win10 系统服务_win2003系统服务

1.让window server 2003可以正常使用有哪些步骤

2.如何优化windows server 2003 提升系统性能

3.请问有哪位遇到过win2003的server和workstation服务在系统正常运行中自动关闭的情况?谢谢关注.

4.求助Windows 2003 Server使用方法，本人刚刚接触

5.Win2003操作系统的核心服务

分类: 电脑/网络 >> 操作系统/系统故障

解析:

如何防范ipc$入侵

1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)

首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co

ntrol\LSA]把

RestrictAnonymous = DWORD的键值改为：***********。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC$共享

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

2、禁止默认共享

1）察看本地共享

运行-cmd-输入 share

2）删除共享(每次输入一个）

share ipc$ /delete

share admin$ /delete

share c$ /delete

share d$ /delete（如果有e,f,……可以继续删除）

3）修改注册表删除共享

运行-regedit

找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServ

er\Parameters]

把AutoShareServer（DWORD）的键值改为:***********。

如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

3、停止server服务

1）暂时停止server服务

stop server /y （重新启动后server服务会重新开启）

2）永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务

控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用

4、安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等)

1).解开文件和打印机共享绑定

鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，去掉“Microsoft网络

的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从13

9和445端口来的请求，别人也就看不到本机的共享了。

停止server服务 100%可以！！！

让window server 2003可以正常使用有哪些步骤

Microsoft Windows 服务（即，以前的 NT 服务）使您能够创建在它们自己的 Windows 会话中可长时间运行的可执行应用程序。这些服务可以在计算机启动时自动启动，可以暂停和重新启动而且不显示任何用户界面。这使服务非常适合在服务器上使用，或任何时候，为了不影响在同一台计算机上工作的其他用户，需要长时间运行功能时使用。还可以在不同于登录用户的特定用户帐户或默认计算机帐户的安全上下文中运行服务。

://jingyan.baidu/article/fdffd1f8e01800f3e98ca119.html

详细可以参考这个，有图解教程，希望可以帮到你

如何优化windows server 2003 提升系统性能

改造Windows Server 2003

Windows Server 2003的安装与Windows XP专业版非常相似，因此就不再赘述，下面就马上进入改造工程：

1.取消“管理您的服务器”窗口

默认情况下，每次系统启动会显示“管理您的服务器”窗口，勾选该窗口左下方的“登录时不要显示此页”，这样以后就不会再有这个窗口出现了。

2.创建新用户

按下WIN+R组合键打开“运行”对话框，输入rundll32 netplwiz.dll,UsersRunDll (或者control userpasswords2)，按在“确定”后即会弹出熟悉的“用户帐号”窗口，接下来你就可以创建新的用户帐号，同时可实现自动登录系统。

如果想实现更多高级用户设置，可在“运行”对话框中输入lusrmgr.msc,回车后打开“本地用户和组”窗口，双击“用户”中的相应用户即可进入属性窗口进行设置。

小提示：

★恼人的Ctrl+Alt+Del提示请彻底走开

尽管已经使用自动登录摆脱了恼人的Ctrl+Alt+Del的提示，但在按下WIN＋L组合键锁定系统或使用了带密码保护的屏保时，它还是会冒出来，要想根除它，请进入“控制面板→管理工具→本地安全策略”，找到“本地策略→安全选项”，在右侧窗口中双击“交互式登录：不需要按CTRL+ALT+DEL”，将其设置为“已启动”。

★在“控制面板”中添加“用户和密码”

到://.cfan.cn下载AddUserPasswordsToCP.reg,双击将其导入注册表，这样“控制面板”中就会出现“用户和密码”项了，管理用户更加方便。

3.禁止关闭跟踪程序

在你试图重启或关闭Windows Server 2003时，系统会询问关机理由，真是很烦，现在就来把它取消掉。

第一步：按WIN＋R组合键打开“运行”对话框，输入gpedit.msc，回车后打开“组策略编辑器”；

第二步：选择“本地计算机策略→计算机配置→管理模板→系统”，接着双击右侧窗口的“显示关闭跟踪程序”，然后在“设置”选项卡中选中“已禁用”。

4.关闭IE增强的安全配置

当你打开IE后，会弹出如图的提示窗口，如果不对其进行更改，那么将无法对Internet进行浏览和文件下载。所以要点击IE的“工具→Internet→选项→安全”，将“Internet”区域的安全级别滑快由“高”拉动到“中”。

