web iis服務器安全性配置實例

時間 2019-11-19

原文原文鏈接

本身不維護服務器，不知道維護服務器的辛苦。剛開始爲了嫌麻煩，抱有僥倖心理，一些繁瑣的安全設置沒有配置，結果服務器連一天都沒撐過去。通過10天的反覆摸索和努力，如今服務器已經穩定工做一個月了，特此整理本文。php

    個人服務器的應用含：
    APACHE:80
    IIS:81，由APACHE映射過來
    MySql: 3306
    SQLServer2005: 5687
    svn: 80
    FTP: 21html

    遠程桌面：9898

一：關於TCP/IP篩選
    TCP/IP的篩選，我是不作的。如你只開發80端口，則外網能夠訪問你的WEB服務器，可是，你不能訪問別人的WEB服務。由於訪問別人的WEB服務的時候，你本地不是從80出去，而是WINDOWS隨機建立了一個端口。
    不能訪問外網的WEB服務，致使的直接後果是有些軟件，如360、殺毒軟件、我的防火牆、WINDOWS系統漏洞等不能升級。這些升級所有是使用WEB服務的。

二：防火牆
    1：使用瑞星我的防火牆，在端口篩選中，開放題頭中的端口。
    2：同時，開放WINDOWS防火牆，在例外和高級中，都要對端口進行開發。尤爲注意，服務器通常放置在機房，必定要開放遠程桌面的端口。

三：用戶管理
    1：更名guest，設置超複雜密碼，而後停用。；
    2：更名administrator，可帶中文，設置超複雜密碼；而後創建一個名爲administrator的誘餌帳戶，屬於user組。設立超複雜密碼。

四：IP安全策略
    IP安全策略，我的認爲很重要，不管是我的防火牆仍是WINDOWS，都不能作出、入限制，在安全策略中卻能夠。mysql

協議web	IP協議端口sql	源地址shell	目標地址數據庫	描述windows	方式api
ICMP緩存	--	--	--	ICMP	阻止
UDP	135	任何IP地址	個人IP地址	135-UDP	阻止
UDP	136	任何IP地址	個人IP地址	136-UDP	阻止
UDP	137	任何IP地址	個人IP地址	137-UDP	阻止
UDP	138	任何IP地址	個人IP地址	138-UDP	阻止
UDP	139	任何IP地址	個人IP地址	139-UDP	阻止
TCP	445	任何IP地址-從任意端口	個人IP地址-445	445-TCP	阻止
UDP	445	任何IP地址-從任意端口	個人IP地址-445	445-UDP	阻止
UDP	69	任何IP地址-從任意端口	個人IP地址-69	69-入	阻止
UDP	69	個人IP地址-69	任何IP地址-任意端口	69-出	阻止
TCP	4444	任何IP地址-從任意端口	個人IP地址-4444	4444-TCP	阻止
TCP	1026	個人IP地址-1026	任何IP地址-任意端口	灰鴿子-1026	阻止
TCP	1027	個人IP地址-1027	任何IP地址-任意端口	灰鴿子-1027	阻止
TCP	1028	個人IP地址-1028	任何IP地址-任意端口	灰鴿子-1028	阻止
UDP	1026	個人IP地址-1026	任何IP地址-任意端口	灰鴿子-1026	阻止
UDP	1027	個人IP地址-1027	任何IP地址-任意端口	灰鴿子-1027	阻止
UDP	1028	個人IP地址-1028	任何IP地址-任意端口	灰鴿子-1028	阻止
TCP	21	個人IP地址-從任意端口	任何IP地址-到21端口	阻止tftp出站	阻止
TCP	99	個人IP地址-99	任何IP地址-任意端口	阻止99shell	阻止
TCP	3306	任何IP地址-任意端口	個人IP地址-3306	阻止外部訪問MYSQL	阻止
TCP	1433	任何IP地址-任意端口	個人IP地址-1433	阻止外部訪問SQLSERVER	阻止
TCP	1434	任何IP地址-任意端口	個人IP地址-1434	阻止外部訪問SQLSERVER	阻止

五：IIS安全設置
    1：刪除默認網站對應的interpub；
    2：停掉默認網站；
    3：WEB日誌更改到別處；
    這裏舉例4個不一樣類型腳本的虛擬主機權限設置例子

