¿Cómo lidiar con las herramientas de escaneo locales?
Abra solo los puertos necesarios y cierre el resto porque después de instalar el sistema, los puertos predeterminados generalmente están abiertos al mundo exterior.
Los piratas informáticos utilizarán herramientas de escaneo para escanear qué puertos pueden ser. explotados, lo que supone una grave amenaza para la seguridad.
Aplicación de protocolo de puerto
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVIDOR
1433 TCP SQL SERVIDOR
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
Protocolo IP 6 (sin puerto)
Protocolo IP 8 (sin puerto)
Luego, según nuestra propia experiencia, cerramos los siguientes puertos
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135 epmap
138 [Onda de choque]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SERVIDOR SQL
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[Onda de choque]
4489
UDP
67[Onda de choque]
137 netbios-ns
161 Se está ejecutando un agente SNMP/Nombres de comunidad predeterminados del agente SNMP
Con respecto a UDP, generalmente solo Tencent OICQ abrirá el puerto 4000 u 8000. entonces, solo ejecutamos esta máquina usando el puerto 4000
7. Proteger la privacidad personal
1. Navegador TT
Elige usar otro navegador para navegar por el sitio web. I Se recomienda usar TT, tiene sentido usar TT.
TT puede identificar scripts y programas JAVA en páginas web y puede resistir algunos scripts maliciosos, etc., e incluso si TT está infectado. , puedes eliminarlo. Reinstalé otro. [TT es el navegador de Tencent] (Pero a algunas personas les gusta usar MyIE porque no lo he usado durante mucho tiempo y no lo conozco muy bien. No puedo sentir eso). tiene ventajas en términos de seguridad.) ~, espero que los amigos que apoyan MyIE no me den una paliza, de lo contrario lloraré... ...)
2. /p>
Ingrese al administrador de recursos, haga clic derecho en "Mis documentos", seleccione "Propiedades", haga clic en el botón "Mover" en la pestaña "Carpeta de destino",
seleccione el disco de destino y haga clic "DE ACUERDO". En Windows 2003, "Mis documentos" ya no está visible y ya no se puede ver en el escritorio, en el inicio, etc.
Se recomienda que los amigos que lo usan con frecuencia creen un acceso directo y lo coloquen en el escritorio.
3. Mover archivos temporales de IE
Ingrese a "Inicio→Panel de control→Opciones de Internet", haga clic en el botón "Configuración" en la columna "Archivos de Internet" de la pestaña "General". ,
Haga clic en el botón "Mover carpeta" en el formulario emergente, seleccione la carpeta de destino, haga clic en "Aceptar" y seleccione "Sí" en el cuadro de diálogo emergente.
El sistema volverá a iniciar sesión automáticamente.
Haga clic en Conexión local, Avanzado, Seguridad Mensual y cambie el directorio del diario mensual a un directorio asignado específicamente al diario mensual.
No se recomienda utilizar C: y luego redistribuir el tamaño del almacenamiento del diario mensual. Lo configuré en 10000 KB
8. Ayuda de software de terceros
Firewall: Skynet Firewall (recomendado) [Nota del distribuidor de Erdao: para WinXP y superior. considere usar el propio firewall del sistema, y para Win2000, puede considerar usar IPSEC (es una oportunidad para hacer ejercicio)
Software antivirus: Kaspersky
Nota del segundo distribuidor:
Hoy en día, los ataques de piratas informáticos han pasado de las vulnerabilidades tradicionales del sistema al navegador, por lo que debe prestar atención a su navegador mientras actualiza algunos parches de vulnerabilidad tradicionales.
Configuración de seguridad del servidor Windows 2000.
