Windows NT/2000服务器安全配置

来源：作者：出处：巧巧读书 2007-10-06 进入讨论组

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限， NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。

在默认的情况下，大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control)，你需要根据应用的需要进行权限重设。

　　在进行权限控制时，请记住以下几个原则:

　　1>限是累计的:如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限;

　　2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行;

　　3>文件权限比文件夹权限高;

　　4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;

　　5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障;

　　6.只安装一种操作系统;说明:安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统)，进而进行破坏。

　　7.安装成独立的域控制器(Stand Alone),选择工作组成员，不选择域;

　　说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。

　　8.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将WINNT改为其他目录;

　　说明:黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。同时如果采用IIS的话你应该在其设置中删除掉所有的无用的映射，同时不要安装索引服务，远程站点管理与服务器扩展最好也不要要，然后删掉默认路径下的www，整个删，不要手软，然后再硬盘的另一个硬盘建立存放你网站的文件夹，同时一定记得打开w3c日志纪录，切记(不过本人建议采用apache 1.3.24)

　　系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，多一个服务，多一份风险，呵呵，所以无用组件千万不要安装!

　　9.关于补丁:在NT下，如果安装了补丁程序，以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序， 2000下不需要这样做。

专题:http://www.qqread.com/network/server/j351194.html