具體配置如下：

　　windows下根目錄的權(quán)限設(shè)置：

　　C:/WINDOWS/Application Compatibility Scripts 不用做任何修改，包括其下所有子目錄

　　C:/WINDOWS/AppPatch AcWebSvc.dll已經(jīng)有users組權(quán)限,其它文件加上users組權(quán)限

　　C:/WINDOWS/Connection Wizard 取消users組權(quán)限

　　C:/WINDOWS/Debug users組的默認(rèn)不改

　　C:/WINDOWS/Debug/UserMode默認(rèn)不修改有寫(xiě)入文件的權(quán)限,取消users組權(quán)限,給特別的權(quán)限，看演示

　　C:/WINDOWS/Debug/WPD不取消Authenticated Users組權(quán)限可以寫(xiě)入文件，創(chuàng)建目錄.

　　C:/WINDOWS/Driver Cache取消users組權(quán)限,給i386文件夾下所有文件加上users組權(quán)限

　　C:/WINDOWS/Help取消users組權(quán)限

　　C:/WINDOWS/Help/iisHelp/common取消users組權(quán)限

　　C:/WINDOWS/IIS Temporary Compressed Files默認(rèn)不修改

　　C:/WINDOWS/ime不用做任何修改，包括其下所有子目錄

　　C:/WINDOWS/inf不用做任何修改，包括其下所有子目錄

　　C:/WINDOWS/Installer 刪除everyone組權(quán)限，給目錄下的文件加上everyone組讀取和運(yùn)行的權(quán)限

　　C:/WINDOWS/java 取消users組權(quán)限,給子目錄下的所有文件加上users組權(quán)限

　　C:/WINDOWS/MAGICSET 默認(rèn)不變

　　C:/WINDOWS/Media 默認(rèn)不變

　　C:/WINDOWS/Microsoft.NET不用做任何修改，包括其下所有子目錄

　　C:/WINDOWS/msagent 取消users組權(quán)限，給子目錄下的所有文件加上users組權(quán)限

　　C:/WINDOWS/msapps 不用做任何修改，包括其下所有子目錄

　　C:/WINDOWS/mui取消users組權(quán)限

　　C:/WINDOWS/PCHEALTH 默認(rèn)不改

　　C:/WINDOWS/PCHEALTH/ERRORREP/QHEADLES 取消everyone組的權(quán)限

　　C:/WINDOWS/PCHEALTH/ERRORREP/QSIGNOFF 取消everyone組的權(quán)限

　　C:/WINDOWS/PCHealth/UploadLB 刪除everyone組的權(quán)限，其它下級(jí)目錄不用管，沒(méi)有user組和everyone組權(quán)限

　　C:/WINDOWS/PCHealth/HelpCtr 刪除everyone組的權(quán)限，其它下級(jí)目錄不用管，沒(méi)有user組和everyone組權(quán)限(這個(gè)不用按照演示中的搜索那些文件了，不須添加users組權(quán)限就行)

　　C:/WINDOWS/PIF 默認(rèn)不改

　　C:/WINDOWS/PolicyBackup默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限

　　C:/WINDOWS/Prefetch 默認(rèn)不改

　　C:/WINDOWS/provisioning 默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限

　　C:/WINDOWS/pss默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限

　　C:/WINDOWS/RegisteredPackages默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限

　　C:/WINDOWS/Registration/CRMLog默認(rèn)不改會(huì)有寫(xiě)入的權(quán)限，取消users組的權(quán)限

　　C:/WINDOWS/Registration取消everyone組權(quán)限.加NETWORK SERVICE 給子目錄下的文件加everyone可讀取的權(quán)限,

　　C:/WINDOWS/repair取消users組權(quán)限

　　C:/WINDOWS/Resources取消users組權(quán)限

　　C:/WINDOWS/security users組的默認(rèn)不改，其下Database和logs目錄默認(rèn)不改.取消templates目錄users組權(quán)限,給文件加上users組

