二、设置和管理账户 1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码 3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。 4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时渖栉?0分钟”,“复位锁定计数设为30分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。 7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。三、网络服务安全管理 1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为02、 解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的服务,以下为建议选项
Computer Browser:维护网络计算机更新,禁用 Distributed File System: 局域网管理共享文件,不需要禁用 Distributed linktracking client:用于局域网更新连接信息,不需要禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助四、打开相应的审核策略 在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
审核策略更改:成功,失败 审核登录事件:成功,失败 审核对象访问:失败 审核对象追踪:成功,失败 审核目录服务访问:失败 审核特权使用:失败 审核系统事件:成功,失败 审核账户登录事件:成功,失败 审核账户管理:成功,失败五、其它安全相关设置 1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0 2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。 3、防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为SynAttackProtect,值为2 4. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为05. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0 6. 不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为IGMPLevel 值为0 7、禁用DCOM: 运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。 清除“在这台计算机上启用分布式 COM”复选框。 注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。六、配置 IIS 服务: 1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。 3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 4、删除不必要的IIS扩展名映射。 右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm 5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性 6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。 7、使用UrlScan UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。 如果没有特殊的要求采用UrlScan默认配置就可以了。 但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%System32InetsrvURLscan 文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。 如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。 如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset 如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。 8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描. 下载地址:七、配置Sql服务器 1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆 3、不要使用Sa账户,为其配置一个超级复杂的密码 4、删除以下的扩展存储过程格式为: use master sp_dropextendedproc '扩展存储过程名' xp_cmdshell:是进入操作系统的最佳捷径,删除访问注册表的存储过程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistringOLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop5、隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。八、如果只做服务器,不进行其它操作,使用IPSec 1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击 添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击完成——点击确定。
2、再在管理IP筛选器表选项下点击 添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.
