C:WINDOWSRegisteredPackages默认不改,给子目录下的所有文件加上users组权限
C:WINDOWSRegistrationCRMLog默认不改会有写入的权限,取消users组的权限
C:WINDOWSRegistration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,
C:WINDOWSrepair取消users组权限
C:WINDOWSResources取消users组权限
C:WINDOWSsecurity users组的默认不改,其下Database和logs目录默认不改.取消templates目录users组权限,给文件加上users组
C:WINDOWSServicePackFiles 不用做任何修改,包括其下所有子目录
C:WINDOWSSoftwareDistribution不用做任何修改,包括其下所有子目录
C:WINDOWSsrchasst 不用做任何修改,包括其下所有子目录
C:WINDOWSsystem 保持默认
C:WINDOWSTAPI取消users组权限,其下那个tsec.ini权限不要改
C:WINDOWStwain_32取消users组权限,给目录下的文件加users组权限
C:WINDOWSvnDrvBas 不用做任何修改,包括其下所有子目录
C:WINDOWSWeb取消users组权限给其下的所有文件加上users组权限
C:WINDOWSWinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限
给目录加NETWORK SERVICE完全控制的权限
C:WINDOWSsystem32wbem 这个目录有重要作用。如果不给users组权限,打开一些应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。但为了不让webshell有浏览系统所属目录的权限,给wbem目录下所有的*.dll文件users组和everyone组权限。
*.dll
users;everyone
我先暂停。你操作时挨个检查就行了
C:WINDOWS#$$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa (我用的temp文件夹路径)temp由于必须给写入的权限,所以修改了默认路径和名称。防止webshell往此目录中写入。修改路径后要重启生效。
至此,系统盘任何一个目录是不可浏览的,唯一一个可写入的C:WINDOWStemp,又修改了默认路径和名称变成C:WINDOWS#$$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa
这样配置应该相对安全了些。
我先去安装一下几款流行的网站程序,先暂停.几款常用的网站程序在这样的权限设置下完全正常。还没有装上sql2000数据库,无法测试动易2006SQL版了。肯定正常。大家可以试试。
服务设置:
1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了,如果别人破解了你的pcanywhere密码,就直接可以进入你计算机,如果设置了屏保,当你几分钟不用后就自动锁定计算机,这样就防止了用pcanyhwerer直接进入你计算机的可能,也是防止内部人员破坏服务器的一个屏障
2.关闭光盘和磁盘的自动播放功能,在组策略里面设.这样可以防止入侵者编辑恶意的autorun.inf让你以管理员的身份运行他的木马,来达到提升权限的目的。可以用net share 查看默认共享。由于没开server服务,等于已经关闭默认共享了,最好还是禁用server服务。www.cnzz.cc
