Windows2003安全设置

网络 专栏收录该内容
9 篇文章 0 订阅

Windows Server 2003 系统配置方案

由于近短期木马问题严重/很多主机租用朋友和主机管理员想我询问WIN2003的一些安全配置措施,现我做拉初步整理。希望对大家有所帮助。有不足之处请大家补上。


一、系统的安装  

1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。

2、IIS6.0的安装
  开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
  应用程序 ———asp.net(可选)
       |——启用网络 COM+ 访问(必选)
       |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) 
                      |——公用文件(必选)
                      |——万维网服务———Active Server pages(必选)
                              |——Internet 数据连接器(可选)
                              |——WebDAV 发布(可选)
                              |——万维网服务(必选)
                              |——在服务器端的包含文件(可选)
  然后点击确定—>下一步安装。

3、系统补丁的更新
  点击开始菜单—>所有程序—>Windows Update
  按照提示进行补丁的安装。

4、备份系统
  用GHOST备份系统。

5、安装常用的软件
  例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。

二、系统权限的设置
1、磁盘权限
  系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘/Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘/Documents and Settings/All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘/Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘/Windows/System32/cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
  
2、本地安全策略设置
  开始菜单—>管理工具—>本地安全策略
  A、本地策略——>审核策略
  审核策略更改   成功 失败  
  审核登录事件   成功 失败
  审核对象访问      失败
  审核过程跟踪   无审核
  审核目录服务访问    失败
  审核特权使用      失败
  审核系统事件   成功 失败
  审核账户登录事件 成功 失败
  审核账户管理   成功 失败

  B、 本地策略——>用户权限分配
  关闭系统:只有Administrators组、其它全部删除。
  通过终端服务拒绝登陆:加入Guests、User组
  通过终端服务允许登陆:只加入Administrators组,其他全部删除

  C、本地策略——>安全选项
  交互式登陆:不显示上次的用户名       启用
  网络访问:不允许SAM帐户和共享的匿名枚举   启用
  网络访问:不允许为网络身份验证储存凭证   启用
  网络访问:可匿名访问的共享         全部删除
  网络访问:可匿名访问的命          全部删除
  网络访问:可远程访问的注册表路径      全部删除
  网络访问:可远程访问的注册表路径和子路径  全部删除
  帐户:重命名来宾帐户            重命名一个帐户
  帐户:重命名系统管理员帐户         重命名一个帐户

3、禁用不必要的服务
  开始菜单—>管理工具—>服务
  Print Spooler
  Remote Registry
  TCP/IP NetBIOS Helper
  Server
  
  以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

4、启用防火墙
  桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置
  把服务器上面要用到的服务端口选中
  例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
    在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
  如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
  然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
ASP虚拟主机安全检测探针V1.5


走出Windows权限迷魂阵
在电脑应用中经常会看到"权限"这个词,特别是Windows 2000/XP被越来越多的朋友装进电脑后,常常会有读者问,什么是权限呢?它到底有什么用?下面我们将用几个典型实例为大家讲解windows中的权限应用,让你不仅可以在不安装任何软件的情况下,限制别人访问你的文件夹、指定用户不能使用的程序,而且还有来自微软内部的加强系统安全的绝招。
--------------------------------------------------------------------------------

初识Windows的权限
首先,要完全使用windows权限的所有功能,请确保在应用权限的分区为NTFS文件系统。本文将以windowsXP简体中文专业版+SP2作为范例讲解。
1.什么是权限?
举个形象的例子,windows就像一个实验室,其中有导师A、导师B;学生A、学生B.大家都能在实验室里面完成实验。但在这里又是分等级的.两位导师可以指定学生能使用什么样的实验工具,不能碰什么工具,从而使得实验室不会因为学生乱用实验工具.而出现问题。同时.两位导师又能互相限制对方对实验工具的使用。因此.windows中的权限就是对某个用户或同等级的用户进行权力分配和限制的方法。正是有了它的出现,windows中的用户要遵循这种"不平等"的制度,而正是这个制度,才使得windows可以更好地为多个用户的使用创造了良好,稳定的运行环境。
2.权限都包含有什么?
在以NT内核为基础的Windows 2000/XP中,权限主要分为七大类完全控制、修改,读取和运行、列出文件夹目录、读取、写入、特别的权限(见图1)。

其中完全控制包含了其他六大权限.只要拥有它,就等同于拥有了另外六大权限,其余复选框会被自动选中.属于"最高等级"的权限。
而其他权限的等级高低分别是:特别的权限>读取和运行>修改>写入>读取。
默认情况下,Windows XP将启用"简单文件共享",这意味着安全性选项卡和针对权限的高级选项都不可用.也就不能进行本文所述的那些权限应用操作了。请现在就右击任意文件或文件夹.选择"属性",如果没有看到"安全"选项卡,你可以通过如下方法打开它。
打开"我的电脑",点击"工具→文件夹选项→查看",接着在然后单击取消"使用简单文件共享(推荐)"复选框即可。
实战权限"正面"应用
以下应用的前提,是被限制的用户不在Administrators组,否则将可能发生越权访问,后面"反面应用"会讲到。执行权限设置的用户至少需要为Power Users组的成员,才有足够权限进行设置。
    实例1:我的文档你别看-保护你的文件或文件夹
    假设A电脑中有三个用户,用户名分别为User1、User2、User3。Userl不想让User2和User3查看和操作自己的"test"文件夹。
    第一步:右击"test"文件夹并选择"属性",进入"安全"选项卡,你将会看到"组或用户名称"栏里有Administrators(A/ Administrators)、CREATOR OWNER、SYSTEM Users(A/Users)、User1(A/ User1)。他们分别表示名为A电脑的管理员组,创建、所有者组,系统组,用户组以及用户User1对此文件夹的权限设置。当然,不同的电脑设置和软件安装情况,此栏里的用户或用户组信息不一定就是和我描述的一样.但正常情况下最少将包含3项之一:Administrators、SYSTEM、 Users或Everyone(见图2)。

    第二步:依次选中并删除Administrators、CREATOR OWNER、SYSTEM、Users,仅保留自己使用的Userl账户。在操作中可能会遇到如图3的提示框。

其实只要单击"高级"按钮,在"权限"选项卡中,取消"从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目"的复选框,在弹出对话框中单击"删除"即可。该操作使此文件夹清除了从上一级目录继承来的权限设置,仪保留了你使用的User1账户。
    就这么轻松,你就实现了其他用户,甚至系统权限都无法访问"test"文件夹的目的。
★需要注意的是,如果这个文件夹中需要安装软件,那么就不要删除"SYSTEM",不然可能引起系统访问出错
★Administrator 并不是最高指挥官:你可能会问,为什么这里会有一个"SYSTEM"账户呢?同时许多朋友认为windows2000/XP中的 Administrator是拥有权限最高的用户,其实不然,这个"SYSTEM"才具有系统最高权限,因为它是"作为操作系统的一部分工作",任何用户通过某种方法获取了此权限,就能凌驾一切。