补充:修改3389HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d,这个是16进制,就是3389啦,我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。修改系统日志保存地址默认位置为应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系统日志文件:%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志 Scheduler(任务计划)服务日志默认位置:%systemroot%\schedlgu.txt 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL删掉或改名xplog70.dll[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]"AutoShareServer"=dword:00000000"AutoShareWks"=dword:00000000// AutoShareWks 对pro版本// AutoShareServer 对server版本// 0 禁止管理共享admin$,c$,d$之类默认共享[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]"restrictanonymous"=dword:00000001//0x1 匿名用户无法列举本机用户列表//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动) 本地安全策略封TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)封UDP端口:1434(这个就不用说了吧)封所有ICMP,即封PING以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟.安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.禁止登录屏幕上显示上次登录的用户名控制面板==管理工具==本地安全策略==本地策略==安全选项或改注册表HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn项中的Don't Display Last User Name串,将其数据修改为1禁TCP/IP中的禁用TCP/IP上的NetBIOS修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉WEB目录用户权限设定...依次做下面的工作: 选取整个硬盘: system:完全控制 administrator:完全控制(允许将来自父系的可继承性权限传播给对象) b.\program files\common files: everyone:读取及运行 列出文件目录 读取(允许将来自父系的可继承性权限传播给对象) c.\inetpub\wwwroot: iusr_machine:读取及运行 列出文件目录 读取 (允许将来自父系的可继承性权限传播给对象) e.\winnt\system32: 选择除inetsrv和centsrv以外的所有目录, 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 f.\winnt: 选择除了downloaded program files、help、iis temporary compressed files、 offline web pages、system32、tasks、temp、web以外的所有目录 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 g.\winnt: everyone:读取及运行列出文件目录 读取(允许将来自父系的可继承性权限传播给对象) h.\winnt\temp:(允许访问数据库并显示在asp页面上) everyone:修改 (允许将来自父系的可继承性权限传播给对象) (还是WIN2K3好一点,默认就设好了设限)删除默认IIS目录删除IIS中除ASA和ASP的所有解析,除非你要用到别的CGI程序(WIN2K3中去不掉的)定期查看服务器中的日志logs文件检查ASP程序是否有SQL注入漏洞解决方法:在ASP程序中加入dim listnameif not isnumeric(request("id")) thenresponse.write "参数错误"response.end end if //作用是检查ID是否为INT数字型如何让asp脚本以system权限运行? 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 如何防止asp木马? 基于FileSystemObject组件的asp木马cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除 还原:cacls %systemroot%\system32\scrrun.dll /e /p guests:rregsvr32 scrrun.dll基于shell.application组件的asp木马cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //删除还原:cacls %systemroot%\system32\shell32.dll /e /p guests:rregsvr32 shell32.dll可以看一下caclsr语法,f是完全控制,c是写入把ip2K.jpg另存为,改后缀名为RAR,2K和2K3下的安全策略,借用了REISTLIN的东西,3Q,上面有些东西太简单了就没写全.如果你是用固定IP的话,可以在安全策略中加上允许访问和你自己的IP关闭Messenger,Remote Registry Service,Task Scheduler 服务及不需要的服务..网络服务安全管理1、关闭不需要的服务只留必需的服务,多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。2、关闭不用的端口只开放服务需要的端口与协议。 具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3。常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。3、禁止建立空连接默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接: (1) 修改注册表中 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。(2) 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。 首先,Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接,实际上Windows 2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnonymous选项,其中有三个值:“0”这个值是系统默认的,没有任何限制,远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等;“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows 2000才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。网络服务安全配置1、修改默认端口。