服務窗口提升伺服器

❶ windows 2003伺服器各種服務如何設置

第一步：
一、先關閉不需要的埠
我比較小心，先關了埠。只開了3389 21 80 1433（MYSQL）有些人一直說什麼默認的3389不安全，對此我不否認，但是利用的途徑也只能一個一個的窮舉爆破，你把帳號改

了密碼設置為十五六位，我估計他要破上好幾年，哈哈!辦法:本地連接--屬性--Internet協議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上 然後添加你需要的埠即可。PS一句:設置完埠需要重新啟動!
當然大家也可以更改遠程連接埠方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存為.REG文件雙擊即可!更改為9859，當然大家也可以換別的埠， 直接打開以上注冊表的地址，把值改為十進制的輸入你想要的埠即可!重啟生效!
還有一點，在2003系統里，用TCP/IP篩選里的埠過濾功能，使用FTP伺服器的時候，只開放21埠，在進行FTP傳輸的時候，FTP 特有的Port模式和Passive模式，在進行數據傳輸的時候，需要動態的打開高埠，所以在使用TCP/IP過濾的情況下，經常會出現連接上後無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火牆能很好的解決這個問題，所以都不推薦使用網卡的TCP/IP過濾功能。所做FTP下載的用戶看仔細點，表怪俺說俺寫文章是垃圾...如果要關閉不必要的埠，在\\system32\\drivers\\etc\\services中有列表，記事本就可以打開的。如果懶惰的話，最簡單的方法是啟用WIN2003的自身帶的網路防火牆，並進行埠的改變。功能還可以!Internet 連接防火牆可以有效地攔截對Windows 2003伺服器的非法入侵，防止非法遠程主機對伺服器的掃描，提高Windows 2003伺服器的安全性。同時，也可以有效攔截利用操作系統漏洞進行埠攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火牆功能，能夠對整個內部網路起到很好的保護作用。
二、關閉不需要的服務 打開相應的審核策略
我關閉了以下的服務
Computer Browser 維護網路上計算機的最新列表以及提供這個列表
Task scheler 允許程序在指定時間運行
Routing and Remote Access 在區域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件載入到內存中以便以後列印。要用列印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE）和IP安全驅動程序
Distributed Link Tracking Client 當文件在網路域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機並運行程序
把不必要的服務都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規則和標准上來說，多餘的東西就沒必要開啟，減少一份隱患。
在"網路連接"里，把不需要的協議和服務都刪掉，這里只安裝了基本的Internet協議(TCP/IP)，由於要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項里，使用"Internet連接防火牆"，這是windows 2003 自帶的防火牆，在2000系統里沒有的功能，雖然沒什麼功能，但可以屏蔽埠，這樣已經基本達到了一個IPSec的功能。
在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那麼要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件，你需要根據情況在這二者之間做出選擇。
推薦的要審核的項目是:
登錄事件 成功 失敗
賬戶登錄事件 成功 失敗
系統事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗
特權使用 失敗
三、磁碟許可權設置
1.系統盤許可權設置
C:分區部分：
c:\
administrators 全部（該文件夾，子文件夾及文件）
CREATOR OWNER 全部（只有子文件來及文件）
system 全部（該文件夾，子文件夾及文件）
IIS_WPG 創建文件/寫入數據（只有該文件夾）
IIS_WPG（該文件夾，子文件夾及文件）
遍歷文件夾/運行文件
列出文件夾/讀取數據
讀取屬性
創建文件夾/附加數據
讀取許可權
c:\Documents and Settings
administrators 全部（該文件夾，子文件夾及文件）
Power Users （該文件夾，子文件夾及文件）
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部（該文件夾，子文件夾及文件）
C:\Program Files
administrators 全部（該文件夾，子文件夾及文件）
CREATOR OWNER全部（只有子文件來及文件）
IIS_WPG （該文件夾，子文件夾及文件）
讀取和運行
列出文件夾目錄
讀取
Power Users（該文件夾，子文件夾及文件）
修改許可權
SYSTEM全部（該文件夾，子文件夾及文件）
TERMINAL SERVER USER （該文件夾，子文件夾及文件）
修改許可權
2.網站及虛擬機許可權設置（比如網站在E盤）
說明：我們假設網站全部在E盤wwwsite目錄下，並且為每一個虛擬機創建了一個guest用戶，用戶名為vhost1...vhostn並且創建了一個webuser組，把所有的vhost用戶全部加入這個webuser組裡面方便管理。
E:\
Administrators全部（該文件夾，子文件夾及文件）
E:\wwwsite
Administrators全部（該文件夾，子文件夾及文件）
system全部（該文件夾，子文件夾及文件）
service全部（該文件夾，子文件夾及文件）
E:\wwwsite\vhost1
Administrators全部（該文件夾，子文件夾及文件）
system全部（該文件夾，子文件夾及文件）
vhost1全部（該文件夾，子文件夾及文件）
3.數據備份盤
數據備份盤最好只指定一個特定的用戶對它有完全操作的許可權。比如F盤為數據備份盤，我們只指定一個管理員對它有完全操作的許可權。
4.其它地方的許可權設置
請找到c盤的這些文件，把安全性設置只有特定的管理員有完全操作許可權。
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號，更改描述。
四、防火牆、殺毒軟體的安裝
