dxdiag---------檢查DirectX信息
drwtsn32------ 系統(tǒng)醫(yī)生
devmgmt.msc--- 設(shè)備管理器
dfrg.msc-------磁盤碎片整理程序
diskmgmt.msc---磁盤管理實(shí)用程序
dcomcnfg-------打開系統(tǒng)組件服務(wù)
ddeshare-------打開DDE共享設(shè)置
dvdplay--------DVD播放器

net stop messenger-----停止信使服務(wù)
net start messenger----開始信使服務(wù)
notepad--------打開記事本
nslookup-------網(wǎng)絡(luò)管理的工具向?qū)?BR>ntbackup-------系統(tǒng)備份和還原
narrator-------屏幕“講述人”
ntmsmgr.msc----移動存儲管理器
ntmsoprq.msc---移動存儲管理員操作請求
netstat -an----(TC)命令檢查接口

syncapp--------創(chuàng)建一個公文包
sysedit--------系統(tǒng)配置編輯器
sigverif-------文件簽名驗(yàn)證程序
sndrec32-------錄音機(jī)
shrpubw--------創(chuàng)建共享文件夾
secpol.msc-----本地安全策略
syskey---------系統(tǒng)加密，一旦加密就不能解開，保護(hù)windows xp系統(tǒng)的雙重密碼
services.msc---本地服務(wù)設(shè)置
Sndvol32-------音量控制程序
sfc.exe--------系統(tǒng)文件檢查器
sfc /scannow---windows文件保護(hù)

以幫助管理任務(wù)的執(zhí)行。本文中，這些任務(wù)劃分為三個獨(dú)立的任務(wù)組；不過，所有任務(wù)都是由驅(qū)動器盤符:\Inetpub\AdminScripts 文件夾中 Administrator 組的組成員用戶執(zhí)行的。

備注：要打開命令提示符以執(zhí)行本文介紹的任何任務(wù)，請按下列步驟操作：

1、開始；
單擊【開始】菜單—【運(yùn)行】，鍵入“cmd”，然后單擊確定。鍵入 cd Inetpub\AdminScripts 然后按 ENTER。

2、顯示任務(wù)；
可用來顯示任務(wù)的兩個命令是 findweb 和 disptree。另一個可用來顯示樹中某一特定管理節(jié)點(diǎn)中的相關(guān)域的命令是 dispnode。

3、查找虛擬 Web 站點(diǎn)；
要查找虛擬 Web 站點(diǎn)，請?jiān)诿钐崾痉骆I入以下命令：
findweb -c _blank>計(jì)算機(jī)名 www.域名.com

4、顯示管理樹；
要顯示管理樹，可在命令提示符下鍵入下列兩個命令之一：
disptree -a IIS://_blank>計(jì)算機(jī)名
或者
disptree -a IIS://本地主機(jī)/w3svc -n

5、創(chuàng)建任務(wù)；
可用于創(chuàng)建任務(wù)的兩個命令是 mkw3site 和 mkwebdir。不過，adsutil 命令行實(shí)用程序中包含幾個設(shè)計(jì)用來創(chuàng)建進(jìn)程內(nèi)應(yīng)用程序的命令。

6、創(chuàng)建虛擬 Web 站點(diǎn)；
要創(chuàng)建虛擬 Web 站點(diǎn)，請?jiān)诿钐崾痉骆I入以下命令：
Mkw3site -r 根目錄 驅(qū)動器盤符:\文件夾名 -t 新_blank>服務(wù)器名 -h 主機(jī)名 www.我的新 Web 站點(diǎn).com

7、創(chuàng)建虛擬 Web 目錄；
要創(chuàng)建虛擬 Web 目錄，請?jiān)诿钐崾痉骆I入下面的命令：
Mkwebdir -c _blank>計(jì)算機(jī)名 -w "Web 站點(diǎn)名" -v 目錄名, 驅(qū)動器盤符:\文件夾名
或者
Mkwebdir -c 本地主機(jī) -w "Web 站點(diǎn)名" -v 目錄名，驅(qū)動器盤符:\文件夾名

8、管理任務(wù)；
有幾個管理命令可用來執(zhí)行從啟動和停止_blank>服務(wù)到更改訪問屬性等各種任務(wù)。本文只為兩個管理命令提供了分步指南，而下面列出了其他所有命令：
chaccess
contftp
contsrv
contweb
dispnode
disptree
findweb
mkw3site
mkwebdir
pauseftp
pausesrv
pauseweb
startftp
startsrv
startweb
stopftp
stopsrv
stopweb
synciwam

9、在不中斷整個 Web _blank>服務(wù)的情況下停止虛擬站點(diǎn)；
如想在不中斷整個 Web _blank>服務(wù)的情況下停止虛擬站點(diǎn)，請從命令提示符下鍵入下面的命令：
adsutil STOP_blank>_SERVER W3SVC/_blank>服務(wù)器號

在本例中，對于 W3SVC/_blank>服務(wù)器號，可以鍵入 W3SVC/1 代表默認(rèn)_blank>服務(wù)器，或者鍵入 W3SVC/2 代表 foobar _blank>服務(wù)器。

10、在不中斷整個 Web _blank>服務(wù)的情況下啟動虛擬站點(diǎn)；
如想在不中斷整個 Web _blank>服務(wù)的情況下啟動虛擬站點(diǎn)，請從命令提示符下鍵入下面的命令：
adsutil START_blank>_SERVER W3SVC/_blank>服務(wù)器號
在本例中，對于 W3SVC/_blank>服務(wù)器號，可以鍵入 W3SVC/1 代表默認(rèn)_blank>服務(wù)器，或者鍵入 W3SVC/2 代表 foobar _blank>服務(wù)器。


疑難解答：

在創(chuàng)建 Virtual Web Directory（虛擬 Web 目錄）之前必須為該目錄創(chuàng)建文件夾；進(jìn)程不自動創(chuàng)建此文件夾。如果在創(chuàng)建文件夾之前創(chuàng)建目錄，就會收到一條錯誤消息。

您可以在"Internet Information _blank>服務(wù)"控制臺檢查您在命令提示符下執(zhí)行的所有進(jìn)程。如果在命令行進(jìn)行更改時控制臺打開著，則請單擊操作，然后單擊刷新以在控制臺查看這些更改

sys change_on_install ihifk025

system manager  ihisksks

  本文并非本人所著,是本人一個朋友整理實(shí)踐而來的.適用于Windows 2000以上版本.本文所涉及到的實(shí)驗(yàn)在Windwos 2003下通過)

---------------

打造個人電腦安全終極防線.

----------------------------------------

                            
                              【一、禁止默認(rèn)共享 】

    1.先察看本地共享資源

     運(yùn)行-cmd-輸入net share

    2.刪除共享(每次輸入一個）

     net share admin$ /delete
     net share c$ /delete
     net share d$ /delete（如果有e,f,……可以繼續(xù)刪除）

    3.刪除ipc$空連接

    在運(yùn)行內(nèi)輸入regedit

    在注冊表中找到  HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA

    項(xiàng)里數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1.

    4.關(guān)閉自己的139端口,ipc和RPC漏洞存在于此.

    關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”

    屬性，進(jìn)入“高級TCP/IP設(shè)置”“WINS設(shè)置”里面有一項(xiàng)“禁用TCP/IP的NETBIOS”，打勾就關(guān)

    閉了139端口,禁止RPC漏洞.

