2004-10-26 10:44
阿土
Windows系统尽管是在有些方面不尽人意,然而依旧是操作系统的主流,同时,在中小型网络中,使用WIN2K SERVER或WIN2K Advanced server 的依然很多.<br /> 在此开一贴,希望大家能在这一贴中把WIN2K的应用与安全设置做个了结( <!--emo&:P--><img src='style_emoticons/default/tongue.gif' border='0' style='vertical-align:middle' alt='tongue.gif' /><!--endemo--> ),希望大家献策献宝,共同提高.<br /> 请大家把自己手中的资料,以及使用过程的经验奉献出来,以问答的形式整理出来.正如有位LUSER的签名一样"网络,网聚人的力量",HOHO~~希望在这儿能把大家网住,把WIN2K SERVER或ADVANCED SERVER的精华网住.<br /><br />当然及时打好官方补丁是首要的.而打好之后,我们应做些什么呢
2004-10-26 11:04
zn8903
不是长项,贡献几篇文档,寥以共勉windows2000dns技术<br /><br />上传附件太慢,有要的给我邮址吧
2004-10-26 11:54
阿土
注册表的标准命名为你的电脑免疫<br /><br /><br />相信每个上网者都有过被恶意代码修改过注册表的经历吧,恢复好了以后你会采取措施来保护你的注册表不再被修改吗?<br />1.备份注册表文件<br />2.用软件免疫<br />3.禁用js<br /><br />显然这些方法都不怎么理想,其实有一招简单的方法是可以永远免疫的,就是在注册表中删除<br />恶意代码会用到的一个id就可以了,那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B,只要把它删了,<br />那你以后碰到恶意代码,就再也不用担心注册表会再被修改了,它再注册表里面的路径<br />是HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},找到后把整个项删掉就可以了<br />,这个项删掉不会对系统有任何影响,请放心删除.<br /><br />这里再介绍几个对系统安全有隐患的ID<br />HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228},网页代码可以利用<br />他在硬盘里面生成文件<br /><br />HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},可以生成命令格式,<br />比如格式化硬盘,执行任何程序.<br /><br />HKEY_CLASSES_ROOT\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4},这个好像是3721中<br />文网址的,我发现很多朋友都觉得3721很霸道,删了就不用管它了.<br /><br />呵呵,这是从网上来找来的文章,也试过没发现问题,假若大家在用的过程发现什么问题,可以接着讨论.
2004-10-26 14:55
阿土
Win2000下修改注册表加强安全<br /> <br /><br />--------------------------------------------------------------------------------<br /> <br /> 1)设置生存时间<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters DefaultTTL <br />REG_DWORD 0-0xff(0-255 十进制,默认值128)<br /><br />说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在<br />网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用<br />此数值来探测远程主机操作系统.。 <br /><br />2)防止ICMP重定向报文的攻击<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters<br /><br />EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)<br /><br />说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它<br />的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.<br /><br />3)禁止响应ICMP路由通告报文<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter<br />faces\interface<br /><br />PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)<br /><br />说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用<br />于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此<br /><br />建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用.<br /><br />4)防止SYN洪水攻击<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters<br /><br />SynAttackProtect REG_DWORD 0x2(默认值为0x0)<br /><br />说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时间.路由缓<br />存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,则AFD的连接指示一直延<br />迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范<br />围时,保护机制才会采取措施.<br /><br />5)关于共享的问题,用net share 虽然可删除,但重启后又加载了.<br /> 禁止C$、D$一类的缺省共享<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters<br /><br />AutoShareServer、REG_DWORD、0x0<br /><br />6) 禁止ADMIN$缺省共享<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters<br /><br />AutoShareWks、REG_DWORD、0x0<br /><br />7) 限制IPC$缺省共享<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa<br /><br />restrictanonymous REG_DWORD 0x0 缺省<br />0x1 匿名用户无法列举本机用户列表<br />0x2 匿名用户无法连接本机IPC$共享<br />说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server<br /><br />8)不支持IGMP协议<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters<br /><br />IGMPLevel REG_DWORD 0x0(默认值为0x2)<br /><br />说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正<br />这个bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改<br />成0后用route print将看不到那个讨厌的224.0.0.0项了.