<![CDATA[沧海一粟]]>

<![CDATA[沧海一粟]]> http://www.dzhope.com/index.php zh-cn http://www.dzhope.com/post// <![CDATA[windows2003的一些设置]]> jed <jed521@163.com> Tue, 05 Sep 2006 00:02:39 +0000 http://www.dzhope.com/post//
关于网络服务器的设置有如下：

1 类似 ../ 父路径的问题.IIS6　为提高安全性，默认设置是禁止使用父路径，所以你的程序会出错，解决方法也很简单，在IIS6的站点属性中选择“使用父路径”即可。

IIS6==>站点属性==>主目录==>配置==>选项==>启用父路径

这样就可以了，告诉你个详细的方法，在IIS6里点帮助（F1），然后搜索“父路径”，里面有详细的设置方式，你可以看看！我就是这么弄明白的.

2 新安装的第二块硬盘需要设置盘符才能使用,第二次就不用了!呵呵
开始－控制面板－管理工具－计算机管理－磁盘管理－更改驱动器名和路径－添加

3 ASP/ASP.NET等服务需要开启服务才能使用!

4 安装PHP
在IIS6中打开IIS管理控制台,打开 Web Service Extensions,加一个新的webservice extension,加一个extension名,点添加然后选择从你解压的地方的php.exe,选择OK,转向站点,编辑属性,进入Home Directory选项卡,点配制,在Mappings点击Add,重新浏览PHP CGI快速绑定,加上.php,一路ok!

5 系统默认没有开启硬件加速，需要自行^

6 禁用关机事件跟踪
开始 -> 运行 -> gpedit.msc->计算机配置 -> 管理模板 -> 系统 -> 显示关机事件跟踪 -> 禁用

7 以后大家都要用2003啊, 核心是NT5.25

8 显示ASP详细信息。
右键点击默认WEB站点-》属性-》主目录选项卡-》配置
IE设置=>去掉友好提示

9 起用XP的漂漂界面
在管理工具里有服务，打开找到 Thems组件，启动之！这样主题就有了！

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

另外还有一些关于计算机应用的设置：

随着windows server 2003的上市在即，很多人可以用上的泄漏的版本，相对于工作站系统，服务器在由于做了更多的内核优化，所以在稳定性和安全性方面有很大的提高。但是，很多人并不是需要Server的全部功能的，而且Server系统关闭了某些工作站系统所需要的服务，下面，我们将对如何优化windows server 2003并转换成一个工作站系统做出一些介绍。
1.禁用配置服务器向导
由于不需要服务器设置功能，首先我们先禁止“配置你的服务器”（Manage Your Server）向导的出现，你可以在控制面板（Control Panel） -> 管理员工具（Administrative Tools ）-> 管理你的服务器（Manage Your Server）运行它，然后在窗口的左下角复选“登录时不要显示该页”（Don''t display this page at logon）。
2.建立一个新的用户账号
windows server 2003不支持类似于Windows XP的登录欢迎屏幕。你可以在首次进入系统后建立一个有你个性的新用户账号。
打开“开始”（Start） -> “运行”（Run） -> 键入“lusrmgr.msc ”，你将看到本地用户和组（Local Users and Groups ），

右键点击左边窗口的“用户”（Users），选择“新用户”（New User）.在弹出的对话框中输入账号信息,然后点击“建立”（Great）。这样你的账号就可用了，当然，你可以选择把你的账号添加到管理员组，右键点击你新建的用户。然后选择“属性”（Properties） -> 点击“隶属于” on Member of tab -> “添加”Add.. -> “高级”Advanced -> “现在查找”Find Now 。

在查找结果对话框中双击“管理员”（Administrators），在点击两次“确定”（Ok）后关闭“本地用户和组”（Local Users and Groups window ），现在你将可以注销Administrator用户用你自己的账号登录系统。

3.禁用Internet Explorer Enhanced Security
作为新windows组件出现的IE安全插件－－Internet Explorer Enhanced Security默认把你IE安全设置为最高。这样你将在访问站点弹出询问框并对你浏览网页及文件下载做出阻止的行为。我们其实不一定需要这个组件。
我们首先禁止询问框的出现,在弹出的对话框中复选”以后不要显示这个信息“ （In the future, do not show this message）

然后，我们可以在IE工具选项中自定义设置IE的安全级别。在”安全“（Security）选项卡上拉动滚动条把Internet区域安全设置为”中“（Medium），这个级别将适合大多数人，要是你有特别要求，这个步骤将不适合你。
通过对IE安全的设置，你现在安装可以上Sun''s Java VM!
当然，你甚至可以在控制面板－－添加程序－－添加或删除Windows组件中卸载Internet Explorer Enhanced Security 。
4.安装Java VM
Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。