Configurar para deshabilitar y construir la primera línea de defensa c_
Después de instalar Windows 2000, primero debe instalar los últimos parches del sistema. Pero incluso si está instalado, en cualquier máquina en Internet, simplemente ingrese "\\su dirección IP\c", luego ingrese el nombre de usuario Invitado y deje la contraseña en blanco para ingresar a su unidad C. La solución es deshabilitar la cuenta de Invitado, establecer una contraseña segura para el administrador y establecer el uso compartido máximo de cada unidad en un uso compartido no limitado. Al mismo tiempo, también debes desactivar los servicios que no sean necesarios. Puede configurarlos para que se deshabiliten en los servicios de la herramienta de administración, pero debe tener cuidado ya que algunos servicios no se pueden deshabilitar. Los servicios que generalmente se pueden deshabilitar incluyen Telnet, programador de tareas (que permite que los programas se ejecuten en momentos específicos), servicios de registro remoto (que permiten operaciones de registro remoto), etc. Esta es la primera línea de defensa para el servidor que usted construye. - Configure la segunda línea de defensa y construya la segunda línea de defensa <*i Como servidor en la red del campus, muchas escuelas usan este servidor como servidor de sitios web al mismo tiempo, y la segunda laguna también es un problema espinoso. De hecho, puede tapar completamente las lagunas de su sitio web mediante configuraciones simples. Puede detener el segundo servicio predeterminado (como se muestra en la Figura 1). Si lo hace, le recomiendo que utilice "Sitio de administración" y "Sitio predeterminado". ; Generalmente no se utiliza el Protocolo simple de transferencia de correo), y luego cree un nuevo sitio web. Después de configurar el contenido general, configure la asignación de la aplicación en la configuración de "Propiedades → Directorio de inicio" y elimine las asignaciones innecesarias (Figura 2). la causa directa del segundo ataque. Si necesita CGI y PHP, puede consultar alguna información para configurar LB
De esta manera, con la configuración habitual, su servidor puede funcionar de forma segura y su servidor tiene una segunda línea de defensa. >#_t1)
Utilice escáneres para tapar agujeros de seguridad [J= Para resolver de manera integral los problemas de seguridad, necesita la ayuda de escáneres. El autor recomienda utilizar la navegación X (Figura 3), que puede ayudarle a detectar problemas de seguridad del servidor. rmp
Una vez completado el escaneo, debe verificar si existe una vulnerabilidad de contraseña. Si es así, debe modificar la configuración de la contraseña inmediatamente y luego verificar si existe una segunda vulnerabilidad. verifique la segunda configuración. Por lo general, otras vulnerabilidades rara vez existen. Lo que quiero recordarles a todos es que presten atención a los puertos abiertos. Puede registrar los puertos escaneados para facilitar el siguiente paso de configuración. vY) Bloquear puertos y crear una línea de defensa integral YD_\1 "La mayoría de los piratas informáticos se entrometen a través de los puertos, por lo que su servidor solo puede abrir los puertos que necesita. Entonces, ¿qué puertos necesita? Los siguientes son puertos de uso común, puede elegir según sus necesidades: 7e|
80 es para el servicio de sitio web; 21 es para el servicio FTP; 25 es para el servicio de Protocolo simple de transferencia de correo electrónico; correo electrónico al servicio POP3. ?[U Otros incluyen el puerto 1433 del servidor SQL, etc. Puede encontrar información relevante en línea. ¡Esos puertos no utilizados deben estar cerrados! Para cerrar estos puertos podemos hacerlo a través de la política de seguridad de Windows 2000. B "Con su estrategia de seguridad, puede prevenir completamente los ataques de intrusos. Puede ingresar a través de "Herramientas administrativas → Política de seguridad local", hacer clic derecho en "Política de seguridad IP", seleccionar "Crear política de seguridad IP" y hacer clic en [Siguiente].