<br /><br />9)设置arp缓存老化时间设置<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters<br /><br />ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)<br />ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)<br /><br />说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓<br />存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,未引用<br />项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站<br />数据包发送到项的IP地址时,就会引用ARP缓存中的项。<br /><br /><br />10)禁止死网关监测技术<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters<br /><br />EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)<br /><br />说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网<br />关.有时候这并不是一项好主意,建议禁止死网关监测.<br /><br />11)不支持路由功能<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters<br /><br />IPEnableRouter REG_DWORD 0x0(默认值为0x0)<br /><br />说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题.<br /><br />12)做NAT时放大转换的对外端口最大值<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters<br /><br />MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)<br /><br />说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常<br />情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近<br />的有效数值(5000或65534).使用NAT时建议把值放大点.<br /><br />13)修改MAC地址<br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\<br /><br />找到右窗口的说明为"网卡"的目录,<br />比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}<br /><br />展开之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明,<br />比如说"DriverDesc"的值为"Intel® 82559 Fast Ethernet LAN on Motherboard"然后<br />在右窗口新建一字符串值,名字为"Networkaddress",内容为你想要的MAC值,比如说<br />是"004040404040"然后重起计算机,ipconfig /all看看. <br />
2004-10-29 04:15
阿土
Windows2000 真的那么不安全么?其实,Windows2000 含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000将会是一个很安全的操作系统。我抽空翻了一些网站,翻译加凑数的整理了一篇checklist出来,希望对win2000管理员有些帮助。<br /><br /> 本文并没有什么高深的东西,所谓的清单,也并不完善,很多东西要等以后慢慢加了,希望能给管理员作一参考。 <br /><br /> 具体清单如下:<br /><br />初级安全篇 <br /><br />1.物理安全 <br /><br /> 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。 <br /><br />2.停掉Guest 帐号<br /><br /> 在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。 <br /><br />3.限制不必要的用户数量 <br /><br /> 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。 <br /><br />4.创建2个管理员用帐号<br /><br /> 虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。<br /><br />5.把系统administrator帐号改名<br /><br /> 大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。 <br /><br />6.创建一个陷阱帐号<br /><br /> 什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损! <br /><br />7.把共享文件的权限从”everyone”组改成“授权用户” <br /><br /> “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。 <br /><br />8.使用安全密码 <br /><br /> 一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。 <br /><br />9.设置屏幕保护密码 <br /><br /> 很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。 <br /><br />10.使用NTFS格式分区<br /><br /> 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。<br /><br />11.运行防毒软件<br /><br /> 我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库 <br /><br />12.保障备份盘的安全 <br /><br /> 一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。 <br /><br />中级安全篇 <br /><br /><br />1.利用win2000的安全配置工具来配置策略<br /><br /> 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页: <br /><a href='http://www.microsoft.com/windows2000/techinfo/' target='_blank'>http://www.microsoft.com/windows2000/techinfo/</a><br />howitworks/security/sctoolset.asp <br /><br />2.关闭不必要的服务 <br /><br /> windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:<br /><br />Computer Browser service TCP/IP NetBIOS Helper <br />Microsoft DNS server Spooler <br />NTLM SSP Server <br />RPC Locator WINS <br />RPC service Workstation <br />Netlogon Event log <br /><br />3.关闭不必要的端口 <br /><br /> 关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为: <br />网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。<br /><br />4.