接着进入“控制面板→添加或删除程序→添加/删除Windows组件”，然后取消“Internet Explorer增强的安全配置”，按“确定”即可将其完全卸载。

小提示：在进行以上处理后，每次打开IE还会出现提示文字的页面，可以进入“工具→Internet→常规”，将默认主页更换掉。

5.开启硬件加速

第一步：默认情况下，Windows Server 2003禁用了显卡的硬件加速，因此只提供2D和有限的3D能力，所以首先要下载并安装显卡最新的For Windows 2000/XP的驱动程序。

第二步：在桌面窗口处右击“属性→设置→高级→疑难解答”，将其中的“硬件加速”滑块拉到最右侧（完全）。

第三步：按WIN+R组合键打开“运行”对话框，输入dxdiag,回车后打开“DirectX诊断工具”窗口，进入“显示”选项卡，然后单击下面的“DirectX功能”项中的“启用”按钮，这样便打开了DirectX(8.1)DirectDraw、Direct3D、P纹理加速等功能。

小提示：由于Windows Server 2003内置的是DirectX 8.1,因此建议你将其升级到DirectX 9.0a，下载地址:://crc.mydrivers/others/dx90a_redist.exe；或者DirectX 9.0b，下载地址:://crc.mydrivers/others/dx90update_redist.exe

6.启用界面主题服务

现在要开启主题服务，从页可以从“显示属性”中选择Windows XP的Luna主题。

按WIN＋R组合键打开“运行”对话框，输入services.msc，回车后在服务列表 找到并双击“Themes”，接着在“启动类型”中选择“自动”。

7.启动和关机也要美丽

应用了Luna主题后，启动和关机窗口还没有披上美丽的外衣，现在就对它们进行改进。

打开“注册表编辑器”，找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager]，右击“ThemeManager”并选择“导出”，为导出文件起个名字，比如：theme.reg。

接着用“记事本”打开Theme.reg。将[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager]替换为[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\ThemeManager]，完成后保存，并双击将其导入注册表。

重启后就会发现启动和关机也变得一样美丽了，不过如果以后你更换了主题，那么还需要重复上面的步骤。

8.让Windows Server 2003出声

第一步：Windows Server 2003默认下是禁声的，要想让它有声音，那么首先在“服务”中找到并双击“Windows Audio”，将其设置为“自动”。这样音频就启用了。

第二步：现在要开启音频的硬件加速，点击“开始→控制面板→声音和音频设备”，选择“音频→高级→性能”，将“硬件加速”的滑块拉到最右边（完全）。

小提示：如果你还是听不到声音，那么请到“设备管理器”中手动升级声卡驱动，这是最佳的方法，因为打包的驱动程序（比如Liveware）是无法通过Setup.exe在Windows Server 2003中安装的。

9.打开刻录和图像捕获服务

按下WIN＋L组合键打开“运行”窗口并输入：Services.msc，在服务列表中找到并双击“IMAPI CD-Burning COM Service”，将“启动类型”改为“自动”。重启后“管理器”右键菜单的“发送到”中便会出现“CD 驱动器”项。

如果你有数码相机，扫描仪之类的影像设备，最好找到并双击“Windows Image Acquisition”，并将它的“启动类型”改为“自动”。

小提示：在“服务”窗口中还建议禁用一些服务，从而节省系统开支，提高性能，比如：“Automatic Updates”（自动升级，控制自动从Windows Update网站下载升级和补丁）、“Computer Browser”（用于维护网络上计算机的列表）、“Nvidia Driver Helper Service”（Nvidia显卡驱动的帮助服务）、“Remote Registry”（远程用户修改本机的注册表）、“Secondary Logon”（启用替换凭据下的启用进程）、“Task Scheduler”（任务）、“Windows Time”（维护网络上的所有客户端和服务器的时间和日期同步）等。

10.安装Plus! for Windows XP

第一步：将Plus! for Windows XP光盘放入光驱，然后进入“命令提示符”窗口，输入（设你的光驱盘符是G）：msiexec.exe/qn+/i "G:\Microsoft Plus! for Windows XP.msi"

第二步：经过一段时间后，会得到安装成功的信息。现在点击“开始→所有程序→Microsoft Plus!”即可打开Plus了，当然也可以进入“控制面板→添加/删除程序”，添加或删除Plus! for Windows XP的组件。