　　C:/WINDOWS/ServicePackFiles 不用做任何修改，包括其下所有子目錄

　　C:/WINDOWS/SoftwareDistribution不用做任何修改，包括其下所有子目錄

　　C:/WINDOWS/srchasst 不用做任何修改，包括其下所有子目錄

　　C:/WINDOWS/system 保持默認(rèn)

　　C:/WINDOWS/TAPI取消users組權(quán)限，其下那個(gè)tsec.ini權(quán)限不要改

　　C:/WINDOWS/twain_32取消users組權(quán)限，給目錄下的文件加users組權(quán)限

　　C:/WINDOWS/vnDrvBas 不用做任何修改，包括其下所有子目錄

　　C:/WINDOWS/Web取消users組權(quán)限給其下的所有文件加上users組權(quán)限

　　C:/WINDOWS/WinSxS 取消users組權(quán)限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，給這些文件加上everyone組和users權(quán)限

　　給目錄加NETWORK SERVICE完全控制的權(quán)限

　　C:/WINDOWS/system32/wbem 這個(gè)目錄有重要作用。如果不給users組權(quán)限，打開(kāi)一些應(yīng)用軟件時(shí)會(huì)非常慢。并且事件查看器中有時(shí)會(huì)報(bào)出一堆錯(cuò)誤。導(dǎo)致一些程序不能正常運(yùn)行。但為了不讓webshell有瀏覽系統(tǒng)所屬目錄的權(quán)限，給wbem目錄下所有的*.dll文件users組和everyone組權(quán)限。

　　*.dll

　　users;everyone

　　我先暫停。你操作時(shí)挨個(gè)檢查就行了

　　C:/WINDOWS/#$#%^$^@!#$%$^S#@/#$#$%$#@@@$%!!WERa (我用的temp文件夾路徑)temp由于必須給寫(xiě)入的權(quán)限，所以修改了默認(rèn)路徑和名稱。防止webshell往此目錄中寫(xiě)入。修改路徑后要重啟生效。

　　至此，系統(tǒng)盤(pán)任何一個(gè)目錄是不可瀏覽的，唯一一個(gè)可寫(xiě)入的C:/WINDOWS/temp，又修改了默認(rèn)路徑和名稱變成C:/WINDOWS/#$#%^$^@!#$%$^S#@/#$#$%$#@@@$%!!WERa

　　這樣配置應(yīng)該相對(duì)安全了些。

　　我先去安裝一下幾款流行的網(wǎng)站程序，先暫停.幾款常用的網(wǎng)站程序在這樣的權(quán)限設(shè)置下完全正常。還沒(méi)有裝上sql2000數(shù)據(jù)庫(kù)，無(wú)法測(cè)試動(dòng)易2006SQL版了。肯定正常。大家可以試試。

　　服務(wù)設(shè)置：

　　1.設(shè)置win2k的屏幕保護(hù),用pcanywhere的時(shí)候,有時(shí)候下線時(shí)忘記鎖定計(jì)算機(jī)了，如果別人破解了你的pcanywhere密碼，就直接可以進(jìn)入你計(jì)算機(jī)，如果設(shè)置了屏保，當(dāng)你幾分鐘不用后就自動(dòng)鎖定計(jì)算機(jī)，這樣就防止了用pcanyhwerer直接進(jìn)入你計(jì)算機(jī)的可能，也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障

　　2.關(guān)閉光盤(pán)和磁盤(pán)的自動(dòng)播放功能，在組策略里面設(shè).這樣可以防止入侵者編輯惡意的autorun.inf讓你以管理員的身份運(yùn)行他的木馬，來(lái)達(dá)到提升權(quán)限的目的。可以用net share 查看默認(rèn)共享。由于沒(méi)開(kāi)server服務(wù),等于已經(jīng)關(guān)閉默認(rèn)共享了,最好還是禁用server服務(wù)。

　　附刪除默認(rèn)共享的命令：

　　net share c$Content$nbsp;/del

　　net share d$Content$nbsp;/del

　　net share e$Content$nbsp;/del

　　net share f$Content$nbsp;/del

　　net share ipc$Content$nbsp;/del

　　net share admin$Content$nbsp;/del

　　3.關(guān)閉不需要的端口和服務(wù)，在網(wǎng)絡(luò)連接里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議(TCP/IP)，由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS 。修改3389遠(yuǎn)程連接端口(也可以用工具修改更方便)

　　修改注冊(cè)表.

