Authenticated Users：读取和执行、列出文件夹内容、读取
%SystemRoot%\system32\Append.exe    Administrators：完全控制
%SystemRoot%\system32\Arp.exe    Administrators：完全控制
%SystemRoot%\system32\At.exe    Administrators：完全控制
%SystemRoot%\system32\Attrib.exe    Administrators：完全控制
%SystemRoot%\system32\Cacls.exe    Administrators：完全控制
%SystemRoot%\system32\Change.exe    Administrators：完全控制
%SystemRoot%\system32\Chcp.com    Administrators：完全控制
%SystemRoot%\system32\Chglogon.exe    Administrators：完全控制
%SystemRoot%\system32\Chgport.exe    Administrators：完全控制
%SystemRoot%\system32\Chguser.exe    Administrators：完全控制
%SystemRoot%\system32\Chkdsk.exe    Administrators：完全控制
%SystemRoot%\system32\Chkntfs.exe    Administrators：完全控制
%SystemRoot%\system32\Cipher.exe    Administrators：完全控制
%SystemRoot%\system32\Cluster.exe    Administrators：完全控制
%SystemRoot%\system32\Cmd.exe    Administrators：完全控制
%SystemRoot%\system32\Compact.exe    Administrators：完全控制
%SystemRoot%\system32\Command.com    Administrators：完全控制
%SystemRoot%\system32\Convert.exe    Administrators：完全控制
%SystemRoot%\system32\Cscript.exe    Administrators：完全控制
%SystemRoot%\system32\Debug.exe    Administrators：完全控制
%SystemRoot%\system32\Dfscmd.exe    Administrators：完全控制
%SystemRoot%\system32\Diskcomp.com    Administrators：完全控制
%SystemRoot%\system32\Diskcopy.com    Administrators：完全控制
%SystemRoot%\system32\Doskey.exe    Administrators：完全控制
%SystemRoot%\system32\Edlin.exe    Administrators：完全控制
%SystemRoot%\system32\Exe2bin.exe    Administrators：完全控制
%SystemRoot%\system32\Expand.exe    Administrators：完全控制
%SystemRoot%\system32\Fc.exe    Administrators：完全控制
%SystemRoot%\system32\Find.exe    Administrators：完全控制
%SystemRoot%\system32\Findstr.exe    Administrators：完全控制
%SystemRoot%\system32\Finger.exe    Administrators：完全控制
%SystemRoot%\system32\Forcedos.exe    Administrators：完全控制
%SystemRoot%\system32\Format.com    Administrators：完全控制
%SystemRoot%\system32\Ftp.exe    Administrators：完全控制
%SystemRoot%\system32\Hostname.exe    Administrators：完全控制
%SystemRoot%\system32\Iisreset.exe    Administrators：完全控制
%SystemRoot%\system32\Ipconfig.exe    Administrators：完全控制
%SystemRoot%\system32\Ipxroute.exe    Administrators：完全控制
%SystemRoot%\system32\Label.exe    Administrators：完全控制

%SystemRoot%\system32\Logoff.exe    Administrators：完全控制
%SystemRoot%\system32\Lpq.exe    Administrators：完全控制
%SystemRoot%\system32\Lpr.exe    Administrators：完全控制
%SystemRoot%\system32\Makecab.exe    Administrators：完全控制
%SystemRoot%\system32\Mem.exe    Administrators：完全控制