打开审核策略 <br /><br /> 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:<br /><br />策略 设置<br /><br />审核系统登陆事件 成功,失败 <br />审核帐户管理 成功,失败 <br />审核登陆事件 成功,失败 <br />审核对象访问 成功 <br />审核策略更改 成功,失败 <br />审核特权使用 成功,失败 <br />审核系统事件 成功,失败 <br /><br />5.开启密码密码策略<br /><br />策略 设置 <br /><br />密码复杂性要求 启用 <br />密码长度最小值 6位 <br />强制密码历史 5 次 <br />强制密码历史 42 天 <br /><br />6.开启帐户策略 <br /><br />策略 设置 <br /><br />复位帐户锁定计数器 20分钟 <br />帐户锁定时间 20分钟 <br />帐户锁定阈值 3次 <br /><br />7.设定安全记录的访问权限 <br /><br /> 安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。 <br /><br />8.把敏感文件存放在另外的文件服务器中 <br /><br /> 虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。 <br /><br />9.不让系统显示上次登陆的用户名 <br /><br /> 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:<br /><br />HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName把 REG_SZ 的键值改成 1 . <br /><br />10.禁止建立空连接 <br /><br /> 默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: <br /><br />Local_Machine\System\CurrentControlSet\Control<br />\LSA-RestrictAnonymous 的值改成”1”即可。 <br /><br />11.到微软网站下载最新的补丁程序<br /><br /> 很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。 <br /><br /><br /><br /><br />高级篇 <br /><br />1. 关闭 DirectDraw <br /><br /> 这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。<br /><br /> 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。<br /><br />2.关闭默认共享<br /><br /> win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。 <br /><br /> C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录。<br /><br /> ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如 c:\winntFAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。 <br /><br /> IPC$ 空连接。IPC$共享提供了登录到系统的能力。<br /><br /> NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到<br /><br /> PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机 <br /><br />3.禁止dump file的产生 <br /><br /> dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。 <br /><br />4.使用文件加密系统EFS <br /><br /> Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查http://www.microsoft.com/windows2000/techinfo<br />/howitworks/security/encrypt.asp <br /><br />5.加密temp文件夹<br /><br /> 一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。<br /><br />6.锁住注册表<br /><br /> 在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考: <br /><a href='http://support.microsoft.com/support/kb/articles/Q153/1/83.asp' target='_blank'>http://support.microsoft.com/support/kb/ar...s/Q153/1/83.asp</a> <br /><br />7.关机时清除掉页面文件<br /><br /> 页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management把ClearPageFileAtShutdown的值设置成1。 <br /><br />8.禁止从软盘和CD Rom启动系统 <br /><br /> 一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。 <br /><br />9.考虑使用智能卡来代替密码 <br /><br /> 对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。 <br /><br />10.考虑使用IPSec<br /><br /> 正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考: <a href='http://www.microsoft.com/china/technet/security/ipsecloc.asp' target='_blank'>http://www.microsoft.com/china/technet/security/ipsecloc.asp</a><br /><br />读这篇文章,有什么不明白的地方,大家可以相互切磋一下.
2004-10-30 16:15
醉卧沙场君莫笑
这儿有一篇WIN2K PRO的优化,写得明白实用.也贴上了.<br /><br /><br /> 一、控制面板设置篇 <br /><br /> "控制面板"一直都是Windows操作系统设置和调整的中枢,在Win2K中"控制面板"进一步得到了发扬光大,很多原来在Win9X中需要通过修改注册有才能达到的效果,现在可以直接在"控制面板"中进行。既然要优化Win2K的性能,那么我们理所当然要先对"控制面板"下刀。 <br /><br /> 1.Internet属性 <br /><br /> 不要将Internet临时文件(脱机浏览文件)放在与操作系统相同的分区中,因为脱机的网页文件具有数量多、文件小、随机性强的特点,它会使您的磁盘系统在短期内产生大量的碎片从而影响Win2K文件系统性能。Win2K是一个多用户操作系统,因此其默认脱机文件存放的路径是与Win9X不相同的,它存放在与Win2K相同磁盘根目录下的Documents and SettingsAdministrator(这是系统管理员目录,如果您是以其他身份登录系统的话,该文件夹名就是您登录时的用户名)Local SettingsTemporary Internet Files。要改变脱机文件的存放路径,请先点击"Internet"→"常规"选项页下的"Internet临时文件"设置按钮,在弹出的"设置"对话框中点"移动文件夹(M)..."按钮进行更改。 <br /><br /> 2.鼠标属性 <br /><br /> 在"鼠标"→"指针"中取消"启用指针阴影"特性。虽然指针阴影美化了鼠标指针,但这是以消耗系统资源为代价的。 <br /><br /> 3.添加/删除程序 <br /><br /> 在"添加/删除Windows组件"中看起来似乎什么都删除不了,其实这只不过是微软做的小手脚罢了。