主機頭	主機腳本	硬盤目錄	IIS用戶名	硬盤權限	應用程序池	主目錄	應用程序配置
www.1.com	HTM	D:/www.1.com/	IUSR_1.com	Administrators(徹底控制) IUSR_1.com (讀)	可共用	讀取/純腳本	啓用父路徑
www.2.com	ASP	D:/www.2.com/	IUSR_1.com	Administrators(徹底控制) IUSR_2.com (讀/寫)	可共用	讀取/純腳本	啓用父路徑
www.3.com	NET	D:/www.3.com/	IUSR_1.com	Administrators(徹底控制) IWAM_3.com (讀/寫) IUSR_3.com (讀/寫)	獨立池	讀取/純腳本	啓用父路徑
www.4.com	PHP	D:/www.4.com/	IUSR_1.com	Administrators(徹底控制) IWAM_4.com (讀/寫) IUSR_4.com (讀/寫)	獨立池	讀取/純腳本	啓用父路徑
其中 IWAM_3.com 和 IWAM_4.com 分別是各自獨立應用程序池標識中的啓動賬戶

主機腳本類型	應用程序擴展名（就是文件後綴名）對應主機腳本，只須要加載如下的應用程序擴展
HTM	STM \| SHTM \| SHTML \| MDB
ASP	ASP \| ASA \| MDB
NET	ASPX \| ASAX \| ASCX\| ASHX \| ASMX \| AXD \| VSDISCO \| REM \| SOAP \| CONFIG \| CS \|CSPROJ \| VB \| VBPROJ \| WEBINFO \| LICX \| RESX \| RESOURCES \| MDB
PHP	PHP \| PHP3 \| PHP4

MDB是共用映射，下面用紅色表示

應用程序擴展	映射文件	執行動做
STM=.stm	C:/WINDOWS/system32/inetsrv/ssinc.dll	GET,POST
SHTM=.shtm	C:/WINDOWS/system32/inetsrv/ssinc.dll	GET,POST
SHTML=.shtml	C:/WINDOWS/system32/inetsrv/ssinc.dll	GET,POST
ASP=.asp	C:/WINDOWS/system32/inetsrv/asp.dll	GET,HEAD,POST,TRACE
ASA=.asa	C:/WINDOWS/system32/inetsrv/asp.dll	GET,HEAD,POST,TRACE
ASPX=.aspx	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
ASAX=.asax	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
ASCX=.ascx	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
ASHX=.ashx	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
ASMX=.asmx	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
AXD=.axd	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
REM=.rem	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
SOAP=.soap	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
CONFIG=.config	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
CS=.cs	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
CSPROJ=.csproj	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
VB=.vb	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
VBPROJ=.vbproj	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
WEBINFO=.webinfo	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
LICX=.licx	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
RESX=.resx	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
RESOURCES=.resources	C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll	GET,HEAD,POST,DEBUG
PHP=.php	C:/php5/php5isapi.dll	GET,HEAD,POST
PHP3=.php3	C:/php5/php5isapi.dll	GET,HEAD,POST
PHP4=.php4	C:/php5/php5isapi.dll	GET,HEAD,POST
MDB=.mdb	C:/WINDOWS/system32/inetsrv/ssinc.dll	GET,POST

ASP.NET 進程賬戶所需的 NTFS 權限

目錄	所需權限
Temporary ASP.NET Files%windir%/Microsoft.NET/Framework/{版本}Temporary ASP.NET Files	進程賬戶和模擬標識：看下面詳細權限
臨時目錄 (%temp%)	進程賬戶徹底控制
.NET Framework 目錄%windir%/Microsoft.NET/Framework/{版本}	進程賬戶和模擬標識：讀取和執行列出文件夾內容讀取
.NET Framework 配置目錄%windir%/Microsoft.NET/Framework/{版本}/CONFIG	進程賬戶和模擬標識：讀取和執行列出文件夾內容讀取
網站根目錄 C:/inetpub/wwwroot 或默認網站指向的路徑	進程賬戶：讀取
系統根目錄 %windir%/system32	進程賬戶：讀取
全局程序集高速緩存 %windir%/assembly	進程賬戶和模擬標識：讀取
內容目錄 C:/inetpub/wwwroot/YourWebApp (通常來講不用默認目錄，管理員可根據實際狀況調整好比D:/wwwroot)	進程賬戶：讀取列出文件夾內容讀取注意對於 .NET Framework 1.0，直到文件系統根目錄的全部父目錄也都須要上述權限。父目錄包括： C:/ C:/inetpub/ C:/inetpub/wwwroot/

