服务窗口提升服务器

❶ windows 2003服务器各种服务如何设置

第一步：
一、先关闭不需要的端口
我比较小心，先关了端口。只开了3389 21 80 1433（MYSQL）有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改

了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口， 直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效!
还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，表怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在\\system32\\drivers\\etc\\services中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。
二、关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。
在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
三、磁盘权限设置
1.系统盘权限设置
C:分区部分：
c:\
administrators 全部（该文件夹，子文件夹及文件）
CREATOR OWNER 全部（只有子文件来及文件）
system 全部（该文件夹，子文件夹及文件）
IIS_WPG 创建文件/写入数据（只有该文件夹）
IIS_WPG（该文件夹，子文件夹及文件）
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部（该文件夹，子文件夹及文件）
Power Users （该文件夹，子文件夹及文件）
读取和运行
列出文件夹目录
读取
SYSTEM全部（该文件夹，子文件夹及文件）
C:\Program Files
administrators 全部（该文件夹，子文件夹及文件）
CREATOR OWNER全部（只有子文件来及文件）
IIS_WPG （该文件夹，子文件夹及文件）
读取和运行
列出文件夹目录
读取
Power Users（该文件夹，子文件夹及文件）
修改权限
SYSTEM全部（该文件夹，子文件夹及文件）
TERMINAL SERVER USER （该文件夹，子文件夹及文件）
修改权限
2.网站及虚拟机权限设置（比如网站在E盘）
说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理。
E:\
Administrators全部（该文件夹，子文件夹及文件）
E:\wwwsite
Administrators全部（该文件夹，子文件夹及文件）
system全部（该文件夹，子文件夹及文件）
service全部（该文件夹，子文件夹及文件）
E:\wwwsite\vhost1
Administrators全部（该文件夹，子文件夹及文件）
system全部（该文件夹，子文件夹及文件）
vhost1全部（该文件夹，子文件夹及文件）
3.数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限。
4.其它地方的权限设置
请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限。
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述。
四、防火墙、杀毒软件的安装
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库，我们推荐mcafree杀毒软件+blackice防火墙
五、SQL2000 SERV-U FTP安全设置
SQL安全方面
1.System Administrators 角色最好不要超过两个
2.如果是在本机最好将身份验证配置为Win登陆
3.不要使用Sa账户，为其配置一个超级复杂的密码
4.删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径，删除
访问注册表的存储过程，删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程，不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5.隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口
serv-u的几点常规安全需要设置下:
选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。
六、IIS安全设置
IIS的相关设置：
删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c：inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C：WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件（如生成html的程序）不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步，更多的只能在方法用户从脚本提升权限：
ASP的安全设置：
http://www.knowsky.com/system.asp
设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：
regsvr32/u C：\WINNT\System32\wshom.ocx
del C：\WINNT\System32\wshom.ocx
regsvr32/u C：\WINNT\system32\shell32.dll
del C：\WINNT\system32\shell32.dll
即可将WScript.Shell， Shell.application， WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。
另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c：winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！
PHP的安全设置：
默认安装的php需要有以下几个注意的问题：
C：\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置：
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on，但需检查一遍]
open_basedir =web目录
disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的；]
MySQL安全设置：
如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：
删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表，取消不必要用户的shutdown_priv，relo
ad_priv，process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限（此目录存放了mysql数据库的数据信息）。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题：
安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围（4001—4003）在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in， home directory does not exist.比如在测试的时候ftp根目录为d：soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。
七、其它
1.隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0
2.启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器；
3.防止SYN洪水攻击：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为SynAttackProtect，值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300，000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值，名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为IGMPLevel 值为0
7.修改终端服务端口：
运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。
8.禁止IPC空连接：
cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9.更改TTL值：
cracker可以根据ping回的TTL值来大致判断你的操作系统，如：
TTL=107（WINNT）;
TTL=108（win2000）;
TTL=127或128（win9x）;
TTL=240或241（linux）;
TTL=252（solaris）;
TTL=240（Irix）;
实际上你可以自己更改的：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff（0-255 十进制，默认值128）改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。
10. 删除默认共享：
有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接：
默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
12.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
13. 账户安全
首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户，看你崩溃不？
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样，出错了自动转到首页。
15.本地安全策略和组策略的设置，如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值
打开 %SystemRoot%\Security文件夹，创建一个 "OldSecurity"子目录，将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名，如改为"Secedit.old"
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC"，启动管理控制台，"添加/删除管理单元"，将"安全配置和分析"管理单元添加上
右击"安全配置和分析"->"打开数据库"，浏览"C:\WINNT\security\Database"文件夹，输入文件名"secedit.sdb"，单击"打开"
当系统提示输入一个模板时，选择"Setup Security.inf"，单击"打开"，如果系统提示"拒绝访问数据库"，不管他，你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库，在"C:\WINNT\security"子文件夹下重新生成了log文件，安全数据库重建成功。
16.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