Introduce el nombre de la política de seguridad y haz clic en [Siguiente] hasta completar. Has creado una política de seguridad OkQcy
Entonces lo que tienes que hacer es hacer clic derecho en "Política de seguridad IP" y entrar en la administración. Filtro IP Y operaciones de filtrado, en la lista de filtro IP de administración, puede agregar los puertos que se bloquearán. Aquí tomamos el cierre de ICMP y el puerto 139 como ejemplo. b]}
Si ICMP está desactivado, el software hacker no podrá escanear su máquina sin la función de escaneo forzado y no podrá acceder a su máquina. La operación específica para desactivar ICMP es la siguiente: haga clic en [Agregar], luego ingrese "Desactivar ICMP" en el nombre, haga clic en [Agregar] a la derecha y luego haga clic en [Siguiente]. Seleccione "Cualquier dirección IP" en la dirección de origen y haga clic en [Siguiente]. Seleccione "Mi dirección IP" en la dirección de destino y haga clic en [Siguiente]. Seleccione "ICMP" en el protocolo y haga clic en [Siguiente]. Regrese a la ventana Cerrar propiedades de ICMP, lo que significa que ICMP está desactivado. sf7 FQ
A continuación configuramos cerrar 139. También haga clic en "Agregar" en la lista de filtros de IP de administración, establezca el nombre en "Cerrar 139", haga clic en "Agregar" a la derecha y haga clic en [Siguiente]. . Seleccione "Cualquier dirección IP" en la dirección de origen y haga clic en [Siguiente]. Seleccione "Mi dirección IP" en la dirección de destino y haga clic en [Siguiente]. Seleccione "TCP" en el protocolo y haga clic en [Siguiente]. En Establecer puerto de protocolo IP, seleccione Desde cualquier puerto a este puerto, ingrese 139 en este puerto y haga clic en Siguiente. Es decir, el puerto 139 está cerrado y los demás puertos se configuran de la misma manera. El resultado se muestra en la Figura 5. f6WL
Se señaló especialmente que apagar UDP4000 puede prohibir que las máquinas en la red del campus usen QQ. Q Luego ingrese a la operación del filtro de administración de configuración, haga clic en "Agregar", haga clic en Siguiente, ingrese "Denegar" en el nombre y haga clic en Siguiente. Seleccione "Bloquear" y haga clic en [Siguiente]. uLuego cierre la página de propiedades, haga clic con el botón derecho en la política de seguridad IP recién creada "Seguridad" y abra la página de propiedades. Seleccione "Agregar" en la regla y haga clic en [Siguiente]. Seleccione "Esta regla no especifica un túnel" y haga clic en Siguiente. Seleccione "Todas las conexiones de red" en Seleccione un tipo de red y haga clic en Siguiente. Seleccione "Desactivar ICMP" en la lista de filtros de IP y haga clic en [Siguiente]. Seleccione "Denegar" en la acción de filtro y haga clic en Siguiente. De esta manera agregarás el filtro "Desactivar ICMP" a la política de seguridad IP denominada "Seguridad". Del mismo modo, puedes agregar otros filtros como "Cerrar 139". El resultado después de la suma se muestra en la Figura 7. (8 "Lo último que tengo que hacer es asignar la política. Solo tendrá efecto después de la asignación. El método es hacer clic derecho en "Seguridad", seleccionar "Todas las tareas" en el menú y seleccionar "Asignar". finaliza la configuración de seguridad de IP, puede configurar la política correspondiente de acuerdo con su propia situación 2 "Una vez completada la configuración, puede usar X Browse para verificar y solucionar los problemas si los encuentra. 9g
Con la configuración anterior, se puede decir que su servidor Windows 2000 es muy seguro. Espero que pueda crear un bosque de protección de seguridad para el servidor lo antes posible.
Explicación detallada de la configuración de permisos en Windows.
Con el uso generalizado de Dongwang Forum y Dongwang upload Con el descubrimiento de vulnerabilidades y el uso cada vez mayor de ataques de inyección SQL, WEBSHELL ha hecho que los firewalls sean inútiles incluso si un servidor WEB ha sido parcheado con todos los parches de Microsoft. y solo permite que el puerto 80 se abra al mundo exterior, no puede escapar al destino de ser pirateado. De hecho, siempre que comprenda la configuración de permisos del sistema NTFS, ¿podemos decir? los crackers: ¡NO! Para construir un servidor WEB seguro, este servidor debe usar NTFS y Windows NT/2000/2003. Como todos sabemos, Windows es un sistema operativo que admite multiusuario y multitarea. Configuración de permisos. Todas las configuraciones de permisos se basan en usuarios y procesos. Cuando diferentes usuarios acceden a esta computadora, habrá diferentes permisos. ¿Cuándo? Abrimos una computadora con un sistema operativo DOS, tenemos estos permisos de administrador del sistema operativo, y este permiso está en todas partes. Por lo tanto, solo podemos decir que DOS no admite configuraciones de permisos, pero no se puede decir que no. tener permisos Con la mejora de la conciencia de seguridad de las personas, la configuración de permisos nació con el lanzamiento de NTFS.
En Windows NT, los usuarios se dividen en muchos grupos y los grupos tienen diferentes permisos. Por supuesto, los usuarios de un grupo también pueden tener diferentes permisos. Hablemos de grupos de usuarios comunes en NT. Administradores, grupo de administradores, de forma predeterminada, los usuarios de Administradores tienen acceso completo sin restricciones a la computadora/dominio. Los permisos predeterminados asignados a este grupo permiten un control total de todo el sistema. Por lo tanto, sólo las personas de confianza pueden ser miembros de este grupo.
