修改远程桌面端口:
Windows 2003系统中的远程终端服务是一项功能非常强大的服务,同时也成了入侵者长驻主机的通道,入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面,我们来看看如何通过修改默认端口,防范黑客入侵。
众所周知,远程终端服务基于端口3389。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。
步骤:
1、打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如5188。
2、再打开[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Tenninal Server/WinStations/RDP/Tcp],将PortNumber的值(默认是3389)修改成端口5188。
3、修改完毕,重新启动电脑,以后远程登录的时候使用端口5188就可以了。
在WIN2003中关闭事件跟踪程序:
最近经常遇到一些独享服务器用户反应自己的服务器联系万网工程师重起后,重新登陆时遇到的界面不知道该如何操作问题。当您看到此界面时,只需要在“注释”下面的空白处随意输入字符即可激活“确定”按钮,点击“确定”后可以进入系统。
这个界面是win2003新特性,在我们为您手工重起服务器时,系统会判定此问题属于意外关机,在您重新登陆后会出现这个让您填写原因的界面。此功能的目的是记录每次意外关机的原因,但是并不是对所有客户都有用途,如果您不需要此功能可以参考下面方法取消此功能。
1.单击“运行”。
2. 键入 gpedit.msc,然后单击“确定”。
3. 依次展开“计算机配置”、“管理模板”和“系统”。
4. 双击“显示‘关闭事件跟踪程序’”。
5. 单击“已禁用”,然后单击“确定”。
关闭驱动搜索:
运行“gpedit.msc"打开组策略
“计算机配置/管理模板/系统”
启用“关闭 Windows Update 设备驱动程序搜索”
“管理模板/系统/Internet 通信管理/Internet 通信设置”
启用“关闭 Windows Update 设备驱动程序搜索”
“用户配置/管理模板/系统”
启用“配置驱动程序搜索位置” (不搜索软盘,光驱,Windows Update)
“用户配置/管理模板/系统”
忽略“设备驱动程序的代码签名”
检查系统属性中的驱动签名是否为忽略,update是否为从不搜索。
关闭系统休眠:桌面右键选择“属性”——“屏幕保护”(将屏幕保护程序选择无)——“电源”——“休眠”将“启用休眠”前的勾去掉。
关闭远程连接:右键“我的电脑”选择“属性”——“远程”
关闭自动更新:右键“我的电脑”选择“属性”——“更新”
加快启动时间:右键“我的电脑”选择“属性”——“高级”--“启动和故障恢复”里——“设置”-显示的时间修改为3秒。并将下面的“发送管理警报”和“自动重新启动”前的勾去掉。
运行一次windows meida player,避免以后出现向导
转移虚拟内存页面文件:
右键“我的电脑”选择“属性”——“高级”——“性能”里面的“设置”——“高级”——“高级”——选中当前系统分区,再选“自定义大小”,将“初始化大小”和“最大值”设为“0”,点击“设置”,然后选择需存放页面文件的分区(如D:等)然后将“初始化大小”和“最大值”设为“原先C:的参数”,点击 “设置”,再点击“确定”退出。
解决w3wp.exe占用CPU和内存问题:
1、在任务管理器中增加显示pid字段。就可以看到占用内存或者cpu最高的进程pid
2、在命令提示符下运行iisapp -a。注意,第一次运行,会提示没有js支持,点击确定。然后再次运行就可以了。这样就可以看到pid对应的应用程序池
3、到iis中察看该应用程序池对应的网站,就ok了。
关闭光盘U盘自动播放:
1.策略组关闭法
在前段时间熊猫烧香流行的时候,网上就流传着使用策略组关闭移动硬盘或者U盘自动关闭功能的方法。具体如:单击“开始-运行”,在“打开”框中,键入“gpedit.msc”,单击“确定”按钮,打开“组策略”窗口。在左窗格的“本地计算机策略”下,展开“计算机配置-管理模板-系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”。单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭组策略窗口。
2、关闭服务法
在“我的电脑”点击鼠标右键,选择“管理”,在打开的“计算机管理”中找到“服务和应用程序-服务”,然后在右窗格找到“Shell Hardware Detection”服务,这个服务的功能就是为自动播放硬件事件提供通知,双击它,在“状态”中点击“停止”按钮,然后将“启动类型”修改为“已禁用”或者“手动”就可以了。
关闭“被替换成无法识别的版本”的提示2种方法:
1>Windows文件保护并非时时刻刻都对那些受保护的文件进行扫描,如果你使用的是公用计算机,那么还是安全为好,在“开始→运行”对话框中键入“gpedit.msc”,打开“本地计算机策略→计算机配置→管理模板→系统”窗口,找到“Windows文件保护”组,在右侧窗格中双击“设置Windows文件保护扫描”项 你可以去选择启动还是关闭
2>可以在“运行”中输入“regedit”,打开“注册表编辑器”,找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]右侧窗格中的SFCDisable值,其默认设置是0,即重新启动后不扫描受保护的文件