硬盤或文件夾: C:/WINDOWS/Microsoft.NET/Framework/版本/Temporary ASP.NET Files
主要權限部分：		其餘權限部分：
Administrators	徹底控制	ASP.NET 計算機賬戶	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於E:/>		<繼承於C:/windows>
CREATOR OWNER	徹底控制	ASP.NET 計算機賬戶	寫入/刪除
	只有子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於E:/>		<不是繼承的>
SYSTEM	徹底控制	IIS_WPG	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於E:/>		<繼承於C:/windows>
IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕	IIS_WPG	寫入/刪除
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
Guests	列出文件夾/讀取數據：拒絕	LOCAL SERVICE	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<繼承於C:/windows>
USERS	讀取和運行	LOCAL SERVICE	寫入/刪除
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於C:/windows>		<不是繼承的>
		NETWORK SERVICE	讀取和運行
			該文件夾，子文件夾及文件
			<繼承於C:/windows>
		NETWORK SERVICE	寫入/刪除
			該文件夾，子文件夾及文件
			<不是繼承的>

六：SQLServer2005安全設置
    1：停掉CMDSHELL，使用以下語句：
-- To allow advanced options to be changed
EXEC sp_configure 'show advanced options', 1;
GO
-- To update the currently configured value for -- advanced options
RECONFIGURE;
GO
-- To disable xp_cmdshell
EXEC sp_configure 'xp_cmdshell', 0;
GO
-- To update the currently configured value for this -- feature
RECONFIGURE;
GO
    2：更改SA名，設置超複雜密碼；
    3：刪除沒必要要用戶，可是要保留系統本身建立的用戶。若是你不想讓使用windows身份驗證登陸，則也能夠刪除sqlserver登陸中的xxx/administrator這個用戶。
    4：更改1433這個默認的端口號，這裏是5687。