现在让我们来解决它:用"记事本"打开winnt\inf\sysoc.inf文件,用"编辑"菜单的"替换"命令,在"查找内容"中填入",hide",按"全部替换"后存盘。再回到"添加/删除Windows组件"中看看。怎么样,还满意吧!虽然可定制删除/安装的名堂还不是很多,但终究可以删除掉一些不喜欢的程序了。 <br />4.系统 <br /><br /> 它包括"常规"、"网络标识"、"硬件"、"用户配置文件"、"高级"五个页面,我们需要对"硬件"和"高级"两个页面进行设置。 <br /><br /> A、"硬件"页:按"设备管理器"按钮进入设备管理器: <br /><br /> 1)展开"IDE ATA/ATAPI控制器",分别进入"Primary(以及Secondary)IDE Channel"属性,选择"高级设置"页。如果您的所有驱动器都支持DMA(即通常所说的硬盘或光驱对UDMA33/66的支持),而Win2K又没有自动检测出来的话,在相应设备的"传送模式"中选"DMA"。这样可以加强所在驱动器的数据传输速度。另外如果确信在某一IDE口上没有连接任何设备时,应将相应设备的设备类型改为"无",这样Win2K在启动系统时将不会去检测这个端口的设备以加快启动速度。 <br /><br /> 2)展开"磁盘驱动器",分别进入连接于系统上的所有硬盘的"属性"选项,在"磁盘属性"页中选中"启用了写入缓存",该设置为硬盘的写入操作提供高速缓存,这样可以提高磁盘的写入性能。但需要特别加以注意的是:在启用写缓存后如果系统非正常关机则会增大磁盘物理损坏与丢失数据的可能性。 <br /><br /> (3)将你的外置MODEM接在COM2通讯端口吧!因为COM2优先级高于COM1。首先展开"端口(COM和LPT)",进入"通讯端口(COM2)"属性,选择"端口设置"页,将"每秒位数"设为最高128000,经决定您的计算机通过此端口传输数据的最大速率。将流控制设为"硬件",硬件流(RTS/CTS)控制有利于二进制传输,而软件流(XON/XOFF)控制只适于传输文本且比硬件流慢。有时将流控制设为"无",可能会得到更好的效果,这要视您的设备而定。然后按"高级"按钮,进入"COM2的高级设置",像Win98优化端口一样,启用FIFO缓冲区并将接收与传输缓冲区设到最高。一般情况下如果不出现丢失数据等问题,FIFO(先入先出)缓冲区能提高MODEM的性能。 <br /><br /> (4)展开"调制解调器",进入MODEM属性对话框,选择"调制解调器"页,其中"最大端口速度"代表允许程序将数据传输到调制解调器的最大速度,通常比调制解调器的速度更快。确认将其设置为115,200bps。选择"高级"页面,在"额外的初始化命令"中加入MODEM说明书中提供的初始化参数。不管有没有由MODEM提供的初始化命令。我们都应该加入"s11=40"这个命令,它能加快MODEM的拨号速度。 <br /><br /> (5)如果您没有任何USB设备与系统连接的话,请展开"通用串行总线控制器",进入"Intel 82371AB/EB PCI To USB Universal Host Controller"属性(视主板的不同,其名称亦不相同)在"高级"页面中选中"停用USB错误检测",这样会释放一些系统资源。USB错误检测能起到解决USB设备在电源、带宽等方面问题的作用。 <br /><br /> (6)在Win2K中是不是觉得鼠标的灵活性不如Win98?那么展开"鼠标和其他指针设备",进入鼠标属性,选择"高级设备"页,在这里将"采样速率"调整为最大值100,它能够提高您鼠标的分辨率。再看看,是不是准确灵敏多了。如果您的鼠标属于没有滚轮的那一种,就将"鼠标轮检测"改为"检测被停用",否则就选"假设鼠标轮已经存在"。如果您的鼠标在使用过程中没有任何问题,就不要取消对"快速初始化"的选择,为什么不让Win2K启动得快些呢! <br />5.显示 <br /><br /> 不要设置桌面背景与屏幕保护程序,并取消"Web"页面中的"在活动桌面上显示Web内容"选框,取消掉"效果"页面中的"动画显示菜单和工具提示"。虽然这些能使您的桌面个性化十足,但它们会大口吞掉您系统的宝贵资源。 <br /><br /> 6.电源选项 <br /><br /> 厌烦了Win2K漫长的启动过程吧!如果您的系统支持ACPI(高级配置和电源接口)管理规范,不妨试用一下这个功能:进入"电源选项属性"对话框后选择"休眠"页面,选中其中的"启用休眠支持"并按右下方的"应用"按钮。此时在"高级"页面的"在按下计算机电源按钮时"下拉列表中多出了一个休眠项,选中它并按"确定",此后您可以在任何时候不退出任何程序直接关闭计算机(您还可以在"开始"中的"关机"对话框中启动休眠),在下次重新启动计算机时系统会略过启动过程直接恢复您上次关机之前的状态。不过如果您不启用"在计算机退出等待状态时,提示输入密码",任何打开您计算机的人都可以直接进入您的系统,Win2K略过了口令验证,为了安全起见还是启用为好。 <br /><br /> 7.管理工具 <br /><br /> 想要Win2K在仅有64MB内存的机器上跑得更快吗?Win2K中还有许多默认的系统服务,它们在系统启动时就已加载并常驻内存。有些服务对我们普通单机用户而言作用不大,因此我们可以将这些服务关闭或禁止,从而加快系统启动、释放更多的系统内存,达到我们在Win2K中跑得更快的目的。打开"服务"配置程序后,右边列出了所有可用服务的列表,每种服务都有三种状态:自动(随系统启动运行);手动(当被其他服务访问或是相应程序调用时再启动);已禁用(将其禁止,不再起作用)。需要注意的是:为稳定起见,在没有弄清楚每种服务的确切作用前,不要随意更改服务状态。下面给出已通过测试的服务及其状态设置: <br />Alerter(警报器服务):局域网中当系统发生问题时向系统管理员发出警报,对普通用户可设置为"已禁用"或"手动"。 <br /><br /> Application Management(应用程序管理):Win2K引入了一种基于msi文件格式(应用程序安装信息程序包文件)的全新、有效软件管理方案——应用程序管理组件服务,它不仅管理软件的安装、删除,而且可以使用此项服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等。虽然如此,当设置为"已禁用"时似乎并不影响单机上软件的安装与卸载,而且基于msi格式安装、修复与删除的行为亦正常。 <br /><br /> ClipBook(剪贴簿):通过Network DDE和Network DDE DSDM提供的网络动态数据交换服务,查阅远程机器中的剪贴簿。对普通用户可设置为"已禁用"。 <br /><br /> Computer Browser(计算机浏览器):维护网上邻居中计算机的最新列表,并将这个列表通知给请求的程序。普通用户设置为:"已禁用",局域网用户设为:"自动"。 <br /><br /> DHCP Client(动态主机配置协议客户端):DHCP是一种提供动态IP地址分配、管理的TCP/IP服务协议,作为网络启动过程的一部分,DHCP客户端系统就可以向DHCP服务器请求和租用IP地址。作为普通用户,如果已通过拨号方式连入Internet,那么还是保持自动状态为好,因为我们在Internet上的IP地址是由ISP动态分配的。如果系统不应用于任何网络,那么您可以将其设为"已禁用"。 <br /><br /> Distributed Link Tracking Client(分布式连接跟踪客户端):DLTC能跟踪文件在网络域的NTFS卷中移动状况,并发出通知。普通用户设置为:"已禁用",局域网用户(硬盘已格式为NTFS)设为:"自动"。 <br /><br /> DNS Client(域名系统客户端):将域名解析为IP地址。除非您没有连入任何网络,否则应设为"自动"。 <br /><br /> Event Log(事件日志):该服务能记录程序和系统发送的出错消息。虽然日志包含了对诊断问题有所帮助的信息,但对普通用户可能起不了什么作用,那就设为"手动"吧!还记得前面提到的Dr. Watson工具吗?在那里我们无法决定是否取消掉记录日志文件,在默认情况下它总是自动执行,现在您可以取舍了。不过,在测试中我禁用了这个服务重启系统后,却导致了几个关于网络的服务无法启动的现象,使我们无法拨号上网。因此如果您存在Internet或局域网连接,我们建议还是不要禁用为妥。 <br /><br /> Fax Service(传真服务):在Win95中支持的传真功能现在在Win2K中重新被予以支持,而且与系统集成得更好。