关闭computer browser服务:
“开始”-“管理工具”-“服务”找到“computer browser”双击它,在“状态”中点击“停止”按钮,然后将“启动类型”修改为“已禁用”
本地安全策略的设置:
“开始”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项”
找到“交互式登录:不显示上次的用户名”双击改为“已启用”
找到“交互式登录:不需要按CTRL+ALT+DEL”双击改为“已启用”
找到“交互式登录:可被缓存的前次登陆次数”双击修改为“0”
找到“帐户:重新命名系统管理员帐户”双击修改为你想要的,我们这里修改为“admin”
不缓存缩略图图标:
打开“我的电脑”-“工具”-“文件夹选项”-“查看”勾上“不缓存缩略图”,去掉“自动搜索网络文件夹和打印机”前的勾。
用鼠标点任务栏中显示的时间(桌面右下方),点Internet时间,把自动与Internet时间保持同步前面的勾去掉
打开组件服务,查看方式为详细信息,找到DCOM 配置里的netman,选中按鼠标右建选属性。
在netman属性里的安全 -> “启动和激活权限” -> 自定义编辑,在启动权限里加入NETWORK SERVICE用户,允许本地启动和本地激活
删除多余的启动项:
hkey_local_machine\software\microsoft\windows\currentversion\run
我是用优化大师绿色版,在非C盘运行讲日文输入法、繁体输入法、韩文输入法启动项删除的!
修改注册表永久删除共享:
在运行对话框中输入“regedit”并回车,打开注册表编辑器,在左侧面板中定位到“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/ Parameters”,在该位置下新建一个名为“AutoShareWks”的DWORD值,并将其数值设置为“0”重启系统后所有的默认共享都将被自动删除,并且不会继续创建。
删除微软拼音输入法的方法:
把HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/MSSCIPY这一主键删除,完成
限制不必要的用户:
去掉所有的Duplicate User用户、测试用户、共享用户等等。禁用Guest账号。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。在“计算机管理”-“本地用户和组”里进行修改。
把系统Administrator账号改名:
在“本地安全策略”里进行修改,“本地策略”-“安全选项”
开启用户策略:
在“本地安全策略”里进行修改,“账户策略”-“账户锁定策略”
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
本地策略——>安全选项
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
禁用不必要的服务 开始-运行-services.msc
Alerter
Application Layer Gateway Service
Background Intelligent Transfer Service
Help and Support
NetMeeting Remote Desktop Sharing
TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络Server支持此计算机通过网络的文件、打印、和命名管道共享
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行 (使用户能在此计算机上配置和计划自动任务可以不关闭)
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要可禁用
Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
3. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值,名为PerformRouterDiscovery 值为0
4. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects 值设为0
5. 不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为IGMPLevel 值为0
6、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
7 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
卸载最不安全的组件:
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:WINDOWS )
rregsvr32/u C:/WINNT/System32/wshom.ocx
del C:/WINNT/System32/wshom.ocx
regsvr32/u C:/WINNT/system32/shell32.dll
del C:/WINNT/system32/shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它!