----------------------------------------

                            【二、設(shè)置服務(wù)項(xiàng)，做好內(nèi)部防御】

-------------------

A計(jì)劃.服務(wù)策略：

    控制面板→管理工具→服務(wù)

    關(guān)閉以下服務(wù)：

    1.Alerter[通知選定的用戶和計(jì)算機(jī)管理警報(bào)]
    2.ClipBook[啟用“剪貼簿查看器”儲存信息并與遠(yuǎn)程計(jì)算機(jī)共享]
    3.Distributed File System[將分散的文件共享合并成一個邏輯名稱,共享出去，關(guān)閉后遠(yuǎn)程計(jì)算機(jī)無法訪問共享
    4.Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接跟蹤客戶端服務(wù)]
    5.Human Interface Device Access[啟用對人體學(xué)接口設(shè)備(HID)的通用輸入訪問]
    6.IMAPI CD-Burning COM Service[管理 CD 錄制]
    7.Indexing Service[提供本地或遠(yuǎn)程計(jì)算機(jī)上文件的索引內(nèi)容和屬性,泄露信息]
    8.Kerberos Key Distribution Center[授權(quán)協(xié)議登錄網(wǎng)絡(luò)]
    9.License Logging[監(jiān)視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
   10.Messenger[警報(bào)]
   11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
   12.Network DDE[為在同一臺計(jì)算機(jī)或不同計(jì)算機(jī)上運(yùn)行的程序提供動態(tài)數(shù)據(jù)交換]
   13.Network DDE DSDM[管理動態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享]
   14.Print Spooler[打印機(jī)服務(wù)，沒有打印機(jī)就禁止吧]
   15.Remote Desktop Help Session Manager[管理并控制遠(yuǎn)程協(xié)助]
   16.Remote Registry[使遠(yuǎn)程計(jì)算機(jī)用戶修改本地注冊表]
   17.Routing and Remote Access[在局域網(wǎng)和廣域往提供路由服務(wù).黑客理由路由服務(wù)刺探注冊信息]
   18.Server[支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享]
   19.Special Administration Console Helper[允許管理員使用緊急管理服務(wù)遠(yuǎn)程訪問命令行提示符]
   20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持
                           而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)]
   21.Telnet[允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序]
   22.Terminal Services[允許用戶以交互方式連接到遠(yuǎn)程計(jì)算機(jī)]
   23.Windows Image Acquisition (WIA)[照相服務(wù)，應(yīng)用與數(shù)碼攝象機(jī)]

-------------------

B計(jì)劃.帳號策略：
    
    一.打開管理工具.本地安全設(shè)置.密碼策略

           1.密碼必須符合復(fù)雜要求性.啟用
           2.密碼最小值.我設(shè)置的是10
           3.密碼最長使用期限.我是默認(rèn)設(shè)置42天
           4.密碼最短使用期限0天
           5.強(qiáng)制密碼歷史 記住0個密碼
           6.用可還原的加密來存儲密碼 禁用
    
-------------------

C計(jì)劃.本地策略:

打開管理工具
    
    找到本地安全設(shè)置.本地策略.審核策略

           1.審核策略更改 成功失敗
           2.審核登陸事件 成功失敗
           3.審核對象訪問 失敗
           4.審核跟蹤過程 無審核
           5.審核目錄服務(wù)訪問 失敗
           6.審核特權(quán)使用 失敗
           7.審核系統(tǒng)事件 成功失敗
           8.審核帳戶登陸時間 成功失敗  
           9.審核帳戶管理 成功失敗
            然后再到管理工具找到
            事件查看器
           應(yīng)用程序 右鍵 屬性 設(shè)置日志大小上限 我設(shè)置了512000KB  選擇不覆蓋事件
           安全性 右鍵 屬性 設(shè)置日志大小上限 我也是設(shè)置了512000KB 選擇不覆蓋事件
           系統(tǒng) 右鍵 屬性 設(shè)置日志大小上限 我都是設(shè)置了512000KB  選擇不覆蓋事件

-------------------

D計(jì)劃.安全策略:

打開管理工具
    
    找到本地安全設(shè)置.本地策略.安全選項(xiàng)
          
           1.交互式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據(jù)個人需要,啟用比較好,但是我個人是不需要直接輸入密碼登陸的]
           2.網(wǎng)絡(luò)訪問.不允許SAM帳戶的匿名枚舉  啟用
           3.網(wǎng)絡(luò)訪問.可匿名的共享 將后面的值刪除
           4.網(wǎng)絡(luò)訪問.可匿名的命名管道 將后面的值刪除
           5.網(wǎng)絡(luò)訪問.可遠(yuǎn)程訪問的注冊表路徑 將后面的值刪除
           6.網(wǎng)絡(luò)訪問.可遠(yuǎn)程訪問的注冊表的子路徑 將后面的值刪除
           7.網(wǎng)絡(luò)訪問.限制匿名訪問命名管道和共享
           8.帳戶.重命名來賓帳戶guest [最好寫一個自己能記住中文名]讓黑客去猜解guest吧,而且還得刪除這個帳戶,后面有詳細(xì)解釋]
           9.帳戶.重命名系統(tǒng)管理員帳戶[建議取中文名]

-------------------

E計(jì)劃.用戶權(quán)限分配策略:

打開管理工具
    
    找到本地安全設(shè)置.本地策略.用戶權(quán)限分配
          
           1.從網(wǎng)絡(luò)訪問計(jì)算機(jī) 里面一般默認(rèn)有5個用戶,除Admin外我們刪除4個,當(dāng)然,等下我們還得建一個屬于自己的ID
           2.從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī),Admin帳戶也刪除,一個都不留          
           3.拒絕從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī) 將ID刪除
           4.從網(wǎng)絡(luò)訪問此計(jì)算機(jī),Admin也可刪除,如果你不使用類似3389服務(wù)
           5.通過終端允許登陸 刪除Remote Desktop Users
          

---------------------

F計(jì)劃.終端服務(wù)配置

打開管理工具
    
    終端服務(wù)配置

         1.打開后，點(diǎn)連接,右鍵,屬性,遠(yuǎn)程控制,點(diǎn)不允許遠(yuǎn)程控制
         2.常規(guī),加密級別,高,在使用標(biāo)準(zhǔn)windows驗(yàn)證上點(diǎn)√!
         3.網(wǎng)卡,將最多連接數(shù)上設(shè)置為0
         4.高級,將里面的權(quán)限也刪除.[我沒設(shè)置]
          再點(diǎn)服務(wù)器設(shè)置,在Active Desktop上,設(shè)置禁用,且限制每個使用一個會話

---------------------

G計(jì)劃.用戶和組策略

打開管理工具

    計(jì)算機(jī)管理.本地用戶和組.用戶
          
        刪除Support_388945a0用戶等等
        只留下你更改好名字的adminisrator權(quán)限  

    計(jì)算機(jī)管理.本地用戶和組.組
        
        組.我們就不組了.分經(jīng)驗(yàn)的(不管他.默認(rèn)設(shè)置)

---------------------

X計(jì)劃.DIY策略[根據(jù)個人需要]
        
