7. 目錄和文件權限

　　為了控制好服務器上用戶的權限，同時也為了預防以后可能的入侵，我們還必須設置目錄和文件的訪問權限，Windows 2000的訪問權限分為:讀取、寫入、讀取及執行、修改、列目錄、完全控制。在默認的情況下，大多數的文件夾對所有用戶是完全敞開的，你需要根據應用的需要進行權限重設。

　　在進行權限控制時，請記住以下幾個原則:

　　(1)權限是累計的:如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權限。

　　(2)拒絕的權限要比允許的權限高。如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權限設置給他開放了多少權限，他也不能訪問這個資源。

　　(3)文件權限比文件夾權限高。

　　(4)僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障。

　　8. 預防DoS

　　在注冊表\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防御一定強度的DoS攻擊:

　　名稱 類型 值

　　SynAttackProtect REGDWORD 2

　　EnablePMTUDiscovery REGDWORD 0

　　NoNameReleaseOnDemand REGDWORD 1

　　EnableDeadGWDetect REGDWORD 0

　　KeepAliveTime REGDWORD 300,000

　　PerformRouterDiscovery REGDWORD 0

　　EnableICMPRedirects REGDWORD 0

　　9. ICMP攻擊

　　ICMP的風暴攻擊和碎片攻擊也是NT主機比較頭疼的攻擊方法，其實應付的方法也很簡單，Windows 2000自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形。在這個工具中，我們可以輕易地定義輸入輸出包過濾器。例如，設定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文。

　　(二)Windows 98安全配置

　　有時候，可能會有很多人共用一臺計算機。每個使用者都不愿意將包含自己隱私的文件讓其他人看到，但每個人又都有使用計算機的權利。這個時候，如何保證每個用戶系統和文件的安全就顯得十分重要，下面我們來告訴你如何解決這個問題。

　　1. 設置用戶權限

　　對不同的用戶設置不同的使用權限，限制一些用戶對系統文件的修改權，將大大地提高系統的安全性。其具體步驟如下(這里以設立“管理員”和“用戶”兩個級別為例):

　　(1)依次點擊“控制面板→密碼→用戶配置文件”，選擇“用戶可自定義首選項及桌面設置。登錄時，Windows自動啟用個人設置(C)”選項。單擊“確定”按鈕，按照屏幕提示設置“管理員”用戶及密碼。如圖1所示。

　　(2)重啟計算機后，以“管理員”身份進入Windows 98。依次點擊“控制面板→用戶”。按向導提示，設置用戶及密碼。此時要根據需要設置“用戶”級別所需項目。

　　2. 防止非法用戶進入

　　為防止非法用戶以系統默認配置進入Windows 98，可采用以下措施:運行“Regedit”，打開注冊表編輯器。在\HKEYUSER\Default\Software \Micorosoft\Windows\CurrentVersion\Run中創建新“字符串值”，串值名為“用戶非法，退出”。編輯字符串值為“rundll.exe user.exe， EXITWINDOWS”。這樣，當非法用戶試圖進入你的Windows 98系統時，計算機便會自動關機。

　　為了防止非法用戶按F8鍵調出Windows 98的啟動菜單，以安全方式進入系統，我們還需編輯Msdos.sys文件。在該文件的[option]小節中加入如下幾行:

　　BootMulti=0:設置系統不能進行多重引導。

　　BootGUI=1:在啟動時直接進入Windows 98圖形用戶界面。

　　BootDelay=0:設置在啟動時“Staring Windows 98……”信息停留的時間為0秒。

　　BootKeys=0:設置在啟動過程中F4、F5、F6、F8功能鍵失效。