禁止Guest用户使用scrrun.dll来防止调用FileSystemObject组件?
使用这个命令:cacls C:/WINNT/system32/scrrun.dll /e /d guests
2003使用命令:cacls C:/WINDOWS/system32/scrrun.dll /e /d guests
禁止Guest用户使用shell32.dll来防止调用Shell.Application组件。
2000使用命令:cacls C:/WINNT/system32/shell32.dll /e /d guests
2003使用命令:cacls C:/WINDOWS/system32/shell32.dll /e /d guests
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:/WINNT/system32/Cmd.exe /e /d guests
2003使用命令:cacls C:/WINDOWS/system32/Cmd.exe /e /d guests
命令行下进入当前目录的技巧
使用Windows 系统自带的“命令提示符”有两个不便,一是每次进入的都是同一个目录,还需要用CD 命令进行切换,如果遇到很长的目录名,输入起来非常麻烦。另外,如果目录名包含中文,输入起来就是一件比较痛苦的事情了。
如果能在运行“命令提示符”的同时进入指定目录,岂不是省事了许多?下面的这个方法就可以。步骤如下:
1.双击桌面上的“我的电脑”图标,点击“工具→文件夹选项”。
2.在弹出的对话框中,点击“文件类型”选项卡。拖动“已注册的文件类型”列表边的滚动条,选中文件类型为“资料夹”的条目,点击窗口下面的“高级”按钮。
3.在弹出的“编辑文件类型”窗口中,点击“新建”。在“新窗口”窗口中的“操作”栏输入“我的命令行”,点击“用于执行操作的应用程序”栏旁边的“浏览”按钮,在系统目录下面的System32文件夹中找到CMD.EXE,双击选中,然后在“用于执行操作的应用程序”栏中的命令行后面加上参数 /k cd "%L"
清理磁盘、删除系统垃圾和IE临时文件
清理IE临时文件:右键桌面IE图标选“属性”-点浏览历史记录里“删除”
删除C:/Documents and Settings/administrator/Local Settings/temp/下的所有文件
删除C:/Program Files/InstallShield Installation Information/*.*
删除C:/Documents and Settings/administrator//Local Settings/Application Data下的图标缓存IconCache.db,约5-10M
删除C:/Program Files/WindowsUpdate/*.*
删除c:/windows/temp/*.*
删除c:/windows/所有以"$ntuninstall*$"为命名格式的隐藏目录
删除c:/windows/所有以"KB8"打头和以"Q"打头的.log文件
删除C:/WINDOWS/SoftwareDistribution/Download/*.*
删除C:/WINDOWS/Installer/*.*
对C盘进行碎片整理和重新启动电脑
右键C盘选“属性”-“工具”-“开始整理”
整理后重新启动电脑,在重新启动电脑后,讲事件查看器理的事件都删除掉!
封装准备(此步骤可以省去)
提取检测电源需要的相关文件
WIN2000在SP4.CAB/WINDOWS XP SP2在SP2.CAB/WINDOWS 2003在SP1.CAB中
halacpi.dll
halapic.dll
halmps.dll
halaacpi.dll
halmacpi.dll
hal.dll →并更名为halstnd.dll
ntkrnlmp.exe
ntkrnlpa.exe
ntkrpamp.exe
ntoskrnl.exe →并更名为ntkrnlup.exe
将上述文件拷贝到系统SYSTEM32目录
添加inf文件
将以下代码保存为dtecthal.inf并拷贝到/WINDOWS/INF/,2000为/WINNT/INF/
[Version]
signature="$Windows NT$"
DriverVer=07/01/2001
[hal]
MPS_MP = halmps.dll
MPS_UP = halapic.dll
E_ISA_UP = halstnd.dll
ACPIPIC_UP = halacpi.dll
ACPIAPIC_UP = halaacpi.dll
ACPIAPIC_MP = halmacpi.dll
[ACPIOptions]
ACPIEnable = 2
ACPIBiosDate = 01,01,1999
修改boot.ini,加上 /DETECTHAL参数,使系统启动时检测电源
注意将原boot.ini备份,并在部署后还原
更改 计算机的Advanced Configuration Power Interface(ACPI)属性为Standard PC,
点 Advanced Configuration Power Interface(ACPI)右键,点更新驱动程序,弹出更新向导-----,点从列表或指定位置安装(高级)------点,不要搜索,我要自己选择要安装的程序,并更改成Standard PC,点确定之后,电脑也会提示你重新启动,按否,不启动!