--------------------------------------------------------------------------------
    实例2:上班时间别聊天-禁止用户使用某程序
    第一步:找到聊天程序的主程序,如QQ,其主程序就是安装目录下的QQ.exe,打开它的属性对话框,进入"安全"选项卡,选中或添加你要限制的用户,如User3。
    第二步:接着选择"完全控制"为"拒绝","读取和运行"也为"拒绝"。
    第三步:单击"高级"按钮进入高级权限没置,选中User3,点"编辑"按钮,进入权限项目。在这里的"拒绝"栏中选中"更改权限"和"取得所有权"的复选框。
    也可以使用组策略编辑器来实现此功能,但安全性没有上面方法高。点击"开始→运行",输入"gpedit.msc",回车后打开组策略编辑器,进入"计算机设置→windows设置→安全设置→软件限制策略→其他规则",右击,选择"所有任务→新路径规则",接着根据提示设置想要限制的软件的主程序路径,然后设定想要的安全级别,是"不允许的"还是"受限制的"。

--------------------------------------------------------------------------------
    实例3:来者是客--微软内部增强系统安全的秘技
    本实战内容将需要管理员权限。所谓入侵,无非就是利用某种方法获取到管理员级别的权限或系统级的权限,以便进行下一步操作,如添加自己的用户。如果想要使入侵者"进来"之后不能进行任何操作呢?永远只能是客人权限或比这个权限更低,就算本地登录,连关机都不可以。那么,他将不能实施任何破坏活动。
    注意:此法有较高的危险性.建议完全不知道以下程序用途的读者不要尝试.以免误操作引起系统不能进入或出现很多错误。
    第一步:确定要设置的程序
    搜索系统目录下的危险程序,它们可以用来创建用户夺取及提升低权限用户的权限,格式化硬盘,引起电脑崩溃等恶意操作:cmd.exe、 regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、 compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、 at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、 tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、 netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、 command.com、comsdupd.exe
    第二步:按系统调用的可能性分组设置
    按照下面分组.设置这些程序权限。完成一组后,建议重启电脑确认系统运行是否一切正常,查看"事件查看器",是否有错误信息("控制面板→管理工具→事件查看器")。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
    (仅保留你自己的用户,SYSTEM也删除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
    (仅保留你自己的用户,SYSTEM也删除)
(3) regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、 edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、 cscript.exe、rexec.exe
    (保留你自己的用户和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
    (保留你自己的用户和SYSTEM)
    第三步:用户名欺骗
    这个方法骗不了经验丰富的入侵者,但却可以让不够高明的伪黑客们弄个一头雾水。
    打开"控制面板一管理工具一计算机管理",找到"用户",将默认的Administrator和Guest的名称互换,包括描述信息也换掉。完成后,双击假的"Administrator"用户,也就是以前的Guest用户.在其"属性"窗口中把隶属于列表里的Guests组删除.这样.这个假的"管理员 "账号就成了"无党派人士",不属于任何组,也就不会继承其权限。此用户的权限几乎等于0,连关机都不可以,对电脑的操作几乎都会被拒绝。如果有谁处心积虑地获取了这个用户的权限,那么他肯定吐血。
    第四步:集权控制,提高安全性
    打开了组策略编辑器,找到"计算机设置→windows设置→安全设置→本地策略→用户权利指派"(见图4),接着根据下面的提示进行设置。

  (1)减少可访问此计算机的用户数,减少被攻击机会
    找到并双击"从网络访问此计算机",删除账户列表中用户组,只剩下"Administrators";
找到并双击"拒绝本地登录",删除列表中的"Guest"用户,添加用户组"Guests"。
  (2)确定不想要从网络访问的用户,加入到此"黑名单"内
  找到并双击"拒绝从刚络访问这台计算机",删除账户列表中的"Guest"用户,添加用户组"Guests";
  找到并双击"取得文件或其他对象的所有权",添加你常用的账户和以上修改过名称为"Guest"的管理员账户,再删除列表中"Administrators"。
  (3)防止跨文件夹操作
  找到并双击"跳过遍历检查",添加你所使用的账户和以上修改过名称为"Guest"的管理员账户,再删除账户列表中的"Administrators"、"Everyone"和"Users"用户组。
  (4)防止通过终端服务进行的密码猜解尝试
  找到并双击"通过终端服务拒绝登录",添加假的管理员账户"Administrator";找到"通过终端服务允许登录",双击,添加你常用的账户和以上修改过名称为"Guest"的管理员账户,再删除账户列表中的"Administrators","Remote Desktop User"和"HelpAssistant"(如果你不用远程协助功能的话才可删除此用户)。
  (5)避免拒绝服务攻击
  找到并双击"调整进程的内存配额",添加你常用的账户,再删除账户列表中的"Administrators"

--------------------------------------------------------------------------------
    实例4:"你的文档"别独享——突破文件夹"私有"的限制
    windows XP安装完成并进入系统时,会询问是否将"我的文档"设为私有(专用),如果选择了"是",那将使该用户下的"我的文档"文件夹不能被其他用户访问,删除,修改。其实这就是利用权限设置将此文件夹的访问控制列表中的用户和用户组删除到了只剩下系统和你的用户,所有者也设置成了那个用户所有, Administrators组的用户也不能直接访问。如果你把这个文件夹曾经设置为专用,但又在该盘重装了系统,此文件夹不能被删除或修改。可按照下面步骤解决这些问题,让你对这个文件夹的访问,畅通无阻。
    第一步:登录管理员权限的账户,如系统默认的Administrator,找到被设为专用的"我的文档",进入其"属性"的"安全"选项卡,你将会看到你的用户不在里面,但也无法添加和删除。
    第二步:单击"高级"按钮,进入高级权限设置,选择"所有者"选项卡,在"将所有者更改为"下面的列表中选中你现在使用的用户,如"Userl(A/Userl)",然后再选中"替换子容器及对象的所有者"的复选框,然后单击"应用",等待操作完成。
    第三步:再进入这个文件夹看看,是不是不会有任何权限的提示了?可以自由访问了?查看里面的文件,复制、删除试试看.是不是一切都和"自己的"一样了?嘿嘿。如果你想要删除整个文件夹,也不会有什么阻止你了。 


 SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp   改3389 的

 

Windows2003基本的web服务器安全设置
栏目: | 作者:青鳥南飛 | 点击:164 | 回复:0 | 2006-6-26 14:40:39
基本的服务器安全设置
  1、安装补丁

  安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。

  2、安装杀毒软件

  至于杀毒软件目前我使用有两款,一款是瑞星,一款是诺顿,瑞星杀木马的效果比诺顿要强,我测试过病毒包,瑞星要多杀出很多,但是装瑞星的话会有一个问题就是会出现ASP动态不能访问,这时候需要重新修复一下,具体操作步骤是:

  关闭杀毒软件的所有的实时监控,脚本监控。

  ╭═══════════════╮╭═══════════════╮

  在Dos命令行状态下分别输入下列命令并按回车(Enter)键:

  regsvr32 jscript.dll (命令功能:修复Java动态链接库)

  reg

svr32 vbscript.dll (命令功能:修复VB动态链接库)