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的，其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒，還能查殺大量木馬和後門程序。這樣的話，「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫，我們推薦mcafree殺毒軟體+blackice防火牆
五、SQL2000 SERV-U FTP安全設置
SQL安全方面
1.System Administrators 角色最好不要超過兩個
2.如果是在本機最好將身份驗證配置為Win登陸
3.不要使用Sa賬戶，為其配置一個超級復雜的密碼
4.刪除以下的擴展存儲過程格式為:
use master
sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入操作系統的最佳捷徑，刪除
訪問注冊表的存儲過程，刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程，不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5.隱藏 SQL Server、更改默認的1433埠
右擊實例選屬性-常規-網路配置中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 實例，並改原默認的1433埠
serv-u的幾點常規安全需要設置下:
選中"Block "FTP_bounce"attack and FXP"。什麼是FXP呢?通常，當使用FTP協議進行文件傳輸時，客戶端首先向FTP伺服器發出一個"PORT"命令，該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號，伺服器收到後，利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下，上述過程不會出現任何問題，但當客戶端是一名惡意用戶時，可能會通過在PORT命令中加入特定的地址信息，使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器，但是如果FTP伺服器有權訪問該機器的話，那麼惡意用戶就可以通過FTP伺服器作為中介，仍然能夠最終實現與目標伺服器的連接。這就是FXP，也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
六、IIS安全設置
IIS的相關設置：
刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c：inetpub，配置所有站點的公共設置，設置好相關的連接數限制，帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對於php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對於資料庫，盡量採用mdb後綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C：WINNTsystem32inetsrvssinc.dll來防止資料庫被下載。設置IIS的日誌保存目錄，調整日誌記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統信息，防止telnet到80埠所泄露的系統版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關軟體如banneredit修改。
對於用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，資料庫備份和該站點的日誌。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的許可權，圖片所在的目錄只給予列目錄的許可權，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入許可權。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步，更多的只能在方法用戶從腳本提升許可權：
ASP的安全設置：
http://www.knowsky.com/system.asp
設置過許可權和服務之後，防範asp木馬還需要做以下工作，在cmd窗口運行以下命令：
regsvr32/u C：\WINNT\System32\wshom.ocx
del C：\WINNT\System32\wshom.ocx
regsvr32/u C：\WINNT\system32\shell32.dll
del C：\WINNT\system32\shell32.dll
即可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法：可取消以上文件的users用戶的許可權，重新啟動IIS即可生效。但不推薦該方法。
另外，對於FSO由於用戶程序需要使用，伺服器上可以不注銷掉該組件，這里只提一下FSO的防範，但並不需要在自動開通空間的虛擬商伺服器上使用，只適合於手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對於需要FSO的用戶組給予c：winntsystem32scrrun.dll文件的執行許可權，不需要的不給許可權。重新啟動伺服器即可生效。
對於這樣的設置結合上面的許可權設置，你會發現海陽木馬已經在這里失去了作用！
PHP的安全設置：
默認安裝的php需要有以下幾個注意的問題：
C：\winnt\php.ini只給予users讀許可權即可。在php.ini里需要做如下設置：
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on，但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod
默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的；]
MySQL安全設置：
如果伺服器上啟用MySQL資料庫，MySQL資料庫需要注意的安全設置為：
刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop許可權的時候，並限定到特定的資料庫，尤其要避免普通客戶擁有對mysql資料庫操作的許可權。檢查mysql.user表，取消不必要用戶的shutdown_priv，relo
ad_priv，process_priv和File_priv許可權，這些許可權可能泄漏更多的伺服器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶，該用戶只對mysql目錄有許可權。設置安裝目錄的data資料庫的許可權（此目錄存放了mysql資料庫的數據信息）。對於mysql安裝目錄給users加上讀取、列目錄和執行許可權。
Serv-u安全問題：
