加固基于Windows 2003的WEB服务器（2）

•目录权限的分配
1．      除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果你想使网站坚固，可以分配只读权限并对特殊的目录作可写权限，作为一个开放式的服务器，这样的工作量是非常巨大的，所以我认为将威胁控制缩小到在这个网站中就已经够了。
2．      系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。
3．      因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外别忘记还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件，那么你的系统就为黑客敞开了大门。
4．      配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
5．      配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。

    OK！该做得都做了，好像没有遗漏什么，如果真有也许是我故意的，也许是我太累了。不知不觉，写了几个小时才写完，效率真的是非常低下，并且明白其中一定有错误和语句不同的地方，总之自己是尽力了。