11.安装Windows XP游戏

Windows Server 2003没有自带任何小游戏，所以下面就把Windows XP的游戏移植过来。

第一步：准备好Windows Server 2003、Windows XP安装光盘。

第二步：到://.cfan.cn/下载XP_Games.zip，接着将压缩包内的DLL文件复制到C:\Windows\System32\Setup\,所有INF文件复制到C:\Windows\Inf\；

第三步：用“记事本”打开C:\Windows\Inf\Sysoc.inf，将下面的语句复制进该文件中的IEHarden=ocgen.dll,OcEntry,ieharden.inf,,7语句下面（空一行）：

Games=ocgen2.dll,OcEntry,games.inf,,7

Pinball=ocgen2.dll,OcEntry,pinball.inf,,7

ZoneGames=zoneoc.dll,ZoneSetupProc,igames.inf,,7

完成后，保存该文件。

第四步：将Windows Server 2003安装光盘放入光驱，点击“控制面板→添加或删除程序→添加/删除Windows组件”，双击“附件和工具”，然后选中“游戏”并按下“确定”按钮。当弹出的窗口中提示“需要（未知）上的Freecell.exe”时，将Windows Server 2003光盘换成Windows XP安装光盘。

这样你就可以进入“开始→所有程序→游戏”中玩自己喜欢的游戏了。

优化设置

在桌面右击“我的电脑”，选择“属性”，进入“高级”选项卡，单击“性能”项下的“设置”按钮，在“视觉效果”中可选择要“最佳外观”、“最佳性能”、“自定义”或“让Windows选择”。

接着再进入“高级”选项卡，将“处理器”、“内存使用”都选择为“程序”，同时你还可以单击“虚拟内存”中的“更改”按钮对虚拟内存进行修改。另外，如果你的内存容量比较大（比如：超过512MB），那么可以试着取消系统的虚拟内存，也就是选中已经设置了的虚拟内存的分区，然后再选择下面的“无分页文件”项。这样，Windows Server 2003的注销和关机速度会大大提升。

小提示：同时还可以进入“系统属性→高级→错误报告”，然后选择“禁用错误报告”；单击“启动和故障恢复”下的“设置”按钮，然后进行相应调整，比如：取消“发送管理警报”、“写入调试信息”设置为“无”等。

请问有哪位遇到过win2003的server和workstation服务在系统正常运行中自动关闭的情况?谢谢关注.

动手来优化Windows Server 2003（所有的优化都要以Administrator的身份实现）：

　1.视觉外观设置

在系统配置允许的情况下，谁都希望自己的电脑运行环境能更漂亮些。有没有办法让“灰头灰脑”的Windows Server 2003也像WinXP一样有一张漂亮的脸蛋呢？下面让我们来启用2003的桌面主题，给你一个和XP一模一样的外观。

进入Windows“服务”窗口，寻找“Themes”并双击， 然后在“启动类型”的下拉菜单选“自动”，并点击“确定”，这样2003也具有了XP主题和附带的3个颜色方案（蓝、绿、银），这3个方案和XP中一样在“显示属性”→“外观”中可以选择。另外，我们还可以设置更多的外观选项：在“我的电脑”上点右键，选择“属性”→“高级”，点击性能中“设置”，在出现的“性能选项”窗口中即可按你自己的爱好选择适当的外观。

　2.多媒体设置

此类设置对比较喜欢玩游戏、听音乐的朋友来说就比较重要了，因为Windows Server 2003系统中默认设置是关闭声音服务、DirectX加速以提高系统效率，致使默认情况下音频设备及其音效不能正常工作，也不能运行DirectX支持的游戏。

（1）启用声音服务和声音加速

进入Windows“服务”窗口并回车，找到“Win-dows Audio”并双击它，然后在“启动类型”的下拉菜单选择“自动”，并点击“确定” （Windows Server 2003标准版中已经启动该服务）。

在“开始”菜单中选择“运行”，键入“dxdiag”并回车打开“DirectX 诊断工具”，在“声音”页面，把“声音的硬件加速级别”滚动条拉到“完全加速”。

至此，可以听到电脑美妙的音乐了。

（2）启用硬件和DirectX加速

硬件加速：在桌面空白处点击右键，依次选择“属性”→“设置”→“高级”→“疑难解答”，把该页面的硬件加速滚动条拉到“完全”，点击“确定”保存退出。这期间可能会出现瞬间黑屏现象，不过是完全正常的。