         1.當(dāng)?shù)顷憰r間用完時自動注銷用戶(本地) 防止黑客密碼滲透.
         2.登陸屏幕上不顯示上次登陸名(遠(yuǎn)程)如果開放3389服務(wù),別人登陸時,就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
         3.對匿名連接的額外限制
         4.禁止按 alt+crtl+del
         5.允許在未登陸前關(guān)機(jī)[防止遠(yuǎn)程關(guān)機(jī)/啟動、強(qiáng)制關(guān)機(jī)/啟動]
         6.只有本地登陸用戶才能訪問cd-rom
         7.只有本地登陸用戶才能訪問軟驅(qū)
         8.取消關(guān)機(jī)原因的提示
           1、打開控制面板窗口，雙擊“電源選項(xiàng)”圖標(biāo)，在隨后出現(xiàn)的電源屬性窗口中，進(jìn)入到“高級”標(biāo)簽頁面；
           2、在該頁面的“電源按鈕”設(shè)置項(xiàng)處，將“在按下計(jì)算機(jī)電源按鈕時”設(shè)置為“關(guān)機(jī)”，單擊“確定”按鈕，來退出設(shè)置框；
           3、以后需要關(guān)機(jī)時，可以直接按下電源按鍵，就能直接關(guān)閉計(jì)算機(jī)了。當(dāng)然，我們也能啟用休眠功能鍵，來實(shí)現(xiàn)快速關(guān)機(jī)和開機(jī)；
           4、要是系統(tǒng)中沒有啟用休眠模式的話，可以在控制面板窗口中，打開電源選項(xiàng)，進(jìn)入到休眠標(biāo)簽頁面，并在其中將“啟用休眠”選項(xiàng)選中就可以了。
         9.禁止關(guān)機(jī)事件跟蹤
               開始“Start ->”運(yùn)行“ Run ->輸入”gpedit.msc “，在出現(xiàn)的窗口的左邊部分，
               選擇 ”計(jì)算機(jī)配置“（Computer Configuration ）-> ”管理模板“
              （Administrative Templates）-> ”系統(tǒng)“（System）,在右邊窗口雙擊
               “Shutdown Event Tracker”  在出現(xiàn)的對話框中選擇“禁止”（Disabled），
               點(diǎn)擊然后“確定”（OK）保存后退出這樣，你將看到類似于windows 2000的關(guān)機(jī)窗口

----------------------------------------

                            【三、修改權(quán)限防止病毒或木馬等破壞系統(tǒng)】

winxp、windows2003以上版本適合本方法.
    

    因?yàn)槟壳暗哪抉R抑或是病毒都喜歡駐留在system32目錄下,如果我們用命令限制system32的寫入和修改權(quán)限的話
那么,它們就沒有辦法寫在里面了.看命令

---------------------

A命令

    cacls C:windowssystem32 /G administrator:R   禁止修改、寫入C:windowssystem32目錄
    cacls C:windowssystem32 /G administrator:F   恢復(fù)修改、寫入C:windowssystem32目錄

    呵呵，這樣病毒等就進(jìn)不去了，如果你覺得這個還不夠安全，
    還可以進(jìn)行修改覺得其他危險(xiǎn)目錄,比如直接修改C盤的權(quán)限，但修改c修改、寫入后，安裝軟件時需先把權(quán)限恢復(fù)過來才行

---------------------

B命令

    cacls C: /G administrator:R   禁止修改、寫入C盤
    cacls C: /G administrator:F   恢復(fù)修改、寫入C盤

    這個方法防止病毒，
    如果您覺得一些病毒防火墻消耗內(nèi)存太大的話
    此方法稍可解決一點(diǎn)希望大家喜歡這個方法^_^

---------------------

X命令

   以下命令推薦給高級管理員使用[因?yàn)閣in版本不同,請自行修改參數(shù)]

cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec  禁止網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa  恢復(fù)網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa  禁止網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa  恢復(fù)網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa  禁止網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa  恢復(fù)網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用tftp32.exe

----------------------------------------

                            【四、重要文件名加密[NTFS格式]】

此命令的用途可加密windows的密碼檔,QQ密碼檔等等^.^

命令行方式
    加密：在DOS窗口或“開始” | “運(yùn)行”的命令行中輸入“cipher /e 文件名（或文件夾名）”。
    解密：在DOS窗口或“開始” | “運(yùn)行”的命令行中輸入“cipher /d 文件名（或文件夾名）”。

----------------------------------------

                            【五、修改注冊表防御D.D.O.S】

在注冊表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以幫助你防御一定強(qiáng)度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧請搜索其他信息,
由于本人不敢拿自己的硬盤開玩笑,所以沒做實(shí)驗(yàn)... ...

----------------------------------------

                            【六、打造更安全的防火墻】

    只開放必要的端口，關(guān)閉其余端口.因?yàn)樵谙到y(tǒng)安裝好后缺省情況下,一般都有缺省的端口對外開放，
    黑客就會利用掃描工具掃描那些端口可以利用，這對安全是一個嚴(yán)重威脅。 本人現(xiàn)將自己所知道的端口公布如下(如果覺得還有危險(xiǎn)需要過濾的,請聯(lián)系本人：OICQ 250875628

端口 協(xié)議 應(yīng)用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6（非端口） IP協(xié)議
8（非端口） IP協(xié)議
    那么,我們根據(jù)自己的經(jīng)驗(yàn),將下面的端口關(guān)閉
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135   epmap
138   [沖擊波]
139   smb
445
1025  DCE/1ff70682-0a51-30e8-076d-740be8cee98b  
1026  DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[沖擊波]
4489
UDP
67[沖擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
關(guān)于UDP一般只有騰訊OICQ會打開4000或者是8000端口,那么,我們只運(yùn)行本機(jī)使用4000端口就行了

----------------------------------------

                            【七、保護(hù)個人隱私】

1、TT瀏覽器
       選擇用另外一款瀏覽器瀏覽網(wǎng)站.我推薦用TT,使用TT是有道理的.
       TT可以識別網(wǎng)頁中的腳本,JAVA程序,可以很好的抵御一些惡意的腳本等等,而且TT即使被感染,你刪除掉又重新安裝一個就是.[TT就是騰訊的瀏覽器](不過有些人喜歡用MyIE,因?yàn)槲沂褂玫臅r間和對他的了解不是很深吧,感覺不出他對安全方面有什么優(yōu)勢一_一~,希望支持MyIE的朋友不要揍我,否則我會哭... ...)

2、移動“我的文檔”
       進(jìn)入資源管理器，右擊“我的文檔”，選擇“屬性”，在“目標(biāo)文件夾”選項(xiàng)卡中點(diǎn)“移動”按鈕，
       選擇目標(biāo)盤后按“確定”即可。在Windows 2003中“我的文檔”已難覓芳蹤，桌面、開始等處都看不到了，
       建議經(jīng)常使用的朋友做個快捷方式放到桌面上。

3、移動IE臨時文件
       進(jìn)入“開始→控制面板→Internet 選項(xiàng)”，在“常規(guī)”選項(xiàng)卡的“Internet 文件”欄里點(diǎn)“設(shè)置”按鈕，
       在彈出窗體中點(diǎn)“移動文件夾”按鈕，選擇目標(biāo)文件夾后，點(diǎn)“確定”，在彈出對話框中選擇“是”，
       系統(tǒng)會自動重新登錄。點(diǎn)本地連接,高級,安全日志,把日志的目錄更改專門分配日志的目錄，
       不建議是C:再重新分配日志存儲值的大小,我是設(shè)置了10000KB

----------------------------------------

                            【八、第三方軟件的幫助】

防火墻：天網(wǎng)防火墻（建議）[二道販子注:winxp以上可以考慮用系統(tǒng)自帶的防火墻,win2000可以考慮用IPSEC,是個鍛煉的機(jī)會)  

殺毒軟件：卡巴斯基

二道販子后注:

現(xiàn)在黑客的攻擊有從傳統(tǒng)的系統(tǒng)漏洞轉(zhuǎn)向了你的瀏覽器,所以要在升級一些傳統(tǒng)漏洞補(bǔ)丁的同時要注意你的瀏覽器.

