5.目錄和文件權(quán)限：
    為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，我們還必須非常小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限，NT的訪問(wèn)權(quán)限分為：讀取、寫(xiě)入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對(duì)所有用戶（Everyone這個(gè)組）是完全敞開(kāi)的（Full Control），你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。
    在進(jìn)行權(quán)限控制時(shí)，請(qǐng)記住以下幾個(gè)原則：
1>限是累計(jì)的：如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限；
2>拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會(huì)先執(zhí)行）如果一個(gè)用戶屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限，他也一定不能訪問(wèn)這個(gè)資源。所以請(qǐng)非常小心地使用拒絕，任何一個(gè)不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無(wú)法正常運(yùn)行；
3>文件權(quán)限比文件夾權(quán)限高（這個(gè)不用解釋了吧？）
4>利用用戶組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一；
5>僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障；

6.預(yù)防DoS：
    在注冊(cè)表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防御一定強(qiáng)度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0

    ICMP攻擊：ICMP的風(fēng)暴攻擊和碎片攻擊也是NT主機(jī)比較頭疼的攻擊方法，其實(shí)應(yīng)付的方法也很簡(jiǎn)單，win2000自帶一個(gè)Routing & Remote Access工具，這個(gè)工具初具路由器的雛形（微軟真是的，什么都要做？聽(tīng)說(shuō)最近又要做防火墻了）在這個(gè)工具中，我們可以輕易的定義輸入輸出包過(guò)濾器，例如，設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來(lái)ICMP報(bào)文（讓你炸？我丟、丟、丟）

四、需要注意的一些事：
    實(shí)際上，安全和應(yīng)用在很多時(shí)候是矛盾的，因此，你需要在其中找到平衡點(diǎn)，畢竟服務(wù)器是給用戶用而不是做OPEN HACK的，如果安全原則妨礙了系統(tǒng)應(yīng)用，那么這個(gè)安全原則也不是一個(gè)好的原則。
    網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程，它不僅有空間的跨度，還有時(shí)間的跨度。很多朋友（包括部分系統(tǒng)管理員）認(rèn)為進(jìn)行了安全配置的主機(jī)就是安全的，其實(shí)這其中有個(gè)誤區(qū)：我們只能說(shuō)一臺(tái)主機(jī)在一定的情況一定的時(shí)間上是安全的，隨著網(wǎng)絡(luò)結(jié)構(gòu)的變化、新的漏洞的發(fā)現(xiàn)，管理員/用戶的操作，主機(jī)的安全狀況是隨時(shí)隨地變化著的，只有讓安全意識(shí)和安全制度貫穿整個(gè)過(guò)程才能做到真正的安全。 

    本文在撰寫(xiě)過(guò)程中參閱了大量Win2000安全的文章，在此向這些作者表示感謝。