第二步：
尽管Windows 2003的功能在不断增强，但是由于先天性的原因，它还存在不少安全隐患，要是不将这些隐患“堵住”，可能会给整个系统带来不必要的麻烦；下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法，希望能对各位带来帮助！
堵住自动保存隐患

Windows 2003操作系统在调用应用程序出错时，系统中的Dr. Watson会自动将一些重要的调试信息保存起来，以便日后维护系统时查看，不过这些信息很有可能被黑客“瞄上”，一旦瞄上的话，各种重要的调试信息就会暴露无疑，为了堵住Dr. Watson自动保存调试信息的隐患，我们可以按如下步骤来实现：

1、打开开始菜单，选中“运行”命令，在随后打开的运行对话框中，输入注册表编辑命令“ergedit”命令，打开一个注册表编辑窗口；

2、在该窗口中，用鼠标依次展开HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在对应AeDebug键值的右边子窗口中，用鼠标双击Auto值，在弹出的参数设置窗口中，将其数值重新设置为“0”，

3、打开系统的Windows资源管理器窗口，并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹，最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。

完成上面的设置后，重新启动一下系统，就可以堵住自动保存隐患了。

堵住资源共享隐患

为了给局域网用户相互之间传输信息带来方便，Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能，不过我们在享受该功能带来便利的同时，共享功能也会“引狼入室”，“大度”地向黑客们敞开了不少漏洞，给服务器系统造成了很大的不安全性；所以，在用完文件或打印共享功能时，大家千万要随时将功能关闭哟，以便堵住资源共享隐患，下面就是关闭共享功能的具体步骤：

1、执行控制面板菜单项下面的“网络连接”命令，在随后出现的窗口中，用鼠标右键单击一下“本地连接”图标；

2、在打开的快捷菜单中，单击“属性”命令，这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框；

3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项；

4、如此一来，本地计算机就没有办法对外提供文件与打印共享服务了，这样黑客自然也就少了攻击系统的“通道”。

堵住远程访问隐患

在Windows2003系统下，要进行远程网络访问连接时，该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码，通过普通明文内容方式传输给对应连接端的客户端程序；在明文帐号传输过程中，实现“安插”在网络通道上的各种嗅探工具，会自动进入“嗅探”状态，这个明文帐号就很容易被“俘虏”了；明文帐号内容一旦被黑客或其他攻击者另谋他用的话，呵呵，小心自己的系统被“疯狂”攻击吧！为了杜绝这种安全隐患，我们可以按下面的方法来为系统“加固”：

1、点击系统桌面上的“开始”按钮，打开开始菜单；

2、从中执行控制面板命令，从弹出的下拉菜单中，选中“系统”命令，打开一个系统属性设置界面；

3、在该界面中，用鼠标单击“远程”标签；

4、在随后出现的标签页面中，将“允许用户远程连接到这台计算机”选项取消掉，这样就可以将远程访问连接功能屏蔽掉，从而堵住远程访问隐患了。

堵住用户切换隐患

Windows 2003系统为我们提供了快速用户切换功能，利用该功能我们可以很轻松地登录到系统中；不过在享受这种轻松时，系统也存在安装隐患，例如我们要是执行系统“开始”菜单中的“注销”命令来，快速“切换用户”时，再用传统的方式来登录系统的话，系统很有可能会本次登录，错误地当作是对计算机系统的一次暴力“袭击”，这样Windows2003系统就可能将当前登录的帐号当作非法帐号，将它锁定起来，这显然不是我们所需要的；不过，我们可以按如下步骤来堵住用户切换时，产生的安全隐患：