安裝程序盡量採用最新版本，避免採用默認安裝目錄，設置好serv-u目錄所在的許可權，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式埠范圍（4001—4003）在本地伺服器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截「FTP bounce」攻擊和FXP，對於在30秒內連接超過3次的用戶攔截10分鍾。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個復雜點的密碼，不屬於任何組。將servu的安裝目錄給予該用戶完全控制許可權。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制許可權，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的許可權，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取許可權，否則會在連接的時候出現530 Not logged in， home directory does not exist.比如在測試的時候ftp根目錄為d：soft，必須給d盤該用戶的讀取許可權，為了安全取消d盤其他文件夾的繼承許可權。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些許可權的。
七、其它
1.隱藏重要文件/目錄可以修改注冊表實現完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」，滑鼠右擊 「CheckedValue」，選擇修改，把數值由1改為0
2.啟動系統自帶的Internet連接防火牆，在設置服務選項中勾選Web伺服器；
3.防止SYN洪水攻擊：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名為SynAttackProtect，值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300，000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值，名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協議：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名為IGMPLevel 值為0
7.修改終端服務埠：
運行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進制狀態下改成你想要的埠號吧，比如7126之類的，只要不與其它沖突即可。
第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的埠號和上面改的一樣就行了。
8.禁止IPC空連接：
cracker可以利用net use命令建立空連接，進而入侵，還有net view，nbtstat這些都是基於空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成」1」即可。
9.更改TTL值：
cracker可以根據ping回的TTL值來大致判斷你的操作系統，如：
TTL=107（WINNT）;
TTL=108（win2000）;
TTL=127或128（win9x）;
TTL=240或241（linux）;
TTL=252（solaris）;
TTL=240（Irix）;
實際上你可以自己更改的：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff（0-255 十進制，默認值128）改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦。
10. 刪除默認共享：
有人問過我一開機就共享所有盤，改回來以後，重啟又變成了共享是怎麼回事，這是2K為管理而設置的默認共享，必須通過修改注冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接：
默認情況下，任何用戶通過通過空連接連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。
12.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議（TCP/IP）屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。
13. 賬戶安全
首先禁止一切賬戶，除了你自己，呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶，不過是什麼許可權都沒有的那種，然後打開記事本，一陣亂敲，復制，粘貼到「密碼」里去，呵呵，來破密碼吧~！破完了才發現是個低級賬戶，看你崩潰不？
創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規則的。 創建一個一般許可權帳號用來收信以及處理一些日常事物，另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作，以方便管理
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為這樣，出錯了自動轉到首頁。
15.本地安全策略和組策略的設置，如果你在設置本地安全策略時設置錯了，可以這樣恢復成它的默認值
打開 %SystemRoot%\Security文件夾，創建一個 "OldSecurity"子目錄，將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全資料庫並將其改名，如改為"Secedit.old"
啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC"，啟動管理控制台，"添加/刪除管理單元"，將"安全配置和分析"管理單元添加上
右擊"安全配置和分析"->"打開資料庫"，瀏覽"C:\WINNT\security\Database"文件夾，輸入文件名"secedit.sdb"，單擊"打開"
當系統提示輸入一個模板時，選擇"Setup Security.inf"，單擊"打開"，如果系統提示"拒絕訪問資料庫"，不管他，你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全資料庫，在"C:\WINNT\security"子文件夾下重新生成了log文件，安全資料庫重建成功。
16.禁用DCOM:
運行中輸入 Dcomcnfg.exe。 回車， 單擊「控制台根節點」下的「組件服務」。 打開「計算機」子文件夾。對於本地計算機，請以右鍵單擊「我的電腦」，然後選擇「屬性」。選擇「默認屬性」選項卡。清除「在這台計算機上啟用分布式 COM」復選框。

