权限的设置所有磁盘分区的根目录只给Administrators组和SYSTEM 的完全控制权限，注意系统盘不要替换子目录的权限。windows目录和Program Files目录等一些目录并没有继承父目录权限，这些目录还需要其它一些权限才能运行。 C:Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限，并应用到子对象的项目替代所有子对象的权限项目。 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

c:/Documents and Settings/这里要注意，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点等等。在用做web/ftp服务器的系统里，建议设置。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。如果修改的话，不要应用到子对象的项目替代所有子对象的权限项目。系统目录权限拿不准的话就不要动了，一般做好根目录和Documents and Settings就比较安全了，asp程序访问不了根目录就访问不了子目录。

另外Documents and Settings目录增加Users用户组的读取运行权限，可以避免出现LoadUserProfile失败,需要注意的是一但有users组读取权限，asp木马就能访问这个目录。为了安全需要接受一些错误日志。（2009年1月13日备注：貌似是没有system完全就出现LoadUserProfile，与users无关。）

系统盘
下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 文件只给 Administrators 组和SYSTEM 的完全控制权限。可查找一下统一设置，或者编辑一份批处理，使用cacls命令处理。

本地策略→审核策略

　　审核策略更改　　　成功　失败　　
　　审核登录事件　　　成功　失败
　　审核对象访问　　　　　　失败
　　审核过程跟踪　　　无审核
　　审核目录服务访问　　　　失败
　　审核特权使用　　　　　　失败
　　审核系统事件　　　成功　失败
　　审核账户登录事件　成功　失败
　　审核账户管理　　　成功　失败

　　本地策略→用户权限分配
　　关闭系统：只有Administrators组、其它全部删除。
　　通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除