任何用戶的加入，在察看用戶組的時(shí)候，它也不會(huì)被顯示出來，它就是SYSTEM組。系統(tǒng)和系統(tǒng)級(jí)的服務(wù)正常運(yùn)行所需要的權(quán)限都是靠它賦予的。由于該組只有這一個(gè)用戶SYSTEM，也許把該組歸為用戶的行列更為貼切。

權(quán)限是有高低之分的，有高權(quán)限的用戶可以對(duì)低權(quán)限的用戶進(jìn)行操作，但除了Administrators之外，其他組的用戶不能訪問 NTFS 卷上的其他用戶資料，除非他們獲得了這些用戶的授權(quán)。而低權(quán)限的用戶無法對(duì)高權(quán)限的用戶進(jìn)行任何操作。

我們平常使用計(jì)算機(jī)的過程當(dāng)中不會(huì)感覺到有權(quán)限在阻撓你去做某件事情，這是因?yàn)槲覀冊(cè)谑褂糜?jì)算機(jī)的時(shí)候都用的是Administrators中的用戶登陸的。這樣有利也有弊，利當(dāng)然是你能去做你想做的任何一件事情而不會(huì)遇到權(quán)限的限制。弊就是以 Administrators 組成員的身份運(yùn)行計(jì)算機(jī)將使系統(tǒng)容易受到特洛伊木馬、病毒及其他安全風(fēng)險(xiǎn)的威脅。訪問 Internet 站點(diǎn)或打開電子郵件附件的簡(jiǎn)單行動(dòng)都可能破壞系統(tǒng)。不熟悉的 Internet 站點(diǎn)或電子郵件附件可能有特洛伊木馬代碼，這些代碼可以下載到系統(tǒng)并被執(zhí)行。如果以本地計(jì)算機(jī)的管理員身份登錄，特洛伊木馬可能使用管理訪問權(quán)重新格式化您的硬盤，造成不可估量的損失，所以在沒有必要的情況下，最好不用Administrators中的用戶登陸。Administrators中有一個(gè)在系統(tǒng)安裝時(shí)就創(chuàng)建的默認(rèn)用戶----Administrator，Administrator 帳戶具有對(duì)服務(wù)器的完全控制權(quán)限，并可以根據(jù)需要向用戶指派用戶權(quán)利和訪問控制權(quán)限。因此強(qiáng)烈建議將此帳戶設(shè)置為使用強(qiáng)密碼。永遠(yuǎn)也不可以從 Administrators 組刪除 Administrator 帳戶，但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的 Windows 上，所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問該帳戶變得更為困難。對(duì)于一個(gè)好的服務(wù)器管理員來說，他們通常都會(huì)重命名或禁用此帳戶。Guests用戶組下，也有一個(gè)默認(rèn)用戶----Guest,但是在默認(rèn)情況下，它是被禁用的。如果沒有特別必要，無須啟用此賬戶。我們可以通過“控制面板”--“管理工具”--“計(jì)算機(jī)管理”--“用戶和用戶組”來查看用戶組及該組下的用戶。

我們用鼠標(biāo)右鍵單擊一個(gè)NTFS卷或NTFS卷下的一個(gè)目錄，選擇“屬性”--“安全”就可以對(duì)一個(gè)卷，或者一個(gè)卷下面的目錄進(jìn)行權(quán)限設(shè)置，此時(shí)我們會(huì)看到以下七種權(quán)限：完全控制、修改、讀取和運(yùn)行、列出文件夾目錄、讀取、寫入、和特別的權(quán)限。“完全控制”就是對(duì)此卷或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選中了“完全控制”，下面的五項(xiàng)屬性將被自動(dòng)被選中。“修改”則像Power users，選中了“修改”，下面的四項(xiàng)屬性將被自動(dòng)被選中。下面的任何一項(xiàng)沒有被選中時(shí)，“修改”條件將不再成立。“讀取和運(yùn)行”就是允許讀取和運(yùn)行在這個(gè)卷或目錄下的任何文件，“列出文件夾目錄”和“讀取”是“讀取和運(yùn)行”的必要條件。“列出文件夾目錄”是指只能瀏覽該卷或目錄下的子目錄，不能讀取，也不能運(yùn)行。“讀取”是能夠讀取該卷或目錄下的數(shù)據(jù)。“寫入”就是能往該卷或目錄下寫入數(shù)據(jù)。而“特別”則是對(duì)以上的六種權(quán)限進(jìn)行了細(xì)分。讀者可以自行對(duì)“特別”進(jìn)行更深的研究，鄙人在此就不過多贅述了。