七：組件設置

A、卸載WScript.Shell 和 Shell.application 組件，將下面的代碼保存爲一個.BAT文件執行（分2000和2003系統）
windows2000.bat	regsvr32/u C:/WINNT/System32/wshom.ocx del C:/WINNT/System32/wshom.ocx regsvr32/u C:/WINNT/system32/shell32.dll del C:/WINNT/system32/shell32.dll
windows2003.bat	regsvr32/u C:/WINDOWS/System32/wshom.ocx del C:/WINDOWS/System32/wshom.ocx regsvr32/u C:/WINDOWS/system32/shell32.dll del C:/WINDOWS/system32/shell32.dll
B、更名不安全組件，須要注意的是組件的名稱和Clsid都要改，而且要改完全了，不要照抄，要本身改
	【開始→運行→regedit →回車】打開註冊表編輯器而後【編輯→查找→填寫Shell.application →查找下一個】用這個方法能找到兩個註冊表項： {13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。第一步：爲了確保萬無一失，把這兩個註冊表項導出來，保存爲xxxx.reg 文件。第二步：好比咱們想作這樣的更改 13709620-C279-11CE-A49E-444553540000 更名爲 13709620-C279-11CE-A49E-444553540001 Shell.application 更名爲 Shell.application_nohack 第三步：那麼，就把剛纔導出的.reg文件裏的內容按上面的對應關係替換掉，而後把修改好的.reg文件導入到註冊表中（雙擊便可），導入了更名後的註冊表項以後，別忘記了刪除原有的那兩個項目。這裏須要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。其實，只要把對應註冊表項導出來備份，而後直接改鍵名就能夠了，
改好的例子建議本身改應該可一次成功	Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}] @="Shell Automation Service" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/InProcServer32] @="C://WINNT//system32//shell32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/ProgID] @="Shell.Application_nohack.1" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/TypeLib] @="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/Version] @="1.1" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/VersionIndependentProgID] @="Shell.Application_nohack" [HKEY_CLASSES_ROOT/Shell.Application_nohack] @="Shell Automation Service" [HKEY_CLASSES_ROOT/Shell.Application_nohack/CLSID] @="{13709620-C279-11CE-A49E-444553540001}" [HKEY_CLASSES_ROOT/Shell.Application_nohack/CurVer] @="Shell.Application_nohack.1"
老杜評論：	WScript.Shell 和 Shell.application 組件是腳本入侵過程當中，提高權限的重要環節，這兩個組件的卸載和修改對應註冊鍵名，能夠很大程度的提升虛擬主機的腳本安全性能，通常來講，ASP和php類腳本提高權限的功能是沒法實現了，再加上一些系統服務、硬盤訪問權限、端口過濾、本地安全策略的設置，虛擬主機因該說，安全性能有很是大的提升，黑客入侵的可能性是很是低了。註銷了Shell組件以後，侵入者運行提高工具的可能性就很小了，可是prel等別的腳本語言也有shell能力，爲防萬一，仍是設置一下爲好。下面是另一種設置，大同小異。
1、禁止使用FileSystemObject組件　　FileSystemObject能夠對文件進行常規操做,能夠經過修改註冊表，將此組件更名，來防止此類木馬的危害。　　HKEY_CLASSES_ROOT/Scripting.FileSystemObject/ 　　更名爲其它的名字，如：改成 FileSystemObject_ChangeName 　　本身之後調用的時候使用這個就能夠正常調用此組件了　　也要將clsid值也改一下　　HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/ 項目的值　　也能夠將其刪除，來防止此類木馬的危害。　　2000註銷此組件命令：RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll 　　2003註銷此組件命令：RegSrv32 /u C:/WINDOWS/SYSTEM/scrrun.dll 　　如何禁止Guest用戶使用scrrun.dll來防止調用此組件？　　使用這個命令：cacls C:/WINNT/system32/scrrun.dll /e /d guests 　　2、禁止使用WScript.Shell組件　　WScript.Shell能夠調用系統內核運行DOS基本命令　　能夠經過修改註冊表，將此組件更名，來防止此類木馬的危害。　　HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/ 　　更名爲其它的名字，如：改成WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName 　　本身之後調用的時候使用這個就能夠正常調用此組件了　　也要將clsid值也改一下　　HKEY_CLASSES_ROOT/WScript.Shell/CLSID/ 項目的值　　HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/ 項目的值　　也能夠將其刪除，來防止此類木馬的危害。　　3、禁止使用Shell.Application組件　　Shell.Application能夠調用系統內核運行DOS基本命令　　能夠經過修改註冊表，將此組件更名，來防止此類木馬的危害。　　HKEY_CLASSES_ROOT/Shell.Application/ 　　及　　HKEY_CLASSES_ROOT/Shell.Application.1/ 　　更名爲其它的名字，如：改成Shell.Application_ChangeName 或Shell.Application.1_ChangeName 　　本身之後調用的時候使用這個就能夠正常調用此組件了　　也要將clsid值也改一下　　HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值　　HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值　　也能夠將其刪除，來防止此類木馬的危害。　　禁止Guest用戶使用shell32.dll來防止調用此組件。　　2000使用命令：cacls C:/WINNT/system32/shell32.dll /e /d guests 　　2003使用命令：cacls C:/WINDOWS/system32/shell32.dll /e /d guests 　　注：操做均須要從新啓動WEB服務後纔會生效。　　4、調用Cmd.exe 　　禁用Guests組用戶調用cmd.exe 　　2000使用命令：cacls C:/WINNT/system32/Cmd.exe /e /d guests 　　2003使用命令：cacls C:/WINDOWS/system32/Cmd.exe /e /d guests 　　經過以上四步的設置基本能夠防範目前比較流行的幾種木馬，但最有效的辦法仍是經過綜合安全設置，將服務器、程序安全都達到必定標準，纔可能將安全等級設置較高，防範更多非法入侵。
C、防止Serv-U權限提高 (適用於 Serv-U6.0 之前版本，以後能夠直接設置密碼)
	先停掉Serv-U服務用Ultraedit 打開ServUDaemon.exe 查找 Ascii：LocalAdministrator 和 #l@$ak#.lk;0@P 修改爲等長度的其它字符就能夠了，ServUAdmin.exe 也同樣處理。另外注意設置Serv-U所在的文件夾的權限，不要讓IIS匿名用戶有讀取的權限，不然人家下走你修改過的文件，照樣能夠分析出你的管理員名和密碼。
阿江ASP探針	http://www.ajiang.net/products/aspcheck/ (能夠測試組件安全性)

八：部分安全設置

把下面文本保存爲: windows2000-2003服務器安全和性能註冊表自動配置文件.reg 運行便可。

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer] "NoRecentDocsMenu"=hex:01,00,00,00 "NoRecentDocsHistory"=hex:01,00,00,00 [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon] "DontDisplayLastUserName"="1" [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa] "restrictanonymous"=dword:00000001 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] "EnableICMPRedirect"=dword:00000000 "KeepAliveTime"=dword:000927c0 "SynAttackProtect"=dword:00000002 "TcpMaxHalfOpen"=dword:000001f4 "TcpMaxHalfOpenRetried"=dword:00000190 "TcpMaxConnectResponseRetransmissions"=dword:00000001 "TcpMaxDataRetransmissions"=dword:00000003 "TCPMaxPortsExhausted"=dword:00000005 "DisableIPSourceRouting"=dword:00000002 "TcpTimedWaitDelay"=dword:0000001e "TcpNumConnections"=dword:00004e20 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 "EnableDeadGWDetect"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 "EnableICMPRedirects"=dword:00000000 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters] "BacklogIncrement"=dword:00000005 "MaxConnBackLog"=dword:000007d0 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters] "EnableDynamicBacklog"=dword:00000001 "MinimumDynamicBacklog"=dword:00000014 "MaximumDynamicBacklog"=dword:00007530 "DynamicBacklogGrowthDelta"=dword:0000000a

