1.常见提权方法

　　如果想把Windows权限配置的变态，主要是必须了解现在常见的提权方法，网上有很多提权方法和视频，我们这里就不多说了。

　　2.设置用户的磁盘权限

　　介绍具体的权限前我们看一下普通的磁盘的权限，如图12所示。这里包括了Everyone和Users账户，他们的权限是可以查看目录的内容，这里必须禁止，因为我们的系统盘的内容不希望被其他的人看到，这里我们把Everyone和Users用户删掉我们只留下Administrator和SYSTEM。同理我们把D，E，F盘都设置成这样的权限。注意，这里我的服务器只有4个磁盘所以设置成了4个，如果你的磁盘有多个的话一定要把所有的磁盘都设置成跟C盘一样的权限。这里重点提示，除了web目录有些目录设置成可写以外，其他地方绝对不允许有可写目录的出现，当然这里有个例外就是c:\windows\temp目录，因为很多程序需要把文件上传到这里，不过没关系，我会讲解如何详细配置c:\windows\temp的。

图 12 普通磁盘用户的权限

　　3. 设置“c:\ Documents and Settings”的权限

　　然后我们设置“c:\ Documents and Settings”的权限，我们同样只保留administrator和SYSTEM权限，这里注意，虽然我们设置了“Documents and Settings”目录的权限，但是对于目录下的文件权限我们可以看到还是具有自己的权限，如图13所示，所以这里我们还需要继续修改。在Documents and Settings下面的Administrator我们可以看到默认权限只有administrator，administrators和SYSTEM，所以这里不需要修改了。

图13 设置“c:\ Documents and Settings”的权限

　　我们继续看All Users目录，如图13所示，默认权限不小，我们还是只保留Administrator和SYSTEM。了解了上面的步骤以后我们依次对All Users下面的所有目录（注意这里是所有目录）都只保留Administrator和system权限。

　　4.设置“c:\program and files”目录权限

　　同理c:\program and files也只保留administrator和system权限。但是我们必须把common这个目录设置成如图14所示的权限。

图14 设置“c:\program and files”目录权限

　　5.设置inetsrv目录权限

　　这里有个重点，如果服务器安装了IIS的话，会在c:\windows\system32目录下创建一个inetsrv的目录，这里有个文件夹叫ASP Compiled Templates如图15所示，我们可以看到IIS的启动用户IUSR_计算机名的用户的权限具有完全控制权限，因为这个目录很少有人注意，所以一直成为提权的杀手锏。我们必须要把这个目录的IUSR_计算机名这个用户删掉。

图15 删除IIS_WPG完全控制权限

　　6.设置“c:\windows\temp目录”权限

　　下面也是比较重要的c:\windows\temp目录的设置了，其实这个目录的设置需要考虑的因素非常多，例如第一点许多应用程序把上传的临时目录设置成这里，所以这个目录必须有可写权限，但是如果设置成可写的话，黑客能够再这里上传cmd.exe等程序来进行提权。第二点，有一些服务器的虚拟管理软件例如hzhost默认把session写入到这里，这样就造成了安全隐患，因为session中可能包括虚拟机的用户和密码，所以读权限也有谨慎的设置。第三这里也是系统的临时文件夹，很多程序的运行依赖这里。

　　所以权衡上面的利弊，我们需要根据具体的情况具体配置了，我们这里配置的原则是企业或者个人服务器，没有安装hzhost等软件的情况。我们设置成如图16这样的权限，我们把所有用户删除保留Administrator和system然后我们添加Everyone修改，读取及运行，列出文件目录，读取，写入权限。

图16设置“c:\windows\temp目录”权限

　　到这里，我们就算完成了NTFS的基本配置了，这样设置的安全性会大大的提高。我们第三部分会介绍web目录权限配置和php的安全配置。我们下一讲再见。谢谢大家，更多内容可以到antian365.com论坛查看。