更改的原因是:若新机中如果是不同类型的ACPI,则你新克隆的机上就 无法实现电脑软关机,并且可能会在第一次启动后崩溃 ! 所以,在GHOST到新机上后,将Standard PC重新改回你相应的电源管理模式就行了,这也是目前网上流传的XP万能GHSOT都会提醒你做这一步操作的说明”。
一般比较老的电脑只有Standard PC选项,而现在大多数的电脑都是Advanced Configuration Power Interface(ACPI),特别注意的是2003年以后新出的电脑的电源管理一般为acpi uniprocessor pc! 有些人在改电源管理后电脑无法启动,其原因就在这里,电源管理要按本机的电脑类型更改。
更改 IDE ATA/ATAPI控制器 , 这一步就是XP系统万能GHOST的主要步骤所在!!这步不做,则GHOST到别的机器里根本无法启动,电脑会不断重启!! 因此为了适应现在各种不同的主板,(如Inter 主板,VIA主板,SIS主板)则必须将你本机的IDE 控制器改成 标准的双通道 PCI IDE控制器
点 ( 本机是Intel(r)82801AA Bus Master IDE Controller-各主板不同 )右键,点更新驱动程序,弹出更新向导-----,点从列表或指定位置安装(高级)------点,不要搜索,我要自己选择要安装的程序,并更改成 标准的双通道 PCI IDE控制器 。
卸载全部硬件:
切记 系统设置 选项里面的东西就不要去动了
硬件卸载过程中如果出现重新启动,切记不可选择是,否则重启之后硬件又会全部安装上
1、卸载“网络适配器” 2、卸载“通用串行总线控制器” 3、卸载“声音、视频和游戏控制器” 4、卸载“软盘控制器” 5、卸载“键盘” 6.监视器 7、卸载“端口” 8、卸载“磁盘驱动器” 9、卸载“处理器” 9、卸载“显卡”
一般从下到上的顺序,依此卸载设备
一:先启动PreTooler V2.11 进行系统封装
启动PreTooler V2.11
在“系统前运行程序”中选驱动自动判断的DrvS.exe
……
后面的教程就懒得说了,可以参考本论坛的其它教程……
二;最后的检查及清理
清除windows下的lastgood (最后一次正确的配置)
清除windows下的Prefetch (程序缓存)
/Local Settings/Application Data/IconCache.db 看是不是又出来了,有就删除
windows及C盘,点左面的“隐藏此文件夹内容”,文件夹选项中恢复默认
运行“磁盘碎片整理程序”对C盘进行碎片整理
三:运行regedit,查找hal项,删除***_HAL注册表项。删除时,在要删除的项上点右键,然后选择“权限” ,为当前用户添加“完全控制”权限即可!如果用PreTooler V2.11进行封装,这一步就可以省略!