功能：可抵禦DDOS攻擊2-3萬包，提升服務器TCP-IP總體安全性能（效果等於軟件防火牆，節約了系統資源）

九：服務
在個人系統中，停掉或禁用的服務有：

Aleter
Application Management
ASp.net狀態服務
Automatic Upadates
Background intelligent transfer servervice
clipbook
com+ system application
computer brower
cryptographic services
distributed file system
distributed link tracking client
distributed link tracking server
distributed transaction coordinator
file replication
help and support
IMAPI CD-BURNING com service
indexing service
intersite messaging
kerberos key distribution center
license logging
logical disk manager administrative service
messenger
microsoft software shadow copy provider
net logon
netmeeting remote desktop sharing
network dde
network dde dsdm
Network Provisioning Service
Office Source Engine
Performance Logs and Alerts
Portable Media Serial Number Service
Print Spooler
Remote Access Auto Connection Manager
Remote Desktop Help Session Manager
Remote Procedure Call (RPC) Locator
Remote Registry
Removable Storage
Resultant Set of Policy Provider
Routing and Remote Access
Server
Smart Card
Special Administration Console Helper
SQL Server Active Directory Helper
SQL Server Browser
SQL Server VSS Writer
Task Scheduler
TCP/IP NetBIOS Helper
Telnet
Terminal Services Session Directory
Themes
Uninterruptible Power Supply
Virtual Disk Service
Volume Shadow Copy
WebClient
Windows Audio
Windows Image Acquisition (WIA)
Windows Installer
Windows Management Instrumentation Driver Extensions
Windows Time
Windows User Mode Driver Framework
WinHTTP Web Proxy Auto-Discovery Service
Wireless Configuration
WMI Performance Adapter
Workstation

十：系統文件權限設置
這裏着重談須要的權限，也就是最終文件夾或硬盤須要的權限，能夠防護各類木馬入侵，提權攻擊，跨站攻擊等。本實例通過屢次試驗，安全性能很好，服務器基本沒有被木馬威脅的擔心了。

硬盤或文件夾: C:/ D:/ E:/ F:/ 類推
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無若是安裝了其餘運行環境，好比PHP等，則根據PHP的環境功能要求來設置硬盤權限，通常是安裝目錄加上users讀取運行權限就足夠了，好比c:/php 的話，就在根目錄權限繼承的狀況下加上users讀取運行權限，須要寫入數據的好比tmp文件夾，則把users的寫刪權限加上，運行權限不要，而後把虛擬主機用戶的讀權限拒絕便可。若是是mysql的話，用一個獨立用戶運行MYSQL會更安全，下面會有介紹。若是是winwebmail，則最好創建獨立的應用程序池和獨立IIS用戶，而後整個安裝目錄有winwebmail進程用戶的讀/運行/寫/權限，IIS用戶則相同，這個IIS用戶就只用在 winwebmail的WEB訪問中，其餘IIS站點切勿使用，安裝了winwebmail的服務器硬盤權限設置後面舉例
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Inetpub/
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<繼承於c:/>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<繼承於c:/>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<繼承於c:/>

硬盤或文件夾: C:/Inetpub/ AdminScripts
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Inetpub/wwwroot
主要權限部分：		其餘權限部分：
Administrators	徹底控制	IIS_WPG	讀取運行/列出文件夾目錄/讀取
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制	Users	讀取運行/列出文件夾目錄/讀取
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
這裏能夠把虛擬主機用戶組加上同Internet 來賓賬戶同樣的權限拒絕權限		Internet 來賓賬戶	建立文件/寫入數據/:拒絕建立文件夾/附加數據/:拒絕寫入屬性/:拒絕寫入擴展屬性/:拒絕刪除子文件夾及文件/:拒絕刪除/:拒絕
			該文件夾，子文件夾及文件
			<不是繼承的>