如果用不上它,就设为"已禁用"吧! <br /><br /> Indexing Service(索引服务):索引服务能针对本地硬盘或共享网络驱动器上的文档内容和属性建立索引,并通过Win2K特有的文档过滤器快速定位到您所需要的文档上,它大大强化了Win2K的搜索能力。一方面索引搜索又消耗了大量系统资源。微软建议:仅有64MB内存,而要索引的文档又超过十万个,就应该禁用这个服务。事实上,在我们针对64MB内存系统的测试中,即使文档数量远远低于十万个,系统资源的消耗亦非常惊人,而在128MB的系统上情况也好不了多少,因此我们强烈建议禁用它。 <br /><br /> Internet Connection Sharing(Internet连接共享):为局域网计算机提供Internet共享连接。这个服务为多台联网的电脑共享一个拨号网络访问Internet提供了捷径,以前在Win9X中要实现这一功能需借助SYGATE、WinGATE等代理软件,现在这一功能已直接被Win2K支持了。对普通用户可将其设为"已禁用"。 <br /><br /> IPSEC Policy Agent(IP安全策略代理):该代理服务允许IP安全策略对两台计算机之间传输的数据包进行加密,从而防止在网上看到它的人对它进行更改和破译。IPSEC是一种用来保护内部网、专用网络以及外部网(Internet、Extranet)免遭攻击的重要防御方法。使用IPSEC前必须需要首先定义两台计算机之间相互信任和通信安全的方式。请注意:在Win2K默认情况下"IP安全策略代理"是自动启动的,而"IP安全策略"并没有启动(我们可以在"网络和拨号连接"→"您的拨号连接属性"→"网络"页→"Internet协议(TCP/IP)"属性→"高级"→"选项"页下的"IP安全机制"属性中看到)。既然如此,一般用户就完全可以禁用这个代理服务了。 <br /><br /> Messenger(信使服务):发送和接收由系统管理员或由Alerter服务所发送消息的服务。由于Alerter服务需要依找本服务,因此如果已将Alerter禁止,那么这项可以设置为"手动"或"已禁用"。 <br /><br /> Net Logon(网络登陆):简单说就是在局域网上验证登录信息的选项。一般用户可以将其设为"已禁用"或"手动"。 <br /><br /> NetMeeting Remote Desktop Sharing(NetMeeting远程桌面共享):该服务能通过NetMeeting允许有权用户远程访问Windows桌面。这个功能对一般用处不大,可以设为"已禁用"。 <br /><br /> Network Connections(网络连接):它管理着"网络和拨号连接"文件夹中的所有对象。如果您有任何网络连接(包括Internet拨号连接)就保持"手动"状态。否则若您禁用它,在"网络和拨号连接"就保持"手动"状态。否则若您禁用它,在"网络和拨号连接"文件夹中将什么都看不到,更不用说新建连接和拨号上网了,不信您试试看。 <br /><br /> Network DDE(网络动态数据交换)和Network DDE DSDM:网络动态数据交换服务是一种为DDE对话提供网络传输和安全的服务。DDE(动态数据交换)是实现进程通讯的一种形式,它允许支持DDE的两个或多个程序交换信息和命令。对一般用户可设为"已禁用"。 <br /><br /> Plug and Play(即插即用):即插即用是INTEL开发的一组规范,它赋予了计算机自动检测和配置设备并安装相应驱动程序的能力,当有设备被更改时能自动通知使用该设备的程序当前设备的状况。将该服务状态保持"自动"有利于设备的管理和维护。 <br /><br /> Print Spooler(打印后台处理):该服务的作用是将多个请求打印的文档统一进行保存和管理,待打印机空闲后,再将数据送往打印机处理。无任何打印设备的用户设置为"已禁用",否则设为"自动"。请注意:如果您启用了传真服务(Fax Service)的话,就应该保持自动状态,因为传真服务依赖Print Spooler的运行。 <br /><br /> Remote Procedure Call (RPC)(远程过程调用):一种消息传递功能。在计算机的远程管理期间它允许分布式应用程序(即COM+应用程序)呼叫网络上不同计算机上的可用服务。看起来我们好像可以禁用它,但你可能不知道有很多服务需要依赖它的运行,如:Fax Service、Network Connections、Telephony等,所以还是保持它为"自动"吧! <br /><br /> Remote Registry Service(远程注册表服务):该服务能使您编辑另一台计算机上的注册表。普通单机用户根本没必要使用这个服务。 <br /><br /> Run As Service(以其他用户身份运行服务的服务):当您以一般权限用户身份登录系统,而在使用中又需要修改只有系统管理员才能修改的系统设置项时,该服务提供了不重启系统以管理员身份登录的捷径。您只需要在命令提示符下运行RunAs命令就可达到更改目的。对于一般用户在未熟悉RunAs命令用法之前可以将其设为"已禁用"。 <br /><br /> Smart Card和Smart Card Helper:这两个服务提供对智能卡设备的支持,将其设为"已禁用"。 <br /><br /> Task Scheduler(计划任务):还记得Win9X中的"计划任务"吗?在Win2K中它的作用是相同的。它能使程序在预定的时间自动运行,如定期进行磁盘碎片整理。如果您认为它碍事,禁用它是个好主意,为什么要让不用的东西白白占用系统资源呢? <br /><br /> TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS支持服务):该服务能在TCP/IP上提供NetBIOS支持。前面我们曾提到过NetBIOS是基于局域网的,因此作为访问Internet资源的一般用户可以禁用它,除非您的系统处在局域网中。 <br /><br /> Telephony(电话):简单地说这个服务能为计算机提供电话拨号的能力。如果您使用拨号方式连接到Internet或通过电话线连接其他计算机,就应将其设为"手动"。Telnet:该服务允许您从远程计算机上登录以本系统并且使用命令行方式操作这台计算机。对于一般单机用户该服务并不重要,可以设为"手动"或"已禁用"。 <br /><br /> Uninterruptible Power Supply(不间断电源):管理连接到计算机的不间断电源(UPS)的服务。如果您没有UPS设备就设为"已禁用"。 <br /><br /> Windows Management Instrumentation(Windows管理规范)和Windows Management Instrumentation Driver Extensions(Windows管理规范驱动程序扩展):WMI是Win2K中的基础管理结构,它通过一组常用接口控制和监视系统(如对系统属性的查看与更改、设置用户权限等)。为加快系统启动速度,我们可以将这两个服务设置为"手动",待系统启动后在需要的时候再自动用它们。 <br />二、注册表调整篇 <br /><br /> 优化系统当然离不开调整注册表,否则显得太不专业了:打开注册表编辑器,先定位到[HKEY_LOCAL_MACHINE\System\Current ControlSet\Control]下,这里有两个键值需要调整: <br /><br /> 1.SystemStartOptions(系统启动选项):这个键值决定系统启动Win2K时采取何各种动作。为了缩短启动时间,在完成对Win2K的优化和设置之后我们可以将该字串值FASTDETECT(快速检测)改为NODETECT(不检测)。 <br /><br /> 2.WaitToKillServiceTimeout(强制关闭程序的延时):当某个程序由于某种原因不能正常关闭时,我们可以通过"任务管理器"强制性关闭它,这时Win2K会再次尝试正常关闭该程序并等待它响应,在绝大多数情况下这些努力都是徒劳的。在这里我们可以设置等待时间时间,其默认值为20000(字串值,约5秒)。 <br /><br /> 再定位到[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management]下,这里主要调整页面和内存的效能,这些都是影响系统性能的重要因素: <br /><br /> 1.ClearPageFileAtShutdown(关机时清除页面文件),这里所说的"清除"页面文件(即虚拟内存)并非是指从硬盘上完全删除pagefile .sys这个文件,而是对其进行"清洗"和整理,从而为下次启动Win2K更好地利用虚拟内存作好准备。