下面我們對(duì)一臺(tái)剛剛安裝好操作系統(tǒng)和服務(wù)軟件的WEB服務(wù)器系統(tǒng)和其權(quán)限進(jìn)行全面的刨析。服務(wù)器采用Windows 2000 Server版，安裝好了SP4及各種補(bǔ)丁。WEB服務(wù)軟件則是用了Windows 2000自帶的IIS 5.0，刪除了一切不必要的映射。整個(gè)硬盤分為四個(gè)NTFS卷，C盤為系統(tǒng)卷，只安裝了系統(tǒng)和驅(qū)動(dòng)程序；D盤為軟件卷，該服務(wù)器上所有安裝的軟件都在D盤中；E盤是WEB程序卷，網(wǎng)站程序都在該卷下的WWW目錄中；F盤是網(wǎng)站數(shù)據(jù)卷，網(wǎng)站系統(tǒng)調(diào)用的所有數(shù)據(jù)都存放在該卷的WWWDATABASE目錄下。這樣的分類還算是比較符合一臺(tái)安全服務(wù)器的標(biāo)準(zhǔn)了。希望各個(gè)新手管理員能合理給你的服務(wù)器數(shù)據(jù)進(jìn)行分類，這樣不光是查找起來方便，更重要的是這樣大大的增強(qiáng)了服務(wù)器的安全性，因?yàn)槲覀兛梢愿鶕?jù)需要給每個(gè)卷或者每個(gè)目錄都設(shè)置不同的權(quán)限，一旦發(fā)生了網(wǎng)絡(luò)安全事故，也可以把損失降到最低。當(dāng)然，也可以把網(wǎng)站的數(shù)據(jù)分布在不同的服務(wù)器上，使之成為一個(gè)服務(wù)器群，每個(gè)服務(wù)器都擁有不同的用戶名和密碼并提供不同的服務(wù)，這樣做的安全性更高。不過愿意這樣做的人都有一個(gè)特點(diǎn)----有錢:)。好了，言歸正傳，該服務(wù)器的數(shù)據(jù)庫為MS-SQL，MS-SQL的服務(wù)軟件SQL2000安裝在d:ms-sqlserver2K目錄下，給SA賬戶設(shè)置好了足夠強(qiáng)度的密碼，安裝好了SP3補(bǔ)丁。為了方便網(wǎng)頁制作員對(duì)網(wǎng)頁進(jìn)行管理，該網(wǎng)站還開通了FTP服務(wù)，F(xiàn)TP服務(wù)軟件使用的是SERV-U 5.1.0.0，安裝在d:tpserviceserv-u目錄下。殺毒軟件和防火墻用的分別是Norton Antivirus和BlackICE,路徑分別為d: ortonAV和d:irewalllackice,病毒庫已經(jīng)升級(jí)到最新，防火墻規(guī)則庫定義只有80端口和21端口對(duì)外開放。網(wǎng)站的內(nèi)容是采用動(dòng)網(wǎng)7.0的論壇,網(wǎng)站程序在e:wwwbs下。細(xì)心的讀者可能已經(jīng)注意到了，安裝這些服務(wù)軟件的路徑我都沒有采用默認(rèn)的路徑或者是僅僅更改盤符的默認(rèn)路徑，這也是安全上的需要，因?yàn)橐粋€(gè)黑客如果通過某些途徑進(jìn)入了你的服務(wù)器，但并沒有獲得管理員權(quán)限，他首先做的事情將是查看你開放了哪些服務(wù)以及安裝了哪些軟件，因?yàn)樗枰ㄟ^這些來提升他的權(quán)限。一個(gè)難以猜解的路徑加上好的權(quán)限設(shè)置將把他阻擋在外。相信經(jīng)過這樣配置的WEB服務(wù)器已經(jīng)足夠抵擋大部分學(xué)藝不精的黑客了。讀者可能又會(huì)問了：“這根本沒用到權(quán)限設(shè)置嘛！我把其他都安全工作都做好了，權(quán)限設(shè)置還有必要嗎？”當(dāng)然有！智者千慮還必有一失呢，就算你現(xiàn)在已經(jīng)把系統(tǒng)安全做的完美無缺，你也要知道新的安全漏洞總是在被不斷的發(fā)現(xiàn)。權(quán)限將是你的最后一道防線！那我們現(xiàn)在就來對(duì)這臺(tái)沒有經(jīng)過任何權(quán)限設(shè)置，全部采用Windows默認(rèn)權(quán)限的服務(wù)器進(jìn)行一次模擬攻擊，看看其是否真的固若金湯。