硬盤或文件夾: C:/Inetpub/wwwroot/aspnet_client
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制	USERS組的權限僅僅限制於讀取和運行，絕對不能加上寫入權限
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/「開始」菜單
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
CREATOR OWNER	徹底控制	Users	寫入
	只有子文件夾及文件		該文件夾，子文件夾
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制	兩個並列權限同用戶組須要分開列權限
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制	此文件夾包含 Microsoft 應用程序狀態數據
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/RSA/MachineKeys
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Everyone	列出文件夾、讀取屬性、讀取擴展屬性、建立文件、建立文件夾、寫入屬性、寫入擴展屬性、讀取權限
	只有該文件夾	Everyone這裏只有讀寫權限，不能加運行和刪除權限，僅限該文件夾	只有該文件夾
	<不是繼承的>	Everyone這裏只有讀寫權限，不能加運行和刪除權限，僅限該文件夾	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/DSS/MachineKeys
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Everyone	列出文件夾、讀取屬性、讀取擴展屬性、建立文件、建立文件夾、寫入屬性、寫入擴展屬性、讀取權限
	只有該文件夾	Everyone這裏只有讀寫權限，不能加運行和刪除權限，僅限該文件夾	只有該文件夾
	<不是繼承的>	Everyone這裏只有讀寫權限，不能加運行和刪除權限，僅限該文件夾	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/HTML Help
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Connections/Cm
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Everyone	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制	Everyone這裏只有讀和運行權限
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Downloader
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<繼承於上一級文件夾>
SYSTEM	徹底控制	Users	建立文件/寫入數據建立文件夾/附加數據寫入屬性寫入擴展屬性讀取權限
	該文件夾，子文件夾及文件		只有該文件夾
	<不是繼承的>		<不是繼承的>
		Users	建立文件/寫入數據建立文件夾/附加數據寫入屬性寫入擴展屬性
			只有該子文件夾和文件
			<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/DRM
主要權限部分：	其餘權限部分：
這裏須要把GUEST用戶組和IIS訪問用戶組所有禁止 Everyone的權限比較特殊，默認安裝後已經帶了主要是要把IIS訪問的用戶組加上全部權限都禁止	Users	讀取和運行
		該文件夾，子文件夾及文件
		<不是繼承的>
	Guests	拒絕全部
		該文件夾，子文件夾及文件
		<不是繼承的>
	Guest	拒絕全部
		該文件夾，子文件夾及文件
		<不是繼承的>
	IUSR_XXX 或某個虛擬主機用戶組	拒絕全部
		該文件夾，子文件夾及文件
		<不是繼承的>

硬盤或文件夾: C:/Documents and Settings/All Users/Documents (共享文檔)
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files
主要權限部分：		其餘權限部分：
Administrators	徹底控制	IIS_WPG	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
CREATOR OWNER	徹底控制	IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕
	只有子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制	IIS虛擬主機用戶組禁止列目錄，可有效防止FSO類木馬若是安裝了aspjepg和aspupload
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/Common Files
主要權限部分：		其餘權限部分：
Administrators	徹底控制	IIS_WPG	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<繼承於上級目錄>
CREATOR OWNER	徹底控制	Users	讀取和運行
	只有子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制	複合權限，爲IIS提供快速安全的運行環境
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/Common Files/Microsoft Shared/web server extensions
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/Microsoft SQL Server/MSSQL (程序部分默認裝在C：盤)
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: E:/Program Files/Microsoft SQL Server (數據庫部分裝在E：盤的狀況)
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: E:/Program Files/Microsoft SQL Server/MSSQL (數據庫部分裝在E：盤的狀況)
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/Internet Explorer/iexplore.exe
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/Outlook Express
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/PowerEasy5 (若是裝了動易組件的話)
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/Radmin (若是裝了Radmin遠程控制的話)
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無對應的c:/windows/system32裏面有兩個文件 r_server.exe和AdmDll.dll 要把Users讀取運行權限去掉默認權限只要administrators和system所有權限
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/Serv-U (若是裝了Serv-U服務器的話)
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無這裏常是提權入侵的一個比較大的漏洞點必定要按這個方法設置目錄名字根據Serv-U版本也多是 C:/Program Files/RhinoSoft.com/Serv-U
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/Windows Media Player
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/Windows NT/Accessories
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/Program Files/WindowsUpdate
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/WINDOWS
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/WINDOWS/repair
主要權限部分：		其餘權限部分：
Administrators	徹底控制	IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
CREATOR OWNER	徹底控制	虛擬主機用戶訪問組拒絕讀取，有助於保護系統數據這裏保護的是系統級數據SAM
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/WINDOWS/IIS Temporary Compressed Files
主要權限部分：		其餘權限部分：
Administrators	徹底控制	USERS	讀取和寫入/刪除
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於C:/windows>		<不是繼承的>
CREATOR OWNER	徹底控制	IIS_WPG	讀取和寫入/刪除
	只有子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於C:/windows>		<不是繼承的>
SYSTEM	徹底控制	建議裝了MCAFEE或NOD的用戶把此文件夾，禁止寫入一些文件類型好比.EXE和.com等可執行文件或vbs類腳本
	該文件夾，子文件夾及文件
	<繼承於C:/windows>
IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕
	該文件夾，子文件夾及文件
	<不是繼承的>
Guests	列出文件夾/讀取數據：拒絕
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/WINDOWS/Microsoft.NET/Framework/版本/Temporary ASP.NET Files
主要權限部分：		其餘權限部分：
Administrators	徹底控制	ASP.NET 計算機賬戶	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於C:/windows>		<繼承於C:/windows>
CREATOR OWNER	徹底控制	ASP.NET 計算機賬戶	寫入/刪除
	只有子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於C:/windows>		<不是繼承的>
SYSTEM	徹底控制	IIS_WPG	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於C:/windows>		<繼承於C:/windows>
IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕	IIS_WPG	寫入(原來有刪除權限要去掉 )
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
Guests	列出文件夾/讀取數據：拒絕	LOCAL SERVICE	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<繼承於C:/windows>
USERS	讀取和運行	LOCAL SERVICE	寫入/刪除
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於C:/windows>		<不是繼承的>
		NETWORK SERVICE	讀取和運行
			該文件夾，子文件夾及文件
			<繼承於C:/windows>
建議裝了MCAFEE或NOD的用戶把此文件夾，禁止寫入一些文件類型，好比.EXE和.com等可執行文件或vbs類腳本		NETWORK SERVICE	寫入/刪除
			該文件夾，子文件夾及文件
			<不是繼承的>