 

  ╰═══════════════╯╰═══════════════╯

  不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

  3、设置端口保护和防火

  2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置

  把服务器上面要用到的服务端口选中

  例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)

  在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号

   如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。

  然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。

  权限设置

  权限设置的原理

  ?WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

  ?NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。

  ?IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。

  权限设置

  磁盘权限

  系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限

  系统盘/Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限

  系统盘/Documents and Settings/All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限

  系统盘/Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限

  系统盘/Windows/System32/cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

  4、禁用不必要的服务

  开始菜单—>管理工具—>服务

  Print Spooler

  Remote Registry

  TCP/IP NetBIOS Helper

  Server

  以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

  改名或卸载不安全组件

  不安全组件不惊人

  在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。

  其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。

  最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

  谨慎决定是否卸载一个组件

组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。

  比如,FSO和XML是非常常用的组件之一,很多程序会用到他们。WSH组件会被一部分主机管理程序用到,也有的打包程序也会用到。

  5、卸载最不安全的组件

  最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:/WINDOWS/ )

  regsvr32/u C:/WINNT/System32/wshom.ocx

  del C:/WINNT/System32/wshom.ocx

  regsvr32/u C:/WINNT/system32/shell32.dll

  del C:/WINNT/system32/shell32.dll

  然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。

  改名不安全组件

  需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。

  打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。

  比如我们想做这样的更改

  13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

  Shell.application 改名为 Shell.application_ajiang

  那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。

  下面是我修改后的代码(两个文件我合到一起了):

  Windows Registry Editor Version 5.00

  [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}]

  @="Shell Automation Service"

  [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/InProcServer32]

  @="C://WINNT//system32//shell32.dll"

  "ThreadingModel"="Apartment"

  [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/ProgID]

  @="Shell.Application_ajiang.1"

  [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/TypeLib]

  @="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

  [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/Version]

  @="1.1"

  [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/VersionIndependentProgID]

  @="Shell.Application_ajiang"

  [HKEY_CLASSES_ROOT/Shell.Application_ajiang]

  @="Shell Automation Service"

  [HKEY_CLASSES_ROOT/Shell.Application_ajiang/CLSID]

  @="{13709620-C279-11CE-A49E-444553540001}"

  [HKEY_CLASSES_ROOT/Shell.Application_ajiang/CurVer]

  @="Shell.Application_ajiang.1"

  你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。

  6、防止列出用户组和系统进程

  在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:

  【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。

  防止Serv-U权限提升

  其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。

  用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。

  另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。

  利用ASP漏洞攻击的常见方法及防范

  一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

  如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。

  作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。


QUOTE:
c:/
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限

c:/inetpub/mailroot
administrators 全部
system 全部
service 全部

c:/inetpub/ftproot
everyone 只读和运行

c:/windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
IIS_WPG 读取和运行,列出文件夹目录,读取
Users 读取和运行(此权限最后调整完成后可以取消)

C:/WINDOWS/Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取

C:/WINDOWS/Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取

C:/WINDOWS/Microsoft.Net/temporary asp.net Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 全部

c:/Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限


c:/windows/temp
Administrator 全部权限
System  全部权限
users 全部权限

c:/Program Files/Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取

如果安装了我们的软件:
c:/Program Files/LIWEIWENSOFT
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
system 全部
IIS_WPG 读取和运行,列出文件夹目录,读取


c:/Program Files/Dimac(如果有这个目录)
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部

c:/Program Files/ComPlus Applications (如果有)
administrators 全部

c:/Program Files/GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
Everyone 读取和运行,列出文件夹目录,读取

c:/Program Files/InstallShield Installation Information (如果有)
c:/Program Files/Internet Explorer (如果有)
c:/Program Files/NetMeeting (如果有)
administrators 全部

c:/Program Files/WindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部

c:/Program Files/Microsoft SQL(如果SQL安装在这个目录)
administrators 全部
Service 全部
system 全部


c:/Main  (如果主控端网站放在这个目录)
administrators 全部
system 全部
IUSR_*,默认的Internet来宾帐户(或专用的运行用户)
读取和运行


d:/ (如果用户网站内容放置在这个分区中)
administrators 全部权限

d:/FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 读取与运行
system 读取与运行(全部权限,如果安装了一流信息监控)

F:/ (如果此分区用来放置SQL2000用户数据库)
administrators 全部权限
System 全部权限
SQL2000的运行用
只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限

F:/SQLDATA (如果此目录用来放置SQL2000用户数据库)
administrators 全部权限
System 全部权限
SQL2000的运行用户全部权限

 

从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E:
E:/(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_*,默认的Internet来宾帐户(或专用的运行用户)
只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限
E:/WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE  全部
IUSR_*,默认的Internet来宾帐户 (或专用的运行用户)
全部权限


C:/php/uploadtemp
C:/php/sessiondata
everyone
全部

C:/php/
administrators 全部
system 全部权限
SERVICE  全部
Users 只读和运行


c:/windows/php.ini
administrators 全部
system 全部权限
SERVICE  全部
Users 只读和运行

 

至今为止找到的比较全的2003安全设置文章,今天花了一个小时精心整理了一下格式。

一、硬盘分区与操作系统的安装

硬盘分区
总的来讲在硬盘分区上面没什么值得深入剖析的地方,无非就是一个在分区前做好规划知道要去放些什么东西,如果实在不知道。那就只一个硬盘只分一个区,分区要一次性完成,不要先分成FAT32再转成NTFS。一次性分成 NTFS格式,以我个人习惯,系统盘一般给12G。建议使用光盘启动完成分区过程,不要加载硬盘软件。

系统安装
以下内容均以2003为例
安装过程也没什么多讲的,安装系统是一个以个人性格为参数的活动,我建议在安装路径上保持默认路径,好多文章上写什么安装路径要改成什么呀什么的,这是没必要的。路径保存在注册表里,怎么改都没用。在安装过程中就要选定你需要的服务,如一些DNS、DHCP没特别需要也就不要装了。在安装过程中网卡属性中可以只保留TCP/IP 这一项,同时禁用NETBOIS。安装完成后如果带宽条件允许可用系统自带在线升级。

二、系统权限与安全配

 

前面讲的都是屁话,润润笔而已。(俺也文人一次)
话锋一转就到了系统权限设置与安全配置的实际操作阶段
系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。此句基本上是个人都看过,但我好像没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!

2.1 最小的权限如何实现?