5.禁止关机事件跟踪
关机事件跟踪（Shutdown Event Tracker）也是Windows server 2003区别于其他工作站系统的一个设置，对于服务器来说这是一个必要的选择，但是对于工作站系统却没什么用，我们同样可以禁止它。
打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates ）-> ”系统“（System）,在右边窗口双击“Shutdown Event Tracker”

在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出

这样，你将看到类似于windows 2000的关机窗口

6.启用硬件和DirectX加速
★硬件加速：桌面点击右键－－属性（Properties） -> 设置（Settings ）－－高级（ Advanced ）－－疑难解答（Troubleshoot）。把该页面的硬件加速滚动条拉到“完全”（ Full），最好点击“确定”（OK）保存退出。这期间可能出现一瞬的黑屏是完全正常。

★DirectX加速：打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“显示”（Display）页面，点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。

7.允许声音加速
如果你使用的是Windows server 2003标准版请从第二步xx作，因为标准版已允许声音服务。
★打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“Windows Audio”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

★打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“Sound”（Display）页面，把“声音的硬件加速级别”（Hardware Sound Acceleration Level）滚动条拉到“完全加速”（ Full Acceleration）。

8.启用桌面主题
也许你对WINDOWS经典的桌面已经感到厌烦的话，你就要考虑启用桌面主题了，Windows server 2003默认是关闭此服务的。
打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口寻找Themes并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”

这样的xx作也是只能让你使用Windows自带的Luna主题的三个模式，假如你希望使用更多的第三方主题文件的话，你需要使用修改的Uxtheme.dll文件来支持它，关于修改的Uxtheme.dll文件，你可以在http://vortex.winbeta.org/找到更多。

9.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
★假如你希望启用Windows内置的IMAPI CD-Burning服务。做如下xx作：
打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“IMAPI CD-Burning COM Service ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

★假如你有如数码相机和扫描仪之类的影像设备，你应该打开Windows Image Acquisition 服务。
打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“Windows Image Acquisition (WIA) ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

10.高级设置
我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。
★右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）－－设置（Setting）－－高级（Advanced），把“处理器计划”（Processor scheduling ）和内存使用（Memory usage）分配给“程序”（Programs）使用。然后点击“确定”（OK.）

★禁用错误报告
右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－点击“错误报告”（Error Reporting ）按钮，在出现的窗口中把“禁用错误报告”（Disable Error Reporting）选上并复选“但在发生严重错误时通知我”（But, notify me when critical errors occur.）

★调整虚拟内存
正常运行Windows所需要的虚拟内存是作为物理内存的“后备力量”而存在的，虽然运行速度上硬盘不如内存，但在容量上内存是无法与硬盘相提并论的。所以我们一直是认为虚拟内存越大越好，其实事实上并不是这样的，尤其是安装Windows server 2003用做工作站的环境下并不承担高负荷工作的情况下，我们可以试试禁用虚拟内存。前提是你必须拥有512M物理内存以上。很多朋友担心如果禁用虚拟内存会不会象在Windows 9x环境下一样造成系统无法正常待机和休眠的情况，其实不会这样的，因为从windows xp开始它的虚拟内存（即pagefile.sys）是专用于数据交换的，待机模式时数据依旧保留在物理内存中，休眠模式也有其专用的休眠文件（Hiberfil.sys），所以绝对不会出现系统无法休眠的问题。而使用Windows server 2003的一些朋友经常会对其的关机和注销缓慢感到束手无策，在此我个人的解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。我今天做了测试，在加载虚拟内存的情况下注销用户重登陆windows的时间是3秒，关机是23秒。但是在禁用虚拟内存的情况下注销重登陆的时间减少到2秒，而关机时间缩短到3秒。
右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）－－设置（Setting）－－高级（Advanced），点击“虚拟内存”（Virtual memory）部分的“更改”（Change），然后在出现的窗口选择“无分页文件”。重启系统即可。
注意：调整虚拟内存部分经过个人测试无任何问题，但是不保证在您的机器上也是这样，所以我不对此设置造成的任何后果承担责任。只是建议对Windows server 2003关机速度有怨言的朋友尝试。

11.自动登陆

Windows Server 2003默认是使用"CTRL-ATL-DEL to login" 对话框来登陆Windows的，不过我们我们可以使用Windows XP的Tweak UI来使Server 2003自动登陆。

下载：Tweak UI
http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe ;;

