不一样的WIN2003服务器安全配置技巧

　　具体配置如下：

　　windows下根目录的权限设置：

　　C:/WINDOWS/Application Compatibility scripts 不用做任何修改，包括其下所有子目录

　　C:/WINDOWS/AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限

　　C:/WINDOWS/Connection Wizard 取消users组权限

　　C:/WINDOWS/Debug users组的默认不改

　　C:/WINDOWS/Debug/UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示

　　C:/WINDOWS/Debug/WPD不取消Authenticated Users组权限可以写入文件，创建目录.

　　C:/WINDOWS/Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限

　　C:/WINDOWS/Help取消users组权限

　　C:/WINDOWS/Help/iisHelp/common取消users组权限

　　C:/WINDOWS/IIS Temporary Compressed Files默认不修改

　　C:/WINDOWS/ime不用做任何修改，包括其下所有子目录

　　C:/WINDOWS/inf不用做任何修改，包括其下所有子目录

　　C:/WINDOWS/Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限

　　C:/WINDOWS/java 取消users组权限,给子目录下的所有文件加上users组权限

　　C:/WINDOWS/MAGICSET 默认不变

　　C:/WINDOWS/Media 默认不变

　　C:/WINDOWS/Microsoft.NET不用做任何修改，包括其下所有子目录

　　C:/WINDOWS/msagent 取消users组权限，给子目录下的所有文件加上users组权限

　　C:/WINDOWS/msapps 不用做任何修改，包括其下所有子目录

　　C:/WINDOWS/mui取消users组权限

　　C:/WINDOWS/PCHEALTH 默认不改

　　C:/WINDOWS/PCHEALTH/ERRORREP/QHEADLES 取消everyone组的权限

　　C:/WINDOWS/PCHEALTH/ERRORREP/QSIGNOFF 取消everyone组的权限

　　C:/WINDOWS/PCHealth/UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限

　　C:/WINDOWS/PCHealth/HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)

　　C:/WINDOWS/PIF 默认不改

　　C:/WINDOWS/PolicyBackup默认不改,给子目录下的所有文件加上users组权限

　　C:/WINDOWS/Prefetch 默认不改

　　C:/WINDOWS/provisioning 默认不改,给子目录下的所有文件加上users组权限

　　C:/WINDOWS/pss默认不改,给子目录下的所有文件加上users组权限

　　C:/WINDOWS/RegisteredPackages默认不改,给子目录下的所有文件加上users组权限

　　C:/WINDOWS/Registration/CRMLog默认不改会有写入的权限，取消users组的权限

　　C:/WINDOWS/Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,

　　C:/WINDOWS/repair取消users组权限

　　C:/WINDOWS/Resources取消users组权限

　　C:/WINDOWS/security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users组权限,给文件加上users组

　　C:/WINDOWS/ServicePackFiles 不用做任何修改，包括其下所有子目录

　　C:/WINDOWS/SoftwareDistribution不用做任何修改，包括其下所有子目录

　　C:/WINDOWS/srchasst 不用做任何修改，包括其下所有子目录

　　C:/WINDOWS/system 保持默认

　　C:/WINDOWS/TAPI取消users组权限，其下那个tsec.ini权限不要改

　　C:/WINDOWS/twain_32取消users组权限，给目录下的文件加users组权限

　　C:/WINDOWS/vnDrvBas 不用做任何修改，包括其下所有子目录

　　C:/WINDOWS/Web取消users组权限给其下的所有文件加上users组权限

　　C:/WINDOWS/WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限

　　给目录加NETWORK SERVICE完全控制的权限

　　C:/WINDOWS/system32/wbem 这个目录有重要作用。如果不给users组权限，打开一些应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。但为了不让webshell有浏览系统所属目录的权限，给wbem目录下所有的*.dll文件users组和everyone组权限。

　　*.dll

　　users;everyone

　　我先暂停。你操作时挨个检查就行了

　　C:/WINDOWS/#$#%^$^@!#$%$^S#@/#$#$%$#@@@$%!!WERa (我用的temp文件夹路径)temp由于必须给写入的权限，所以修改了默认路径和名称。防止webshell往此目录中写入。修改路径后要重启生效。

　　至此，系统盘任何一个目录是不可浏览的，唯一一个可写入的C:/WINDOWS/temp，又修改了默认路径和名称变成C:/WINDOWS/#$#%^$^@!#$%$^S#@/#$#$%$#@@@$%!!WERa

　　这样配置应该相对安全了些。

　　我先去安装一下几款流行的网站程序，先暂停.几款常用的网站程序在这样的权限设置下完全正常。还没有装上sql2000数据库，无法测试动易2006SQL版了。肯定正常。大家可以试试。

　　服务设置：