终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为:服务器端:打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键,修改PortNumber值。客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。 2、安全配置Internet 服务管理器。对IIS服务安全配置如下:(1)停止默认的Web服务,建立新的Web服务,将其主目录设为其他(非inetpub)目录,最好不和主系统点用一个分区。如果使用系统默认的Web服务,那么通过较简单的攻击,就可以黑掉服务器。(2) 删除原默认安装的Inetpub目录(在安装系统的盘上)。(3) 删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。3、不要设置Frontpage服务器扩展服务,如果开设,那么就可以远程在Frontpage下打开您的主页文件进行修改。4、删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa两映射即可。Windows 服务的最佳化说明Alerter 微软: 通知选取的使用者及计算机系统管理警示。如果停止这个服务,使用系统管理警示的程序将不会收到通知。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上 依存: Workstation 建议: 已停用Application Layer Gateway Service 微软: 提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持 补充: 如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉 依存: Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS) 建议: 已停用Application Management (应用程序管理) 微软: 提供指派、发行、以及移除的软件安装服务。 补充: 如上说的软件安装变更的服务 建议: 手动Automatic Updates 微软: 启用重要 Windows 更新的下载及安装。如果停用此服务,可以手动的从 Windows Update 网站上更新操作系统。 补充: 允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更新修补程序 建议: 已停用Background Intelligent Transfer Service 微软: 使用闲置的网络频宽来传输数据。 补充: 经由 Via HTTP1.1 在背景传输资料的?#124;西,例如 Windows Update 就是以此为工作之一 依存: Remote Procedure Call (RPC) 和 Workstation 建议: 已停用ClipBook (剪贴簿) 微软: 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到 依存: Network DDE 建议: 已停用COM+ Event System (COM+ 事件系统) 微软: 支持「系统事件通知服务 (SENS)」,它可让事件自动分散到订阅的 COM 组件。如果服务被停止,SENS 会关闭,并无法提供登入及注销通知。如果此服务被停用,任何明显依存它的服务都无法启动。 补充: 有些程序可能用到 COM+ 组件,像 BootVis 的 optimize system 应用,如事件检视器内显示的 DCOM 没有启用 依存: Remote Procedure Call (RPC) 和 System Event Notification 建议: 手动COM+ System Application 微软: 管理 COM+ 组件的设定及追踪。如果停止此服务,大部分的 COM+ 组件将无法适当?#092;作。如果此服务被停用,任何明确依存它的服务将无法启动。 补充: 如果 COM+ Event System 是一台车,那么 COM+ System Application 就是司机,如事件检视器内显示的 DCOM 没有启用 依存: Remote Procedure Call (RPC) 建议: 手动Computer Browser (计算机浏览器) 微软: 维护网络上更新的计算机清单,并将这个清单提供给做为浏览器的计算机。如果停止这个服务,这个清单将不会被更新或维护。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 一般家庭用计算机不需要,除非你的计算机应用在区网之上,不过在大型的区网上有必要开这个拖慢速度吗? 依存: Server 和 Workstation 建议: 已停用 Cryptographic Services 微软: 提供三个管理服务: 确认 Windows 档案签章的 [类别目录数据库服务]; 从这个计算机新增及移除受信任根凭证授权凭证的 [受保护的根目录服务]; 以及协助注册这个计算机以取得凭证的 [金钥服务]。如果这个服务被停止,这些管理服务将无法正确工作。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证,如果你有使用 Automatic Updates ,那你可能需要这个 依存: Remote Procedure Call (RPC) 建议: 手动DHCP Client (DHCP 客户端) 微软: 透过登录及更新 IP 地址和 DNS 名称来管理网络设定。 补充: 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP 依存: AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP 建议: 手动Distributed Link Tracking Client (分布式连结追踪客户端) 微软: 维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。 补充: 维护区网内不同计算机之间的档案连结 依存: Remote Procedure Call (RPC) 建议: 已停用Distributed Transaction Coordinator (分布式交易协调器) 微软: 协调跨越多个资源管理员的交易,比如数据库、讯息队列及档案系统。如果此服务被停止,这些交易将不会发生。如果服务被停用,任何明显依存它的服务将无法启动。 补充: 如上所说的,一般家庭用计算机用不太到,除非你启用的 Message Queuing 依存: Remote Procedure Call (RPC) 和 Security Accounts Manager 建议: 已停用DNS Client (DNS 客户端) 微软: 解析并快取这台计算机的网域名称系统 (DNS) 名称。如果停止这个服务,这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 如上所说的,另外 IPSEC 需要用到 依存: TCP/IP Protocol Driver 建议: 手动Error Reporting Service 微软: 允许对执行于非标准环境中的服务和应用程序的错误报告。 