NTFS系统权限设置
在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)
删除其它用户,进入系统盘:权限如下

C:/WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改
其它目录删除Everyone用户,切记C:/Documents and Settings下All Users/Default User目录及其子目录
如C:/Documents and Settings/All Users/Application Data 目录默认配置保留了Everyone用户权限
C:/WINDOWS 目录下面的权限也得注意,如 C:/WINDOWS/PCHealth、C:/windows/Installer也是保留了Everyone权限.
删除C:/WINDOWS/Web/printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
默认IIS错误页面已基本上没多少人使用了。建议删除C:/WINDOWS/Help/iisHelp目录
删除C:/WINDOWS/system32/inetsrv/iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:/Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限

关闭445端口

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters
新建 "DWORD值"值名为 "SMBDeviceEnabled" 数据为默认值"0"

禁止建立空连接

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
新建 "DWORD值"值名为 "RestrictAnonymous" 数据值为"1" [2003默认为1]

禁止系统自动启动服务器共享

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
新建 "DWORD值"值名为 "AutoShareServer" 数据值为"0"

禁止系统自动启动管理共享

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
新建 "DWORD值"值名为 "AutoShareWks" 数据值为"0"

通过修改注册表防止小规模DDOS攻击

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建 "DWORD值"值名为 "SynAttackProtect" 数据值为"1"

禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。

关闭华医生Dr.Watson
在开始-运行中输入"drwtsn32",或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统里的华医生Dr.Watson ,只保留"转储全部线程上下文"选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间

本地安全策略配置
开始 > 程序 > 管理工具 > 本地安全策略

账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步]
账户策略 > 账户锁定策略 >账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
本地策略 > 审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为"已启用"

> 不显示上次的用户名 更改为"已启用"
> 不需要按CTRL+ALT+DEL 更改为"已启用"
> 不允许 SAM 账户的匿名枚举 更改为"已启用"
> 不允许 SAM 账户和共享的匿名枚举 更改为"已启用"
> 重命名来宾账户 更改成一个复杂的账户名
> 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]
组策略编辑器
运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示"关闭事件跟踪程序" 更改为已禁用

删除不安全组件
WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。

方案一:


regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件

如果按照上面讲到的设置,可不必删除这两个文件

方案二:


删除注册表 HKEY_CLASSES_ROOT/CLSID/{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注册表 HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application

用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号

用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但要将这个组赋予C:/Windows 目录为读取权限[单一读取] 个人不建议使用单独目录,太小家子气。

二、系统权限与安全配置

2.2最少的服务如果实现

黑色为自动 绿色为手动 红色为禁用

Alerter
Application Experience Lookup Service
Application Layer Gateway Service
Application Management
Automatic Updates [Windows自动更新,可选项]
Background Intelligent Transfer Service
ClipBook
COM+ Event System
COM+ System Application
Computer Browser
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed File System
Distributed Link Tracking Client
Distributed Link Tracking Server
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log
File Replication
Help and Support
HTTP SSL
Human Interface Device Access
IIS Admin Service
IMAPI CD-Burning COM Service
Indexing Service
Intersite Messaging
IPSEC Services [如果使用了IP安全策略则自动,如无则禁用,可选操作]
Kerberos Key Distribution Center
License Logging
Logical Disk Manager [可选,多硬盘建议自动]
Logical Disk Manager Administrative Service
Messenger  /li>
Microsoft Search
Microsoft Software Shadow Copy Provider
mssqlSERVER
mssqlServerADHelper
Net Logon
NetMeeting Remote Desktop Sharing
Network Connections
Network DDE
Network DDE DSDM
Network Location Awareness (NLA)
Network Provisioning Service
NT LM Security Support Provider
Performance Logs and Alerts
Plug and Play
Portable Media Serial Number Service [微软反盗版工具,目前只针对多媒体类]
Print Spooler
Protected Storage
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Desktop Help Session Manager
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry
Removable Storage
Resultant Set of Policy Provider
Routing and Remote Access
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card
Special Administration Console Helper
SQLSERVERAGENT
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper
Telephony
Telnet
Terminal Services
Terminal Services Session Directory
Themes
Uninterruptible Power Supply
Upload Manager
Virtual Disk Service
Volume Shadow Copy
WebClient
Windows Audio [服务器没必要使用声音]
Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA)
Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Windows User Mode Driver Framework
WinHTTP Web Proxy Auto-Discovery Service
Wireless Configuration
WMI Performance Adapter
Workstation
World Wide Web Publishing Service
以上操作完成以后是否就"最小的权限+最少的服务=最大的安全"呢?其实不然,任何事物都是相对的
依我个人而见,以上设置也只是最基本的一些东西而已,如有遗漏,稍后补上!

  
三、IIS、终端服务、FTP、SQL的配置

3.1 IIS配置

IIS6与IIS5有着很多不同之处,不一一列举,也不是我一个脑袋可以装下的东西。都在资料上!IIS6有一个非常不方便的东西,就是他限制了在线上传不得大于200K,如何修改,请看:

首先停用IIS服务,> 服务 > iis admin service > 停用

C:/windows/system32/inetsrv/ metabase.xml 文件 用记事本打开它

找到 ASPMaxRequestEntityAllowed 处。默认为 204800 即 204800字节(200K)

修改为想要的数字如: 2048000 [2M] 保存,重启IIS服务即可!

设置基本参数

打开IIS管理器 > 网站 > 属性 >

网站 > 启动日志记录 > 关闭

主目录 > 配置 > 应用程序扩展 > 只保留 asp,asa

主目录 > 配置 > 选项 > 启用父目录

主目录 > 配置 > 调试 > 向客户端发送文本错误消息

网站 > 自定义错误 > 全部改成默认值 [上一章已经删除IIS使用的错误信息页面]

IIS管理器 > WEB服务扩展 > 启用 Active Server Pages

注:停用IIS默认站点,切勿删除,有可能会造成IIS的不稳定。

站点的建立将在第四节中详细介绍。

IIS支持php的配置

http://www.php.net/downloads.phpphp 5.1.1 为例

下载php-5.1.1-Win32.zip 解压到 D:/php 或任意目录 赋予该目录IIS用户组读取权限

将ext目录中的所有文件复制到 C:/Windows/System32目录下面

以记事本打开php.ini-dist文件

查找 extension_dir = "./" 更改为 extension_dir = "D:/php/ext"

查找 ; Windows Extensions 更改下面的参数

如要开通GD库支持 则将;extension=php_gd2.dll 前面的冒号删除

依此类推,更多设置参考PHP.INI中文版。完成设置好另存在C:/Windows/php.ini

尔后在IIS设置中 IIS管理器 > 网站 > 属性 > 主目录 > 配置 > 映射

添加 D:/php/php5isapi.dll 扩展名.php

其次在WEB服务扩展中 添加一个新的扩展名 PHP 执行位置 D:/php/php5isapi.dll 设为允许即可

由于WIN平台对mysql与PHP的组合无法体现性能优势。个人建议WIN平台php程序要使用数据库建议远程

或搭配文本数据库。

终端服务配置

开始 > 程序 > 管理工具 > 终端服务配置 > 连接

选择右侧列出的连接 属性 > 权限 删除所有用户组 添加单一的允许使用的管理员账户,这样即使服务器

被创建了其它的管理员.也无法使用终端服务。

另外在会话设置中可以进一步设置断1 D、注销等一些参数。

FTP的配置

目前大多数服务器使用Serv-U Server 为FTP SYSTEM。这里同时建议使用此软件

以 Serv-U FTP Server 6.1.0.5 final [最新版]为例,这里建议使用汉化版本.www.hanzify.org

安装原版至D:/Serv-U_3434999fdaf [复杂无规则的目录名可有效防止黑客的猜解]