在Windows 2003系统桌面中，打开开始菜单下面的控制面板命令，找到下面的“管理工具”命令，再执行下级菜单中的“计算机管理”命令，找到“用户帐户”图标，并在随后出现的窗口中单击“更改用户登录或注销的方式”；在打开的设置窗口中，将“使用快速用户切换”选项取消掉就可以了。

❷ 怎样提高Windows服务器性能

这里有许多你只需要做简单的操作就能对提高服务器的性能有所帮助。所有的这些都不可能对移动页文件到一个指定磁盘有什么异常情况发生，尽管大多数的操作需要手动完成，但是这些所有的技巧都能够显著地提高服务器的性能。

大多数讨论关于优化服务器性能的文章都会集中在使用性能监视器来寻找性能瓶颈问题。性能监视器对于如何提高服务器性能来说，确实是一个优秀的工具。但是，使用性能监视器，是需要用户必须了解性能监视器中产生的数据都是些什么意思。

那么，这里有十项能够帮助你做提高服务器性能的事情

1.为页文件使用专用磁盘

这项技巧可能是最大限度的提高你服务器性能的方法。默认情况下，Windows创建一个页文件，将它作为虚拟内存。因为Windows会频繁的使用这个文件。这个文件最好的存储位置就是在一个专门磁盘上(注意：不是单独卷)。服务器性能做这些会确保Windows在读取页文件数据前，而将不需等待其他的应用使用硬盘完成。

2.保证你的硬盘定期运行磁盘碎片整理程序服务器性能

现今的磁盘在执行连续不断的读取时，其实是很快的。然而，当磁盘被请求去读取散乱存放的数据时，Windows的性能就会下降。通过运行磁盘碎片整理程序，你能够确保文件能以顺序的方式而不是杂乱无章的存放在磁盘上，从而，你的计算机将会高效地读取文件。

3.使用NTFS文件系统

尽管对于Windows服务器版本操作系统来说，NTFS是默认的文件系统，Windows是支持使用FAT和FAT-32文件系统的。我读过的每一本MSCE培训教程推荐使用NTFS文件系统是因为它比FAT和FAT-32文件系统使用中更安全。服务器性能但是这些书籍中都没有提及NTFS是一种基于处理(transaction-based)的文件系统。这就意味着相比较FAT和FAT-32文件系统而言，NTFS文件系统更快。

4.避免运行16-位应用

64位Windows操作系统根本不能够运行16位应用，所以说这一项对于64位操作系统来说并不是个问题。但是，32位Windows操作系统将会运行16位应用。使用多任务处理模式的Windows更多的使用16位应用。服务器性能讨论Windows的多任务处理使用16位应用将需要单独开篇说明，但是可以确定的说，运行16位应用会对降低性能。

5.查找内存泄漏(memory leaks)

内存泄漏很难被写成是一个应用上的问题。通常情况下，它会为一个应用去在一个需要的基础上请求操作系统中的内存。典型的是，当应用不再被运行时，它将会把内存释放给操作系统。如果一个应用包括了一个内存泄漏，当它被运行时，将会向内存发出请求，但是当使用完毕后，释放内存是失败的。服务器性能当下一次应用需要内存时，它将会向Windows要求的内存数比上一次要多。长此以往，Windows能够为其他的应用提供的内存数将会越来越少。

最初，内存泄漏对系统性能的影响是可以忽略不计的，但是当这样的泄漏变得越来越多的时候，它对系统性能的影响就会凸现出来。

尽管我曾经说过我不会在这篇文章中讨论性能监控器，但是对于查找内存泄漏来说，性能监控器是最佳工具。

6.移除那些极少使用的组件

我曾经购买的每一台服务器上都会装上各种各样的监控或者日志组件。如果你能够有计划有规律的使用这些组件的话，在计算机上安装这些组件算不得什么不正确的选择。服务器性能但是令我吃惊的是有很多系统管理员安装(或者从不移除)那些服务器上的组件，并且实际上除了浪费系统资源外，它们甚至从来没被运行过。