第二步：
盡管Windows 2003的功能在不斷增強，但是由於先天性的原因，它還存在不少安全隱患，要是不將這些隱患「堵住」，可能會給整個系統帶來不必要的麻煩；下面筆者就介紹Windows2003中不常見的安全隱患的防堵方法，希望能對各位帶來幫助！
堵住自動保存隱患

Windows 2003操作系統在調用應用程序出錯時，系統中的Dr. Watson會自動將一些重要的調試信息保存起來，以便日後維護系統時查看，不過這些信息很有可能被黑客「瞄上」，一旦瞄上的話，各種重要的調試信息就會暴露無疑，為了堵住Dr. Watson自動保存調試信息的隱患，我們可以按如下步驟來實現：

1、打開開始菜單，選中「運行」命令，在隨後打開的運行對話框中，輸入注冊表編輯命令「ergedit」命令，打開一個注冊表編輯窗口；

2、在該窗口中，用滑鼠依次展開HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在對應AeDebug鍵值的右邊子窗口中，用滑鼠雙擊Auto值，在彈出的參數設置窗口中，將其數值重新設置為「0」，

3、打開系統的Windows資源管理器窗口，並在其中依次展開Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾、DrWatson文件夾，最後將對應DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。

完成上面的設置後，重新啟動一下系統，就可以堵住自動保存隱患了。

堵住資源共享隱患

為了給區域網用戶相互之間傳輸信息帶來方便，Windows Server 2003系統很是「善解人意」地為各位提供了文件和列印共享功能，不過我們在享受該功能帶來便利的同時，共享功能也會「引狼入室」，「大度」地向黑客們敞開了不少漏洞，給伺服器系統造成了很大的不安全性；所以，在用完文件或列印共享功能時，大家千萬要隨時將功能關閉喲，以便堵住資源共享隱患，下面就是關閉共享功能的具體步驟：

1、執行控制面板菜單項下面的「網路連接」命令，在隨後出現的窗口中，用滑鼠右鍵單擊一下「本地連接」圖標；

2、在打開的快捷菜單中，單擊「屬性」命令，這樣就能打開一個「Internet協議(TCP/IP)」屬性設置對話框；

3、在該界面中取消「Microsoft網路的文件和列印機共享」這個選項；

4、如此一來，本地計算機就沒有辦法對外提供文件與列印共享服務了，這樣黑客自然也就少了攻擊系統的「通道」。

堵住遠程訪問隱患

在Windows2003系統下，要進行遠程網路訪問連接時，該系統下的遠程桌面功能可以將進行網路連接時輸入的用戶名以及密碼，通過普通明文內容方式傳輸給對應連接端的客戶端程序；在明文帳號傳輸過程中，實現「安插」在網路通道上的各種嗅探工具，會自動進入「嗅探」狀態，這個明文帳號就很容易被「俘虜」了；明文帳號內容一旦被黑客或其他攻擊者另謀他用的話，呵呵，小心自己的系統被「瘋狂」攻擊吧！為了杜絕這種安全隱患，我們可以按下面的方法來為系統「加固」：

1、點擊系統桌面上的「開始」按鈕，打開開始菜單；

2、從中執行控制面板命令，從彈出的下拉菜單中，選中「系統」命令，打開一個系統屬性設置界面；

3、在該界面中，用滑鼠單擊「遠程」標簽；

4、在隨後出現的標簽頁面中，將「允許用戶遠程連接到這台計算機」選項取消掉，這樣就可以將遠程訪問連接功能屏蔽掉，從而堵住遠程訪問隱患了。

堵住用戶切換隱患

Windows 2003系統為我們提供了快速用戶切換功能，利用該功能我們可以很輕松地登錄到系統中；不過在享受這種輕松時，系統也存在安裝隱患，例如我們要是執行系統「開始」菜單中的「注銷」命令來，快速「切換用戶」時，再用傳統的方式來登錄系統的話，系統很有可能會本次登錄，錯誤地當作是對計算機系統的一次暴力「襲擊」，這樣Windows2003系統就可能將當前登錄的帳號當作非法帳號，將它鎖定起來，這顯然不是我們所需要的；不過，我們可以按如下步驟來堵住用戶切換時，產生的安全隱患：

在Windows 2003系統桌面中，打開開始菜單下面的控制面板命令，找到下面的「管理工具」命令，再執行下級菜單中的「計算機管理」命令，找到「用戶帳戶」圖標，並在隨後出現的窗口中單擊「更改用戶登錄或注銷的方式」；在打開的設置窗口中，將「使用快速用戶切換」選項取消掉就可以了。

❷ 怎樣提高Windows伺服器性能

這里有許多你只需要做簡單的操作就能對提高伺服器的性能有所幫助。所有的這些都不可能對移動頁文件到一個指定磁碟有什麼異常情況發生，盡管大多數的操作需要手動完成，但是這些所有的技巧都能夠顯著地提高伺服器的性能。

大多數討論關於優化伺服器性能的文章都會集中在使用性能監視器來尋找性能瓶頸問題。性能監視器對於如何提高伺服器性能來說，確實是一個優秀的工具。但是，使用性能監視器，是需要用戶必須了解性能監視器中產生的數據都是些什麼意思。