硬盤或文件夾: C:/WINDOWS/system32
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
CREATOR OWNER	徹底控制	IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕
	只有子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
SYSTEM	徹底控制	虛擬主機用戶訪問組拒絕讀取，有助於保護系統數據
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/WINDOWS/system32/config
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
CREATOR OWNER	徹底控制	IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕
	只有子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<繼承於上一級目錄>
SYSTEM	徹底控制	虛擬主機用戶訪問組拒絕讀取，有助於保護系統數據
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/WINDOWS/system32/inetsrv/
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
CREATOR OWNER	徹底控制	IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕
	只有子文件夾及文件		只有該文件夾
	<不是繼承的>		<繼承於上一級目錄>
SYSTEM	徹底控制	虛擬主機用戶訪問組拒絕讀取，有助於保護系統數據
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/WINDOWS/system32/inetsrv/ASP Compiled Templates
主要權限部分：		其餘權限部分：
Administrators	徹底控制	IIS_WPG	徹底控制
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
		IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕
			該文件夾，子文件夾及文件
			<繼承於上一級目錄>
		虛擬主機用戶訪問組拒絕讀取，有助於保護系統數據
		虛擬主機用戶訪問組拒絕讀取，有助於保護系統數據

硬盤或文件夾: C:/WINDOWS/system32/inetsrv/iisadmpwd
主要權限部分：		其餘權限部分：
Administrators	徹底控制	無
	該文件夾，子文件夾及文件
	<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

硬盤或文件夾: C:/WINDOWS/system32/inetsrv/MetaBack
主要權限部分：		其餘權限部分：
Administrators	徹底控制	Users	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
CREATOR OWNER	徹底控制	IUSR_XXX 或某個虛擬主機用戶組	列出文件夾/讀取數據：拒絕
	只有子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<繼承於上一級目錄>
SYSTEM	徹底控制	虛擬主機用戶訪問組拒絕讀取，有助於保護系統數據
	該文件夾，子文件夾及文件
	<不是繼承的>

Winwebmail 電子郵局安裝後權限舉例：目錄E:/
主要權限部分：		其餘權限部分：
Administrators	徹底控制	IUSR_XXXXXX 這個用戶是WINWEBMAIL訪問WEB站點專用賬戶	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<不是繼承的>		<不是繼承的>
CREATOR OWNER	徹底控制
	只有子文件夾及文件
	<不是繼承的>
SYSTEM	徹底控制
	該文件夾，子文件夾及文件
	<不是繼承的>

Winwebmail 電子郵局安裝後權限舉例：目錄E:/WinWebMail
主要權限部分：		其餘權限部分：
Administrators	徹底控制	IUSR_XXXXXX WINWEBMAIL訪問WEB站點專用賬戶	讀取和運行
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於E:/>		<繼承於E:/>
CREATOR OWNER	徹底控制	Users	修改/讀取運行/列出文件目錄/讀取/寫入
	只有子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於E:/>		<不是繼承的>
SYSTEM	徹底控制	IUSR_XXXXXX WINWEBMAIL訪問WEB站點專用賬戶	修改/讀取運行/列出文件目錄/讀取/寫入
	該文件夾，子文件夾及文件		該文件夾，子文件夾及文件
	<繼承於E:/>		<不是繼承的>
IUSR_XXXXXX 和IWAM_XXXXXX 是winwebmail專用的IIS用戶和應用程序池用戶單獨使用，安全性能高		IWAM_XXXXXX WINWEBMAIL應用程序池專用賬戶	修改/讀取運行/列出文件目錄/讀取/寫入
			該文件夾，子文件夾及文件
			<不是繼承的>