尔后退出Serv-U,安装汉化包。

运行SERV-U管理器 IP地址可为空、安装为系统服务 设置密码防止溢出

PASV设置

Serv-U管理器 > <<本地服务器>> > 设置 > 高级

PASV端口范围 这里SERV-U只允许 50个端口范围 端口的设置范围 如 1025 - 1075 [1024以前的端口为系统使用]

更多个人化设置参考以下文档

SERV-U 技巧
现在很多的朋友都用SERV-U做个人FTP的服务

器,有关如何使用SERV-U架设服务器的文章很多了,这儿我就不多说了。不过大家不知道注意到了没有,当你登陆很多FTP的时候,会显示一些欢迎信息,比如说显示你的IP,告诉你目前有多少人在使用FTP,带宽是多少等等。。。看起来就比较的专业样子。其实你自己也是可以做的,SERV-U这个软件本身就有这个功能。下面我就说明以下如何在自己的FTP里面加上这些信息。
第一、先建立一个文本文件,随便取一个名字。我们这儿就取message.txt吧。

 

第二、这个这个文本文件里面加上这些文字

------------------------------------
欢迎来到XXX的FTP服务器
你的IP地址是:%IP
目前服务器所在的时间是 %time
已经有 %u24h 个用户在最近24小时访问过本FTP
本FTP服务器已经运行了 %ServerDays 天,%ServerHours 小时 和 %ServerMins 分。

服务器的运行情况:

所有登陆用户数量: %loggedInAll total
当前登陆用户数量: %Unow
已经下载字节数: %ServerKbDown Kb
已经上传字节数: %ServerKbUp Kb
已经下载文件数: %ServerFilesDown
已经上传文件数: %ServerFilesUp
服务器平均带宽: %ServerAvg Kb/sec
服务器当前带宽: %ServerKBps Kb/sec
------------------------------------

其中XXX可以改成你的名字

你也可以加上一些你自己认为喜欢的文字,不过要注意的是每行最好不要超过80个字符

其中以%开头的都是一些变量,下面是SERV-U能支持的变量

时间和*期

%Time - 显示你的计算机当前时间
%Date - 显示你的计算机当前*期

服务器的统计信息

%ServerDays - 显示服务器已经运行的天数
%ServerHours - 显示服务器已经运行的小时数
%ServerMins - 显示服务器已经运行的分钟数
%ServerSecs - 显示服务器已经运行的秒数
%ServerKbUp - 显示自从服务器运行以来已经上传的字节数
%ServerKbDown - 显示自从服务器运行以来已经下载的字节数
%ServerFilesUp - 显示自从服务器运行以来已经上传的文件数
%ServerFilesDown - 显示自从服务器运行以来已经下载的文件数
%LoggedInAll - 显示自从服务器运行以来已经登陆的用户数
%ServerAvg - 显示服务器的平均带宽
%ServerKBps - 显示服务器的当前带宽

服务器的设定信息

%MaxUsers - 显示服务器能同时登陆的最大用户数量
%MaxAnonymous - 显示服务器能同时登陆的最大匿名用户数量

用户信息

%Name - 显示登陆的用户名
%IP - 显示登陆的用户IP地址
%Dir - 显示登陆的用户的当前目录
%Disk - 显示登陆的用户的当前磁盘
%DFree - 显示登陆的用户的当前磁盘空间,单位是MB
%FUp - 显示登陆的用户上传的文件数量
%FDown - 显示登陆的用户下载的文件数量
%FTot - 显示登陆的用户上传和下载的总的文件数量
%BUp - 显示登陆的用户上传的字节数,单位是KB
%Bdown - 显示登陆的用户下载的字节数,单位是KB
%BTot - 显示登陆的用户上传和下载的总字节数,单位是KB
%TconM - 显示登陆用户连接时间,单位是分钟
%TconS - 显示登陆用户连接时间,单位是秒,要和%TconM一起使用
%RatioUp - 显示登陆用户的上传流量限制
%RatioDown - 显示登陆用户的下载流量限制
%RatioCredit - 显示登陆用户还有多少credit可以上传和下载,这个是针对有些FTP是要上传多少文件,才能下载多少文件而设置的
%QuotaUsed - 显示登陆用户的已经使用了多少空间,单位是KB
%QuotaLeft - 显示登陆用户的还有多少空间可以使用,单位是KB
%QuotaMax - 显示登陆用户的的最大空间,单位是KB
后面3个是针对有磁盘限制的用户设置的

用户数量

%UNow - 显示当前有多少用户连接
%UAll - 显示从服务器运行以来一共有多少用户连接过
%U24h - 显示最近24小时有多少用户
%UAnonAll - 显示当前总的匿名用户数量
%UAnonThisIP - 显示所有匿名登陆的用户数
%UNonAnonAll - 显示所有当前非匿名登陆用户数
%UNonAnonThisIP - 显示所有非匿名登陆用户数
%UThisName - 显示所有使用这个名字登陆的用户数


自己在先建立一个.txt文件,输入你想要显示的文字,具体参数看上面的内容,然后在Serv_u内的server设置里面,加入这个.txt文件就可以了!


下面我已经做了几个!喜欢就把名字等改改OK了!呵呵

------------------------------------
欢迎来到***A 网***的FTP服务器

你的IP地址是:%IP
目前服务器所在的时间是 %time
已经有 %u24h 个用户在最近24小时访问过本FTP
本FTP服务器已经运行了 %ServerDays 天,%ServerHours 小时 和 %ServerMins 分。

服务器的运行情况:

所有登陆用户数量: %loggedInAll total
当前登陆用户数量: %Unow
已经下载字节数: %ServerKbDown Kb
已经上传字节数: %ServerKbUp Kb
已经下载文件数: %ServerFilesDown
已经上传文件数: %ServerFilesUp
服务器平均带宽: %ServerAvg Kb/sec
服务器当前带宽: %ServerKBps Kb/sec
------------------------------------
你的信息

用户名: %Name
IP地址: %IP
当前目录: %Dir
当前磁盘: %Disk
磁盘空间:%DFree
连接时间: %TconM 分 和 %TconS 秒
上传流量限制: %RatioUp
下载流量限制: %RatioDown
------------------------------------


★★★★★★★★★★★★★★★★★★★★★★★★★
来自%IP的朋友您好,欢迎来到+a网+的个人FTP服务器
本地时间是%Date %Time
服务器已连续工作:%ServerDays天%ServerHours小时%ServerMins分%ServerSecs秒
本站开通以来已接通%UAll位使用者。
过去24小时总共有%U24h次连接。
匿名用户上限为%MaxAnonymous人。每个ip只能开两个进程
目前有%UNow位使用者在线。
其中匿名用户有%UAnonAll人在线。
★★★★★★★★★★★★★★★★★★★★★★★★★
自本站开通以来共上传/下载 |%ServerKbUpKB/%ServerKbDownKB
自本站开通以来共上传/下载 |%ServerFilesUp个/%ServerFilesDown个
服务器当前流量|%ServerKBps Kb/sec
服务器平均流量|%ServerAvg Kb/sec
★★★★★★★★★★★★★★★★★★★★★★★★★
你目前的空间容量为 |%QuotaMax/KB
你目前总共使用了 |%QuotaUsed/KB
你目前的空间剩余 |%QuotaLeft/KB

 

Jmail 组件的安装

建议使用 w3 JMail Personal V4.3 这里为免费版 http://www.skycn.net/soft/5555.html

默认安装至 D:/w3JMail4_35434fnald [同样,复杂的目录名]

安装完成后只需单一设置 jmail.dll 权限,加入IIS用户组默认权限即可!