【不懂看这里:删除HAL文件一项具体操作过程:
1、点“开始” - “运行” - 输入“regedit”
2、选中“HKEY_LOCAL_MACHINE”
3、选择“编辑” - “查找” - “查看”选项选择上“项”就可以 - “全字匹配”钩去掉 - 选“查找”
4、不断的查找,一直找到含有 “***_HAL”字样的地方,一般在“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root”和“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/”中都有,大概有四个。
5、项上点右键,然后选择“权限” ,为当前用户添加“完全控制”权限。
6、删除有“***_HAL”字样的项,几个都删除才可以。】
四、关闭系统,制作GHOST
ghost -z9
如果安装后在事件日志里出现如下错误时的解决方法:
系统错误事件一:
由于下列错误,HID Input Service 服务启动失败:
文件名、目录名或卷标语法不正确。
事件原因:是鼠标的驱动不支持系统造成的(这个错误和系统本身没有任何关系)
下面是开启HID服务办法:
开始→运行→regedit
找到
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/hidserv
下的ImagePath:
原来的是/SystemRoot/C:/WINDOWS/System32/svchost.exe -k netsvcs。
改成%SystemRoot%/System32/svchost.exe -k netsvcs
重启HID Input Service服务即可
事件二:
系统错误事件:
时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 'time.windows.com,0x1' 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS 查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751)
事件的原因:Internet时间很本机没有同步,链接不上时间服务器,这个错误和系统没有任何关系
解决:
用鼠标点任务栏中显示的时间(桌面右下方),点Internet时间,把自动与Internet时间保持同步前面的勾去掉就好了.
事件三:
系统错误事件:
应用程序-特定 权限设置未将 COM 服务器应用程序(CLSID 为
{BA126AD1-2166-11D1-B1D0-00805FC1270E}
)的 本地 激活 权限授予用户 NT AUTHORITY/NETWORK SERVICE SID (S-1-5-20)。可以使用组件服务管理工具修改此安全权限。
事件原因:组件的权限问题,此错误和系统没有任何关系
解决方法:
打开组件服务,查看方式为详细信息,找到DCOM 配置里的netman,选中按鼠标右建选属性。
在netman属性里的安全 -> “启动和激活权限” -> 自定义编辑,在启动权限里加入NETWORK SERVICE用户,允许本地启动和本地激活,确定后就不会再报这个DCOM错了。
“跟后台打印程序系统服务通讯时出现错误”问题的解决:
事件类型: 警告
事件来源: TermServDevices
事件种类: 无
事件 ID: 1114
日期: 2006-12-19
事件: 15:50:17
用户: N/A
计算机: 7VF4VUNP5YBDD
描述:
跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元,确认后台打印程序服务是否在运行。
----------------------------------------------------------------------------------------
解决办法:
运行“tscc.msc”,双击连接的“RDP-TCP”,选择“客户端设置”,选上“Windows打印机映射”和“LPT端口映射”表示禁用这两个映射,点击确定
但是:开启远程桌面、关闭打印服务就会出现这样的问题,只要把打印服务开启就好
开启硬件加速
开启硬件加速
第一步:默认情况下,Windows Server 2003禁用了显卡的硬件加速,因此只提供2D和有限的3D能力,所以首先要下载并安装显卡最新的For Windows 2000/XP的驱动程序。
第二步:在桌面窗口处右击“属性→设置→高级→疑难解答”,将其中的“硬件加速”滑块拉到最右侧(完全)。
第三步:按WIN+R组合键打开“运行”对话框,输入dxdiag,回车后打开“DirectX诊断工具”窗口,进入“显示”选项卡,然后单击下面的“DirectX功能”项中的“启用”按钮,这样便打开了DirectX(8.1)DirectDraw、Direct3D、AGP纹理加速等功能。
小提示:由于Windows Server 2003内置的是DirectX 8.1,因此建议你将其升级到DirectX 9.0a,下载地址:http://crc.mydrivers.com/others/dx90a_redist.exe;或者DirectX 9.0b,下载地址:http://crc.mydrivers.com/others/dx90update_redist.exe
备注:以上内容为在网上找的,优化只做参考,出现任何问题,与夜色之殇无任何关系