7.停止运行那些不使用的服务

在一篇类似的文章中，我也推荐浏览服务控制管理器，并关闭那些没有被用到的服务。这样不但能够提高我们的服务器性能，另外它也可以提高服务器的安全性。计算机有一条法则描述了被执行的代码越多，代码中包含的不安全因素的机会就会增多。通过关闭那些不使用的服务，你做得即是减少执行代码的大小，从而降低服务器包含的安全漏洞被利用的机会。

8.注销

这是另一个你能够提高服务器安全和性能的方法。当你不再使用控制台的时候，出于安全原因考虑，你应该进行注销操作。服务器性能 同时，在你登陆时，Windows将会加载你的用户属性，这将会消耗内存和CPU。

9.压缩磁盘

当微软发布MS-DOS5.0时，它们介绍了其磁盘压缩的特色功能。当时的情况是让硬盘或者软盘能够通过压缩功能存储更多的数据。当我试着使用磁盘压缩技术，这时，我的计算机运行就慢了下来，我就改回使用一个没有压缩的磁盘，并且直到最近再没有使用过压缩。

现在，在正常的情况下，压缩确实能够提高系统性能。在一台计算机中，硬盘算得上是运行最慢的部分了。然而，如果你能够压缩一个文件，你就是减少了它的物理大小，这也将会减少从硬盘中读取它的时间量。

同时，一个压缩文件必须在它从磁盘读取后被解压。解压操作通常是占用内存，并且进程会附带的使用一些CPU时间。如果你的服务器运行一个磁盘加强的应用来解决大量的分散文件(不是一个数据库)，执行压缩能够提高系统性能。

10.调整服务器响应

与个人计算机不同的是服务器并不总是从服务器的控制台那里运行应用。那么，最优化服务器是将获得优先权的应用到后台执行。

你可以通过打开服务器的控制面板，并双击系统图标。当窗口中显示系统属性标签时，转到“高级”标签项，找到性能设置部分，并点击设置按钮。窗口中将会显示性能选项属性标签。转到属性标签中的高级选项，并确定服务器设置为后台服务的最佳性能。

• 望采纳

❸ 对于性能一般的物理主机但服务器用,推荐用什么系统安装好后怎么优化

第1章 优化Windows 10操作系统 3
1.1 概述 3
1.2 更改视觉效果 3
1.3 关闭Windows Moles Installer Worker服务 5
1.4 关闭遥测服务 7
1.5 关闭DiagTrack服务 8
1.6 关闭Windows Defender 10
1.7 创建用户（工作组环境） 11
1.8 域环境 13
1.9 更改电源模式 13
1.10 主题选择 14
1.11 更改登录方式 14
1.12 禁用ALT+F4关机选项 17
1.13 把桌面数据从C盘挪到D盘 17
1.14 系统无法关机或重启 21
第2章 优化Windows 7操作系统 2
2.1 创建用户（工作组环境） 2
2.2 更改电源模式 4
2.3 更改登录方式 4
2.4 启用Kiosk mode（重要） 6
2.5 AppLocker应用程序控制策略 7
2.6 启用Clear Type字体 9
2.7 安装失败，您需要管理员权限才能安装此软件。 11
第3章 优化Windows 2012操作系统 13
3.1 如何在Windows 2012中禁用锁屏 13
3.2 删除事件查看器中的NComputing项目 16
3.3 为Server操作系统添加桌面体验和音视频体验 16

第1章 优化Windows 10操作系统

1.1 概述
有很多用户跟我们反馈，使用云终端连接到Windows 10操作系统，相比其它操作系统，占用的CPU和内存资源更多，针对此问题，我们建议您对Windows 10操作系统（需要使用管理员权限登录），依次配置下面的五个选项（1.2/1.3/1.4/1.5/1.6），可以解决Windows 10占用CPU和内存过高的问题。

1.2 更改视觉效果
Windows10是一个非常漂亮的操作系统，使用了各种动画效果。虽然这些视觉效果提供了一种风格感，但它们也可能成为占用系统CPU的重要对象。值得庆幸的是，他们很容易关闭。在Windows开始菜单右侧的搜索框里输入“高级系统设置”并选择查看高级系统设置，见下图：