补充: 微软的应用程序错误报告 依存: Remote Procedure Call (RPC) 建议: 已停用Event Log (事件记录文件) 微软: 启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。 补充: 允许事件讯息显示在事件检视器之上 依存: Windows Management Instrumentation 建议: 自动Fast User Switching Compatibility 微软: 在多使用者环境下提供应用程序管理。 补充: 另外像是注销画面中的切换使用者功能 依存: Terminal Services 建议: 手动 Help and Support 微软: 让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。如果这个服务被停用,它的所有依存服务将无法启动。 补充: 如果不使用就关了吧 依存: Remote Procedure Call (RPC) 建议: 已停用 Human Interface Device Access 微软: 启用对人性化接口装置 (HID) 的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 如上所提到的 依存: Remote Procedure Call (RPC) 建议: 已停用 IMAPI CD-Burning COM Service 微软: 使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘录制。如果这个服务被停止,这个计算机将无法录制光盘。如果这个服务被停用,任何明确地依赖它的服务将无法启动。 补充: XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快 Nero 的开启速度 建议: 已停用 Indexing Service (索引服务) 微软: 本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。 补充: 简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧 依存: Remote Procedure Call (RPC) 建议: 已停用 Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 微软: 为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。 补充: 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉 依存: Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager 建议: 已停用 IPSEC Services (IP 安全性服务) 微软: 管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。 补充: 协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的 依存: IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver 建议: 手动 Logical Disk Manager (逻辑磁盘管理员) 微软: 侦测及监视新硬盘磁盘,以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止,动态磁盘状态和设定信息可能会过时。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能 依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service 建议: 自动 Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务) 微软: 设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。 补充: 使用 Microsoft Management Console(MMC)主控台的功能时才用到 依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager 建议: 手动 Messenger (信差) 微软: 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。如果停止这个服务,Alerter 讯息将不会被传输。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 允许网络之间互相传送提示讯息的功能,如 net send 功能,如不想被骚扰话可关了 依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation 建议: 已停用 MS Software Shadow Copy Provider 微软: 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。如果停用这个服务,任何明确依存于它的服务将无法启动。 补充: 如上所说的,用来备份的?#124;西,如 MS Backup 程序就需要这个服务 依存: Remote Procedure Call (RPC) 建议: 已停用 Net Logon 微软: 支持网域上计算机的账户登入事件的 pass-through 验证。 补充: 一般家用计算机不太可能去用到登入网域审查这个服务 依存: Workstation 建议: 已停用 NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享) 微软: 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络,由远程访问这部计算机。如果这项服务停止的话,远程桌面共享功能将无法使用。如果服务停用的话,任何依赖它的服务将无法启动。 补充: 如上说的,让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者,如果你重视安全性不想多开后门,就关了吧 建议: 已停用 Network Connections (网络联机) 微软: 管理在网络和拨号联机数据夹中的对象,您可以在此数据夹中检视局域网络和远程联机。 