----------------------------------------

【聲明】
      根據(jù)windows2003的版本不同，有時可以自己調(diào)整一下順序，已經(jīng)午夜兩點(diǎn)了，希望大家能早點(diǎn)休息，畢竟生命的意義不在網(wǎng)絡(luò)，而是讓網(wǎng)絡(luò)體現(xiàn)出你人生價值觀！

                                      win2K安全注意要點(diǎn)(全)

本站評論：這篇本來是整理提交給私服管理員的安全配置篇。現(xiàn)在發(fā)在這里，大家可以參考

   WIN2K服務(wù)器如果大家是就近才買的光盤，應(yīng)該注意到了安裝后默認(rèn)都是關(guān)閉了GUEST帳號的，如果沒有關(guān)閉該帳號的朋友請?jiān)诳刂泼姘骞芾砉ぞ?，?jì)算機(jī)管理中的用戶那里進(jìn)行永久禁用處理.現(xiàn)在去打上SP4，后門漏洞應(yīng)該關(guān)閉的差不多了，注意開機(jī)一定要設(shè)定一個密碼，最好讓W(xué)IN2K使用自動升級功能，實(shí)現(xiàn)無人管理.

如果你的系統(tǒng)上安裝了SQL,一定要屏蔽了3389端口.

私服安全現(xiàn)在已經(jīng)做的差不多了.現(xiàn)在應(yīng)該做的是一定把防火墻安裝起，如果有條件可以把LockDown給他安裝起.他可以有效的制止黑客木馬程序運(yùn)行起作用.

屏蔽端口文章:
用win2000的IP安全策略封閉端口的辦法
封鎖端口，全面構(gòu)建防線

黑客大多通過端口進(jìn)行入侵，所以你的服務(wù)器只能開放你需要的端口，那么你需要哪些端口呢？以下是常用端口，你可根據(jù)需要取舍：

80為Web網(wǎng)站服務(wù)；21為FTP服務(wù)；25 為E-mail SMTP服務(wù)；110為Email POP3服務(wù)。

其他還有SQL Server的端口1433等，你可到網(wǎng)上查找相關(guān)資料。那些不用的端口一定要關(guān)閉！關(guān)閉這些端口，我們可以通過Windows 2000的安全策略進(jìn)行。
借助它的安全策略，完全可以阻止入侵者的攻擊。你可以通過“管理工具→本地安全策略”進(jìn)入，右擊“IP安全策略”，選擇“創(chuàng)建IP安全策略”，點(diǎn)[下一步]。輸入安全策略的名稱，點(diǎn)[下一步]，一直到完成，你就創(chuàng)建了一個安全策略：

接著你要做的是右擊“IP安全策略”，進(jìn)入管理IP篩選器和篩選器操作，在管理IP篩選器列表中，你可以添加要封鎖的端口，這里以關(guān)閉ICMP和139端口為例說明。

關(guān)閉了ICMP，黑客軟件如果沒有強(qiáng)制掃描功能就不能掃描到你的機(jī)器，也Ping不到你的機(jī)器。關(guān)閉ICMP的具體操作如下：點(diǎn)[添加]，然后在名稱中輸入“關(guān)閉ICMP”，點(diǎn)右邊的[添加]，再點(diǎn)[下一步]。在源地址中選“任何IP地址”，點(diǎn)[下一步]。在目標(biāo)地址中選擇“我的IP地址”，點(diǎn)[下一步]。在協(xié)議中選擇“ICMP”，點(diǎn)[下一步]?；氐疥P(guān)閉ICMP屬性窗口，即關(guān)閉了ICMP。

下面我們再設(shè)置關(guān)閉139，同樣在管理IP篩選器列表中點(diǎn)“添加”，名稱設(shè)置為“關(guān)閉139”，點(diǎn)右邊的“添加”，點(diǎn)[下一步]。在源地址中選擇“任何IP地址”，點(diǎn)[下一步]。在目標(biāo)地址中選擇“我的IP地址”，點(diǎn)[下一步]。在協(xié)議中選擇“TCP”，點(diǎn)[下一步]。在設(shè)置IP協(xié)議端口中選擇從任意端口到此端口，在此端口中輸入139，點(diǎn)[下一步]。即完成關(guān)閉139端口，其他的端口也同樣設(shè)置

然后進(jìn)入設(shè)置管理篩選器操作，點(diǎn)“添加”，點(diǎn)[下一步]，在名稱中輸入“拒絕”，點(diǎn)[下一步]。選擇“阻止”，點(diǎn)[下一步]。

然后關(guān)閉該屬性頁，右擊新建的IP安全策略“安全”，打開屬性頁。在規(guī)則中選擇“添加”，點(diǎn)[下一步]。選擇“此規(guī)則不指定隧道”，點(diǎn)[下一步]。在選擇網(wǎng)絡(luò)類型中選擇“所有網(wǎng)絡(luò)連接”，點(diǎn)[下一步]。在IP篩選器列表中選擇“關(guān)閉ICMP”，點(diǎn)[下一步]。在篩選器操作中選擇“拒絕”，點(diǎn)[下一步]。這樣你就將“關(guān)閉ICMP”的篩選器加入到名為“安全”的IP安全策略中。同樣的方法，你可以將“關(guān)閉139”等其他篩選器加入進(jìn)來。

最后要做的是指派該策略，只有指派后，它才起作用。方法是右擊“安全”，在菜單中選擇“所有任務(wù)”，選擇“指派”。IP安全設(shè)置到此結(jié)束，你可根據(jù)自己的情況，設(shè)置相應(yīng)的策略。

windows2000服務(wù)安全與建議
Alerter
服務(wù)方向: 負(fù)責(zé)向用戶通報(bào)管理警報(bào),該服務(wù)和Mesenger服務(wù)一起工作,后者接收并路由前者的信息.
可執(zhí)行文件: %systemRoot%\system32\services.exe
風(fēng)險(xiǎn): 潛在可能導(dǎo)致社會工程攻擊
建議: 將Alerter服務(wù)發(fā)出的警告限定為只由管理員接收.
Application Management
服務(wù)方向: 提供和active directory之間的通信.通過group policy(組策劃)來指定,發(fā)布并刪除在系統(tǒng)中安裝的應(yīng)用程序.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 無
建議: 非組策略使用應(yīng)用程序,最好禁用該服務(wù).

