正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点：

1、系统盘权限设置

C:分区部分：

c:/

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER 全部(只有子文件来及文件)

system 全部(该文件夹，子文件夹及文件)

IIS_WPG 创建文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹，子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:/Documents and Settings

administrators 全部(该文件夹，子文件夹及文件)

Power Users (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹，子文件夹及文件)

C:/Program Files

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER全部(只有子文件来及文件)

IIS_WPG (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹，子文件夹及文件)

修改权限

SYSTEM全部(该文件夹，子文件夹及文件)

TERMINAL SERVER USER (该文件夹，子文件夹及文件)

修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理

E:/

Administrators全部(该文件夹，子文件夹及文件)

E:/wwwsite

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

service全部(该文件夹，子文件夹及文件)

E:/wwwsite/vhost1

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

vhost1全部(该文件夹，子文件夹及文件)

3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限

比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.删除c:/inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述

第三招：禁用不必要的服务，提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

　　Task scheduler 允许程序在指定时间运行

　　Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

　　Removable storage 管理可移动媒体、驱动程序和库

　　Remote Registry Service 允许远程注册表操作

　　Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

　　IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

　　Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

　　Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

第四招:修改注册表，让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

　　2、启动系统自带的Internet连接_blank">防火墙，在设置服务选项中勾选Web服务器。

　　3、防止SYN洪水攻击

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

　　4. 禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface

　　新建DWORD值，名为PerformRouterDiscovery 值为0

　　5. 防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

　　将EnableICMPRedirects 值设为0

　　6. 不支持IGMP协议

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / Wds / rdpwd / Tds / tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

　　2、第二处HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / WinStations / RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

10. 删除默认共享
有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

2. 账户安全
首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户，看你崩溃不？

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理

3.更改C:/WINDOWS/Help/iisHelp/common/404b.htm内容改为 这样，出错了自动转到首页

4. 安全日志

我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义

5. 运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙

6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置，更改默认端口，和管理密码

7.设置ip筛选、用blackice禁止木马常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值.

打开 %SystemRoot%/Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%/Security下所有的.log文件移到这个新建的子文件夹中.

在%SystemRoot%/Security/database/下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".

启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.

右击"安全配置和分析"->"打开数据库",浏览"C:/WINNT/security/Database"文件夹,输入文件名"secedit.sdb",单击"打开".

当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".

如果系统提示"拒绝访问数据库",不管他.

你会发现在"C:/WINNT/security/Database"子文件夹中重新生成了新的安全数据库,

在"C:/WINNT/security"子文件夹下重新生成了log文件.安全数据库重建成功.

windows2003权限如何配置相关推荐

1. 汇总少了退款汇总 多了一笔支付汇总 很可能是因为商户退款配置的是正交易权限（配置的问题）

   1t_busi_trans_detial 业务表 2t_mchnt_chk_result 商户对账表 3t_trans_sum_detail_two 汇总表(业务明细汇总sum_type=01 商户分 ...

2. mongodb用户权限管理配置

   环境 mongodb 3.4  window7 MongoDB常用命令 <span style="color:#000000"><code class=" ...

3. PHP版微信权限验证配置，音频文件下载，FFmpeg转码，上传OSS和删除转存服务器本地文件...

   2019独角兽企业重金招聘Python工程师标准>>> 一.概述和通过config接口注入权限验证配置 由于微信的临时素材(如:录音文件)上传到微信服务器上,微信后台保存时间为3天. ...

4. 从零开始搭建多租户自洽的权限数据配置模块（一）

   基于 DevExpress 从零开始搭建多租户自洽的权限数据配置模块(一) 从零开始设计一个最简单的winform练习程序,在这个过程中会涉及到devexpress.简单数据库设计.简单分层设计.基本 ...

5. mysql权限设置dede_dede5.7织梦cms目录权限安全配置教程 win服务器iis

   dede5.7织梦cms目录权限安全配置教程 win服务器iis 官方的DEDE安全设置教程,设置好后还是有问题,比如,验证码错误了,因为DATA没有写入权限,还有文件没法生成了,也是因为生成目录没有 ...

6. 从零开始搭建多租户自洽的权限数据配置模块（二）- 主界面的跳转管理以及基础数据维护设计

   基于 DevExpress 从零开始搭建多租户自洽的权限数据配置模块(二) 基础数据的维护管理,以简单基本操作的形式展开.主要是演示devexpress做基本的增删改查.加载表单.建立多表关联.用户操 ...

7. Ant Design Pro of Vue方案一权限路由配置（一步步完成，包括所有后端数据库代码，萌新向）

   Ant Design Pro of Vue方案一权限路由配置(一步步完成,包括所有后端数据库代码,萌新向) 参考了许多csdn的文章,感谢大家为社区做的贡献,我也来汇总一波,谢谢

8. linux系统设置JMX身份认证,JMX监控权限认证配置

   JMX( 启动JMX监控,在启动java程序的时候最少需要在环境变量里面配置以下的选项: -Dcom.sun.management.jmxremote -Dcom.sun.management.jmx ...

9. windows2003通过iis配置ftp服务器

   以前习惯于用filezilla作为windows的ftp服务器,但是现在新版本的filezilla已经不支持windows2003了,所以趁机试一下iis配置ftp服务器. 前面都是很常规的配置 参考 ...

最新文章

1. 云服务商正在杀死开源商业模式
2. 查看网页js数据接口
3. 使用Azure SDK 1.4.1中的Web Deploy
4. 爱宠无人看护?别担心人工智能已经来了
5. 【BZOJ3876】[Ahoi2014]支线剧情 有上下界费用流
6. 【图论】旅行者（P5304）
7. 打开是什么样子的图片_情侣头像 | 无论是什么样子的你 我都好喜欢
8. 【肿瘤分割】基于matlab聚类乳腺肿瘤图像分割【含Matlab源码 1471期】
9. ElasticSearch搜索引擎搭建笔记
10. C++ operator
11. 《秘密》-- 东野圭吾
12. 数据库系统概论（第七章：数据库设计）
13. unity模型制作（终章）：柔体布料绘制
14. 自动跟圈，不要来回编辑的偷懒小技巧
15. Excel - 选择性粘贴和单元格引用规则
16. bat文件ping服务器,Windows下Ping一段IP地址的BAT
17. UG背景颜色修改和截图
18. Java 多线程实现和尚吃馒头的问题
19. 联想笔记本昭阳K22-80重装win7纪要
20. 【动网论坛7.1 sp1 修改】－修改发帖所贴的图的大小

热门文章

1. Python常见问题（1）：来历与简介General Python FAQ
2. Python IDLE无法显示行号、Python IDLE shell里运行py文件
3. 信息系统项目管理师：论项目的沟通管理
4. 云计算的学习路线是什么？云计算的应用场景分析
5. Laravel 学习开篇
6. 从简历筛选看怎么写一篇有亮点的简历
7. OAF在打开的新页面中添加按钮，功能是关闭当前页面
8. 使用ab(apachebench)进行压力测试
9. 如何在 FreeBSD 10.2 上安装 Nginx 作为 Apache 的反向代理
10. linux之heartbeat高可用的简单配置