补充: 控制你的网络联机 依存: Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 建议: 手动 Network DDE (网络 DDE) 微软: 为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止,DDE 传输和安全性将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 一般人好像用不到 依存: Network DDE DSDM、ClipBook 建议: 已停用 Network DDE DSDM (网络 DDE DSDM) 微软: 讯息动态数据交换 (DDE) 网络共享。如果这个服务被停止,DDE 网络共享将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 一般人好像用不到 依存: Network DDE 建议: 已停用 Network Location Awareness (NLA) 微软: 收集并存放网络设定和位置信息,并且在这个信息变更时通知应用程序。 补充: 如果不使用 ICF 和 ICS 可以关了它 依存: AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 建议: 已停用 NT LM Security Support Provider (NTLM 安全性支持提供者) 微软: 为没有使用命名管道传输的远程过程调用 (RPC) 程序提供安全性。 补充: 如果不使用 Message Queuing 或是 Telnet Server 那就关了它 依存: Telnet 建议: 已停用 Performance Logs and Alerts (效能记录文件及警示) 微软: 基于事先设定的排程参数,从本机或远程计算机收集效能数据,然后将数据写入记录或?#124;发警讯。如果这个服务被停止,将不会收集效能信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 没什么价值的服务 建议: 已停用 Plug and Play微软: 启用计算机以使用者没有或很少的输入来识别及适应硬件变更,停止或停用这个服务将导致系统不稳定。 补充: 顾名思义就是 PNP 环境 依存: Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio 建议: 自动 Portable Media Serial Number 微软: Retrieves the serial number of any portable music player connected to your computer 补充: 透过联机计算机重新取得任何音乐拨放序号?没什么价值的服务 建议: 已停用 Print Spooler (打印多任务缓冲处理器) 微软: 将档案加载内存中以待稍后打印。 补充: 如果没有打印机,可以关了 依存: Remote Procedure Call (RPC) 建议: 已停用 Protected Storage (受保护的存放装置) 微软: 提供受保护的存放区,来储存私密金钥这类敏感数据,防止未授权的服务、处理、或使用者进行存取。 补充: 用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序、主从架构等等 依存: Remote Procedure Call (RPC) 建议: 自动 QoS RSVP (QoS 许可控制,RSVP) 微软: 提供网络讯号及区域流量控制安装功能给可识别 QoS 的程序和控制小程序项。 补充: 用来保留 20% 频宽的服务,如果你的网络卡不支持 802.1p 或在你计算机的网域上没有 ACS server ,那么不用多说,关了它 依存: AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call (RPC) 建议: 已停用 Remote Access Auto Connection Manager (远程访问自动联机管理员) 微软: 当程序参照到远程 DNS 或 NetBIOS 名称或地址时,建立远程网络的联机。 补充: 有些 DSL/Cable 提供者,可能需要用此来处理登入程序 依存: Remote Access Connection Manager、Telephony 建议: 手动 Remote Access Connection Manager (远程访问联机管理员) 微软: 建立网络联机。 补充: 网络联机用 依存: Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager 建议: 手动 Remote Desktop Help Session Manager 微软: 管理并控制远程协助。如果此服务停止的话,远程协助将无法使用。停止此服务之前,请先参阅内容对话框中的 [依存性]标签。 补充: 如上说的管理和控制远程协助,如果不使用可以关了 依存: Remote Procedure Call (RPC) 建议: Disable Remote Procedure Call (RPC) (远程过程调用,RPC) 微软: 提供结束点对应程序以及其它 RPC 服务。 补充: 一些装置都依存它,别去动它 依存: 太多了,自己去看看 建议: 自动 Remote Procedure Call (RPC) Locator (远程过程调用定位程序) 微软: 管理 RPC 名称服务数据库。 补充: 如上说的,一般计算机上很少用到,可以尝试关了 依存: Workstation 建议: Disable Remote Registry (远程登录服务) 微软: 启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止,登录只能由这个计算机上的使用者修改。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 基于安全性的理由,如果没有特别的需求,建议最好关了它,除非你需要远程协助修改你的登录设定 依存: Remote Procedure Call (RPC) 建议: 已停用 Removable Storage (卸除式存放装置) 微软: None 补充: 除非你有 Zip 磁盘驱动器或是 USB 之类可携式的硬件或是 Tape 备份装置,不然可以尝试关了 依存: Remote Procedure Call (RPC) 建议: Disable Routing and Remote Access (路由和远程访问) 微软: 提供连到局域网络及广域网络的公司的路由服务。 补充: 如上说的,提供拨号联机到区网或是 VPN 服务,一般用户用不到 依存: Remote Procedure Call (RPC)、NetBIOSGroup 建议: 已停用 Secondary Logon 微软: 启用在其它认证下的起始程序。如果这个服务被停止,这类的登入存取将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 允许多个使用者处理程序,执行分身等 建议: 自动 Security Accounts Manager (安全性账户管理员) 微软: 储存本机账户的安全性信息。 