在出现的窗口中，在“性能”部分，单击箭头指向的“设置”按钮，单击此按钮将显示各种视觉效果的列表，选择“调整为最佳性能”选项，单击“确定”保存更改，见下图：

切换到“高级”选项卡。在调整以优化性能：中选择“程序”。完成后，点击“更改…”修改虚拟内存设置，见下图：

原文地址:网页链接

❹ 如何提高C/S模式服务器网络处理性能

1 线程阻塞模式 程序逻辑直观 为每一个连接开一个线程
2 普通选择
3 异步选择 需要依靠Windows窗口版
4 事件通知权 与系统操作一致
5 重叠 高效 依靠文件系统
6 完成端口 高效 程序逻辑复杂

现在网络游戏服务器，高效实用服务器端多是用完成端口技术，完成端口也是公认最高效的I/O模式 楼主有时间可以深入研究下

❺ 为了保证服务器能够安全高效的提供服务，应该如何配置服务器的安全设置。

web服务器安全关键是要看你的web服务器提供服务的安全需求是什么，如果是普通的服务公众的服务器可以参考一下内容： 删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c：inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C：WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。 对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件（如生成html的程序）不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步，更多的只能在方法用户从脚本提升权限： ASP的安全设置： 设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令： regsvr32/u C：\WINNT\System32\wshom.ocx del C：\WINNT\System32\wshom.ocx regsvr32/u C：\WINNT\system32\shell32.dll del C：\WINNT\system32\shell32.dll 即可将WScript.Shell， Shell.application， WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。 另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c：winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。 对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！ PHP的安全设置： 默认安装的php需要有以下几个注意的问题： C：\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置： Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [默认是on，但需检查一遍] open_basedir =web目录 disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod 默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的；] MySQL安全设置： 如果服务器上启用MySQL数据库，MySQL数据库需要注意

❻ 如何自定义Windows更新服务器

Windows系统是有自动更新功能的，如果有了系统补丁，就会自动更新，打上补丁，对电脑起到稳定与安全的保证。

但是，也有麻烦，只要开启这个服务，电脑经常弹出更新窗口，或者关机时显示正在更新，无法关闭计算机等，很烦，尤其是非正版系统，是不能更新的，一更新，系统反而不稳定了，所以，一般最好取消自动更新服务，如果实在要打补丁，再去打开也不迟。

怎样取消Windows系统自动更新服务呢，本系列有三种取消系统更新方法，本篇介绍第一个方法。

电脑
系统服务
在系统服务中关闭更新的步骤：
1，在桌面，打开“开始”菜单，选择“控制面板”，双击打开。
2，进入控制面板窗口后，找到“管理工具”这一个图标，双击进入。
3，进入管理工具界面后，选择“服务”图标，双击。
4，进入系统服务列表界面，在右侧窗口中，找到“Automatic Updates”，这一项，显示的“状态”是“已启动”，双击这一项。
5，进入“Automatic Updates”属性窗口，选择“常规”这个选项卡。
6，在其界面下，找到“启动类型”，将“自动”改为“已禁止”，然后在“服务状态”下，按“停止”按钮。
7，按了停止按钮后，会快速闪过“服务控制”窗口。
8，当窗口闪过之后，按下面的“应用”按钮，对以上更改设置进行保存。
9，最后，按下面的“确定”按钮，退出“Automatic Updates”设置窗口。关闭系统更新功能完成。

