Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。如果修改的话,不要应用到子对象的项目替代所有子对象的权限项目。系统目录权限拿不准的话就不要动了,一般做好根目录和Documents and Settings就比较安全了,asp程序访问不了根目录就访问不了子目录。
另外Documents and Settings目录增加Users用户组的读取运行权限,可以避免出现LoadUserProfile失败,需要注意的是一但有users组读取权限,asp木马就能访问这个目录。为了安全需要接受一些错误日志。(2009年1月13日备注:貌似是没有system完全就出现LoadUserProfile,与users无关。)
系统盘下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 文件只给 Administrators 组和SYSTEM 的完全控制权限。可查找一下统一设置,或者编辑一份批处理,使用cacls命令处理。
【管理工具-本地安全设置 secpol.msc】
帐户策略→帐户锁定策略
用户锁定阈值 3次无效登录
置复位帐户锁定计数器 30分钟之后
帐户锁定时间 30分钟
本地策略→审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
本地策略→用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
本地策略→安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