Usuarios avanzados, Grupo de usuarios avanzados, Usuarios avanzados pueden realizar cualquier tarea del sistema operativo excepto aquellas reservadas para el grupo Administradores. Los permisos predeterminados asignados al grupo de Usuarios avanzados permiten a los miembros del grupo de Usuarios avanzados modificar la configuración de toda la computadora. Pero los usuarios avanzados no tienen permiso para agregarse al grupo de administradores. En la configuración de permisos, los permisos de este grupo ocupan el segundo lugar después de los Administradores.
Usuarios: grupo de usuarios ordinarios. Los usuarios de este grupo no pueden realizar cambios intencionales o no. Por lo tanto, los usuarios pueden ejecutar aplicaciones verificadas pero no la mayoría de las aplicaciones heredadas. El grupo Usuarios es el grupo más seguro porque los permisos predeterminados asignados a este grupo no permiten a los miembros modificar la configuración del sistema operativo o los perfiles de usuario. El grupo Usuarios proporciona el entorno de ejecución de programas más seguro. En volúmenes con formato NTFS, la configuración de seguridad predeterminada está diseñada para evitar que los miembros de este grupo comprometan la integridad del sistema operativo y los programas instalados. Los usuarios no pueden modificar la configuración del registro del sistema, los archivos del sistema operativo ni los archivos de programa. Los usuarios pueden apagar las estaciones de trabajo, pero no los servidores. Los usuarios pueden crear grupos locales, pero solo pueden modificar los grupos locales que crean.
Invitados: Grupo de invitados, de forma predeterminada, los invitados tienen los mismos derechos de acceso que los miembros de los Usuarios normales, pero la cuenta de invitado tiene más restricciones.
Todos: Como su nombre indica, todos los usuarios, todos los usuarios de este ordenador pertenecen a este grupo.
De hecho, hay otro grupo que también es muy común. Tiene los mismos permisos o incluso mayores que los Administradores, pero este grupo no permite que ningún usuario se una. no se mostrará, es el grupo SISTEMA. Este otorga todos los permisos necesarios para el funcionamiento normal del sistema y los servicios a nivel del sistema. Dado que el grupo solo tiene un usuario, SISTEMA, puede ser más apropiado clasificar al grupo como usuario.
Los permisos se dividen en niveles altos y bajos. Los usuarios con permisos altos pueden operar con usuarios con permisos bajos, pero, a excepción de los administradores, los usuarios de otros grupos no pueden acceder a otros datos de usuario en el volumen NTFS a menos que estén autorizados. por estos usuarios. Los usuarios con permisos bajos no pueden realizar ninguna operación con usuarios con permisos altos.
Cuando usamos computadoras normalmente, no sentiremos que los permisos le impidan hacer algo. Esto se debe a que cuando usamos computadoras, todos iniciamos sesión como usuarios en Administradores. Esto tiene ventajas y desventajas. La ventaja es, por supuesto, que puedes hacer lo que quieras sin encontrar restricciones de permisos. La desventaja es que ejecutar una computadora como miembro del grupo de Administradores hace que el sistema sea vulnerable a troyanos, virus y otros riesgos de seguridad. El simple hecho de visitar un sitio de Internet o abrir un archivo adjunto de correo electrónico puede dañar su sistema. Los sitios de Internet desconocidos o los archivos adjuntos de correo electrónico pueden tener un código troyano que se puede descargar al sistema y ejecutar. Si inicia sesión como administrador de la computadora local, el caballo de Troya puede usar derechos de acceso administrativo para reformatear su disco duro, causando daños inmensurables. Por lo tanto, es mejor no iniciar sesión como usuario en Administradores a menos que sea necesario. Hay un usuario predeterminado en Administradores, Administrador, que se crea durante la instalación del sistema. La cuenta de Administrador tiene permisos de control total en el servidor y puede asignar derechos de usuario y permisos de control de acceso a los usuarios según sea necesario.