下载后直接执行tweakui.exe

在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名（如果没有就不写）

点击下面的Set Password，输入用户名的密码，然后点击OK。

虽然同样的功能通过修改注册表也能完成，但是修改注册表的方法密码在注册表中表现的是明文，而Tweak UI在注册表中不会留下明文的密码，所以推荐使用Tweak UI来完成这项工作。

12.安装DirectX 9a

在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前先启用DirectX and Graphics Acceleration。

下载：DirectX 9.0a Websetup
http://download.microsoft.com/downl.../dxwebsetup.exe ;;

13.隐藏文件

Windows Server 2003默认情况下是显示所有的文件夹的，如果你不想这样，可以通过一下方法来隐藏：
打开任意一个文件夹，选择Tools -> Folder Options -> View，选择Do not show hidden files and folders，点击OK。

在Windows Server 2003中，已经安装了Windows Media Player 9，点击Start -> Programs -> Accessories -> Entertainment -> Windows Media Player就可以打开它。
对于Windows下ping命令相信大家已经再熟悉不过了，但是能把ping的功能发挥到最大的人却并不是很多。 ping只有在安装了TCP/IP协议以后才可以使用：

ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list] | [-k computer-list] [-w timeout] destination-list
Options:
-t Ping the specified host until stopped.To see statistics and continue - type Control-Break;To stop - type Control-C.
不停的ping地方主机，直到你按下Control-C。
此功能没有什么特别的技巧，不过可以配合其他参数使用，将在下面提到。

-a Resolve addresses to hostnames.
解析计算机NetBios名。
示例：C:＼>ping -a 192.168.1.21
Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data:
Reply from 192.168.1.21: bytes=32 time<10ms TTL=254
Reply from 192.168.1.21: bytes=32 time<10ms TTL=254
Reply from 192.168.1.21: bytes=32 time<10ms TTL=254
Reply from 192.168.1.21: bytes=32 time<10ms TTL=254
Ping statistics for 192.168.1.21:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
从上面就可以知道IP为192.168.1.21的计算机NetBios名为iceblood.yofor.com。

-n count Number of echo requests to send.
发送count指定的Echo数据包数。
在默认情况下，一般都只发送四个数据包，通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送50个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过以下获知：
C:＼>ping -n 50 202.103.96.68
Pinging 202.103.96.68 with 32 bytes of data:
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Request timed out.
………………
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Reply from 202.103.96.68: bytes=32 time=50ms TTL=241
Ping statistics for 202.103.96.68:
Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds:
Minimum = 40ms, Maximum = 51ms, Average = 46ms
从以上我就可以知道在给202.103.96.68发送50个数据包的过程当中，返回了48个，其中有两个由于未知原因丢失，这48个数据包当中返回速度最快为40ms，最慢为51ms，平均速度为46ms。

-l size Send buffer size.
定义echo数据包大小。
在默认的情况下windows的ping发送的数据包大小为32byt，我们也可以自己定义它的大小，但有一个大小的限制，就是最大只能发送65500byt，也许有人会问为什么要限制到65500byt，因为Windows系列的系统都有一个安全漏洞（也许还包括其他系统）就是当向对方一次发送的数据包大于或等于65532时，对方就很有可能挡机，所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制，但这个参数配合其他参数以后危害依然非常强大，比如我们就可以通过配合-t参数来实现一个带有攻击性的命令：（以下介绍带有危险性，仅用于试验，请勿轻易施于别人机器上，否则后果自负）
C:＼>ping -l 65500 -t 192.168.1.21
Pinging 192.168.1.21 with 65500 bytes of data:
Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254
Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254
………………
这样它就会不停的向192.168.1.21计算机发送大小为65500byt的数据包，如果你只有一台计算机也许没有什么效果，但如果有很多计算机那么就可以使对方完全瘫痪，我曾经就做过这样的试验，当我同时使用10台以上计算机ping一台Win2000Pro系统的计算机时，不到5分钟对方的网络就已经完全瘫痪，网络严重堵塞，HTTP和FTP服务完全停止，由此可见威力非同小可。

-f Set Don<|>t Fragment flag in packet.
在数据包中发送“不要分段”标志。
在一般你所发送的数据包都会通过路由分段再发送给对方，加上此参数以后路由就不会再分段处理。

-i TTL Time To Live.
指定TTL值在对方的系统里停留的时间。
此参数同样是帮助你检查网络运转情况的。

-v TOS Type Of Service.
将“服务类型”字段设置为 tos 指定的值。

-r count Record route for count hops.
在“记录路由”字段中记录传出和返回数据包的路由。
在一般情况下你发送的数据包是通过一个个路由才到达对方的，但到底是经过了哪些路由呢？通过此参数就可以设定你想探测经过的路由的个数，不过限制在了9个，也就是说你只能跟踪到9个路由，如果想探测更多，可以通过其他命令实现，我将在以后的文章中给大家讲解。以下为示例：
C:＼>ping -n 1 -r 9 202.96.105.101 （发送一个数据包，最多记录9个路由）