假設(shè)服務(wù)器外網(wǎng)域名為http://www.webserver.com，用掃描軟件對(duì)其進(jìn)行掃描后發(fā)現(xiàn)開放WWW和FTP服務(wù)，并發(fā)現(xiàn)其服務(wù)軟件使用的是IIS 5.0和Serv-u 5.1，用一些針對(duì)他們的溢出工具后發(fā)現(xiàn)無效，遂放棄直接遠(yuǎn)程溢出的想法。打開網(wǎng)站頁面，發(fā)現(xiàn)使用的是動(dòng)網(wǎng)的論壇系統(tǒng)，于是在其域名后面加個(gè)/upfile.asp，發(fā)現(xiàn)有文件上傳漏洞，便抓包，把修改過的ASP木馬用NC提交，提示上傳成功，成功得到WEBSHELL，打開剛剛上傳的ASP木馬，發(fā)現(xiàn)有MS-SQL、Norton Antivirus和BlackICE在運(yùn)行，判斷是防火墻上做了限制，把SQL服務(wù)端口屏蔽了。通過ASP木馬查看到了Norton Antivirus和BlackICE的PID，又通過ASP木馬上傳了一個(gè)能殺掉進(jìn)程的文件，運(yùn)行后殺掉了Norton Antivirus和BlackICE。再掃描，發(fā)現(xiàn)1433端口開放了，到此，便有很多種途徑獲得管理員權(quán)限了，可以查看網(wǎng)站目錄下的conn.asp得到SQL的用戶名密碼，再登陸進(jìn)SQL執(zhí)行添加用戶，提管理員權(quán)限。也可以抓SERV-U下的ServUDaemon.ini修改后上傳，得到系統(tǒng)管理員權(quán)限。還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等。大家可以看到，一旦黑客找到了切入點(diǎn)，在沒有權(quán)限限制的情況下，黑客將一帆風(fēng)順的取得管理員權(quán)限。

那我們現(xiàn)在就來看看Windows 2000的默認(rèn)權(quán)限設(shè)置到底是怎樣的。對(duì)于各個(gè)卷的根目錄，默認(rèn)給了Everyone組完全控制權(quán)。這意味著任何進(jìn)入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統(tǒng)卷下有三個(gè)目錄比較特殊，系統(tǒng)默認(rèn)給了他們有限制的權(quán)限，這三個(gè)目錄是Documents and settings、Program files和Winnt。對(duì)于Documents and settings，默認(rèn)的權(quán)限是這樣分配的：Administrators擁有完全控制權(quán)；Everyone擁有讀&運(yùn)，列和讀權(quán)限；Power users擁有讀&運(yùn)，列和讀權(quán)限；SYSTEM同Administrators;Users擁有讀&運(yùn)，列和讀權(quán)限。對(duì)于Program files，Administrators擁有完全控制權(quán)；Creator owner擁有特殊權(quán)限;Power users有完全控制權(quán);SYSTEM同Admin