那麼，這里有十項能夠幫助你做提高伺服器性能的事情

1.為頁文件使用專用磁碟

這項技巧可能是最大限度的提高你伺服器性能的方法。默認情況下，Windows創建一個頁文件，將它作為虛擬內存。因為Windows會頻繁的使用這個文件。這個文件最好的存儲位置就是在一個專門磁碟上(注意：不是單獨卷)。伺服器性能做這些會確保Windows在讀取頁文件數據前，而將不需等待其他的應用使用硬碟完成。

2.保證你的硬碟定期運行磁碟碎片整理程序伺服器性能

現今的磁碟在執行連續不斷的讀取時，其實是很快的。然而，當磁碟被請求去讀取散亂存放的數據時，Windows的性能就會下降。通過運行磁碟碎片整理程序，你能夠確保文件能以順序的方式而不是雜亂無章的存放在磁碟上，從而，你的計算機將會高效地讀取文件。

3.使用NTFS文件系統

盡管對於Windows伺服器版本操作系統來說，NTFS是默認的文件系統，Windows是支持使用FAT和FAT-32文件系統的。我讀過的每一本MSCE培訓教程推薦使用NTFS文件系統是因為它比FAT和FAT-32文件系統使用中更安全。伺服器性能但是這些書籍中都沒有提及NTFS是一種基於處理(transaction-based)的文件系統。這就意味著相比較FAT和FAT-32文件系統而言，NTFS文件系統更快。

4.避免運行16-位應用

64位Windows操作系統根本不能夠運行16位應用，所以說這一項對於64位操作系統來說並不是個問題。但是，32位Windows操作系統將會運行16位應用。使用多任務處理模式的Windows更多的使用16位應用。伺服器性能討論Windows的多任務處理使用16位應用將需要單獨開篇說明，但是可以確定的說，運行16位應用會對降低性能。

5.查找內存泄漏(memory leaks)

內存泄漏很難被寫成是一個應用上的問題。通常情況下，它會為一個應用去在一個需要的基礎上請求操作系統中的內存。典型的是，當應用不再被運行時，它將會把內存釋放給操作系統。如果一個應用包括了一個內存泄漏，當它被運行時，將會向內存發出請求，但是當使用完畢後，釋放內存是失敗的。伺服器性能當下一次應用需要內存時，它將會向Windows要求的內存數比上一次要多。長此以往，Windows能夠為其他的應用提供的內存數將會越來越少。

最初，內存泄漏對系統性能的影響是可以忽略不計的，但是當這樣的泄漏變得越來越多的時候，它對系統性能的影響就會凸現出來。

盡管我曾經說過我不會在這篇文章中討論性能監控器，但是對於查找內存泄漏來說，性能監控器是最佳工具。

6.移除那些極少使用的組件

我曾經購買的每一台伺服器上都會裝上各種各樣的監控或者日誌組件。如果你能夠有計劃有規律的使用這些組件的話，在計算機上安裝這些組件算不得什麼不正確的選擇。伺服器性能但是令我吃驚的是有很多系統管理員安裝(或者從不移除)那些伺服器上的組件，並且實際上除了浪費系統資源外，它們甚至從來沒被運行過。

7.停止運行那些不使用的服務

在一篇類似的文章中，我也推薦瀏覽服務控制管理器，並關閉那些沒有被用到的服務。這樣不但能夠提高我們的伺服器性能，另外它也可以提高伺服器的安全性。計算機有一條法則描述了被執行的代碼越多，代碼中包含的不安全因素的機會就會增多。通過關閉那些不使用的服務，你做得即是減少執行代碼的大小，從而降低伺服器包含的安全漏洞被利用的機會。

8.注銷

這是另一個你能夠提高伺服器安全和性能的方法。當你不再使用控制台的時候，出於安全原因考慮，你應該進行注銷操作。伺服器性能 同時，在你登陸時，Windows將會載入你的用戶屬性，這將會消耗內存和CPU。

9.壓縮磁碟

當微軟發布MS-DOS5.0時，它們介紹了其磁碟壓縮的特色功能。當時的情況是讓硬碟或者軟盤能夠通過壓縮功能存儲更多的數據。當我試著使用磁碟壓縮技術，這時，我的計算機運行就慢了下來，我就改回使用一個沒有壓縮的磁碟，並且直到最近再沒有使用過壓縮。

現在，在正常的情況下，壓縮確實能夠提高系統性能。在一台計算機中，硬碟算得上是運行最慢的部分了。然而，如果你能夠壓縮一個文件，你就是減少了它的物理大小，這也將會減少從硬碟中讀取它的時間量。