补充: 管理账号和群组原则(gpedit.msc)应用 依存: Remote Procedure Call (RPC)、Distributed Transaction Coordinator 建议: 自动 Server (服务器) 微软: 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务,将无法使用这些功能。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 简单的说就是档案和打印的分享,除非你有和其它计算机分享,不然就关了 依存: Computer Browser 建议: 已停用 Shell Hardware Detection 微软: 为自动播放硬件事件提供通知。 补充: 一般使用在记忆卡或是CD装置、DVD装置上 依存: Remote Procedure Call (RPC) 建议: 自动 Smart Card (智慧卡) 微软: 管理这个计算机所读取智能卡的存取。如果这个服务被停止,这个计算机将无法读取智能卡。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 如果你不使用 Smart Card ,那就可以关了 依存: Plug and Play 建议: 已停用 Smart Card Helper (智能卡协助程序) 微软: 启用对这个计算机使用的旧版非随插即用智能卡读取头的支持。如果这个服务被停止,这个计算机将不支持旧版读取头。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 如果你不使用 Smart Card ,那就可以关了 建议: 已停用 SSDP Discovery Service 微软: 在您的家用网络上启用通用随插即用装置的搜索。 补充: 如上说的,通用随插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置,经由网络联机透过 TCP/IP 来搜索装置,像网络上的扫瞄器、数字相机或是打印机,亦即使用 UPnP 的功能,基于安全性没用到的大可关了 依存: Universal Plug and Play Device Host 建议: 已停用 System Event Notification (系统事件通知) 微软: 追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。 补充: 如上所说的 依存: COM+ Event System 建议: 自动 System Restore Service 微软: 执行系统还原功能。若要停止服务,从我的计算机->内容,[系统还原] 中关闭系统还原 补充: 将计算机回复至先前的状态,不使用就关了 依存: Remote Procedure Call (RPC) 建议: 已停用 Task Scheduler (工作排程器) 微软: 让使用者能够在这个计算机上设定和排定自动的工作。如果停止这个服务,这些工作在它们排定的时间时将不会执行。如果停用这个服务,任何明确依存于它的服务将无法启动。 补充: 设定排定自动的工作,像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等 依存: Remote Procedure Call (RPC) 建议: 自动 TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序) 微软: 启用 [NetBIOS over TCP/IP (NetBT)] 服务及 NetBIOS 名称解析的支持。 补充: 如果你的网络不使用 NetBios 或是 WINS ,你大可关闭 依存: AFD 网络支持环境、NetBt 建议: 已停用 Telephony (电话语音) 微软: 为本机计算机上及经由局域网络连接到正在执行此服务的服务器上,控制电话语音装置和 IP 为主语音联机的程序,提供电话语音 API (TAPI) 支持。 补充: 一般的拨号调制解调器或是一些 DSL/Cable 可能用到 依存: Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager 建议: 手动 Telnet 微软: 启用一个远程使用者来登入到这台计算机和执行应用程序,以及支持各种 TCP/IP Telnet 客户端,包含以 UNIX 为基本和以 Windows 为基本的计算机。如果服务停止了,远程使用者可能无法存取应用程序。如果服务停用了,任何明确地依存于这项服务的其它服务将会启动失败。 补充: 允许远程使用者用 Telnet 登入本计算机,一般人会误解关了就无法使用BBS,这其实和BBS无关,基于安全性的理由,如果没有特别的需求,建议最好关了 依存: NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver 建议: 已停用 Terminal Services (终端机服务) 微软: 允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。 补充: 远程桌面或是远程协助的功能,不需要就关了 依存: Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon 建议: 已停用 Themes 微软: 提供使用者经验主题管理。 补充: 很多人使用布景主题,不过如果没有使用的人,那就可以关闭 建议: 自动 Uninterruptible Power Supply (不断电供电系统) 微软: 管理连接到这台计算机的不断电电源供应 (UPS)。 补充: 不断电电源供应 (UPS)一般人有用到吗?除非你的电源供应器有具备此功能,不然就关了 建议: 已停用 Universal Plug and Play Device Host 微软: 提供主机通用随插即用装置的支持。 补充: 用来侦测安装通用随插即用服务 (Universal Plug and Play, UPnP)装置,像是数字相机或打印机 依存: SSDP Discovery Service 建议: 已停用 Volume Shadow Copy 微软: 管理及执行用于备份和其它目的的磁盘区卷影复制。如果这个服务被停止,卷影复制将无法用于备份,备份可能会失败。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 如上所说的,用来备份的?#124;西,如 MS Backup 程序就需要这个服务 依存: Remote Procedure Call (RPC) 建议: 已停用 WebClient 微软: 启用 Windows 为主的程序来建立、存取,以及修改因特网为主的档案。如果停止这个服务,这些功能将无法使用。如果停用这个服务,任何明确依存于它的服务将无法启动。 补充: 使用 WebDAV 将档案或数据夹上载到所有的 Web 服务,基于安全性的理由,你可以尝试关闭 依存: WebDav Client Redirector Windows Audio 微软: 管理用于 Windows 为主程序的音讯装置。