Boot Information Negotiation Layer
服務(wù)方向: 與Remote Installation Service(RIS)一起使用,除有需要通過RIS安裝操作系統(tǒng),否則不要運(yùn)行.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 無

Brower
服務(wù)方向: 負(fù)責(zé)保存網(wǎng)絡(luò)上的計(jì)算機(jī)列表,并將該列表提供給那些請求得到該列表的程序
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 暴露有關(guān)網(wǎng)絡(luò)的信息
建議: 禁止

Indexing
服務(wù)方向: 負(fù)責(zé)索引磁盤上的文檔和文檔屬性,并且在一個目錄中保存信息,使得你在以后可以搜索他們.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 其為IISweb服務(wù)器上諸多安全弱點(diǎn)的根源
建議: 除非特別需要,否則禁止.

ClipBook
服務(wù)方向: ClipBook支持ClipBook Viewer程序,該程序可以允許剪貼頁被遠(yuǎn)程計(jì)算機(jī)上的ClipBook瀏覽.可以使得用戶能夠通過網(wǎng)絡(luò)連接來剪切和粘貼文本和圖形.
可執(zhí)行文件: winnt\system32\Clipsrv.exe
風(fēng)險(xiǎn): 潛在被非法用于遠(yuǎn)程訪問ClipBook剪貼頁面
建議: 禁止

Distributed File System
服務(wù)方向: 允許創(chuàng)建單一邏輯盤.文件分布在網(wǎng)絡(luò)上不同位置.
可執(zhí)行文件: winnt\system32\Dfssrc.exe
風(fēng)險(xiǎn): 暫無已知風(fēng)險(xiǎn)
建議: 禁止(會產(chǎn)生disk error,可忽略該錯誤)

DHCP client
服務(wù)方向: 通過注冊和更新IP地址和DNS域名來管理網(wǎng)絡(luò)配置.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議:為服務(wù)器分配一個靜態(tài)IP

Logical Disk Manager Administrative
服務(wù)方向: 用于管理邏輯盤
可執(zhí)行文件: winnt\system32\dmadmin.exe
風(fēng)險(xiǎn): 暫無已知風(fēng)險(xiǎn)
建議:將服務(wù)的啟動類型設(shè)為手動(Manual)

Logical Disk Manager
服務(wù)方向: 該服務(wù)為 Logical Disk Manager Watchdog 服務(wù).負(fù)責(zé)管理動態(tài)磁盤的服務(wù).
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 系統(tǒng)運(yùn)行時需要,保持默認(rèn)得自動啟動

DNS Server
服務(wù)方向: 負(fù)責(zé)解答DNS域名查詢
可執(zhí)行文件: winnt\system32\dns.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 因其通常是導(dǎo)致許多安全性弱點(diǎn)的根源,該服務(wù)應(yīng)謹(jǐn)慎使用.

DNS Client
服務(wù)方向: 用于緩存DNS查詢來進(jìn)行記錄.可用于某個入侵檢測系統(tǒng)的DNS查詢,可加速DNS查詢的速度.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn),但攻擊者可以查看你的緩存內(nèi)容.確定你所訪問過的網(wǎng)站. 命令行形式為(ipconfig/displaydns)
建議:可?？刹煌?

Event Log
服務(wù)方向:Event Log服務(wù)負(fù)責(zé)記錄來自系統(tǒng)和運(yùn)行中程序的管理事件消息.雖然該服務(wù)功能有限,并具有一些小問題,但是該服務(wù)可以用于入侵檢測和系統(tǒng)監(jiān)視.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 該服務(wù)應(yīng)該被啟動,尤其實(shí)在獨(dú)立服務(wù)器上.

COM+Eent System
服務(wù)方向: 提供自動事件分布功能來訂閱COM組件.
可執(zhí)行文件: winnt\system32\svchost.exe -k nesvcs
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 如果該服務(wù)不需要已安裝的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服務(wù).

Fax
服務(wù)方向: 它負(fù)責(zé)管理傳真的發(fā)送和接收.
可執(zhí)行文件: winnt\system32\faxsvc.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 對于服務(wù)器而言,不需要也不建議使用該服務(wù),除非該服務(wù)器專門被指定為用做一個傳真服務(wù)器.

Single Instance Storage Groveler
服務(wù)方向: 該服務(wù)和Remote Installation服務(wù)一起使用.掃描單一實(shí)例存儲卷來尋找重復(fù)的文件,并將重復(fù)文件指向某個數(shù)據(jù)存儲點(diǎn)以節(jié)省磁盤空間.
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 除非你需要使用 Remote Installation 服務(wù),否則請停止它.

Internet Authentication Service
服務(wù)方向: 用于認(rèn)證撥號和VPN用戶.
可執(zhí)行文件: winnt\system32\svchost.exe -k netsvcs
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 顯然除了在撥號和VPN服務(wù)器上,該服務(wù)不應(yīng)該使用.禁止.

IIS Admin
服務(wù)方向: IIS Admin服務(wù)允許通過Internet Services Manager MMC程序面板來對IIS服務(wù)進(jìn)行管理.
可執(zhí)行文件: winnt\system32\inetsrv\inetinfo.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 如果服務(wù)器正在運(yùn)行Inetrnet服務(wù),則該服務(wù)是需要的.如果沒有運(yùn)行任何Inetrnet服務(wù),則應(yīng)當(dāng)從Control Panel,Add and Remove Programs中卸載Internet Information Server,這樣IIS Admin服務(wù)也將被卸載.

Intersite Messaging
服務(wù)方向: Intersite Messaging服務(wù)和Active Directory replication一起使用.
可執(zhí)行文件: winnt\system32\ismserv.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 除了Active Directory服務(wù)器之外,不需要也不建議使用該服務(wù).

Kerberos Key Distribution Center
服務(wù)方向: 這是個域服務(wù),提供了Kerberos認(rèn)證服務(wù)(AS Authentication Service)和票證授予服務(wù)(TGT,Ticket-Granting Service)
可執(zhí)行文件: winnt\system32\lsass.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: Kerberos Key Distribution Center服務(wù)和位于某個域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,該服務(wù)不應(yīng)該在其他計(jì)算機(jī)上運(yùn)行.

Server
服務(wù)方向: 該服務(wù)提供RPC支持以及文件,打印和命名管道共享,Server服務(wù)是作為文件系統(tǒng)驅(qū)動器來實(shí)現(xiàn)的,可以處理I/O請求.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 如果沒有提供適當(dāng)?shù)赜脩舯Ｗo(hù),會暴露系統(tǒng)文件和打印機(jī)資源
建議: 除非你打算在windows網(wǎng)絡(luò)上共享文件或打印機(jī),否則不需要運(yùn)行該服務(wù). (附言: 對以2000而言,這個是一個高風(fēng)險(xiǎn)服務(wù),2000的用戶多知道默認(rèn)共享吧,就是該服務(wù)的問題,如果不禁止,每次注銷或開機(jī),默認(rèn)共享就會打開,你的所以重要信息都將暴露.例如winnt文件夾.大家都應(yīng)該知道他對于2000的重要.除非你的密碼夠安全,否則這個共享將是你機(jī)子的死穴!!!!)