DirectX加速：此选项的启动以“硬件加速”的启动为前提条件，在“开始”菜单中选择“运行”，键入“dxdiag”并回车打开“DirectX 诊断工具”，在“显示”页面，点击Direct Draw、Direct3D和P Texture加速等3个按钮启用加速。

通过以上两步优化，想在Windows Server 2003中玩CS的朋友就可以开打了。

（3）允许内置CD刻录服务和支持Windows影像设备服务

在WinXP中如果安装了光盘刻录机，用XP系统自带的刻录功能就可以制作自己的光盘。在Windows Server 2003中也集成了这个功能。进入Windows“服务”窗口，找到“IMAPI CD-Burning COM Service”并双击它，然后在“启动类型”的下拉菜单选择“自动”，并点击“应用”、“确定”。此时光盘刻录程序已经启动，你能做到像在XP中一样不安装其他软件就刻录光盘了。

如你有如数码相机和扫描仪之类的影像设备，2003也提供了相应的系统支持——需要打开Windows Image Acquisition服务。进入Windows“服务”窗口，找到“Windows Image Acquisition(WIA)”并双击它，然后在“启动类型”的下拉菜单选择“自动”，并依次点击“应用”、“确定”。

此时应付大多数多媒体应用已经没有什么问题了。

　3.网络部分的设置

在Windows Sever 2003中用IE上网时，可以非常明显地感受到比WinXP要稳定流畅，但经常会出现一些网络安全提示，其实这是作为新Windows组件出现的IE安全插件，名为“Internet Explorer增加的安全配置”，这一插件会默认把你的IE安全设置调为最高，这样你在访问站点时将弹出安全询问框，并对你浏览的网页及文件下载作出阻止行为。虽然这使系统的安全性提高了，但对于个人用户却太过麻烦。

我们首先来禁止询问框的出现，在弹出的安全提示框中复选“以后不要显示这个信息”，然后在IE工具选项中自定义设置IE的安全级别。在“安全”选项卡上拉动滚动条把Internet区域安全设置为“中”，这个级别将适合大多数人。

当然，你甚至可以在“控制面板”→“添加程序”→“添加或删除Windows组件”中卸载“Internet Explorer增加的安全配置”，这样可以彻底清除烦人的询问框。

4.开机、关机、设置

（1）改变Ctrl+ Alt+Del三键登录方式

与以往Server系列的操作系统一样，Windows Server 2003开机启动时也要求同时按Ctrl+Alt+Del，然后输入用户名和密码登录。个人用户可换成和XP一样实现自动登录（在Win2000中也可作类似修改），运行注册表编辑器regedit，打开HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows_NT\CurrentVersion \Winlogon，新建一键值AutoAdminLogon，将该项的键值设定为1，再新建一键值DefaultPassword，将该项的值设为超级管理员密码即可。重新启动看看效果吧！

（2）系统跟踪程序

关机时询问关闭原因，这是Windows Server 2003中新加入的特性，以详细记录服务器关闭原因用于以后故障排除备用，关机跟踪也是Windows Server 2003区别于其他工作站系统的一个设置，对于服务器来说这是必要的选择，但对于工作站系统却没什么用，我们同样可以禁止它（2000中也有关机跟踪的功能，只是系统默认是关闭的）。点击“开始”菜单中的“运行”，输入“gpedit.msc”，在出现窗口的左边部分，选择 “计算机配置”→“管理模板”→“系统”，在右边窗口双击“显示系统跟踪程序”，在出现的对话框中选择，点击然后“确定”保存后退出，无需重启就可看到效果。

（3）配置服务器向导

登录进入系统后，每次都会出现“配置服务器向导”，在这里可完成绝大多数系统配置。禁用方法：在“控制面板”→“管理员工具”→“管理你的服务器”中运行“配置服务器向导”，然后在窗口的左下角复选“登录时不要显示该页”。

至此对Windows Server 2003的优化就告一段落了，优化后的系统更适合个人用户使用：不但可提供超强的稳定性，而且多媒体性能一点也不比WinXP差。许多使用了优化后的2003的朋友感觉，工作时电脑“反应”要比Win2000快、上网时要比WinXP“流畅”，以后就再也用不着装烦人的多操作系统了。