显而易见,当我们启用这个功能关闭系统时会延长Win2K的关机进程。要启用这个功能请将该双字节十六进制值设为1。 <br /><br /> 2.DisablePagingExecutive(禁用页面文件):顾名思义就是指Win2K将所有程序和数据强制性限定在物理内存中运行,而不使用虚拟内存。很明显,当我们有足够多的物理内存来完成所需任务时,这样做必使系统性能得到巨大的提升。对于内存仅有64MB的用户而言启用它或许就是灾难——系统频繁出错,直至崩溃,要知道这么一点内存甚至连Win2K都启动不了。如果您的内存大于256MB或者介于128MB至256MB之间而又不需要运行大量复杂的多任务,您可以考虑启用它,要启用这个功能请将该双字节十六进制值设为1。 <br /><br /> 3.IOPageLockLimit(定制输入/输出缓冲尺寸):输入输出系统是设备和微处理器之间传输数据的通道,当扩大其缓冲尺寸时数据传递将更为流畅。同理,具体设置多大的尺寸要视您物理内存的大小和运行任务的多少来定,一般来说,如果内存有64MB就可将该双字节十六进制值设为400(1MB)、800(2MB)或1000(4MB);128MB内存可设为1000(4MB)、2000(8MB)或4000(16MB);256MB内存?蚩缮栉?000(16MB)或8000(32MB)。当然如果您有更多的内存,您完全可以将其设为10000(64MB)甚至更多。当您设为0时Win2K将自动配置。 <br /><br /><br />4.LargeSystemCache(启用大的系统缓存):在内存中开辟一块大的内存空间用于磁盘文件系统的预读取操作。当程序连续请求的数据增加时,Win2K通过系统缓存自动预读,使程序能以最快速度获取所需数据。由于启用这个系统缓冲会占用较多的物理内存,使得能被程序利用的可用物理内存减少。在64MB内存的系统上虽然文件系统的性能得到了提高,但系统的整体性能却大打折扣,所以建议在内存大于128MB的系统上启用它为妥。要用户这个功能请将该双字节十六进制值设为1。 <br /><br /> 5.SecondLevelDataCache(二级数据高级缓冲):我们知道CPU的处理速度要远远大于内存的存取速度,而内存又要比硬盘快得多。这样的话CPU与内存之间、内存与磁盘之间就形成了影响性能的瓶颈效应,前面我们提到的LargeSystemCache就是为缓解内存与磁盘瓶颈而设计的,而CPU为了能够迅速从内存获取处理数据也设置了一种缓冲机制L2 Cache(二级缓存)。调整这个键值能够使Win2K更好地配合CPU利用该缓存机制获得更高的数据预读命中率。同样,设置多大的缓冲区要取决于您的CPU:对于赛扬300A及其后更高主频处理器(包括赛扬II)应将该双字节十六进制值设为80(128KB);奔腾II与奔腾III设为200(512KB);奔腾B铜矿E与EB系列设为100(256KB)、B系列设为200(512KB);K6-3设为100(256KB);Athlon设为200(512KB)。 <br /><br /> Win2K对内存的管理依然不够完美,特别是运行大型程序或多任务的时候。WinRAM-Booster Professional 2000这个内存优化程序提供了对Win2K的内存管理行为,从而加速应用程序的调入和运行(提高40%以上)。 <br /><br /> 最后将注册表定位到[HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion],找到Run、Runonce、RunServices三个子键。这三个子键保存了Win2K启动时自动运行的程序,删除不需要自动运行的程序项可以释放一些内存,加快启动速度。 <br />三、给您提个醒 <br /><br /> 1.经常进行磁盘碎片整理。 <br /><br /> 这个话题已是老生常谈了,由于大量的碎片严重影响硬盘的读写性能(即使使用NTFS文件系统也不能幸免),所以经常性地整理磁盘碎片成了使用Windows系统的一项重要工作。 <br /><br /> 2.在日常工作中不要以管理员身份使用计算机。 <br /><br /> 在Win2K中管理员级别的身份对计算机有着最完全、最彻底的控制能力,在这种状态下整个系统的防御能力是最弱的。如果我们执行日常任务也以管理员特权运行Win2K的话,系统安全性将受到威胁。例如:访问不可靠的Internet站点或收到恶意的E-mail都有可能使"特洛伊木马"侵入系统,此时若我们正好以管理员级别登录系统,其高度的可控制性为病毒提供了格式化硬盘、删除所有文件等的可行性。所以我们在使用计算机过程中应尽可能在Users组或PowerUsers组成员的身份登录,只有仅由管理员执行的任务才以管理员身份登录,这样可以防止计算机遭受不必要的风险。添加和配置用户的权限可以在"控制面板"中的"用户和密码"中进行。
2004-11-9 02:29
阿土
Windows2000启动技巧两则<br />先说说如何加快WIN98的启动速度。 <br />如果您的机器除了WIN2000以外,还装了其他的WINDOWS系统(如WIN95、WIN98)——其实, 有了2000,一般人是不愿意再保留这些低版本WINDOWS的,但是由于不知道自己的硬件能否 在WIN2000中使用(我的MSP-3880SP调制解调器就不能在2000中使用,因为它没有提供2000 下的驱动程序),再加上对WIN2000的性能不熟悉,保留以前版本的windows应该是必要的。 再加上,有的版本的WINDOWS,并不支持从WINDOWS98把直接升级到WIN2000,所以,WIN9X必 须保留——这样就会发现,在启动的时候出现的一个启动菜单,供用户选择是启动WIN2000 还是启动以前版本的WIN2000,这个菜单默认的是WIN2000,但等待的时间设置很长,默认设 置为30秒,如何把这个时间缩短呢?这里提供两个办法: <br />第一种:开C盘子目录下一个文件boot.ini。怎么?找不到?再仔细瞧!还是没有?请在资 源管理器的菜单单击“工具”里的“文件夹选项”,在弹出的窗口中单击“查看”标签,点 去“隐藏受保护的操作系统文件(推荐)”前面的√,单击“确定”,再看看有没 有,把其中“timeort=30”改成“timeout20”,存盘之后,再启动。怎么样,其中菜单只 显示2秒就继续进行。当然,如果您只使用WIN2000,还可以把这个时间设置为0,这样启动 速度就自然而然地加快了。 <br />还有一种修改的方法就是:在桌面上的“我的电脑”图标上单击右键,在打开的“系统特性 ”窗口中单击“高级”选项卡,单击其中的“启动和故障恢复”按钮,在弹出的“ 启动和故障恢复”窗口中,选中“显示操作系统列表”,并在后面的时间窗口中, 输入2秒即可。<br />还有一种加快启动速度的方法是利用WIN2000的休眠功能。在WIN2000中,它的休眠功能与WI N98大不一样,WIN98的休眠的功能是关闭显示器和硬盘,但不闭电源,而在支持办关机的机 器上,WIN2000的休眠功能则是软件关机,我的机器主板比较旧,不支持软关机,关闭系统 时,启用“休眠”功能,稍后显示可以安全关闭电源,下次启动到上次“休眠”之前的状态 ,原情况保存到硬盘上,下次开机时直接调用,这样就避免了WIN2000启动系统时设置过程 加快了启动速度。<br />以前在win9X中,我们要想修改开始菜单上的程序,可以打开C盘WIN2000目录下Start Menu 文件夹,在其中可以任意删除或者添加快捷方式,来改变我们的开始菜单。但是,到了WIN2 000中,这种方法不行,因为WIN2000的安装目录当中没有 Start Menu文件夹,怎么办呢? <br />别着急,win2000把启动菜单、Internet 收藏夹、文档文件夹等等内容,都放在了这个目录 下的一个叫做“管理员”(Administrator)文件夹中,在这里有几个目录,分别存储着机 器上的重要信息:“Favorites ”Internet收藏夹、“桌面”、“My Dosuments”文档文件 夹、“开始菜单”, “SendTo”(在文件上单击右键弹出的菜单中的“发送到”目录)等等。<br /> 值得指出的是,WIN2000比以前版本在对开始菜单的管理上更加科学化:凡是在上级菜单中 出现过的程序,在下级菜单中逐渐不再出现;凡是在桌面上创建了快捷方式的程序,在开始 菜单中也不再出现,这样就大大压缩了开始菜单,方便了用户启动应用程序。<br />
2004-11-9 15:37
deeperpurple
好强~~~ <br /><br />前几天见到一个从NT时代就当管理员的强人~~~ 把Windows提供的管理手段发挥到及至。。。现在想想。。一个大企业有这样的系统管理员真是幸运啊!!
