三、正确地设置目录和文件权限(这步可以在以后做)

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。 Windows 2000/XP Pro的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户 (Everyone这个组)是完全控制的(Full Control)，您需要根据应用的需要重新设置权限。在进行权限控制时，请记住以下几个原则:

　　㈠权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

　　②拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。

　　③文件权限比文件夹权限高。

　　④利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。

　　⑤只给用户真正需要的权限，权限的最小化原则是安全的重要保障。

　　⑥预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法，而Windows 2000/2003应付的方法很简单。Windows 2000/2003自带一个Routing &  Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器