%SystemRoot%\system32\Mmc.exe    Administrators：完全控制
%SystemRoot%\system32\Mode.com    Administrators：完全控制
%SystemRoot%\system32\More.com    Administrators：完全控制
%SystemRoot%\system32\Mountvol.exe    Administrators：完全控制
%SystemRoot%\system32\Msg.exe    Administrators：完全控制
%SystemRoot%\system32\Nbtstat.exe    Administrators：完全控制
%SystemRoot%\system32\Net.exe    Administrators：完全控制
%SystemRoot%\system32\Net1.exe    Administrators：完全控制
%SystemRoot%\system32\Netsh.exe    Administrators：完全控制
%SystemRoot%\system32\Netstat.exe    Administrators：完全控制
%SystemRoot%\system32\Nslookup.exe    Administrators：完全控制
%SystemRoot%\system32\Ntbackup.exe    Administrators：完全控制
%SystemRoot%\system32\Ntsd.exe    Administrators：完全控制
%SystemRoot%\system32\Pathping.exe    Administrators：完全控制
%SystemRoot%\system32\Ping.exe    Administrators：完全控制
%SystemRoot%\system32\Print.exe    Administrators：完全控制
%SystemRoot%\system32\Query.exe    Administrators：完全控制
%SystemRoot%\system32\Rasdial.exe    Administrators：完全控制
%SystemRoot%\system32\Rcp.exe    Administrators：完全控制
%SystemRoot%\system32\Recover.exe    Administrators：完全控制
%SystemRoot%\system32\Regedit.exe    Administrators：完全控制
%SystemRoot%\system32\Regedt32.exe    Administrators：完全控制
%SystemRoot%\system32\Regini.exe    Administrators：完全控制
%SystemRoot%\system32\Register.exe    Administrators：完全控制
%SystemRoot%\system32\Regsvr32.exe    Administrators：完全控制
%SystemRoot%\system32\Replace.exe    Administrators：完全控制
%SystemRoot%\system32\Reset.exe    Administrators：完全控制

%SystemRoot%\system32\Rexec.exe    Administrators：完全控制
%SystemRoot%\system32\Route.exe    Administrators：完全控制
%SystemRoot%\system32\Routemon.exe    Administrators：完全控制
%SystemRoot%\system32\Router.exe    Administrators：完全控制
%SystemRoot%\system32\Rsh.exe    Administrators：完全控制
%SystemRoot%\system32\Runas.exe    Administrators：完全控制
%SystemRoot%\system32\Runonce.exe    Administrators：完全控制
%SystemRoot%\system32\Secedit.exe    Administrators：完全控制
%SystemRoot%\system32\Setpwd.exe    Administrators：完全控制
%SystemRoot%\system32\Shadow.exe    Administrators：完全控制
%SystemRoot%\system32\Share.exe    Administrators：完全控制
%SystemRoot%\system32\Snmp.exe    Administrators：完全控制
%SystemRoot%\system32\Snmptrap.exe    Administrators：完全控制
%SystemRoot%\system32\Subst.exe    Administrators：完全控制
%SystemRoot%\system32\Telnet.exe    Administrators：完全控制
%SystemRoot%\system32\Termsrv.exe    Administrators：完全控制
%SystemRoot%\system32\Tftp.exe    Administrators：完全控制
%SystemRoot%\system32\Tlntadmin.exe    Administrators：完全控制
