WIN2000服務器安全配置(四)

5.目錄和文件權限：
    為了控制好服務器上用戶的權限，同時也為了預防以后可能的入侵和溢出，我們還必須非常小心地設置目錄和文件的訪問權限，NT的訪問權限分為：讀取、寫入、讀取及執行、修改、列目錄、完全控制。在默認的情況下，大多數的文件夾對所有用戶（Everyone這個組）是完全敞開的（Full Control），你需要根據應用的需要進行權限重設。
    在進行權限控制時，請記住以下幾個原則：
1>限是累計的：如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權限；
2>拒絕的權限要比允許的權限高（拒絕策略會先執行）如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權限設置給他開放了多少權限，他也一定不能訪問這個資源。所以請非常小心地使用拒絕，任何一個不當的拒絕都有可能造成系統無法正常運行；
3>文件權限比文件夾權限高（這個不用解釋了吧？）
4>利用用戶組來進行權限控制是一個成熟的系統管理員必須具有的優良習慣之一；
5>僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障；

6.預防DoS：
    在注冊表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防御一定強度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0

    ICMP攻擊：ICMP的風暴攻擊和碎片攻擊也是NT主機比較頭疼的攻擊方法，其實應付的方法也很簡單，win2000自帶一個Routing & Remote Aclearcase/" target="_blank" >ccess工具，這個工具初具路由器的雛形（微軟真是的，什么都要做？聽說最近又要做防火墻了）在這個工具中，我們可以輕易的定義輸入輸出包過濾器，例如，設定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文（讓你炸？我丟、丟、丟）

四、需要注意的一些事：
    實際上，安全和應用在很多時候是矛盾的，因此，你需要在其中找到平衡點，畢竟服務器是給用戶用而不是做OPEN HACK的，如果安全原則妨礙了系統應用，那么這個安全原則也不是一個好的原則。
    網絡安全是一項系統工程，它不僅有空間的跨度，還有時間的跨度。很多朋友（包括部分系統管理員）認為進行了安全配置的主機就是安全的，其實這其中有個誤區：我們只能說一臺主機在一定的情況一定的時間上是安全的，隨著網絡結構的變化、新的漏洞的發現，管理員/用戶的操作，主機的安全狀況是隨時隨地變化著的，只有讓安全意識和安全制度貫穿整個過程才能做到真正的安全。 

    本文在撰寫過程中參閱了大量Win2000安全的文章，在此向這些作者表示感謝。