SQL Server 2000 的安装与配置

目前SQL Server 2000 + SP4 在我看来已算比较安全,已没有SP3等版本会因为 sqlstp.log, sqlsp.log而泄露

安装信息的问题。当然也建议在安全后 检查 <systemdrive>:/Program Files/Microsoft SQL Server/mssql/Install

目录中是否存在有 sqlstp.log, sqlsp.log, setup.iss文件,如果有,则备份至其它位置。

数据库的建立这里就不多讲了。更多设置可以参考SQL SERVER 2000帮助文档!

四、站点的建立

站点的建立有一定的操作标准,当然这都是些屁话,能运行就行了。

上面讲到的设置已经为下面的建立站点创造了一个良好的条件,只需要严格按照控制每个站点的权限

就足够了,不要因为时间紧而不设置站点FSO或将目录权限开到最大。操作上的疏忽偶尔会带来一点小

麻烦。

建立站点前 首先在用户管理中建立一个站点所需要使用的用户名。

比如我们要建立一个名为 HostNew的站点 绑定域名hostnew.com

建立一用户Iusr_hostnew.com [对IIS用户增加统一的前缀方便将来的管理] 设置一个复杂的密码

修改该用户所属用户组为Guests 或 你准备好的IIS用户组。删除默认的Users用户组.

尔后给站点需要使用的目录加上这个用户为读取、写入权限。不要是默认权限,默认权限拥有运行权限

那么站点就可以通过FSO来执行或利用其它方式来执行一些恶意程序破坏服务器配置。

尔后打开IIS管理器 > 网站 > 新建站点 设置好后

打开新站点属性 > 目录安全性 > 身份验证和访问控制 > 编辑 > 选择刚才建立的用户[Iusr_hostnew.com]

输入该用户的密码.确认.应用.即可,此时该站点的权限已控制在该站点目录!

其实这一切都是相对比较简单的.也没有什么可值得称道的地方.

如果该站点不使用ASP/php/CGI等脚本 在该站点属性 > 主目录里面 > 执行权限 里面选择 无

如果要执行ASP等脚本 则 选择纯脚本.如果php/CGI等脚本使用的是EXE文件执行方式.则选择脚本和可执行文件


一、windows server 2003 3790版本识别
RTM=release to manufacture (公开发行批量生产)是给硬件制造商的版本!是送去压盘的,不是拿去卖的。
OEM=Original Equipment Manufacturer只能全新安装, 和RTM差不多,只是称舨煌选?br /> RTL=retail(零售)正式零售版,可以升级或者全新安装。
VLK=Volume License大量授权版,又称为企业版。无需激活。(网上所谓的简体中文VLK版
实际是普通简体中文版加英文VLK版中的8个文件而已)

二、Windows Server 2003的不同版本

  Windows Server 2003 Web版:为快速开发、部署Web服务与应用程序,提供Web托管与服务平台。支持2路
SMP(对称多处理)系统、2GB内存。

  Windows Server 2003标准版:面向中小型企业和部门级应用。支持4路SMP、4GB内存。

  Windows Server 2003企业版:适合中心与大型组织使用,有32位和64位两个版本。支持8节点集群、NUMA;
支持8路SMP,其中32位版支持32GB内存,64位版支持64GB内存。

  Windows Server 2003数据中心版:面向要求强伸缩性和高可用性的企业,有32位和64位两个版本。32位版
支持32路SMP、64GB内存;64位版支持64路SMP、512GB内存;两个版本均支持8节点集群、NUMA

三、windows server 2003 3790版的激活

在正式版算号器没有出来之前,现在流行的激活方式有以下几种:
(1)Reset5.02,在安全模式下运行即可激活,把时间调整为2008年都没有问题,一切使用正常。可以升级。
缺点:激活程序被彻底屏蔽,表现为运行msoobe /a没有任何显示,并且在服务中有一项reset5,开机会自动运
行此服务,C:/WINDOWS/system32/srvany.exe,此程序应该是reset5添加入系统的。

(2)俄罗斯破解,记得在xp时代,只要把setupreg.hiv在安装前替换,然后电话激活就可以达到完美的激活境
界,可在2003下,这样子做之后,当前显示已激活,可如果你调整了时间再开机又会显示要激活,甚至是不能
使用。估计次次问题关键还是在那个setupreg.hiv文件。

(3)在论坛上有人贴出了一个Winxpactivation.exe的文件,号称可以激活,实际上这个还是假激活,暂时屏
蔽了激活程序,是不能够修改时间的。

(4)用替换法做出来的伪VLK,安装使用都没有问题,只是不能升级。VLK是替换英文版的8个文件.但是SN已经
被微软封掉了.所以不能升级,但是此法是最稳定的,没有任何问题。

结论:推荐大家用8个替换法激活和reset5.02激活!


四、win 2003 server的一些优化设置


1.禁用配置服务器向导:

禁止“配置你的服务器”(Manage Your Server)向导的出现:在控制面板(Control Panel) -> 管理员工具
(Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“
登录时不要显示该页”(Don't display this page at logon)。

2.启用硬件和DirectX加速

★硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级( Advanced )--
疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保
存退出。这期间可能出现一瞬的黑屏是完全正常。

★DirectX加速:打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊
断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct3D and AGP Texture 加
速三个按钮启用加速。把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全
加速”( Full Acceleration)。

3. 启用声卡:

系统安装后,声卡是禁止状态,所以要在 控制面板 -> 声音 -> 启用,重启之后再设置它在任务栏显示。
如果你使用的是Windows server 2003标准版请从第二步xx作,因为标准版已允许声音服务。
★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到
“Windows Audio”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),
并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)

★打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”
(DirectX Tools),在“Sound”(Display)页面,把“声音的硬件加速级别”
(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。

4. 如何启用 ASP 支持:

Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6,
还需要单独开启对于 ASP 的支持。方法是: 控制面板 -> 管理工具 ->
Web服务扩展 -> Active Server Pages -> 允许。

5. 如何启用 XP 的桌面主题:

★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,选themes“主题”(默认是禁止的)
,然后改为“自动”,按“应用”,选“开启”。
★接着点“桌面”的属性,在“主题”里选“windows xp”
★我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影

6. 禁止关机时出现的关机理由选择项:

关机事件跟踪(Shutdown Event Tracker)也是Windows server 2003区别于其他工作站系统的一个设置,
对于服务器来说这是一个必要的选择,但是对于工作站系统却没什么用,我们同样可以禁止它。
打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates )
-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”
(Disabled),点击然后“确定”(OK)保存后退出,这样,你将看到类似于windows 2000的关机窗口

7. 如何使用USB硬盘、U盘,添加已经有分区的硬盘

我的电脑(单击右键)----管理----磁盘管理-----在相应的硬盘上执行导入和分配盘符操作

8. 在控制面板里显示全部组件:

把 Windows/inf 目录中的 sysoc.inf 文件里的 "hide" 替换掉。

 

9.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现
在IE工具选项中自定义设置IE的安全级别。在”安全“(Security)选项卡上拉动滚动条把Internet区域
安全设置为”中“(Medium)或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。

10. 禁用开机 CTRL+ALT+DEL和实现自动登陆

★方法1:打开注册表(运行->“Regedit”),再打开:
HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段,在此段中按右键,新建
二个字符串段,AutoAdminLogon=“1”,DefaultPassword=“为超级用户Administrator所设置的Password”。
注意,一定要为Administrator设置一个密码,否则不能实现自启动。 然后,重新启动Windows即可实现自动登录。

★方法2:管理工具 -> Local Security Settings(本地安全策略) -> 本地策略 -> 安全选项 ->
interactive logon: Do not require CTRL+ALT+DEL,启用之。

★方法3(自动登陆):使用Windows XP的Tweak UI来实现Server 2003自动登陆。
下载:Tweak UI http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe
下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically
at system startup输入你的用户名和域名(如果没有就不写),点击下面的Set Password,输入用户名的密码
,然后点击OK。

11.隐藏文件

Windows Server 2003默认情况下是显示所有的文件夹的,如果你不想这样,可以通过一下方法来隐藏:
打开任意一个文件夹,选择工具(Tools) -> 文件夹选项(Folder Options) -> 查看(View),
调整 显示系统文件夹的内容、隐藏受保护的操作系统文件、隐藏文件和文件夹 三项

12.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务

.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
★假如你希望启用Windows内置的IMAPI CD-Burning服务。做如下xx作:
打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到
“IMAPI CD-Burning COM Service ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”
(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)

★假如你有如数码相机和扫描仪之类的影像设备,你应该打开Windows Image Acquisition 服务。
打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到
“Windows Image Acquisition (WIA) ”并双击它,然后在启动模式(startup type )的下拉
菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)

13.高级设置

★我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。
右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能(Performance)
--设置(Setting)--高级(Advanced),把“处理器计划”(Processor scheduling )和内存使用
(Memory usage)分配给“程序”(Programs)使用。然后点击“确定”(OK.)

★禁用错误报告
右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--点击“错误报告”
(Error Reporting )按钮,在出现的窗口中把“禁用错误报告”(Disable Error Reporting)选上并复选“
但在发生严重错误时通知我”(But, notify me when critical errors occur.)

★调整虚拟内存
一些朋友经常会对关机和注销缓慢感到束手无策,解决办法就是禁用虚拟内存,这样你的注销和关机时间可能
会加快很多。右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能
(Performance)--设置(Setting)--高级(Advanced),点击“虚拟内存”(Virtual memory)部分的
“更改”(Change),然后在出现的窗口选择“无分页文件”。重启系统即可。

14.加快启动和运行速度

★修改注册表,减少预读取,减少进度条等待时间:
开始→运行→regedit启动注册表编辑器,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session
Manager/Memory Management/PrefetchParameters, 有一个键值名为EnablePrefetcher,它的值是3,把它改为
“1”或“5”。找到 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control,
将 WaitToKillServiceTimeout 设为:1000或更小。 ( 原设定值:20000
找到 HKEY_CURRENT_USER/Control Panel/Desktop 键,将右边视窗的
WaitToKillAppTimeout 改为 1000, ( 原设定值:20000 即关闭程序时仅等待1秒。
将 HungAppTimeout 值改为:200( 原设定值:5000 , 表示程序出错时等待0.5秒。

★让系统自动关闭停止回应的程式。
打开注册表 HKEY_CURRENT_USER/Control Panel/Desktop 键,
将 AutoEndTasks 值设为 1。 ( 原设定值:0

★禁用系统服务Qos
开始菜单→运行→键入 gpedit.msc ,出现“组策略”窗口, 展开 "管理模板”→“网络” , 展开 "QoS 数
据包调度程序", 在右边窗右键单击“限制可保留带宽" ,在属性中的“设置”中有“限制可保留带宽" ,选
择“已禁用”,确定即可。当上述修改完成并应用后,用户在网络连接的属性对话框内的一般属性标签栏中如
果能够看到"QoS Packet Scheduler(QoS 数据包调度程序)"。说明修改成功,否则说明修改失败。

★改变窗口弹出的速度:
找到HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子键分支,在右边的窗口中找到
MinAniMate键值,其类型为REG_SZ,默认情况下此健值的值为1,表示打开窗口显示的动画,把它改为0,则禁
止动画显示,接下来从开始菜单中选择“注销”命令,激活刚才所作的修改。

★禁止Windows XP的压缩功能:
点击“开始”下的“运行”,在“运行”输入框中输入“regsvr32/u zipfldr.dll”,然后按回车键即可。

★设置个性的启动信息或警告信息:
个性化的Windows XP启动:打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon子键分支,双击LegalNoticeCaption健值,打开“编辑字符串”对话框,在“数
值数据”下的文本框中输入自己想要的信息标题,如“哥们儿,你好!”,然后点击“确定”,重新启动。
如果想要改变警告信息的话可以双击LegalNoticeText健值名称,在出现的“编辑字符串”窗口中输入想要显示
的警告信息,单击“确定”,重新启动。

15.安装Java VM
Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。

16.安装DirectX 9a

在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前
必须先启用DirectX and Graphics Acceleration。

17.可用的杀毒软件和防火墙:
Symantec Norton Antivirus Corporate 8.01
Zone Alarm 3.7.159
Norton Personal Firewall 2003

五、如何防范ipc$入侵

1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)

首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA]把
RestrictAnonymous = DWORD的键值改为:00000001。
restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

2、禁止默认共享

1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)修改注册表删除共享
运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters]
把AutoShareServer(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。

3、停止server服务

1)暂时停止server服务
net stop server /y (重新启动后server服务会重新开启)
2)永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用

4、安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)

1).解开文件和打印机共享绑定

  鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。

  2).利用TCP/IP筛选

  鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)] →[属性]→[高级]→[选项],在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。

  3).使用IPSec安全策略阻止对端口139和445的访问

  选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从 TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。

  4).使用防火墙防范攻击

  在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击 [确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了(如图3)。

5、给所有账户设置复杂密码,防止通过ipc$穷举密码

====================================================

Windows Server 2003技巧七则

一、跳过磁盘检修等待时间

  一旦计算机因意外原因,例如突然停电或者死机的话,那么计算机下次重新启动的话,系统就会花10秒钟左右的时间,来运行磁盘扫描程序,检查磁盘是否有错误出现。要是你是一位惜时如金的人,肯定不会白白等待下去的。那就跟我一起来,跳过这段检查等待时间吧:


  1、在开始菜单中,依次执行“程序”/“附件”/“命令提示符”命令,将界面切换到DOS命令行状态下;


  2、直接输入“CHKNTFS/T :0”命令,单击回车键后,系统就能自动将检查磁盘的等待时间修改为0了;


  3、下次遇到异常情况,重新启动计算机后,系统再调用磁盘扫描程序时,就不需要等待了。


  二、取消对网站的安全检查


  新安装好Windows Server 2003操作系统后,打开浏览器来查询网上信息时,发现IE总是“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;要是不信任的话,就无法打开指定网页;倘若信任的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。不过每次访问网页,都要经过这样的步骤,显然就太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查:


  1、依次执行“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,用鼠标双击“添加和删除程序”图标,将界面切换到“添加和删除Windows组件”页面中;


  2、用鼠标选中“Internet Explorer增强的安全配置”选项,继续单击下一步按钮,就能将该选项从系统中删除了;


  3、再单击一下“完成”按钮,退出组件删除提示窗口。


  以后,再上网的时候,IE就不会自动去检查网站的安全性了,这样就能少了不少麻烦。


  三、自动进入Windows Server 2003系统


  每次开机运行Windows Server 2003系统时,都需要同时按住Ctrl+Alt+Delete复合键,再输入登录密码,才能进入到系统中;要是需要频繁登录系统的话,大家可能就会受不了这样罗嗦的步骤了。此时,大家不妨按照下面的步骤,来让系统自动完成登录操作:


  1、在运行对话框中,输入注册表编辑命令regedit,来打开注册表编辑窗口;


  2、在该窗口中,依次展开HKEY_LOCAL_MACHINES/SOFTWARE/Microsoft/WindowsNT/Current Version/WinLogon键值;


  3、在对应右边的子窗口中,用鼠标右键单击空白处,从弹出的快捷菜单中,依次执行“新建”/“字符串”命令,来创建一个字符串类型的键名,并将键名设置为“AutoAdminLogon”,并将该键名的数值设置为“1”;


  4、找到“DefaultDomainName”键名,并用鼠标双击之,在随后出现的窗口中,输入要登录的域名,例如Department;


  5、双击“DefaultUserName”键名,在随后打开的窗口中,直接输入要登录到此域的用户名,例如“test”;


  6、在WinLogon右边的子窗口中,用鼠标右键单击空白处,从弹出的快捷菜单中,依次执行“新建”/“字符串”命令,来创建一个字符串类型的键名,并将键名设置为“DefaultPassword”,并将该键名的数值设置为用户登录系统的密码,例如用户test的登录密码为 “123456”;


  7、完成设置后,重新启动计算机时,我们会发现不需要再登录,就能自动进入到Windows Server 2003系统中了。以后要取消自动登录功能的话,可以将“AutoAdminLogon”键值设置为“0”就可以了。


  四、取消关机原因的提示


  在关闭Windows Server 2003操作系统时,系统会弹出一个提示窗口,要求大家选择关闭计算机的原因选项;尽管这种方法可以增强系统的安全性,确保用户更有效地管理和维护计算机;不过每次关机或者重新启动系统,都要选择关机原因,实在没有必要。所以,为了进快地关闭计算机,大家可以按下面步骤来取消关机原因的提示:


  1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;


  2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;


  3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;


  4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。


  五、调用Windows XP风格界面


  安装完Windows Server 2003系统进入到桌面时,我们会发现系统桌面的显示样式为“Windows经典样式”。看惯了这种样式后,就会感觉到有点乏味,想不想改变一下桌面的显示风格?要是你企图通过显示属性的外观设置中,来调用其他风格界面时,就发现此“路”不通;通过组策略来调用时,发现只有当前样式可以选择。那么我们有没有办法来调用其他风格样式呢,例如Windows XP样式?按照下面方法,我们就能轻松实现调用目的:


  1、在系统的开始菜单中,依次展开控制面板、管理工具和服务窗口,在对应服务的右边子窗口中,用鼠标选中“Themes”选项;


  2、仔细查看该选项的参数时,发现该服务在缺省状态下是被禁止使用的,因此我们就无法调用其他风格样式;


  3、为此,我们必须启动该服务;用鼠标双击该服务选项,然后打开常规标签页,将对应该服务的启动类型设置为“自动”,再点一下“应用”按钮;


  4、此时,“服务状态”设置项中的“启动”按钮就自动被激活了,单击该“启动”按钮,就能将系统中的Themes服务起用了;


  5、返回到系统桌面,并用鼠标右键单击空白处,从快捷菜单中执行“属性”命令,再打开外观标签页面,在其中的“窗口和按钮”处,选中Windows XP样式或者其他显示样式。


  6、至此,系统中的工具栏菜单、窗口等样式就会按照指定的风格来显示了。


  六、调整Windows Media Player的播放模式


  要是在使用Windows Media Player播放音乐的同时,我们还打开了多个工作窗口,这样我们就会经常需要在工作窗口和WMP播放界面中来回切换,这样会大大影响工作效率。现在,可以通过下面方法来调整WMP的播放模式,让操作者不需要打开WMP的主界面就能控制音乐的播放,以便不影响其他工作窗口:


  1、用鼠标右键单击系统任务栏中的空白处,从打开的快捷菜单中,执行“工具栏”下面的“Windows Media Player”命令;


  2、此后,Windows Media Player界面中的播放按钮就会自动缩小并显示在系统任务栏中了,利用这里的按钮,我们就能执行音乐的播放、暂停、上一首或者下一首命令了;


  3、通过这种调整,我们再也用不着手忙脚乱地在程序窗口和WMP播放界面中,来回切换了。


  七、为指定组添加新用户


  想在Windows Server 2003系统中添加新用户时,发现该系统控制面板窗口中却

没有我们非常熟悉的“用户”图标,那么我们该从哪里着手,才能为系统的指定组添加新用户呢?呵呵,Windows Server 2003看来就是不一样!笔者经过几次摸索,发现为指定组添加新用户的方法,具体步骤如下:

 


  1、用鼠标右键单击桌面上的“我的电脑”图标,从打开的快捷菜单中,执行“管理”命令,弹出一个计算机管理窗口;


  2、展开该窗口中的“本地用户和组”文件夹,然后选中该文件夹下面的“用户”选项,此时在右边的子窗口中,我们就能看到当前系统中已经存在的所有用户了,其中标有红色*号的用户表示已经创建但并没有启用;


  3、用鼠标右键单击右边子窗口的空白处,从右键菜单中执行“添加新用户”命令,在随后出现的窗口中,输入需要添加的用户的相关信息,最后单击一下“创建”按钮,来结束新用户的添加工作;


  4、要想让该用户添加到指定组的话,可以选择“组”选项,再从右边的子窗口中,选中需要加入的组名称,并用鼠标右击之,执行快捷菜单中的“添加到组”命令;


  5、在随后出现的界面中,再单击“添加”命令,将前面创建的用户添加进来就可以了。

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值