Workstation
服務(wù)方向: 該服務(wù)提供網(wǎng)絡(luò)連接和通信,該服務(wù)以一個文件系統(tǒng)驅(qū)動器的形式工作,并且可以允許用戶訪問位于windows網(wǎng)絡(luò)上的資源.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 一些獨(dú)立服務(wù)器,例如web服務(wù)器,不應(yīng)當(dāng)參與到某個windows網(wǎng)絡(luò)中
建議: 該服務(wù)應(yīng)當(dāng)只在位于某個內(nèi)部網(wǎng)絡(luò),并受到某個防火墻保護(hù)的工作站和服務(wù)器上運(yùn)行,在任何可以連接到Internet的服務(wù)器上都應(yīng)該禁用這個服務(wù).

TCP/IP打印服務(wù)器
服務(wù)方向: 該服務(wù)允許遠(yuǎn)程UNIX用戶通過使用TCP/IP協(xié)議來訪問由某個windows2000服務(wù)器所管理的打印機(jī).
可執(zhí)行文件: winnt\system32\tcpsvcs.exe
風(fēng)險(xiǎn): 具有一些安全性弱點(diǎn),并打開一個監(jiān)聽端口
建議: 該服務(wù)具有一些安全性弱點(diǎn),因?yàn)榇蜷_了一個到internet的端口,因此,除非網(wǎng)絡(luò)通過防火墻與Internet隔離開.否則不要使用該服務(wù).

License Logging
服務(wù)方向: 該服務(wù)負(fù)責(zé)管理某個站點(diǎn)的許可協(xié)議信息.
可執(zhí)行文件: winnt\system32\llssrv.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 除了在域控制器上,其他計(jì)算機(jī)不應(yīng)當(dāng)使用該服務(wù).

TCP/IP NETBIOS Helper
服務(wù)方向: 該服務(wù)允許在TCP/IP網(wǎng)絡(luò)上進(jìn)行NETBIOS通信.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 暴露出系統(tǒng)中的netBIOS安全性弱點(diǎn),例如NTLM認(rèn)證
建議: 除非你需要和一個舊版本的windows保持兼容,否則應(yīng)當(dāng)禁止該服務(wù).

Messenger
服務(wù)方向: Messenger服務(wù)負(fù)責(zé)發(fā)送和接收由管理員或Alerter服務(wù)所傳遞的消息.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 該服務(wù)不需要而且應(yīng)當(dāng)被禁用.

NetMeeting Remote Desktop Sharing
服務(wù)方向: 該服務(wù)允許授權(quán)用戶通過使用NetMeeting來遠(yuǎn)程訪問你的Windows桌面.
可執(zhí)行文件: winnt\system32\mnmsrvc.exe
風(fēng)險(xiǎn): 是一個具有潛在不安全性的服務(wù)
建議: 該服務(wù)應(yīng)當(dāng)被禁止.因?yàn)樗菚?dǎo)致潛在地安全性弱點(diǎn)的.你可以使用Terminal服務(wù)來代替該服務(wù)用于遠(yuǎn)程桌面訪問.

Distributed Transaction Coordinator
服務(wù)方向: 微軟的Distributed Transaction Coordinator服務(wù)(MS DTC)可以借助OLE Transactions協(xié)議來提供一個事務(wù)(Transaction)協(xié)調(diào)工具,可以協(xié)調(diào)分布于兩個和多個數(shù)據(jù)庫,消息隊(duì)列文件系統(tǒng)和其他事務(wù)保護(hù)(trasaction protected)資源管理器的事務(wù).
可執(zhí)行文件: winnt\system32\msdtc.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 無需禁止

FTP Publishing
服務(wù)方向: 文件傳輸協(xié)議不是一種安全的協(xié)議,如果不進(jìn)行適當(dāng)?shù)乇Ｗo(hù),FTP Publishing服務(wù)將大來很多的安全性風(fēng)險(xiǎn).
可執(zhí)行文件: winnt\system32\inetsrv\inetinfo.exe
風(fēng)險(xiǎn): 微軟的FTP Server沒有已知風(fēng)險(xiǎn).但一般而言,FTP是已知不安全的服務(wù).
建議: 除非你需要通過FTP來提供文件共享,否則該服務(wù)應(yīng)當(dāng)被禁止.如果需要,請謹(jǐn)慎地對其進(jìn)行保護(hù)和監(jiān)視.

Windows Installer
服務(wù)方向: 負(fù)責(zé)管理軟件的安裝,改服務(wù)對于安裝和修復(fù)軟件應(yīng)用程序時很有用的.
可執(zhí)行文件: winnt\system32\msiexec.exe/V
風(fēng)險(xiǎn):無已知風(fēng)險(xiǎn)
建議: 保留

Network DDE
服務(wù)方向: 該服務(wù)提供動態(tài)數(shù)據(jù)交換(DDE,Dynamic Data Exhange)數(shù)據(jù)流傳輸和安全性.
可執(zhí)行文件: winnt\system32\netdde.exe
風(fēng)險(xiǎn): 通過網(wǎng)絡(luò)接受DDE請求
建議: 對于大多數(shù)應(yīng)用程序而言,Network DDE是不需要的,你應(yīng)當(dāng)將它設(shè)置為手工啟動.

Network DDE DSDM
服務(wù)方向: 該服務(wù)保存一個共享對話(shared conversation)
數(shù)據(jù)庫,這樣當(dāng)某個Network DDE共享被訪問時,共享會話將被應(yīng)用,并且安全性檢測系統(tǒng)將確定請求這是否被允許訪問.
可執(zhí)行文件: winnt\system32\netdde.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 該服務(wù)應(yīng)當(dāng)設(shè)置為手工啟動

Net Logon
服務(wù)方向: 支持為域中計(jì)算機(jī)進(jìn)行的帳號登錄事件的傳遞認(rèn)證(pass-through authentication).
可執(zhí)行文件: winnt\system32\lsass.exe
風(fēng)險(xiǎn): 可以用于對強(qiáng)力密碼攻擊進(jìn)行傳遞
建議: 該服務(wù)不應(yīng)當(dāng)在那些不作為域中一部分的獨(dú)立服務(wù)器上使用.禁止.

Network Connections
服務(wù)方向: 該服務(wù)負(fù)責(zé)管理Network and Dial-Up Connections文件夾中的對象,該文件夾中你可以看到局域網(wǎng)和遠(yuǎn)程連接.
可執(zhí)行文件: winnt\system32\svchost.exe -k netsvcs
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 由于該服務(wù)在需要時將自己啟動,因此可以設(shè)置為手動啟動.

Network News Transport Protocol(NNTP)
服務(wù)方向: 用于提供一個新聞服務(wù)器服務(wù),例如USENET.
可執(zhí)行文件: winntsystem32\inetsrv\inetinfo.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: NNTP服務(wù)器應(yīng)當(dāng)安裝在一個DMZ網(wǎng)絡(luò)中,而且應(yīng)當(dāng)像其他網(wǎng)絡(luò)服務(wù),例如FTP,Nail和Web服務(wù)那樣來對待.不建議在私有網(wǎng)絡(luò)上配置NNTP服務(wù)器,任何位于某個內(nèi)部網(wǎng)絡(luò)上的服務(wù)器應(yīng)當(dāng)卸載或禁用NNTP服務(wù).