Pinging 202.96.105.101 with 32 bytes of data:

Reply from 202.96.105.101: bytes=32 time=10ms TTL=249
Route: 202.107.208.187 ->
202.107.210.214 ->
61.153.112.70 ->
61.153.112.89 ->
202.96.105.149 ->
202.96.105.97 ->
202.96.105.101 ->
202.96.105.150 ->
61.153.112.90

Ping statistics for 202.96.105.101:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 10ms, Maximum = 10ms, Average = 10ms
从上面我就可以知道从我的计算机到202.96.105.101一共通过了202.107.208.187 ，202.107.210.214 , 61.153.112.70 , 61.153.112.89 , 202.96.105.149 , 202.96.105.97这几个路由。
关于Win2003下ASP无故停止

______________________________________________________________

微软已经承认，在win2003下运行access数据库的站点，会遇到ASP突然停止工作的故障
主要是因为session造成的，相关文档：
http://support.microsoft.com/?id=307598

解决方法，安装相应更新文件，参考网址：http://www.aspfaq.com/show.asp?id=2356
1、安装MDAC2.8，http://www.microsoft.com/downloads/details.aspx?FamilyID=6c050fe3-c795-4b7d-b037-185d0506396c&DisplayLang=en

2、安装MDAC关键更新Microsoft Data Access Components (MDAC) Security Patch MS04-003 (32-bit)，http://www.microsoft.com/downloads/details.aspx?FamilyId=39472EE8-C14A-47B4-BFCC-87988E062D91&displaylang=en

3、安装Jet 4.0 Service Pack 8 (SP8) for Windows Server 2003 (KB829558)，http://www.microsoft.com/downloads/details.aspx?familyid=97bc8126-5c60-44bc-a2ce-1e40c7fe2b34&displaylang=en
原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁

修改3389

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d，这个是16进制，就是3389啦，我改XXXX这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健（取决于你建立了多少个RDP服务），一样改掉PortNumber。

修改系统日志保存地址
默认位置为
应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB，管理员都会改变这个默认大小。
安全日志文件：%systemroot%\system32\config\SecEvent.EVT
系统日志文件：%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志
Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志
Scheduler(任务计划)服务日志默认位置：%systemroot%\schedlgu.txt

应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

Schedluler(任务计划)服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

SQL
删掉或改名xplog70.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 对pro版本
// AutoShareServer 对server版本
// 0 禁止管理共享admin$,c$,d$之类默认共享

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用户无法列举本机用户列表
//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动)

本地安全策略
封TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)
封UDP端口:1434(这个就不用说了吧)
封所有ICMP,即封PING
以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的

审核策略为
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败

密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.

在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟.

安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.

禁止登录屏幕上显示上次登录的用户名
控制面板==管理工具==本地安全策略==本地策略==安全选项
或改注册表
HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn项中的Don't Display Last User Name串，将其数据修改为1

禁TCP/IP中的禁用TCP/IP上的NetBIOS

修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉

WEB目录用户权限设定...
依次做下面的工作:
选取整个硬盘：
system：完全控制
administrator：完全控制(允许将来自父系的可继承性权限传播给对象)
b.\program files\common files：
everyone：读取及运行
列出文件目录
读取(允许将来自父系的可继承性权限传播给对象)
c.\inetpub\wwwroot：
iusr_machine：读取及运行
列出文件目录
读取 (允许将来自父系的可继承性权限传播给对象)
e.\winnt\system32：
选择除inetsrv和centsrv以外的所有目录，
去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
f.\winnt：
选择除了downloaded program files、help、iis temporary compressed files、
offline web pages、system32、tasks、temp、web以外的所有目录
去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
g.\winnt：
everyone：读取及运行
列出文件目录
读取(允许将来自父系的可继承性权限传播给对象)
h.\winnt\temp：（允许访问数据库并显示在asp页面上）
everyone：修改 (允许将来自父系的可继承性权限传播给对象)
(还是WIN2K3好一点,默认就设好了设限)
删除默认IIS目录

删除IIS中除ASA和ASP的所有解析,除非你要用到别的CGI程序(WIN2K3中去不掉的)
定期查看服务器中的日志logs文件

检查ASP程序是否有SQL注入漏洞
解决方法:
在ASP程序中加入
dim listname
if not isnumeric(request("id")) then
response.write "参数错误"
response.end
end if
//作用是检查ID是否为INT数字型

如何让asp脚本以system权限运行?
修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....