同時，一個壓縮文件必須在它從磁碟讀取後被解壓。解壓操作通常是佔用內存，並且進程會附帶的使用一些CPU時間。如果你的伺服器運行一個磁碟加強的應用來解決大量的分散文件(不是一個資料庫)，執行壓縮能夠提高系統性能。

10.調整伺服器響應

與個人計算機不同的是伺服器並不總是從伺服器的控制台那裡運行應用。那麼，最優化伺服器是將獲得優先權的應用到後台執行。

你可以通過打開伺服器的控制面板，並雙擊系統圖標。當窗口中顯示系統屬性標簽時，轉到「高級」標簽項，找到性能設置部分，並點擊設置按鈕。窗口中將會顯示性能選項屬性標簽。轉到屬性標簽中的高級選項，並確定伺服器設置為後台服務的最佳性能。

• 望採納

❸ 對於性能一般的物理主機但伺服器用,推薦用什麼系統安裝好後怎麼優化

第1章 優化Windows 10操作系統 3
1.1 概述 3
1.2 更改視覺效果 3
1.3 關閉Windows Moles Installer Worker服務 5
1.4 關閉遙測服務 7
1.5 關閉DiagTrack服務 8
1.6 關閉Windows Defender 10
1.7 創建用戶（工作組環境） 11
1.8 域環境 13
1.9 更改電源模式 13
1.10 主題選擇 14
1.11 更改登錄方式 14
1.12 禁用ALT+F4關機選項 17
1.13 把桌面數據從C盤挪到D盤 17
1.14 系統無法關機或重啟 21
第2章 優化Windows 7操作系統 2
2.1 創建用戶（工作組環境） 2
2.2 更改電源模式 4
2.3 更改登錄方式 4
2.4 啟用Kiosk mode（重要） 6
2.5 AppLocker應用程序控制策略 7
2.6 啟用Clear Type字體 9
2.7 安裝失敗，您需要管理員許可權才能安裝此軟體。 11
第3章 優化Windows 2012操作系統 13
3.1 如何在Windows 2012中禁用鎖屏 13
3.2 刪除事件查看器中的NComputing項目 16
3.3 為Server操作系統添加桌面體驗和音視頻體驗 16

第1章 優化Windows 10操作系統

1.1 概述
有很多用戶跟我們反饋，使用雲終端連接到Windows 10操作系統，相比其它操作系統，佔用的CPU和內存資源更多，針對此問題，我們建議您對Windows 10操作系統（需要使用管理員許可權登錄），依次配置下面的五個選項（1.2/1.3/1.4/1.5/1.6），可以解決Windows 10佔用CPU和內存過高的問題。

1.2 更改視覺效果
Windows10是一個非常漂亮的操作系統，使用了各種動畫效果。雖然這些視覺效果提供了一種風格感，但它們也可能成為佔用系統CPU的重要對象。值得慶幸的是，他們很容易關閉。在Windows開始菜單右側的搜索框里輸入「高級系統設置」並選擇查看高級系統設置，見下圖：

在出現的窗口中，在「性能」部分，單擊箭頭指向的「設置」按鈕，單擊此按鈕將顯示各種視覺效果的列表，選擇「調整為最佳性能」選項，單擊「確定」保存更改，見下圖：

切換到「高級」選項卡。在調整以優化性能：中選擇「程序」。完成後，點擊「更改…」修改虛擬內存設置，見下圖：

原文地址:網頁鏈接

❹ 如何提高C/S模式伺服器網路處理性能

1 線程阻塞模式 程序邏輯直觀 為每一個連接開一個線程
2 普通選擇
3 非同步選擇 需要依靠Windows窗口版
4 事件通知權 與系統操作一致
5 重疊 高效 依靠文件系統
6 完成埠 高效 程序邏輯復雜

