Win2003服务器安全终级配置

2024年5月30日发(作者：)

Win2003服务器安全终级配置

具体操作看演示 :

windows下根目录的权限设置：

C:WINDOWSApplication Compatibility Scripts 不用做任何修改，包括其下所有子目录

C:WINDOWSAppPatch 已经有users组权限,其它文件加上users组权限

C:WINDOWSConnection Wizard 取消users组权限

C:WINDOWSDebug users组的默认不改

C:WINDOWSDebugUserMode默认不修改有写入文件的权限,取消users组权限,给特别的

权限，看演示

C:WINDOWSDebugWPD不取消Authenticated Users组权限可以写入文件，创建目录.

C:WINDOWSDriver Cache取消users组权限,给i386文件夹下所有文件加上users组权限

C:WINDOWSHelp取消users组权限

C:WINDOWSHelpiisHelpcommon取消users组权限

C:WINDOWSIIS Temporary Compressed Files默认不修改

C:WINDOWSime不用做任何修改，包括其下所有子目录

C:WINDOWSinf不用做任何修改，包括其下所有子目录

C:WINDOWSInstaller 删除everyone组权限，给目录下的文件加上everyone组读取和

运行的权限

C:WINDOWSjava 取消users组权限,给子目录下的所有文件加上users组权限

C:WINDOWSMAGICSET 默认不变

C:WINDOWSMedia 默认不变

C:不用做任何修改，包括其下所有子目录

C:WINDOWSmsagent 取消users组权限，给子目录下的所有文件加上users组权限

C:WINDOWSmsapps 不用做任何修改，包括其下所有子目录

C:WINDOWSmui取消users组权限

C:WINDOWSPCHEALTH 默认不改

C:WINDOWSPCHEALTHERRORREPQHEADLES 取消everyone组的权限

C:WINDOWSPCHEALTHERRORREPQSIGNOFF 取消everyone组的权限

C:WINDOWSPCHealthUploadLB 删除everyone组的权限，其它下级目录不用管，没有

user组和everyone组权限

C:WINDOWSPCHealthHelpCtr 删除everyone组的权限，其它下级目录不用管，没有

user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限

就行)

C:WINDOWSPIF 默认不改

C:WINDOWSPolicyBackup默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSPrefetch 默认不改

C:WINDOWSprovisioning 默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSpss默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSRegisteredPackages默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSRegistrationCRMLog默认不改会有写入的权限，取消users组的权限

C:WINDOWSRegistration取消everyone组权限.加NETWORK SERVICE 给子目录下的文

件加everyone可读取的权限,

C:WINDOWSrepair取消users组权限

C:WINDOWSResources取消users组权限

C:WINDOWSsecurity users组的默认不改，其下Database和logs目录默认不改.取消

templates目录users组权限,给文件加上users组

C:WINDOWSServicePackFiles 不用做任何修改，包括其下所有子目录

C:WINDOWSSoftwareDistribution不用做任何修改，包括其下所有子目录

C:WINDOWSsrchasst 不用做任何修改，包括其下所有子目录

C:WINDOWSsystem 保持默认

C:WINDOWSTAPI取消users组权限，其下那个权限不要改

C:WINDOWStwain_32取消users组权限，给目录下的文件加users组权限

C:WINDOWSvnDrvBas 不用做任何修改，包括其下所有子目录

C:WINDOWSWeb取消users组权限给其下的所有文件加上users组权限

C:WINDOWSWinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，

给这些文件加上everyone组和users权限

给目录加NETWORK SERVICE完全控制的权限

C:WINDOWSsystem32wbem 这个目录有重要作用。如果不给users组权限，打开一些

应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。

但为了不让webshell有浏览系统所属目录的权限，给wbem目录下所有的*.dll文件users

组和everyone组权限。

*.dll

users;everyone

我先暂停。你操作时挨个检查就行了

C:WINDOWS#$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa (我用的temp文

件夹路径)temp由于必须给写入的权限，所以修改了默认路径和名称。防止webshell往此

目录中写入。修改路径后要重启生效。

至此，系统盘任何一个目录是不可浏览的，唯一一个可写入的C:WINDOWStemp，又修改

了默认路径和名称变成

C:WINDOWS#$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa

这样配置应该相对安全了些。

我先去安装一下几款流行的网站程序，先暂停.几款常用的网站程序在这样的权限设置下完

全正常。还没有装上sql2000数据库，无法测试动易2006SQL版了。肯定正常。大家可以

试试。

服务设置：

1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了，如果别

人破解了你的pcanywhere密码，就直接可以进入你计算机，如果设置了屏保，当你几分钟

不用后就自动锁定计算机，这样就防止了用pcanyhwerer直接进入你计算机的可能，也是

防止内部人员破坏服务器的一个屏障

2.关闭光盘和磁盘的自动播放功能，在组策略里面设.这样可以防止入侵者编辑恶意的

让你以管理员的身份运行他的木马，来达到提升权限的目的。可以用net share

查看默认共享。由于没开server服务,等于已经关闭默认共享了,最好还是禁用server服务。

附删除默认共享的命令：

net share c$Content$nbsp;/del

net share d$Content$nbsp;/del

net share e$Content$nbsp;/del