如何防止asp木马?
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //删除

还原:
cacls %systemroot%\system32\scrrun.dll /e /p guests:r
regsvr32 scrrun.dll

基于shell.application组件的asp木马
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //删除

还原:
cacls %systemroot%\system32\shell32.dll /e /p guests:r
regsvr32 shell32.dll

可以看一下caclsr语法,f是完全控制,c是写入
安装过程

有选择性地安装组件
不要按Windows 2000的默认安装组件，本着“最少的服务+最小的权限=最大的安全”原则，只选择安装需要的服务即可。例如：不作为Web服务器或FTP服务器就不安装IIS。常用Web服务器需要的最小组件是： Internet 服务管理器、WWW服务器和与其有关的辅助服务。

安装完毕后加入网络
在安装完成Windows 2000操作系统后，不要立即把服务器加入网络，因为这时的服务器上的各种程序还没有打上补丁，存在各种漏洞，非常容易感染病毒和被入侵。
应该在所有应用程序安装完之后依次打上各种补丁，因为补丁程序是针对不同应用程序而安装的，往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如IIS的HotFix要求每次更改IIS的配置时都需要重新安装。
还有，如果怕IIS负荷过高导致服务器死机，也可以在性能中打开CPU限制，如将IIS的最大CPU使用率限制在70%。

正确设置和管理账户

1、停止使用用Guest账户，并给Guest 加一个复杂的密码。
2、账户要尽可能少，并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户，常用的扫描软件有：流光、HSCAN、X－SCAN、STAT　SCANNER等。正确配置账户的权限，密码至少应不少于8位，且要数字、大小写字母，以及数字的上档键混用，这样就较难破译。
3、增加登录的难度，在“账户策略→密码策略”中设定：“密码复杂性要求启用”，“密码长度最小值8位”，“强制密码历史5次”，“最长存留期 30天”；在“账户策略→账户锁定策略”设定：“账户锁定3次错误登录”，“锁定时间20分钟”，“复位锁定计数20分钟”等，增加了登录的难度对系统的安全大有好处。
4、把系统Administrator账号改名，名称不要带有Admin等字样; 创建一个陷阱帐号，如创建一个名为“Administrator”的本地帐户，把权限设置成最低，什么事也干不了，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts忙上一段时间了，并且可以借此发现他们的入侵企图。
5、不让系统显示上次登录的用户名，具体操作如下：
将注册表中“Hkey\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值改为1。

正确地设置目录和文件权限

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。Windows 2000的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全控制的（Full Control），您需要根据应用的需要重新设置权限。在进行权限控制时，请记住以下几个原则：
1、权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。
2、拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。
3、文件权限比文件夹权限高。
4、利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5、只给用户真正需要的权限，权限的最小化原则是安全的重要保障。
6、预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法，而Windows 2000应付的方法很简单。Windows 2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

网络服务安全管理

1、关闭不需要的服务
只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services（终端服务）、IIS（web服务）、RAS（远程访问服务）等，这些都有产生漏洞的可能。

2、关闭不用的端口
只开放服务需要的端口与协议。
具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口用于POP3。常用的UDP端口有：53口－DNS域名解析服务；161口－snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。

3、禁止建立空连接
默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接：
（1）修改注册表中　Local_Machine\SystemCurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。
（2）修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。
首先，Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接，实际上Windows 2000的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows 2000才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较好。

网络服务安全配置

1、修改默认端口。终端服务的默认端口为3389，可考虑修改为别的端口。修改方法为：
服务器端：打开注册表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键，修改PortNumber值。
客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件（方法：菜单→文件→导入），这样客户端就修改了端口。
2、安全配置Internet 服务管理器。对IIS服务安全配置如下：
(1)停止默认的Web服务，建立新的Web服务，将其主目录设为其他（非inetpub）目录，最好不和主系统点用一个分区。如果使用系统默认的Web服务，那么通过较简单的攻击，就可以黑掉服务器。
(2) 删除原默认安装的Inetpub目录（在安装系统的盘上）。
(3) 删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
3、不要设置Frontpage服务器扩展服务，如果开设，那么就可以远程在Frontpage下打开您的主页文件进行修改。
4、删除不必要的IIS扩展名映射。方法是：右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。如不用到其他映射，只保留.asp、.asa两映射即可。

Tags - windows , 2003 ]]> http://www.dzhope.com/post//#blogcomment <![CDATA[[评论] windows2003的一些设置]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.dzhope.com/post//#blogcomment