現在網路游戲伺服器，高效實用伺服器端多是用完成埠技術，完成埠也是公認最高效的I/O模式 樓主有時間可以深入研究下

❺ 為了保證伺服器能夠安全高效的提供服務，應該如何配置伺服器的安全設置。

web伺服器安全關鍵是要看你的web伺服器提供服務的安全需求是什麼，如果是普通的服務公眾的伺服器可以參考一下內容： 刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c：inetpub，配置所有站點的公共設置，設置好相關的連接數限制，帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對於php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對於資料庫，盡量採用mdb後綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C：WINNTsystem32inetsrvssinc.dll來防止資料庫被下載。設置IIS的日誌保存目錄，調整日誌記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統信息，防止telnet到80埠所泄露的系統版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關軟體如banneredit修改。 對於用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，資料庫備份和該站點的日誌。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的許可權，圖片所在的目錄只給予列目錄的許可權，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入許可權。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步，更多的只能在方法用戶從腳本提升許可權： ASP的安全設置： 設置過許可權和服務之後，防範asp木馬還需要做以下工作，在cmd窗口運行以下命令： regsvr32/u C：\WINNT\System32\wshom.ocx del C：\WINNT\System32\wshom.ocx regsvr32/u C：\WINNT\system32\shell32.dll del C：\WINNT\system32\shell32.dll 即可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法：可取消以上文件的users用戶的許可權，重新啟動IIS即可生效。但不推薦該方法。 另外，對於FSO由於用戶程序需要使用，伺服器上可以不注銷掉該組件，這里只提一下FSO的防範，但並不需要在自動開通空間的虛擬商伺服器上使用，只適合於手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對於需要FSO的用戶組給予c：winntsystem32scrrun.dll文件的執行許可權，不需要的不給許可權。重新啟動伺服器即可生效。 對於這樣的設置結合上面的許可權設置，你會發現海陽木馬已經在這里失去了作用！ PHP的安全設置： 默認安裝的php需要有以下幾個注意的問題： C：\winnt\php.ini只給予users讀許可權即可。在php.ini里需要做如下設置： Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [默認是on，但需檢查一遍] open_basedir =web目錄 disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod 默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的；] MySQL安全設置： 如果伺服器上啟用MySQL資料庫，MySQL資料庫需要注意

❻ 如何自定義Windows更新伺服器

Windows系統是有自動更新功能的，如果有了系統補丁，就會自動更新，打上補丁，對電腦起到穩定與安全的保證。

但是，也有麻煩，只要開啟這個服務，電腦經常彈出更新窗口，或者關機時顯示正在更新，無法關閉計算機等，很煩，尤其是非正版系統，是不能更新的，一更新，系統反而不穩定了，所以，一般最好取消自動更新服務，如果實在要打補丁，再去打開也不遲。

怎樣取消Windows系統自動更新服務呢，本系列有三種取消系統更新方法，本篇介紹第一個方法。

電腦
系統服務
在系統服務中關閉更新的步驟：
1，在桌面，打開「開始」菜單，選擇「控制面板」，雙擊打開。
2，進入控制面板窗口後，找到「管理工具」這一個圖標，雙擊進入。
3，進入管理工具界面後，選擇「服務」圖標，雙擊。
4，進入系統服務列表界面，在右側窗口中，找到「Automatic Updates」，這一項，顯示的「狀態」是「已啟動」，雙擊這一項。
5，進入「Automatic Updates」屬性窗口，選擇「常規」這個選項卡。
6，在其界面下，找到「啟動類型」，將「自動」改為「已禁止」，然後在「服務狀態」下，按「停止」按鈕。
7，按了停止按鈕後，會快速閃過「服務控制」窗口。
8，當窗口閃過之後，按下面的「應用」按鈕，對以上更改設置進行保存。
9，最後，按下面的「確定」按鈕，退出「Automatic Updates」設置窗口。關閉系統更新功能完成。