求助Windows 2003 Server使用方法，本人刚刚接触

windows 2003系统的server和workstation服务在系统正常运行中自动关闭，同时会有不能访问网络的情况，这是你的电脑受到了的攻击，你需要安装MS08-067补丁，可以到微软的官方网站下载此补丁。

Windows2003系统补丁——WindowsXP-KB958644-x86-CHS.exe （请点击下载）

还有一种可能就是你的windows 2003系统本身有缺陷，可能是盗版系统或是你下载的ISO自己刻录的吧！有些ISO被人已经修改了。你安装这个补丁就可以了。你也可以选择重新安装系统。

Win2003操作系统的核心服务

必要设置：

一、 关闭IE增强的安全配置

当你打开IE后，会弹出如图的提示窗口，如果不对其进行更改，那么将无法对Internet进行浏览和文件下载。所以要点击IE的“工具→Internet→选项→安全”，将“Internet”区域的安全级别滑快由“高”拉动到“中”。接着进入“控制面板→添加或删除程序→添加/删除Windows组件”，然后取消“Internet Explorer增强的安全配置”，按“确定”即可将其完全卸载。

小提示：在进行以上处理后，每次打开IE还会出现提示文字的页面，可以进入“工具→Internet→常规”，将默认主页更换掉。

二、启用硬件加速

硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级( Advanced )--疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full)，最好点击“确定”(OK)保存退出。这期间可能出现一瞬的黑屏是完全正常。

三、启用DirectX加速

DirectX加速:打开“开始”(Start) -> “运行”(Run)，键入“dxdiag”并回车打开“DirectX 诊断工具”(DirectX Tools)，在“显示”(Display)页面，点击DirectDraw, Direct3D and P Texture 加速三个按钮启用加速。

四、启用声卡允许声音加速:

系统安装后，如果你使用的是Windows server 2003标准版已允许声音服务。企业版声卡是禁止状态，所以要在 控制面板 -> 声音 -> 启用，重启之后再设置它在任务栏显示。

现在我们还要启用音频加速。在运行中输入Services.msc然后按回车，会出现Services 窗口，找到Windows Audio服务，双击打开，把启动类型设置为Automatic（自动），点击Apply，然后点击Start启动该服务。

最后我们还要使用DirectX诊断工具，在运行中输入dxdiag并回车，打开Sound选项卡，把Hardware Sound Acceleration Level的滑块拖动到Full。

五、启用主题支持

Windows Server 2003 默认安装，是不开启主题服务的， 默认是经典样式，对于喜欢经典界面的朋友可以忽略本步，而喜欢装XP漂亮主题的朋友则需要手工开启该服务。

在运行中输入Services.msc，找到themes服务，启动该服务和设置为自动。

六、取消关机原因的提示

在关闭Windows Server 2003操作系统时，系统会弹出一个提示窗口，要求大家选择关闭计算机的原因选项;尽管这种方法可以增强系统的安全性，确保用户更有效地管理和维护计算机;不过每次关机或者重新启动系统，都要选择关机原因，实在没有必要。所以，为了进快地关闭计算机，大家可以按下面步骤来取消关机原因的提示:

1、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面;

2、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框;

3、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机;

4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。

如果是中文版，则:gpedit.msc，计算机配置 -> 管理模板 -> 系统 -> 显示关机跟踪 -> 禁用。

七、启用摄像机，摄像头或者扫描仪等设备

在运行中输入Services.msc并回车，找到并双击Windows Image Acquisition (WIA) 服务，设置启动类型为Automatic点击Apply后点击Start然后点击OK。

八、在控制面板里显示全部组件

把 Windowsinf 目录中的 sysoc.inf 文件里的 "hide" 替换掉。

九、禁用开机 CTRL+ALT+DEL

管理工具 -> Local Security Settings(本地安全策略) -> 本地策略 -> 安全选项 -> interactive logon: Do not require CTRL+ALT+DEL，禁用之。慎用!搞不好会进不去系统。

十、让系统自动关闭停止响应的程序

打开注册表 HKEY_CURRENT_USERControl PanelDesktop 键，将 AutoEndTasks 值设为 1(原值:0)。

十一、加速共享查看 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerRemoteComputerNameSpace下的 删

十二、加快Windows 2003的启动

(1)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerMemoryManagementPrefetchParameters，其中有一个键值名为EnablePrefetcher，多数情况下它的值是3,推荐值是1.