2004-11-24 14:43
阿土
拳头兄弟,有空把DNS篇给传上来吧。
2004-12-12 15:46
阿土
哦不见意,把它搞成大杂烩..就当学习笔记吧<br /><!--QuoteBegin--><div class='quotetop'>QUOTE</div><div class='quotemain'><!--QuoteEBegin-->笔者负责公司的网络管理,每隔几日,就有部门打电话来“报案”,称他们的计算机出现“IP地址冲突”的提示, 而且无法访问互联网。看来又有人私自修改了自己计算机的IP地址从而造成IP地址冲突。笔者要经过好一番查找,才能抓到“元凶”,非常麻烦。要是能够把网内用户的计算机的IP地址统统锁住就好了。<br /><br /> 在此笔者告诉大家一个好办法:在自己的计算机上点击“开始→运行”,输入regedit命令运行注册表编辑器,然后在注册表菜单中选择“导出注册表文件”,在弹出的对话框中输入要保存的文件名,例如“lockip”,导出范围选择“选择的分支”,输入:“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network”,接着点击保存,然后选定lockip文件,用右键点选“编辑”命令将它打开,可以看到所选分支下面有一行键名和键值“"NoNetSetup"=dword00000000”,把键值00000000改为00000001。如果没有这一行,就在所选分支下一行加入“"NoNetSetup"=dword00000001”就行了。<br /><br /> 然后在局域网内用户的计算机上,双击lockip文件把该文件中的内容加入注册表。如果谁再想改IP,那么对不起,计算机“网上邻居”属性已经被禁用。<br /><br /> 想恢复也简单,只要把lockip文件编辑一下,把00000001改成00000000再运行一下就行了。<!--QuoteEnd--></div><!--QuoteEEnd--> 摘自电脑报
2005-3-10 22:04
阿土
解决win2k关机保存设置速度慢问题!<br /><br />修改组策略:运行gpedit.msc,计算机配置->管理模板->系统->登录,启用“卸载和更新用户配置文件的注册表部分的最大次数”,将最大重试次数改为0(默认是60)。关机慢的问题即解决。<br />
2005-3-13 18:55
阿土
1.让Windows 的上网速率提升20%(Windows XP/2003) <br /><br /><br /> 默认情况下,Windows<br />较小的网络来说,无疑是笔<br />率提高20%!<br />网络连接数据包调度程序将系统<br />不小的开支。我们可以通过组策<br /><br />限制在80%的连接带宽之内,这对带宽<br />略设置来替代默认值,让我们的上网速<br /><br /><br /><br /><br /> 打开“组策略控制台→<br />策略,然后使用下面“带宽<br />定退出,之后我们就可以使<br />计算机配置→管理模板→网络”<br />限制”框来调整系统可保留的带<br />用另外20%的带宽了。<br />中的“QoS数据包调度程序”并启用此<br />宽比例,将它设置为0%即可,然后按确定<br />(呵呵,这条效果很明显,把那台卡卡的,开了很多共享的WIN2003SER搞的蛮好用的,鼠标不在玩捉迷藏了)<br /><br /><br /><br /><br /> 2.关闭缩略图的缓存(Windows XP/2003) <br /><br /><br /> Windows XP/20003系统<br />系统会将这些被显示过的图<br />示的目的。但如果我们不希<br />闭缩略图缓存的功能,这样<br />具有缩略图视图功能,且为了加<br />片进行缓存,以便下次打开时直<br />望系统进行缓冲的话(比如只浏<br />第一次浏览速度反而会大大加快<br />快那些被频繁浏览的缩略图显示速度,<br />接读取缓存中的信息,从而达到快速显<br />览一次的图片),则可以利用组策略关<br />(因为不进行缓存处理)。<br /><br /><br /><br /> 打开“组策略控制台→用户配置→管理模<br />缩略图的缓存”并启用此策略。<br />板→Windows组件→Windows资源管理器”中的“关闭<br /><br /><br /><br /><br /> 3.屏蔽系统自带的CD刻录功能(Windows XP/2003) <br /><br /><br /> Windows XP/2003系统自带CD刻录功能,<br />器允许你制作并修改可重写式CD。但这样无疑<br />可以利用组策略来屏蔽此功能(大部分用户都<br />如果你有CD刻录机接在计算机上,Windows 资源管理<br />会影响系统性能和资源管理器的执行速度,因此我们<br />使用专用的CD刻录软件)。<br /><br /><br /><br /> 打开“组策略控制台→<br />。<br />用户配置→管理模板→网络→”<br /><br />中的“删除CD刻录功能”并启用此策略<br /><br /><br /><br /><br /> 4.关闭系统还原功能(Windows XP/2003) <br /><br /><br /> 系统还原是Windows XP/2003中集成的强<br />件和数据,如果出现问题,系统还原使用户能<br />以前的状态。默认情况下,系统还原处于打开<br />大功能,它在系统运行的同时,备份那些被更改的文<br />够在不丢失个人数据文件的情况下,将计算机还原到<br />状态。<br /><br /><br /><br /> 但为这一功能付出的代<br />于配置不高的计算机来说,<br />价也是相当大的,系统性能会明<br />强烈建议关闭此功能。<br />显下降,磁盘空间也会被占用很多。对<br /><br /><br /><br /><br /> 打开“组策略控制台→<br />用此策略。启用此设置后即<br />。<br />计算机配置→管理模板→系统→<br />可关闭系统还原功能,并且不能<br /><br />系统还原”中的“关闭系统还原”并启<br />访问“系统还原向导”和“配置界面”<br /><br /><br /><br /><br /> 5.禁止Windows Messe<br />nger自动运行(Windows XP/200<br />3)<br /><br /><br /><br /> 在Windows系统中集成的优秀应用软件越<br />起很多电脑用户的不满。比如Windows XP自带<br />统一起自动运行。对于不上网的计算机用户或<br />要屏蔽此软件的自动运行功能。<br />来越多,但这些系统内置的软件都没有卸载选项,引<br />的Windows Messenger,不但卸载不方便而且还随系<br />者根本就不用Windows Messenger的用户来说,当然<br /><br /><br /><br /><br /> 打开“组策略控制台→计算机配置→管理<br />允许运行Windows Messenger ”并启用此策略<br />模板→Windows组件→Windows Messenger”中的“不<br />。<br /><br /><br /><br /> 提示:这个设置出现在<br />算机配置”中的设置比“用<br />“计算机配置”和“用户配置”<br />户配置”中的设置优先。<br />文件夹中。如果两个设置都配置,“计<br /><br /><br /><br /><br /> 九、用组策略打造系统铜墙铁壁级功能 <br /><br /><br /> 1.隐藏“我的电脑”中指定的驱动器(Windows XP/2003) <br /><br /><br /> 此组策略可以从“我的<br />并且驱动器号代表的所有驱<br />电脑”和“Windows 资源管理器<br />动器不出现在标准的打开对话框<br />”上删除代表所选硬件驱动器的图标。<br />上。<br /><br /><br /><br /> 打开“组策略控制台→用户配置→管理模<br />‘我的电脑’中的这些指定的驱动器”并启用<br />动器。<br />板→Windows组件→Windows资源管理器”中的“隐藏<br />此策略,并在下面列表框中选择一个驱动器或几个驱<br /><br /><br /><br /><br /> 提示:这项策略只删除<br />这项策略不会防止用户使用<br />即用来查看并更改驱动器特<br />驱动器图标。