File Replication
服務(wù)方向: file replication服務(wù)(FRS)可以跨域中的服務(wù)器來進(jìn)行文件,系統(tǒng)策略和登錄腳本的復(fù)制,該服務(wù)還可以用于為分布式文件系統(tǒng)(DFS, Distributed File System)復(fù)制數(shù)據(jù).
可執(zhí)行文件: winnt\system32\ntfrs.exe
風(fēng)險(xiǎn):沒有已知風(fēng)險(xiǎn)
建議:它在多個服務(wù)之間維護(hù)文件目錄內(nèi)容的文件同步,保持原狀.

NTLM Security Support Provider
服務(wù)方向: 該服務(wù)委遠(yuǎn)程過程調(diào)用(RPC.Remote Procedure Call)程序提供安全性,這些程序使用除命名管道之外的傳輸方式.該服務(wù)僅當(dāng)client for microsoft安裝后才在服務(wù)列表中出現(xiàn).
可執(zhí)行文件: winnt\system32\lsass.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 既然是安裝后才有.當(dāng)然無需去管,只有你沒有安裝client for microsoft.

Removable Storage
服務(wù)方向: 該服務(wù)負(fù)責(zé)管理可移動媒質(zhì),磁盤和庫.
可執(zhí)行文件 : winnt\system32\svchost.exe -k netsvcs
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 你可以在需要時啟動該服務(wù).

Plug-and-Play
服務(wù)方向: 該服務(wù)負(fù)責(zé)管理設(shè)備安裝和配置,并向程序通告設(shè)備所出現(xiàn)的變化.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 在沒有這個服務(wù)的情況下啟動系統(tǒng)是可能的,但時間較長,而且一些服務(wù)也無法運(yùn)行了(如RAS),所以服務(wù)可能最好是設(shè)置為自動啟動.

IPSEC Policy Agent
服務(wù)方向: 該服務(wù)負(fù)責(zé)管理IP安全并啟動ISAKMP/Oakley(IKE)和IP安全性驅(qū)動程序.
可執(zhí)行文件: winnt\system32\lsass.exe
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 這個服務(wù)請保留吧.

Protected Storage
服務(wù)方向: 該服務(wù)可以為敏感數(shù)據(jù)(例如私鑰)提供受保護(hù)的儲存來防止它們被未授權(quán)的服務(wù),進(jìn)程或用戶訪問.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 這個就不必問了,它對系統(tǒng)來說是必須的.

Remote Access Auto Connection Manager
服務(wù)方向: 當(dāng)用戶請求訪問某個遠(yuǎn)程網(wǎng)絡(luò)地址時,該服務(wù)將自動撥號網(wǎng)絡(luò)連接.
可執(zhí)行文件: winnt\system32\svchost.exe -k netsvcs
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 該服務(wù)僅在你使用撥號網(wǎng)絡(luò)連接時才需要,如果你不是通過撥號上網(wǎng)的,當(dāng)然也就不需要了.

Remote Access Connection Manager
服務(wù)方向: 該服務(wù)管理撥號網(wǎng)絡(luò)連接
可執(zhí)行文件: winnt\system32\svchost.exe -k netsvcs
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 只有服務(wù)器需要支持Routing and Remote Access Service(RRAS)時才需要運(yùn)行該服務(wù),所以你可以禁止.

Routing and Remote Access

服務(wù)方向: 該服務(wù)在局域網(wǎng)和廣域網(wǎng)環(huán)境中提供路由服務(wù).該服務(wù)僅用于遠(yuǎn)程訪問點(diǎn).
可執(zhí)行文件: winnt\system32\svchost.exe -k netsvcs
風(fēng)險(xiǎn): 如果配置不當(dāng),該服務(wù)將會使非法用戶在未授權(quán)的情況下訪問網(wǎng)絡(luò)
建議: 該服務(wù)是不能關(guān)閉的,那只好好好配置咯.

Remote Registry
服務(wù)方向: 使得經(jīng)過授權(quán)的管理員能夠?qū)ξ挥谶h(yuǎn)程主機(jī)上的注冊表項(xiàng)目進(jìn)行操作,對于一些功能,例如遠(yuǎn)程性能監(jiān)視,是需要Remote Registry
服務(wù)才能工作的.
可執(zhí)行文件: winnt\system32\regsvc.exe
風(fēng)險(xiǎn): 如果沒有得到適當(dāng)?shù)呐渲?會潛在地將注冊表暴露
建議: 風(fēng)險(xiǎn)是明顯的了,所以啊,不是特別需要,還是禁止吧.

Remote Procedure Call(RPC) Locator
服務(wù)方向: 該服務(wù)可以使那些支持RPC的應(yīng)用程序注冊資源可用性,并使客戶能夠找到兼容的RPC服務(wù)器.
可執(zhí)行文件: winnt\system32\svchost -k rpcss
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 該服務(wù)應(yīng)當(dāng)僅在某個域控制器上運(yùn)行

Remote Procedure Call(RPC)
服務(wù)方向: 該服務(wù)調(diào)用位于遠(yuǎn)程計(jì)算機(jī)上的可用服務(wù),并用于遠(yuǎn)程計(jì)算機(jī)管理.
可執(zhí)行文件: winnt\system32\svchost -k rpcss
風(fēng)險(xiǎn): 會暴露系統(tǒng)信息
建議: 雖然會暴露信息,不過沒辦法拉,誰叫他是任何Windows2000系統(tǒng)上都需要的?

QoS Admission Control
服務(wù)方向: 該服務(wù)提供帶寬管理控制來保證到網(wǎng)絡(luò)服務(wù)的訪問.
可執(zhí)行文件: winnt\system32\rsvp.exe -s
風(fēng)險(xiǎn): 無已知風(fēng)險(xiǎn)
建議: 如果你使用Windows QoS功能的話,就應(yīng)當(dāng)啟用它,不要就禁了吧.

Secrity Accounts Manager
服務(wù)方向: Secrity Accounts Manager(SAM)服務(wù)保存了本地用戶帳號的安全性信息以用于認(rèn)證.
可執(zhí)行文件: winnt\system32\lsass.exe
風(fēng)險(xiǎn): 雖然有一些方法可以獲得SAM數(shù)據(jù),但是SAM服務(wù)本身并不會帶來安全性風(fēng)險(xiǎn).
建議: 這可是個必須的服務(wù)

Task Scheduler
服務(wù)方向: 該服務(wù)將某個程序調(diào)度到在指定的時間運(yùn)行.對于NT4,只有管理員可以調(diào)度任務(wù),而且所以任務(wù)都是作為SYSTEM運(yùn)行的,對于2000,則任何用戶都可以調(diào)度某一個任務(wù),而且該任務(wù)僅在用戶各自的用戶環(huán)境下運(yùn)行.
可執(zhí)行文件: winnt\system32\MSTask.exe
風(fēng)險(xiǎn): 入侵者可以在此替你運(yùn)行他種下的木馬服務(wù)端喔
建議: 除非你需要對某個任務(wù)作業(yè)進(jìn)行調(diào)度,否則該服務(wù)應(yīng)當(dāng)被禁止.

RunAs
服務(wù)方向: 該服務(wù)使得進(jìn)程可以在另外的用戶憑證下啟動,這是微軟針對特洛伊木馬程序的一種應(yīng)對手段.使用RunAs,你可以在作為一個非特權(quán)用戶而登錄的同時以管理員權(quán)限運(yùn)行某個進(jìn)程.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 該服務(wù)應(yīng)當(dāng)啟動

System Event Notification
服務(wù)方向: 該服務(wù)跟蹤系統(tǒng)事件.
可執(zhí)行文件: winnt\system32\svchost.exe -k netsvcs
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 該服務(wù)記錄windows登錄,網(wǎng)絡(luò)和電源事件,建議服務(wù)啟用.