(2)"我的电脑"->"属性"->"高级"->"启动和故障修复"中，点"错误报告"，选择"禁用错误汇报"、"但在发生严重错误时通知我"。

(3)点击"编辑"，在弹出记事本文件中: timeout=30　//把缺省时间 30 秒改为 0 秒

十三、如何才能让Windows 2003实现自动登录及普通关机呢？

在此以Windows 2003 Server Enterprise Edition（企业版）为例，通过以下方法可以实现登录的设置:

1、输入命令行

打开“开始”→“运行”，在“运行”一栏中输入“Rundll32 netplwiz.dll,UsersRunDll”命令打开用户帐户窗口（注意区分大小写），去除“要使用本机，用户必须输入用户名密码”复选框中的勾号。

这样在下次登录时就可自动登录了。若要选择不同的帐户，只要在启动时按“Shift”键就可以了

十四、修改服务器连接数限制

打开了win2k3的控制面板中的"授权"，点"添加许可"，出错了，"许可证记录服务没有在目标计算机上运行，或者目标计算机无法访问"，许可证记录服务？看看哪个是许可证服务吧。既然是服务就应该在服务里吧，呵呵。运行 services.msc,看看里面有什么，license logging?这个最贴边，原来处于禁用状态，启用一下试试。再打开授权，错误提示不出现了，输入100个连接数，返回来再看最大连接数，呵呵。变了。。试着用多个连接访问这台机器，哈哈，已经起作用了。

十五、如何在2000/2003 允许普通用户关机

1、用gpedit.msc调用“组策略”。

2、进行以下选择“计算机配置--windows设置--安全设置--本地策略--用户权利指派--关闭系统”

3、在“关闭系统”上单击鼠标右键，选择“安全性”，单击“添加”，再选择要指派的用户。

4、强制刷新“组策略”。

此后，该指定用户就可进行关机操作了。

十六、允许未登录关机

gpedit.msc》计算机配置》windows设置》安全设置》安全选项》关机: 允许系统在未登录的情况下关闭》启用

十七、优化性能

我的电脑》属性》高级》性能设置》高级》CPU和内存都调节优化为程序。

IIS 安全设置

1.关闭并删除默认站点

默认FTP站点

默认Web站点

管理Web站点

2.建立自己的站点，与系统不在一个分区

如：D:\root3．建立 E:\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录

上的访问控制权限是： Administrators（完全控制）System（完全控制）

3.删除IIS的部分目录

IISHelp C:\winnt\help\iishelp

IISAdmin C:\system32\inetsrv\iisadmin

MSADC C:\Program Files\Common Files\System\msadc\

删除 C:\\inetpub

4.删除不必要的IIS映射和扩展

IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型 的文件

请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：

打开 Internet 服务管理器：

选择计算机名，点鼠标右键，选择属性：

然后选择编辑

然后选择主目录， 点击配置

选择扩展名 \".htw\", \".htr\",\".idc\",\".ida\",\".idq\"和，点击删除

如果不使用server side include，则删除\".shtm\" \".stm\" 和 \".shtml\"

5.禁用父路径 （有可能导致某些使用相对路径的子页面不能打开）

“父路径”选项允许您在对诸如 MapPath 函数调用中使用“..”。在默认情况下，该选项

处于启用状态，应该禁用它。

禁用该选项的步骤如下：

右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。

单击“主目录”选项卡。

单击“配置”。

单击“应用程序选项”选项卡。

取消选择“启用父路径”复选框。

6.在虚拟目录上设置访问控制权限

主页使用的文件按照文件类型应使用不同的访问控制列表：

CGI (.exe, .dll, .cmd, .pl)

Everyone (X)

Administrators（完全控制）

System（完全控制）

脚本文件 (.asp)

Everyone (X)

Administrators（完全控制）

System（完全控制）

include文件 (.inc, .shtm, .shtml)

Everyone (X)

Administrators（完全控制）

System（完全控制）

静态内容 (.txt, .gif, .jpg, .html)

Everyone (R)

Administrators（完全控制）

System（完全控制）

在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个

新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。

例如，目录结构可为以下形式：

D:\root\myserver\static (.html)

D:\root\myserver\include (.inc)

D:\root\myserver \script (.asp)

D:\root\myserver \executable (.dll)

D:\root\myserver \images (.gif, .jpeg)