Por lo tanto, se recomienda encarecidamente configurar esta cuenta para que utilice una contraseña segura. La cuenta de Administrador nunca se puede eliminar del grupo de Administradores, pero se le puede cambiar el nombre o desactivarla. Dado que se sabe que el "Administrador" existe en muchas versiones de Windows, cambiar el nombre o deshabilitar esta cuenta hará que sea más difícil para los usuarios malintencionados intentar acceder a la cuenta. Un buen administrador del servidor normalmente cambiará el nombre o desactivará esta cuenta. En el grupo de usuarios Invitados, también hay un usuario predeterminado: Invitado, pero está deshabilitado de forma predeterminada. No es necesario activar esta cuenta si no existe una necesidad especial. Podemos ver el grupo de usuarios y los usuarios del grupo a través del "Panel de control" - "Herramientas administrativas" - "Administración de computadoras" - "Usuarios y grupos de usuarios".
Hacemos clic derecho en un volumen NTFS o en un directorio bajo un volumen NTFS y seleccionamos "Propiedades" - "Seguridad" para establecer permisos en un volumen o un directorio bajo un volumen. Esto veremos los siguientes siete. permisos: control total, modificación, lectura y ejecución, directorio de carpetas de lista, lectura, escritura y permisos especiales. "Control total" significa tener acceso total y sin restricciones al volumen o directorio. El estado es como el de Administradores en todos los grupos. Con "Control total" seleccionado, las siguientes cinco propiedades se seleccionarán automáticamente. "Modificar" es como Usuarios avanzados. Si se selecciona "Modificar", las siguientes cuatro propiedades se seleccionarán automáticamente. Cuando no se selecciona alguno de los siguientes elementos, la condición "modificar" ya no será verdadera. "Leer y ejecutar" permite leer y ejecutar cualquier archivo en este volumen o directorio. "Listar directorio de carpetas" y "leer" son condiciones necesarias para "leer y ejecutar". "Listar directorio de carpetas" significa que solo puede explorar los subdirectorios del volumen o directorio, pero no puede leerlos ni ejecutarlos. "Leer" significa poder leer los datos en el volumen o directorio. "Escribir" significa poder escribir datos en el volumen o directorio. "Especial" subdivide los seis permisos anteriores. Los lectores pueden realizar una investigación en profundidad sobre "especial" por sí mismos, por lo que no entraré en detalles aquí.
Ahora realizaremos un análisis exhaustivo del sistema de un servidor WEB y sus permisos en el que acabamos de instalar el sistema operativo y el software de servicio. El servidor utiliza la versión Windows 2000 Server, con SP4 y varios parches instalados. El software del servicio WEB utiliza IIS 5.0 que viene con Windows 2000 y elimina todas las asignaciones innecesarias. Todo el disco duro está dividido en cuatro volúmenes NTFS. La unidad C es el volumen del sistema, que solo tiene el sistema y los controladores instalados; la unidad D es el volumen del software, y todo el software instalado en el servidor está en la unidad D; La unidad E es el volumen del programa WEB y el sitio web Todos los programas están en el directorio WWW de este volumen. La unidad F es el volumen de datos del sitio web y todos los datos llamados por el sistema del sitio web se almacenan en el directorio WWWDATABASE de este volumen. Esta clasificación es relativamente consistente con los estándares de un servidor seguro. Espero que todos los administradores novatos puedan clasificar razonablemente los datos de su servidor. Esto no solo facilitará la búsqueda, sino que, lo que es más importante, mejorará en gran medida la seguridad del servidor, porque podemos clasificar cada volumen o directorio según sea necesario. Los permisos pueden minimizar las pérdidas una vez que ocurre un incidente de seguridad de la red. Por supuesto, los datos del sitio web también se pueden distribuir en diferentes servidores para formar un grupo de servidores. Cada servidor tiene un nombre de usuario y contraseña diferentes y proporciona diferentes servicios. Pero las personas que están dispuestas a hacer esto tienen una característica: son ricas :). Bien, vayamos al grano. La base de datos de este servidor es MS-SQL. El software de servicio MS-SQL SQL2000 está instalado en el directorio d:\ms-sqlserver2K. Se establece una contraseña suficientemente segura para la cuenta SA. El parche SP3 está instalado. Para facilitar a los desarrolladores de páginas web la gestión de páginas web, el sitio web también ha abierto un servicio FTP. El software del servicio FTP utiliza SERV-U 5.1.0.0 y está instalado en el directorio d:\ftpservice\serv-u.