Internet Connection Sharing
服務(wù)方向: 將某計(jì)算機(jī)的Internet聯(lián)機(jī)與其他一些計(jì)算機(jī)進(jìn)行共享.
可執(zhí)行文件: winnt\system32\svchost.exe -k netsvcs
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 該服務(wù)應(yīng)當(dāng)禁止,因?yàn)樗梢允沟糜脩羰褂靡粋€未經(jīng)授權(quán)的連接,繞過公司網(wǎng)絡(luò)中的代理和監(jiān)視服務(wù).

Simple TCP/IP
服務(wù)方向: 這個服務(wù)是作為基本的TCP/IP服務(wù)而運(yùn)行,打開了TCP端口7,9,13,17,19.
可執(zhí)行文件: winnt\system32\tcpsvcs.exe
風(fēng)險(xiǎn): 在各種TCP端口上運(yùn)行了一些不安全的服務(wù)
建議: 雖然有危險(xiǎn),還是運(yùn)行吧.

Simple Mail Transport Protocol(SMTP)
服務(wù)方向: 提供外發(fā)的Internet郵件服務(wù).
可執(zhí)行文件: winnt\system32\inetsrv\inetinfo.exe
風(fēng)險(xiǎn): 可以實(shí)現(xiàn)電子郵件的欺騙和中繼
建議: 該服務(wù)很有用,應(yīng)當(dāng)被限制為只能從本地主機(jī)或網(wǎng)絡(luò)上才能訪問她.

SNMP
服務(wù)方向: 可以監(jiān)視網(wǎng)絡(luò)設(shè)備活動的代理,并將這些監(jiān)視信息報(bào)告給網(wǎng)絡(luò)控制臺工作站
可執(zhí)行文件: winnt\system32\snmp.exe
風(fēng)險(xiǎn): 在默認(rèn)情況下,被設(shè)置為使用Public作為其社區(qū)字符串.他會暴露有關(guān)windows2000服務(wù)器的敏感信息.
建議: 在內(nèi)部網(wǎng)上用它才好.

SNMP Trap
服務(wù)方向: 接受從其他SNMP代理發(fā)過來的SNMP信息
可執(zhí)行文件: winnt\system32\snmptrap.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 在內(nèi)部網(wǎng)使用吧,其他就不要了.

Print Spooler
服務(wù)方向: 該服務(wù)用于假脫機(jī)打印作業(yè),使得應(yīng)用程序打印文件時不必等待.
可執(zhí)行文件: winnt\system32\spoolsv.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 除非你要處理打印隊(duì)列,否則應(yīng)當(dāng)禁止該服務(wù).

Performance Logs and Alerts
服務(wù)方向: 處理性能日志和警報(bào),對系統(tǒng)和網(wǎng)絡(luò)監(jiān)視而言都是有用的.
可執(zhí)行文件: winnt\system32\smlogsvc.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 當(dāng)然是啟用啊

Telephony
服務(wù)方向: 提供電話和基于IP地語音連接.
可執(zhí)行文件: winnt\system32\svchost.exe -k tapisrv
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 除非你打算在局域網(wǎng)上使用這種功能,否則應(yīng)當(dāng)禁止該服務(wù).

Terminal
服務(wù)方向: 可以提供通過TCP/IP連接的遠(yuǎn)程桌面訪問
可執(zhí)行文件: winnt\system32\termsrv.exe
風(fēng)險(xiǎn): 可以導(dǎo)致潛在的非法訪問遠(yuǎn)程桌面以及強(qiáng)力攻擊.
建議: 你應(yīng)當(dāng)通過IP地址的限制來嚴(yán)格限制對該服務(wù)的訪問.并且應(yīng)該進(jìn)行密切監(jiān)視.

Terminal Services Licensing
服務(wù)方向: 用于在應(yīng)用程序服務(wù)模式下使用Terminal服務(wù)時管理客戶的許可協(xié)議.
可執(zhí)行文件: winnt\system32\lserver.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 該服務(wù)當(dāng)服務(wù)器在Application Server Mode下運(yùn)行Terminal服務(wù)時是必須得.

Trivial FTP Daemon
服務(wù)方向: 實(shí)現(xiàn)Trivial FTP Internet標(biāo)準(zhǔn).
可執(zhí)行文件: winnt\system32\tftpb.exe
風(fēng)險(xiǎn): 導(dǎo)致潛在的未經(jīng)授權(quán)的文件訪問
建議: 應(yīng)當(dāng)應(yīng)用在本地的可信任網(wǎng)絡(luò)上.

Telnet
服務(wù)方向: 該服務(wù)允許某個遠(yuǎn)程用戶登錄到系統(tǒng),并使用命令行來運(yùn)行控制臺程序.
可執(zhí)行文件: winnt\system32\tlntsvr.exe
風(fēng)險(xiǎn):他的密碼是以明文形式傳輸,如果MTLM認(rèn)證被啟用,則NTLM密碼散列也會被發(fā)現(xiàn).
建議: 禁止吧

Utility Manager
服務(wù)方向: 可以啟動和配置可達(dá)性工具.
可執(zhí)行文件: winnt\system32\UtilMan.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 除非你需要使用可達(dá)性工具,否則應(yīng)當(dāng)禁止他

Windows Time
服務(wù)方向: 從一個網(wǎng)絡(luò)時間服務(wù)器來設(shè)置系統(tǒng)時間.
可執(zhí)行文件: winnt\system32\services.exe
風(fēng)險(xiǎn): 沒有已知風(fēng)險(xiǎn)
建議: 如果你不是2000,就禁了吧

World Wide Web Publishing
服務(wù)方向: 該服務(wù)提供Internet的匿名Web站點(diǎn)訪問服務(wù).
可執(zhí)行文件: winnt\system32\inetsrv\inetinfo.exe
風(fēng)險(xiǎn): 各種文件訪問,遠(yuǎn)程命令執(zhí)行,拒絕服務(wù)和其他風(fēng)險(xiǎn)都有
建議: 他是必須得,只有*其他工具維護(hù)他的安全咯

Windows Management Instrumentation
服務(wù)方向: 提供系統(tǒng)管理信息,它基本上是一個基于WEB的企業(yè)管理兼容工具,用于從各種來源收集并關(guān)聯(lián)管理數(shù)據(jù).
可執(zhí)行文件: winnt\system32\WBEM\WinMgmt.exe
風(fēng)險(xiǎn): 具有暴露敏感信息的潛在危險(xiǎn)
建議: WMI是一種有用的工具,同樣也可用于收集信息.如果你不是特別不希望使用該服務(wù),還是啟用吧

Windows Internet Name Service
服務(wù)方向: 是微軟用于NetBIOS網(wǎng)絡(luò)的名稱服務(wù).
可執(zhí)行文件: winnt\system32\win.exe
風(fēng)險(xiǎn): 具有暴露敏感系統(tǒng)信息的潛在危險(xiǎn)
建議: 純粹的Windows2000網(wǎng)絡(luò)并不依賴WINS.應(yīng)當(dāng)被禁用.或是只在本地使用好了.