7.启用日志记录

1）日志的审核配置

确定服务器是否被攻击时，日志记录是极其重要的。

应使用 W3C 扩展日志记录格式，步骤如下：

打开 Internet 服务管理器：

右键单击站点，然后从上下文菜单中选择“属性”。

单击“Web 站点”选项卡。

选中“启用日志记录”复选框。

从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。

单击“属性”。

单击“扩展属性”选项卡，然后设置以下属性：

* 客户 IP 地址

* 用户名

* 方法

* URI

* HTTP 状态

* Win32 状态

* 用户代理

* 服务器 IP 地址

* 服务器端口

2）日志的安全管理

1、启用操作系统组策略中的审核功能，对关键进行审核记录；

2、启用IIS、FTP服务器等服务本身的日志功能；并对所有日志存放的默认位置进行更改同时作好文件夹权限设置！

3、安装Portreport对所有网络访问操作进行监视（可选，可能增大服务器负荷）；

4、安装自动备份工具，定时对上述日志进行异地备份，起码是在其他分区的隐蔽位置进行备份，并对备份目录设置好权限（仅管理员可访问）。

5、准备一款日志分析工具，以便随时可用。

6、要特别关注任何服务的重启、访问敏感的扩展存储过程等。

8.备份IIS配置

可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复

9.修改IIS标志

1）使用工具程序修改IIS标志

修改IIS标志Banner的方法：

下载一个修改IIS Banner显示信息的软件——IIS/PWS Banner Edit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止（最好是在服务中将World Wide Web Publishing停止）,并要将DLLcache下的文件全部清除。否则你会发现即使修改了一点改变也没有。

IIS/PWS Banner Edit其实是个傻瓜级的软件，我们只要直接在New Banner中输入想要的Banner信息，再点击Se to file就修改成功了。用IIS/PWS Banner Edit简单地修改，对菜鸟黑客来说他可能已被的信息迷惑了，可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的Banner信息，这样才能做到万无一失。

高版本Windows的文件路径为 C:\WINDOWS\system32\inetsrv\w3svc.dll,可以直接用Ultraedit打开W3SVC.DLL，然后以“Server：”为关键字查找。利用编辑器将原来的内容替换成我们想要的信息，比如改成Apache的显示信息，这样入侵者就无法判断我们的主机类型，也就无从选择溢出工具了。

2）修改IIS的默认出错提示信息等。

四、数据及备份管理

1．备份

1）要经常把重要数据备份到专用的备份服务器，备份完毕后，可将备份服务器与网络隔离。 可用自动的备份工具进行，要求支持FTP方式备份。

2）使用系统的备份功能对安装好的系统进行阶段性备份。

3）使用WonRescue等工具对注册表进行阶段性备份。

4）使用Ghost对全面配置完毕的系统分区进行映像备份，并存放到隐藏的分区中。

2．设置文件共享权限

1）限制共享权限

设置共享文件时，要注意把共享文件的权限从“everyone”组改成“授权用户”，包括打印共享。

2）关闭默认共享

Win 2000安装好以后，系统会创建一些隐藏的共享，在cmd下可用net share命令查看它们。要禁止这

些共享。**作方法是：打开“管理工具→计算机管理→共享文件夹→共享”，在相应的共享文件夹上按右

键，点“停止共享”即可。不当过机器重新启动后，这些共享又会重新开启。

3.防止文件名欺骗

设置以下选项可防止文件名欺骗，如防止以.txt或.exe为后缀的恶意文件被显示为.txt文件，从而使

人大意打开该文件: 双击“我的电脑→工具→文件夹选项→查看”，选择“显示所有文件和文件夹”属性

设置，去掉“隐藏已知文件类型扩展名”属性设置。

4.Access数据库的安全概要

1）新生成的数据库在保证干净的前提下，主动在尾部合并一行ASP代码，内容一般可以为重定向，以免费别人通过论坛发帖等方式嵌入有害代码后被得到执行；

2）对MDB文件创建一个无效的映射，以便在IE中下载时出错；

3）修改出错页面，建议将出错页面设计为正常被曝库后的内容，但给一个数据库的虚地址（最好存在相应的虚数据库文件，比如一个改名后的等）；

4）在防火墙中对MDB类型的扩展名进行过滤；

5）删除或禁用网站的后台数据库备份功能，而用本地安装的专门自动备份程序进行自动增量备份。

6）ASP 通用防止注入的程序：

功能简单说明：

1.自动获取页面所有参数，无需手工定义参数名.