　　開(kāi)始--運(yùn)行--regedit,依次展開(kāi) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

　　右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 1989 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/

　　右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 1989 )注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口

　　修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效.這里就不改了,你可以自己決定是否修改.權(quán)限設(shè)置的好后,個(gè)人感覺(jué)改不改無(wú)所謂

　　4.禁用Guest賬號(hào):在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見(jiàn)，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開(kāi)記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長(zhǎng)字符串，然后把它作為Guest用戶的密碼拷進(jìn)去.我這里隨便復(fù)制了一段文本內(nèi)容進(jìn)去.如果設(shè)置密碼時(shí)提示：工作站服務(wù)沒(méi)有啟動(dòng) 先去本地安全策略里把密碼策略里啟動(dòng)密碼復(fù)雜性給禁用后就可以修改了

　　5.創(chuàng)建一個(gè)陷阱用戶:即創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。

　　6.本地安全策略設(shè)置

　　開(kāi)始菜單—>管理工具—>本地安全策略

　　A、本地策略——>審核策略

　　審核策略更改　　　成功　失敗

　　審核登錄事件　　　成功　失敗

　　審核對(duì)象訪問(wèn)　　　　　　失敗

　　審核過(guò)程跟蹤　　　無(wú)審核

　　審核目錄服務(wù)訪問(wèn)　　　　失敗

　　審核特權(quán)使用　　　　　　失敗

　　審核系統(tǒng)事件　　　成功　失敗

　　審核賬戶登錄事件　成功　失敗

　　審核賬戶管理　　　成功　失敗

　　B、本地策略——>用戶權(quán)限分配

　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。

　　通過(guò)終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

　　運(yùn)行 gpedit.msc 計(jì)算機(jī)配置 > 管理模板 > 系統(tǒng) 顯示“關(guān)閉事件跟蹤程序” 更改為已禁用

　　用戶管理，建立另一個(gè)備用管理員賬號(hào)，防止特殊情況發(fā)生。安裝有終端服務(wù)與SQL服務(wù)的服務(wù)器停用TsInternetUser, sQLDebugger這兩 個(gè)賬號(hào)

　　C、本地策略——>安全選項(xiàng)

　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用

　　網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶和共享的匿名枚舉　 啟用

　　網(wǎng)絡(luò)訪問(wèn)：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證　　　啟用

　　網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享　　　　　　　　　全部刪除

　　網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命　　　　　　　　　　全部刪除

　　網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑　　　　　　全部刪除

　　網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑　　全部刪除

　　帳戶：重命名來(lái)賓帳戶　　　　　　　　　　　　重命名一個(gè)帳戶

　　帳戶：重命名系統(tǒng)管理員帳戶　　　　　　　　　重命名一個(gè)帳戶

　　7.禁止dump file的產(chǎn)生

　　dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問(wèn)題的資料。然而，它也能夠給黑客提供一些敏感

　　信息比如一些應(yīng)用程序的密碼等。控制面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù)把 寫(xiě)入調(diào)試信息 改成無(wú)。

　　關(guān)閉華醫(yī)生Dr.Watson

　　在開(kāi)始-運(yùn)行中輸入“drwtsn32”，或者開(kāi)始-程序-附件-系統(tǒng)工具-系統(tǒng)信息-工具-Dr Watson，調(diào)出系統(tǒng)

　　里的華醫(yī)生Dr.Watson ，只保留“轉(zhuǎn)儲(chǔ)全部線程上下文”選項(xiàng)，否則一旦程序出錯(cuò)，硬盤(pán)會(huì)讀很久，并占用大量空間。如果以前有此情況，請(qǐng)查找user.dmp文件，刪除后可節(jié)省幾十MB空間。在命令行運(yùn)行drwtsn32 -i 可以直接關(guān)閉華醫(yī)生,普通用戶沒(méi)什么用處 .