El software antivirus y el firewall utilizados son Norton Antivirus y BlackICE respectivamente, y las rutas son d:\nortonAV y d:\firewall\blackice respectivamente. La base de datos de virus se ha actualizado a la última versión y la base de reglas del firewall define que solo los puertos 80. y 21 están abiertos al mundo exterior. El contenido del sitio web es un foro que utiliza Dongwang 7.0 y el programa del sitio web se encuentra en e:\www\bbs. Los lectores atentos pueden haber notado que no utilicé la ruta predeterminada para instalar este software de servicio o simplemente cambié la ruta predeterminada de la letra de la unidad. Esto también es un requisito de seguridad, porque si un pirata informático ingresa a su computadora por algún medio, servidor, pero. no ha obtenido derechos de administrador, lo primero que hará será ver qué servicios tienes abiertos y qué software tienes instalado, porque necesita utilizarlos para elevar sus derechos. Un camino difícil de adivinar combinado con buenos permisos lo mantendrán fuera. Creo que el servidor WEB configurado de esta manera es suficiente para resistir a la mayoría de los piratas informáticos no calificados. Los lectores pueden volver a preguntar: "¡Esto no requiere ninguna configuración de permisos! He realizado todos los demás trabajos de seguridad, ¿aún es necesaria la configuración de permisos?" Un hombre sabio siempre cometerá errores después de una cuidadosa consideración. Incluso si ya ha perfeccionado la seguridad del sistema, debe saber que siempre se descubren nuevas vulnerabilidades de seguridad. ¡Los permisos serán tu última línea de defensa! Ahora realicemos un ataque simulado en este servidor, que no ha sido sometido a ninguna configuración de permisos y utiliza los permisos predeterminados de Windows, para ver si es realmente inexpugnable.
Supongamos que el nombre de dominio externo del servidor es. Después de que se descubrió que la herramienta de desbordamiento era ineficaz, se abandonó la idea del desbordamiento remoto directo. Cuando abrí la página del sitio web, descubrí que estaba usando el sistema de foro de Dongwang, así que agregué /upfile.asp después del nombre de dominio y encontré una vulnerabilidad de carga de archivos, así que capturé el paquete y envié el troyano ASP modificado usando. NC. Me indicó que la carga se realizó correctamente. Obtuve WEBSHELL, abrí el troyano ASP que acabo de cargar y descubrí que MS-SQL, Norton Antivirus y BlackICE se estaban ejecutando. Consideré que había restricciones en el firewall y el servicio SQL. El puerto estaba bloqueado. Los PID de Norton Antivirus y BlackICE se vieron a través del troyano ASP y se cargó un archivo que podía interrumpir el proceso a través del troyano ASP. Después de ejecutarse, Norton Antivirus y BlackICE se eliminaron. Escanee nuevamente y descubra que el puerto 1433 está abierto. En este punto, hay muchas formas de obtener derechos de administrador. Puede consultar conn.asp en el directorio del sitio web para obtener el nombre de usuario y la contraseña de SQL y luego iniciar sesión en SQL para ejecutar la adición de usuarios. y aumento de permisos de administradores. También puede tomar ServUDaemon.ini en SERV-U, modificarlo y cargarlo para obtener derechos de administrador del sistema. También puede transferir herramientas SERV-U de desbordamiento local para agregar usuarios directamente a Administradores, etc. Como puede ver, una vez que un pirata informático encuentra un punto de entrada, sin restricciones de permisos, obtendrá fácilmente privilegios de administrador.
Ahora echemos un vistazo a la configuración de permisos predeterminada de Windows 2000. Para el directorio raíz de cada volumen, el grupo Todos tiene control total de forma predeterminada. Esto significa que cualquier usuario que entre al ordenador podrá hacer lo que quiera en estos directorios raíz sin restricciones. Hay tres directorios especiales en el volumen del sistema. El sistema les otorga permisos restringidos de forma predeterminada. Estos tres directorios son Documentos y configuración, Archivos de programa y Winnt. Para Documentos y configuraciones, los permisos predeterminados se asignan de la siguiente manera: Los administradores tienen control total; todos tienen permisos de lectura, ejecución, columnas y lectura; los usuarios avanzados tienen permisos de lectura, ejecución, columnas y lectura; Los usuarios tienen permisos de lectura y ejecución, de columna y de lectura.
Para los archivos de programa, los administradores tienen control total; el propietario creador tiene permisos especiales; los usuarios avanzados tienen control total; el SISTEMA es el mismo que el administrador.