❼ 多开几个窗口会对服务器造成负荷吗

肯定会啊，每个网页都要发送请求，肯定会增加服务器负担的

❽ 电脑怎样启动服务器

怎样进入服务器? 你好.如果你是指网站服务器的话.连接的方法很简单.
在本地电脑上点开始.运行.输入mstsc后按确定.然后在弹出的窗口中依次输入服务器的IP.用户和密码.然后点确定.即可直接远程登录服务器.当操作完成需要退出时.可以在服务器系统桌面上点开始.选择关机选项里面的断开或者注销即可.
海腾数据杨闯为你解答.希望对你有帮助问题二：电脑怎样启动服务器 开启远程桌面服务，具有一定的不安全性，容易被网上黑客攻击，如果一定要开启远程桌面服务，一定要做好安全防护的措施。
开启Windows远程桌面服务的方法
步骤：
右键点击桌面计算机，在右键菜单中左键点击：属性，打开系统窗口；
在打开的系统窗口，我们左键点击：高级系统设置，打开系统属性窗口；在系统属性窗口，我们左键点击：远程；在远程窗口，（1）左键点击：允许远程协助连接这台计算机，（2）点击：高级，打开远程协助设置窗口；在远程协助设置窗口，我们左键点击：允许计算机被远程控制，默认远程控制时间为：6小时（也可以更改时间），再点击：确定；回到系统属性窗口，（1）左键点击：仅允许运行使用网络级别身份验证的远程桌面计算机连接（N）；（2）点击：选择用户（S）；在远程桌面用户窗口，管理员gong已经有访问权，在这里我们还可以添加、删除用户，再点击：确定；回到系统属性窗口，点击：应用 - 确定，Windows远程桌面服务已经开启。重新启动计算机，具有管理员权限的用户就可以远程访问远程桌面了。问题三：如何开启服务器 开始-程序-管理工具-服务，你把要启动的服务点启动就行了 。被禁用的要改成手动问题四：如何启动server服务 右键单击我的电脑-> 管理-> 服务和应用程序-> 服务-> 鼠标左键双击Server-> 鼠标左键单击启动问题五：系统服务管理器怎么打开 1.XP 在 开始---->运行------>输入services.msc而win 7 直接在开始，然后--->输入 services.msc
如图所示：
2.然后就可以打开服务管理器了。
可以点击名称，按照字母进行排序
3.选择一个服务后，可以右击，进行开启/关闭 等操作。问题六：怎么进入公司网站后台或服务器 可以通过ftp或者你们的登录后台的链接，ftp需要端口，找服务器商家要，链接丢了，只好先用ftp,找了 。新科互联的服务器给赞，。问题七：如何开启服务器安全模式 和电脑一样。重启 按 F8问题八：如何打开服务管理器 这两个完全可以去掉一个，并不会影响你的计算机安全的，
打开控制面板---管理工具--服务问题九：如何启动http服务 NET START HTTP

❾ 如何设置网络服务器权限

1、打开Internet信息服务窗口，在该窗口的左侧显示区域，用鼠标右键单击目标FTP站点，从弹出的快捷菜单中单击“属性”命令，打开目标FTP站点的属性设置窗口，单击该窗口中的“安全帐号”标签，进入到标签设置页面（如下图）； 检查该标签页面中的“允许匿名连接”项目是否处于选中状态，要是发现该选项已经被选中的话，那我们必须及时取消它的选中状态；

单击上图中标签页面中的“浏览”按钮，从随后出现的“选择用户或组”设置窗口中，依次将“bbb”、“ccc”用户帐号选中并导入进来，再单击“确认”按钮，返回到Internet信息服务列表窗口；

3、验证共享访问安全

为了检验B部门、C部门的员工在访问FTP服务器时，是否只能看到本部门的上传信息，我们现在就以FTP服务器IP地址为192.168.1.10为例尝试FTP登录访问操作。首先打开IE浏览窗口，并在该窗口址址框中输入URL地址“ftp://192.168.1.10”，单击回车键后，IE会自动弹出一个身份验证对话框，在其中正确输入用户名“bbb”及对应帐号的访问密码，再单击“登录”按钮，在随后弹出的浏览页面中，我们会发现B部门的员工以“bbb”用户帐号登录FTP服务器时，只能访问并管理“bbb”信息上传目录，而看不到“ccc”信息上传目录中的内容。当我们再次在IE浏览窗口中输入URL地址“ftp://192.168.1.10”，然后在身份验证对话框中输入“ccc”用户帐号及对应该帐号的密码时，我们会发现C部门的员工以“ccc”用户帐号登录FTP服务器时，只能访问并管理“ccc”信息上传目录，而看不到“bbb”信息上传目录中的内容。
当B部门的员工登录进FTP服务器后，想尝试在IE浏览窗口中输入URL地址“ftp://192.168.1.10/ccc”，来达到浏览C部门的信息上传目录时，IE会自动弹出相关提示信息，告诉我们没有浏览对应目录的权限。通过上述验证操作，我们发现不同部门的员工共享使用同一台FTP服务器时，只要进行合适的共享权限设置，就会有效避免部门信息被轻易外泄的风险。