%SystemRoot%\system32\Tlntsess.exe    Administrators：完全控制
%SystemRoot%\system32\Tlntsvr.exe    Administrators：完全控制
%SystemRoot%\system32\Tracert.exe    Administrators：完全控制
%SystemRoot%\system32\Tree.com    Administrators：完全控制
%SystemRoot%\system32\Tsadmin.exe    Administrators：完全控制
%SystemRoot%\system32\Tscon.exe    Administrators：完全控制
%SystemRoot%\system32\Tsdiscon.exe    Administrators：完全控制
%SystemRoot%\system32\Tskill.exe    Administrators：完全控制
%SystemRoot%\system32\Tsprof.exe    Administrators：完全控制
%SystemRoot%\system32\Tsshutdn.exe    Administrators：完全控制

%SystemRoot%\system32\Usrmgr.com    Administrators：完全控制
%SystemRoot%\system32\Wscript.exe    Administrators：完全控制
%SystemRoot%\system32\Xcopy.exe    Administrators：完全控制
7    服务器操作系统补丁管理
7.1    确定修补程序当前版本状态
注册表中查看HKLM\Software\Microsoft\Windows Nt\Currentversion\hotfix键，可以看到打过的补丁对应的修复程序的知识库文章编号。
如果已经部署了 Microsoft Systems Management Server (SMS)，则其软件部署功能可用于将修补程序部署到环境中具有 SMS 客户端的所有计算机，并确认每台计算机所安装的补丁程序的当前版本和状态。
具体操作可以参阅相关的补丁管理规范和流程。
7.2    部署修补程序
可以使用手工执行修补程序的方法安装，修补程序一般是一个可执行文件，其名称表示了修补的信息。如：Q292435_W2K_SP3_x86_en.EXE。
    Q292435 是知识库文章编号，您可在其中查找有关该即时修复程序的详细信息。
    W2K 是它所针对的产品 (Microsoft Windows 2000 Server)
    SP3 是将要包括它的 Service Pack。
    x86 是它所面向的处理器体系结构。
    en 是语言（英语）。
如果安装了Microsoft Software Update Services (SUS)程序，可以使用SUS集中部署指定范围（指定域或IP地址范围）的主机的修补程序。
8    系统审计日志
应用程序、安全性和系统事件日志的设置都应在域策略中配置并应用到域中的所有成员服务器。建议设置日志大小为10M字节，配置为不改写事件。
审计策略应根据以下设置按照具体需要修改：
策略    计算机设置
审计账户登录事件    成功，失败
审计账户管理    成功，失败
审计目录服务访问    失败
审计登录事件    成功，失败
审计对象访问    成功，失败
审计策略更改    成功，失败
审计特权使用    失败
审计过程追踪    无审计
审计系统事件    成功，失败
限制对应用程序日志的来宾访问    启用
限制对安全日志的来宾访问    启用
限制对系统日志的来宾访问    启用
应用程序日志的保留方法    不要改写事件 (手动清除日志)
安全日志的保留方法    不要改写事件 (手动清除日志)
系统日志的保留方法    不要改写事件 (手动清除日志)
安全审计日志满后关闭计算机    未定义
经常使用其做安全性检查，检查的内容。

9    其它配置安全
9.1    确保所有的磁盘卷使用NTFS文件系统
NTFS文件系统具有更好的安全性, 提供了强大的访问控制机制。
9.2    系统启动设置
配置boot.ini，禁止双重或多重启动，设置系统启动等待时间为零。
9.3    屏幕保护设置
设置在10分钟内主机没有侦测到任何活动（鼠标或键盘操作），系统将自动启动屏幕保护，并需要键入用户密码才能关闭。
9.4    远程管理访问要求
对于Windows的远程管理访问的安全性至少满足以下的要求：
1.    对于远程管理用户的口令必须满足相关的口令要求，详见第三章节的用户账号控制，所有的远程用户登录尝试必须被记录并保留至少180天；
2.    必须使用有效和足够强度的加密算法来保护远程管理访问中传输的信息；
3.    存取控制保证仅仅只有管理员才能够做服务器的远程管理。远程管理软件只接受一个小范围IP地址的连接；
注意：基于以上的安全要求，要禁止运行Windows的Telnet服务。
10    防病毒管理
依据中国××公司病毒防护管理规范。下面是一些特别要求（基于目前Symantec AntiVirus防病毒软件环境）。
    配置至少每周一次自动的全系统病毒扫描;
    配置每天定时自动检查更新病毒定义文件;
    配置对于不可修复文件移至“Quarantine”区;
    对于发现的病毒则要有相关信息提示自动的发送到相关管理人员处。
11    附则
11.1    文档信息
第一条    本策略由公司信息安全办公室制定，并负责解释和修订。由公司信息安全工作组讨论通过，发布执行。
第二条    本策略自发布之日起执行。
11.2    其他信息