❼ 多開幾個窗口會對伺服器造成負荷嗎

肯定會啊，每個網頁都要發送請求，肯定會增加伺服器負擔的

❽ 電腦怎樣啟動伺服器

怎樣進入伺服器? 你好.如果你是指網站伺服器的話.連接的方法很簡單.
在本地電腦上點開始.運行.輸入mstsc後按確定.然後在彈出的窗口中依次輸入伺服器的IP.用戶和密碼.然後點確定.即可直接遠程登錄伺服器.當操作完成需要退出時.可以在伺服器系統桌面上點開始.選擇關機選項裡面的斷開或者注銷即可.
海騰數據楊闖為你解答.希望對你有幫助問題二：電腦怎樣啟動伺服器 開啟遠程桌面服務，具有一定的不安全性，容易被網上黑客攻擊，如果一定要開啟遠程桌面服務，一定要做好安全防護的措施。
開啟Windows遠程桌面服務的方法
步驟：
右鍵點擊桌面計算機，在右鍵菜單中左鍵點擊：屬性，打開系統窗口；
在打開的系統窗口，我們左鍵點擊：高級系統設置，打開系統屬性窗口；在系統屬性窗口，我們左鍵點擊：遠程；在遠程窗口，（1）左鍵點擊：允許遠程協助連接這台計算機，（2）點擊：高級，打開遠程協助設置窗口；在遠程協助設置窗口，我們左鍵點擊：允許計算機被遠程式控制制，默認遠程式控制制時間為：6小時（也可以更改時間），再點擊：確定；回到系統屬性窗口，（1）左鍵點擊：僅允許運行使用網路級別身份驗證的遠程桌面計算機連接（N）；（2）點擊：選擇用戶（S）；在遠程桌面用戶窗口，管理員gong已經有訪問權，在這里我們還可以添加、刪除用戶，再點擊：確定；回到系統屬性窗口，點擊：應用 - 確定，Windows遠程桌面服務已經開啟。重新啟動計算機，具有管理員許可權的用戶就可以遠程訪問遠程桌面了。問題三：如何開啟伺服器 開始-程序-管理工具-服務，你把要啟動的服務點啟動就行了 。被禁用的要改成手動問題四：如何啟動server服務 右鍵單擊我的電腦-> 管理-> 服務和應用程序-> 服務-> 滑鼠左鍵雙擊Server-> 滑鼠左鍵單擊啟動問題五：系統服務管理器怎麼打開 1.XP 在 開始---->運行------>輸入services.msc而win 7 直接在開始，然後--->輸入 services.msc
如圖所示：
2.然後就可以打開服務管理器了。
可以點擊名稱，按照字母進行排序
3.選擇一個服務後，可以右擊，進行開啟/關閉 等操作。問題六：怎麼進入公司網站後台或伺服器 可以通過ftp或者你們的登錄後台的鏈接，ftp需要埠，找伺服器商家要，鏈接丟了，只好先用ftp,找了 。新科互聯的伺服器給贊，。問題七：如何開啟伺服器安全模式 和電腦一樣。重啟 按 F8問題八：如何打開服務管理器 這兩個完全可以去掉一個，並不會影響你的計算機安全的，
打開控制面板---管理工具--服務問題九：如何啟動http服務 NET START HTTP

❾ 如何設置網路伺服器許可權

1、打開Internet信息服務窗口，在該窗口的左側顯示區域，用滑鼠右鍵單擊目標FTP站點，從彈出的快捷菜單中單擊「屬性」命令，打開目標FTP站點的屬性設置窗口，單擊該窗口中的「安全帳號」標簽，進入到標簽設置頁面（如下圖）； 檢查該標簽頁面中的「允許匿名連接」項目是否處於選中狀態，要是發現該選項已經被選中的話，那我們必須及時取消它的選中狀態；

單擊上圖中標簽頁面中的「瀏覽」按鈕，從隨後出現的「選擇用戶或組」設置窗口中，依次將「bbb」、「ccc」用戶帳號選中並導入進來，再單擊「確認」按鈕，返回到Internet信息服務列表窗口；

3、驗證共享訪問安全

為了檢驗B部門、C部門的員工在訪問FTP伺服器時，是否只能看到本部門的上傳信息，我們現在就以FTP伺服器IP地址為192.168.1.10為例嘗試FTP登錄訪問操作。首先打開IE瀏覽窗口，並在該窗口址址框中輸入URL地址「ftp://192.168.1.10」，單擊回車鍵後，IE會自動彈出一個身份驗證對話框，在其中正確輸入用戶名「bbb」及對應帳號的訪問密碼，再單擊「登錄」按鈕，在隨後彈出的瀏覽頁面中，我們會發現B部門的員工以「bbb」用戶帳號登錄FTP伺服器時，只能訪問並管理「bbb」信息上傳目錄，而看不到「ccc」信息上傳目錄中的內容。當我們再次在IE瀏覽窗口中輸入URL地址「ftp://192.168.1.10」，然後在身份驗證對話框中輸入「ccc」用戶帳號及對應該帳號的密碼時，我們會發現C部門的員工以「ccc」用戶帳號登錄FTP伺服器時，只能訪問並管理「ccc」信息上傳目錄，而看不到「bbb」信息上傳目錄中的內容。
當B部門的員工登錄進FTP伺服器後，想嘗試在IE瀏覽窗口中輸入URL地址「ftp://192.168.1.10/ccc」，來達到瀏覽C部門的信息上傳目錄時，IE會自動彈出相關提示信息，告訴我們沒有瀏覽對應目錄的許可權。通過上述驗證操作，我們發現不同部門的員工共享使用同一台FTP伺服器時，只要進行合適的共享許可權設置，就會有效避免部門信息被輕易外泄的風險。