用户仍可通过使用<br />程序访问这些驱动器或其内容。<br />性。<br />其它方式继续访问驱动器的内容。同时<br />并且也不会防止用户使用磁盘管理即插<br /><br /><br /><br /><br /> 2.防止从“我的电脑”访问驱动器(Windows 2000/XP/2003) <br /><br /><br /> 此策略让用户无法查看<br />它也禁止使用运行对话框、<br />在“我的电脑”或“Windows 资<br />镜像网络驱动器对话框或Dir命<br />源管理器”中所选驱动器的内容。同时<br />令查看在这些驱动器上的目录。<br /><br /><br /><br /> 打开“组策略控制台→用户配置→管理模<br />从‘我的电脑’访问驱动器”并启用此策略,<br />板→Windows组件→Windows资源管理器”中的“防止<br />并在下面列表框中选择一个驱动器或几个驱动器。<br /><br /><br /><br /> 提示:这些代表指定驱<br />出现一条消息解释设置防止<br />动器。并且不防止他们使用<br />动器的图标仍旧会出现在“我的<br />这一操作。同时这些设置不会防<br />磁盘管理即插即用查看和更改驱<br />电脑”中,但是如果用户双击图标,会<br />止用户使用其它程序访问本地和网络驱<br />动器特性。<br /><br /><br /><br /> 3.禁止使用命令提示符(Windows 2000/XP/2003) <br /><br /><br /> 在Windows 2000/XP/2003下,我们可以运<br />些DOS命令和其他命令行程序。出于对安全的<br />行cmd.exe进入命令提示符状态,并可以继续运行一<br />考虑,有些系统应该屏蔽此功能。<br /><br /><br /><br /> 打开“组策略控制台→<br />略,并在下面列表框中选择<br />.cmd和.bat是否可以在计<br />用户配置→管理模板→系统”中<br />是否“也停用命令提示符脚本处<br />算机上运行。<br />的“阻止访问命令提示符”并启用此策<br />理”,这个设置还决定批处理文件 <br /><br /><br /><br /><br /> 如果启用这个设置,在<br />作。<br />用户试图打开命令窗口时,系统<br /><br />会显示一条消息,解释设置阻止这一操<br /><br /><br /><br /><br /> 4.禁止更改显示属性(Windows 2000/XP/2003) <br /><br /><br /> 选择“控制面板”中的“显示”或在Wind<br />显示设置”对话框,可以对桌面主题、桌面背<br />想让别人随意更改各项设置,可以通过组策略<br />ows桌面的空白处单击右键选择“属性”,可进入“<br />景、屏保程序、显示设置等各项进行设置,如果你不<br />将它隐藏起来。<br /><br /><br /><br /> 打开“组策略控制台→<br />卡、隐藏主题选项卡、隐藏<br />进行配置。比如启用了“隐<br />桌面”标签了,这样自然就<br />用户配置→管理模板→控制面板<br />保护程序选项卡、隐藏设置选项<br />藏‘桌面’选项卡”策略后,再<br />无法再对桌面属性进行更改了。<br />→显示”,然后可以看到隐藏桌面选项<br />卡等策略配置,可根据需要对这些项目<br />打开“显示属性”对话框,就看不到“<br /><br /><br /><br /><br /> 5.禁用注册表编辑器(Windows 2000/XP/2003) <br /><br /><br /> 为了防止他人进入电脑后对注册表文件进<br />设置。具体操作方法:打开“组策略控制台→<br />并启用此策略。<br />行修改,可以在组策略中对注册表编辑器做禁止访问<br />用户配置→系统”中的“阻止访问注册表编辑工具”<br /><br /><br /><br /><br /> 此策略被启用后,用户试图启动注册表编<br />统会禁止这类操作并弹出警告消息。<br />辑器(Regedit.exe 及 Regedt32.exe)的时候,系<br /><br /><br /><br /><br /> 6.彻底禁止访问“控制面板”(Windows 2000/XP/2003) <br /><br /><br /> 如果不希望其他用户访<br />控制台→用户配置→管理模<br />问计算机的“控制面板”,同样<br />板→扩展面板”中的“禁止访问<br />可以使用组策略来实现。打开“组策略<br />控制面板”并启用此策略。<br /><br /><br /><br /> 此策略启用后可以防止<br />制面板”(或运行任何“控<br />”。同时这个设置还从“Wi<br />“控制面板”程序文件(Contro<br />制面板”项目)。另外,这个设<br />ndows资源管理器”中删除“控<br />l.exe)的启动。他人将无法启动“控<br />置将从“开始”菜单中删除“控制面板<br />制面板”文件夹。<br /><br /><br /><br /> 7.禁止建立新的拨号连接(Windows 2000/XP/2003) <br /><br /><br /> 如果不想让别人在计算机中建立新连接来<br />制台→用户配置→管理模板→网络→网络连接<br />拨号上网的话,组策略也可以做到。打开“组策略控<br />”中的“禁止访问新建连接向导”并启用此策略。<br /><br /><br /><br /> 启用此策略后,在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。 <br /><br /><br /> 提示:此设置无法阻止用户使用诸如 Int<br />外此设置必须重新启动计算机后才能生效。<br />ernet Explorer 这样的其它程序来绕过此设置。另<br /><br /><br /><br /><br /> 8.禁用“添加/删除程序”(Windows 2000/XP/2003) <br /><br /><br /> “控制面板”中“添加<br />功能和组件以及种类很多的<br />略来实现。<br />或删除程序”项目允许你安装、<br />Windows 程序。如果你想阻止<br /><br />卸载、修复并添加和删除 Windows 的<br />其他用户安装或卸载程序,可利用组策<br /><br /><br /><br /><br /> 打开“组策略控制台→<br />/删除程序’程序”并启用<br />,会自动弹出警告窗口,而<br />用户配置→管理模板→控制面板<br />此策略,当我们再打开“控制面<br />“添加/删除程序”则无法运行<br />→添加→删除程序”中的“删除‘添加<br />板”中“添加/删除程序”模块的时候<br />。<br /><br /><br /><br /> 此外,在“添加/删除<br />序”、“从CD-ROM或软盘添<br />隐藏,通过这些策略项目的<br />程序”分支中还可以对Windows<br />加程序”、“从Microsoft添加<br />设置,起到了保护计算机中系统<br />“添加/删除程序”项中的“添加新程<br />程序”、“从网络添加程序”等项进行<br />文件及应用程序的作用。<br /><br /><br /><br /> 9.限制使用应用程序(Windows 2000/XP/2003) <br /><br /><br /> 如果你的电脑设置了多<br />设置。<br />个用户,有些程序我们可能不希<br /><br />望其他用户随意运行,也能在组策略中<br /><br /><br /><br /><br /> 打开“组策略控制台→<br />并启用此策略,然后点击下<br />”对话框,在此单击“添加<br />的应用程序列表”中的程序<br />用户配置→管理模板→系统”中<br />面的“允许的应用程序列表”边<br />”按钮来添加允许运行的应用程<br />。<br />的“只运行许可的Windows应用程序”<br />的“显示”按钮,弹出一个“显示内容<br />序即可。以后一般用户只能运行“允许<br /><br />
2005-8-26 11:09
marsoo
实践证明,最好的方法是安全内核法,而不是安全OS
页: [1]
查看完整版本: win2K Server安全与应用
Powered by Discuz! Archiver 5.5.0 © 2001-2006 Comsenz Inc.