2.提供三种错误处理方式供选择.

(1).提示信息.

(2).转向页面.

(3).提示信息,再转向页面.

3.自定义转向页面.

使用方法很简单，只需要在ASP页面头部插入代码

<!--#Include File="Fy_SqlX.Asp"-->

包含 Fy_SqlX.Asp 就可以了~~简单实用

<%

Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx

'---定义部份 头------

Fy_Cl = 1 '处理方式：1=提示信息,2=转向页面,3=先提示再转向

Fy_Zx = "Error.Asp" '出错时转向的页面

On Error Resume Next

Fy_Url=Request.ServerVariables("QUERY_STRING")

Fy_a=split(Fy_Url,"&")

redim Fy_Cs(ubound(Fy_a))

On Error Resume Next

for Fy_x=0 to ubound(Fy_a)

Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)

Next

For Fy_x=0 to ubound(Fy_Cs)

If Fy_Cs(Fy_x)<>"" Then

If Instr(LCase(Request(Fy_Cs(Fy_x))),"'")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"and")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"select")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"update")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"chr")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"delete%20from")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),";")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"insert")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"mid")<>0 Or Instr(LCase(Request(Fy_Cs(Fy_x))),"master.")<>0 Then

Select Case Fy_Cl

Case "1"

Response.Write "<Script Language=JaScript>alert(' 出现错误！参数 "&Fy_Cs(Fy_x)&" 的值中包含非法字符串！\n\n 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！');window.close();</Script>"

Case "2"

Response.Write "<Script Language=JaScript>location.href='"&Fy_Zx&"'</Script>"

Case "3"

Response.Write "<Script Language=JaScript>alert(' 出现错误！参数 "&Fy_Cs(Fy_x)&"的值中包含非法字符串！\n\n 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！');location.href='"&Fy_Zx&"';</Script>"

End Select

Response.End

End If

End If

Next

%>

----

组件的定制

不要按Win 2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。

典型Web服务器需要的最小组件是：

公用文件、Internet 服务管理器、WWW服务器。

3.接入网络时间

在安装完成Win 2000**作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染和被入侵。

补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。

4.账户安全管理

1）账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。

2）停用Guest账号，并给Guest 加一个复杂的密码。

3）把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。

4）不让系统显示上次登录的用户名，具体**作如下：

修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值，把REG_SZ 的键值改成1。

5.安全审核

在“管理工具→远程控制服务配置→连接”处，右键点击“RPD-TCP”连接，选择“属性”，在其窗口选中“权限”，点击右下角的“高级”，选择“审核”，增加一个“everyone”组，审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。

6.卸载无用的组件模块

将\Winnt\inf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。

二、基本系统设置

1.安装补丁

安装Service Pack 和最新的hotfix；安装SQL和IIS系列补丁。

2.分区内容规划

1）操作系统、Web主目录、日志分别安装在不同的分区。

2）关闭任何分区的自动运行特性：

可以使用 TweakUI 等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。

3.协议管理

卸载不需要的协议，比如IPX/SPX, NetBIOS；

在连接属性对话框的TCP)/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。

4.关闭所有以下不需要的服务

以下仅供参考，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的储存关系，个性为当可能导致某些功能的异常，甚至服务器不能工作！建议每次只个性两三个项目，重启测试无误后再设置其他项目！

* Alerter (disable)

* ClipBook Server (disable)

* Computer Browser (disable)

* DHCP Client (disable)

* Directory Replicator (disable)

* FTP publishing service (disable)

* License Logging Service (disable)

* Messenger (disable)

* Netlogon (disable)

* Network DDE (disable)

* Network DDE DSDM (disable)

* Network Monitor (disable)

**** Plug and Play (disable after all hardware configuration)****

* Remote Access Server (disable)

* Remote Procedure Call (RPC) locater (disable)

* Schedule (disable)

* Server (disable)

* Simple Services (disable)

* Spooler (disable)

* TCP/IP Netbios Helper (disable)

* ***Telephone Service (disable)****

在必要时禁止如下服务：

* SNMP service (optional)

* SNMP trap (optional)

* UPS (optional

设置如下服务为自动启动：

* Eventlog ( required )

* NT LM Security Provider (required)

* RPC service (required)

* WWW (required)

* Workstation (lee service on: will be disabled later in the document．

* MSDTC (required)

* Protected Storage (required)