如果这个服务被停止,音讯装置和效果将无法正常?#092;作。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 如果你没有声卡可以关了他 依存: Plug and Play、Remote Procedure Call (RPC) 建议: 自动 Windows Image Acquisition (WIA) (Windows影像取得程序) 微软: 为扫描仪和数字相机提供影像撷取服务。 补充: 如果扫描仪和数字相机内部具有支持WIA功能的话,那就可以直接看到图档,不需要其它的驱动程序,所以没有扫描仪和数字相机的使用者大可关了 依存: Remote Procedure Call (RPC) 建议: 已停用 Windows Installer (Windows 安装程序) 微软: 根据包含在 .MSI 档案内的指示来安装,修复以及移除软件。 补充: 是一个系统服务,协助使用者正确地安装、设定、追踪、升级和移除软件程序,可管理应用程序建立和安装的标准格式,并且追踪例如档案群组、登录项目及快捷方式等组件 依存: Remote Procedure Call (RPC) 建议: 手动 Windows Management Instrumentation (WMI) 微软: 提供公用接口及对象模型,以存取有关操作系统、装置、应用程序及服务的管理信息。如果这个服务已停止,大多数的 Windows 软件将无法正常?#092;作。如果这个服务已停用,所有依存于它的服务都将无法启动。 补充: 如上说的,是一种提供一个标准的基础结构来监视和管理系统资源的服务,由不得你动他 依存: Event Log、Remote Procedure Call (RPC) 建议: 自动 Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸) 微软: 提供系统管理信息给予/取自驱动程序。 补充: Windows Management Instrumentation 的延伸,提供信息用的 建议: 手动 Windows Time (Windows 时间设定) 微软: 维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止,将无法进行日期及时间同步处理。如果这个服务被停用,所有依存的服务都会停止。 补充: 网络对时校准用的,没必要就关了 建议: 已停用 Wireless Zero Configuration 微软: 为 802.11 适配卡提供自动设定 补充: 自动配置无线网络装置,言下之意就是说,除非你有在使用无线网络适配卡装置,那么你才有必要使用这个网络零管理服务 依存: NDIS Usermode I/O Protocol、Remote Procedure Call (RPC) 建议: 已停用 WMI Performance Adapter 微软: 提供来自 WMIHiPerf 提供者的效能链接库信息。 补充: 如上所提 依存: Remote Procedure Call (RPC) 建议: 已停用l Workstation (工作站) 微软: 建立并维护到远程服务器的客户端网络联机。如果停止这个服务,这些联机将无法使用。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 因特网联机中所必要的一些功能 依存: Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator 建议: 自动 “Clipbook Server”(文件夹服务器):这个服务允许你们网络上的其他用户看到你的文件夹。在这里我要强烈建议你把它改为手动启动,然后再使用其他程序在你的网络上发布信息。 “Messenger”(消息):在网络上发送和接收信息。如果你关闭了Alerter,你可以安全地把它改为手动启动。 “Printer Spooler”(打印后台处理程序):如果你没有配置打印机,建议改为手动启动或干脆关闭它。 “Error Reporting Service”(错误报告):服务和应用程序在非标准环境下运行时提供错误报告。建议改为手动启动。 “Fast User Switching Compatibility”(快速用户切换兼容性):建议改为手动启动。 “Automatic Updates”(自动更新):这个功能前面已经讲过了,在这里可以改为手动启动。 “Net Logon”(网络注册):处理象注册信息那样的网络安全功能。你可以把它设改为手动启动。 “Network DDE和Network DDE DSDM”(动态数据交换):除非你准备在网上共享你的Office,否则你应该把它改为手动启动。注:这和在通常的商务设定中使用Office不同(如果你需要DDE,你就会知道)。 “NT LM Security Support”(NT LM安全支持提供商):在网络应用中提供安全保护。建议你把它改为手动启动。 “Remote Desktop Help Session Manager”(远程桌面帮助会话管理器):建议改为手动启动。 “Remote Registry”(远程注册表):使远程用户能修改此计算机上的注册表设置。建议改为手动启动。 “Task Scheduler”(任务调度程序):使用户能在此计算机上配置和制定自动任务的日程,它计划每星期的碎片整理等。 除非你实在太懒了,连在电脑上开一下都不想,建议改为手动启动。 “Uninterruptible Power Supply”(不间断电源):它管理你的UPS。如果你没有的话,把它改为手动启动或干脆关闭它。 “Windows Image Acquisition (WIA)”(Windows 图像获取 (WIA)):为扫描仪和照相机提供图像捕获,如果你没有这些设备,建议改为手动启动或干脆关闭它。Juven写的一段防注函数:'Sql注入判断Function isSQLInject(StrPara)'dim StrSQlInject'StrSQlInject=""isSQLInject=Falseif isNull(StrPara) then Exit FunctionSqlInject=split(Web_SqlInject,",")For i=0 to ubound(SqlInject)if Instr(lcase(StrPara),lcase(SqlInject(i)))<>0 then'StrSQlInject=StrSQlInject&SqlInject(i)isSQLInject=TrueExit Forend ifnextEnd Function其中,Web_SqlInject变量存放的是一些注入的命令:Const Web_SqlInject =""",',;,and,exec,insert,select,delete,update,count,*,%,chr,mid,asc,master,truncate,char,declare,net user,xp_cmdshell,/add,drop,from" 'SQL注入字符当然自己可以加以修饰,比如记录客户端注入时程序后台记录注入日志等等。