十一：本地安全策略設置
開始菜單—>管理工具—>本地安全策略
　　A、本地策略——>審覈策略
　　審覈策略更改　　　成功　失敗　　
　　審覈登陸事件　　　成功　失敗
　　審覈對象訪問　　　　　　失敗
　　審覈過程跟蹤　　　無審覈
　　審覈目錄服務訪問　　　　失敗
　　審覈特權使用　　　　　　失敗
　　審覈系統事件　　　成功　失敗
　　審覈帳戶登陸事件　成功　失敗
　　審覈帳戶管理　　　成功　失敗

　　B、本地策略——>用戶權限分配
　　關閉系統：只有Administrators組、其它所有刪除。
　　經過終端服務拒絕登錄：加入Guests（注意必定不能加入user組，不然不能遠程桌面）
　　經過終端服務容許登錄：只加入Administrators組，其餘所有刪除

　　C、本地策略——>安全選項
　　交互式登錄：不顯示上次的用戶名　　　　　　　啓用
　　網絡訪問：不容許SAM賬戶和共享的匿名枚舉　　啓用
　　網絡訪問：不容許爲網絡身份驗證儲存憑證　　　啓用
　　網絡訪問：可匿名訪問的共享　　　　　　　　　所有刪除
　　網絡訪問：可匿名訪問的命　　　　　　　　　　所有刪除
　　網絡訪問：可遠程訪問的註冊表路徑　　　　　　所有刪除
　　網絡訪問：可遠程訪問的註冊表路徑和子路徑　　所有刪除
　　賬戶：重命名來賓賬戶　　　　　　　　　　　　重命名一個賬戶
　　賬戶：重命名系統管理員賬戶　　　　　　　　　重命名一個賬戶

十二：其它註冊表項
     一、防止SYN洪水攻擊
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
　　新建DWORD值，名爲SynAttackProtect，值爲2
　　二、禁止響應ICMP路由通告報文
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
　　新建DWORD值，名爲PerformRouterDiscovery 值爲0
　　3. 防止ICMP重定向報文的攻擊
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
　　將EnableICMPRedirects 值設爲0
　　4. 不支持IGMP協議
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
　　新建DWORD值，名爲IGMPLevel 值爲0

十三：若是有非法用戶，要刪除，則

    若是您是一名網絡管理員，請保持常常檢查服務器賬戶的良好習慣，若是您看到一名陌生的賬戶，並且發現這名賬戶不屬於任何用戶組的時候，那麼恭喜你，你的管理員賬戶可能被克隆了，該用戶極可能擁有服務器的超管權限，由於那是經過克隆你的超管賬號的sam信息創建的賬戶，該用戶不屬於任何用戶組，使用用戶管理器或命令行下刪除該用戶時將提示「用戶不屬於此組 」，正確刪除方法以下：
    運行註冊表編輯器，依次展開 HKEY_LOCAL_MACHINE/SAM/SAM，右鍵點擊，選擇權限，更改Administrators的權限爲徹底控制.刷新後依次展開該項下的的Domains/Account/Users/Names/ 刪除該子項下的陌生賬號及與之相對應的Domains/Account/Users裏的項;返回，刪除administrator在 HKEY_LOCAL_MACHINE/SAM/SAM下的權限。
    重啓系統搞定。
    補充一下，以便於你們回答，原本是能夠在註冊表中，將些帳號刪除
    過程我想你們想知道了，我要麼再羅嗦一下，
1.在cmd下進入regedt32下提升sam/sam文件夾的權限（在菜單的「安全」裏），提升到當前用戶徹底控制，關掉（要不這麼作regedit中HKEY_local_machine/sam/sam是沒有權限查看的！）.
2. 進入regedit中HKEY_local_machine/sam/sam/domains/account/users/names/那個黑帳號,刪除它，刪除前先看一下其對應的文件夾，在HKEY_local_machine/sam/sam/domains/account/users下，一塊兒刪除掉。

十四：端口檢測

安裝端口實時監測軟件如ActivePorts，它的最大好處在於在監視端口的同時，能把活動端口所對應的應用程序列出來。

十五：安全掃描

對計算機進行全方位的立體檢測，可用微軟爲咱們提供的免費工具MBSA(Microsoft Baseline Security Analyzer，微軟基準安全分析器)進行檢測。