服务器2016 怎么关闭更新_win2000关闭域服务器校准时间

1.如何将 Windows 2000 域控制器升级到 Windows Server 2003

2.关于win2000域控制器改动IP地址后登录速度慢的问题！

3.windows2000 server应该关闭哪些不安全的端口？

4.win2000服务优缺点

5.win2000进入用户名登入界面时有问题！！

6.关于域服务器的问题

7.win2000 server重要漏洞?

一、软件篇

1、设定虚拟内存

硬盘中有一个很宠大的数据交换文件，它是系统预留给虚拟内存作暂存的地方，很多应用程序都经常会使用到，所以系统需要经常对主存储器作大量的数据存取，因此存取这个档案的速度便构成影响计算机快慢的非常重要因素！一般Windows预设的是由系统自行管理虚拟内存，它会因应不同程序所需而自动调校交换档的大小，但这样的变大缩小会给系统带来额外的负担，令系统运作变慢！有见及此，用户最好自定虚拟内存的最小值和最大值，避免经常变换大小。要设定虚拟内存，在“我的电脑”上按右键选择“属性”，在“高级”选项里的“效能”的对话框中，对“虚拟内存”进行设置。

3、检查应用软件或者驱动程序

有些程序在电脑系统启动会时使系统变慢。如果要是否是这方面的原因，我们可以从“安全模式”启动。因为这是原始启动，“安全模式”运行的要比正常运行时要慢。但是，如果你用“安全模式”启动发现电脑启动速度比正常启动时速度要快，那可能某个程序是导致系统启动速度变慢的原因。

4、桌面图标太多会惹祸

桌面上有太多图标也会降低系统启动速度。Windows每次启动并显示桌面时，都需要逐个查找桌面快捷方式的图标并加载它们，图标越多，所花费的时间当然就越多。同时有些杀毒软件提供了系统启动扫描功能，这将会耗费非常多的时间，其实如果你已经打开了杀毒软件的实时监视功能，那么启动时扫描系统就显得有些多余，还是将这项功能禁止吧！ 建议大家将不常用的桌面图标放到一个专门的文件夹中或者干脆删除！

5、ADSL导致的系统启动变慢

默认情况下Windows XP在启动时会对网卡等网络设备进行自检，如果发现网卡的IP地址等未配置好就会对其进行设置，这可能是导致系统启动变慢的真正原因。这时我们可以打开“本地连接”属性菜单，双击“常规”项中的“Internet协议”打开“TCP/IP属性”菜单。将网卡的IP地址配置为一个在公网（默认的网关是192.168.1.1）中尚未使用的数值如192.168.1.X，X取介于2~255之间的值，子网掩码设置为255.255.255.0，默认网关和DNS可取默认设置。

6、字体对速度的影响

虽然 微软 声称Windows操作系统可以安装1000～1500种字体，但实际上当你安装的字体超过500 种时，就会出现问题，比如：字体从应用程序的字体列表中消失以及Windows的启动速度大幅下降。在此建议最好将用不到或者不常用的字体删除，为避免删除后发生意外，可先进行必要的备份。

7、删除随机启动程序

何谓随机启动程序呢？随机启动程序就是在开机时加载的程序。随机启动程序不但拖慢开机时的速度，而且更快地消耗计算机以及内存，一般来说，如果想删除随机启动程序，可去“启动”清单中删除，但如果想详细些，例如是QQ、popkiller 之类的软件，是不能在“启动”清单中删除的，要去“附属应用程序”，然后去“系统工具”，再去“系统信息”，进去后，按上方工具列的“工具”，再按“系统组态编辑程序”，进去后，在“启动”的对话框中，就会详细列出在启动电脑时加载的随机启动程序了！XP系统你也可以在“运行”是输入Msconfig调用“系统配置实用程序”才终止系统随机启动程序，2000系统需要从XP中复制msconfig程序。

8、取消背景和关闭activedesktop

不知大家有否留意到，我们平时一直摆放在桌面上漂亮的背景，其实是很浪费计算机的！不但如此，而且还拖慢计算机在执行应用程序时的速度！本想美化桌面，但又拖慢计算机的速度，这样我们就需要不在使用背景了，方法是：在桌面上按鼠标右键，再按内容，然后在“背景”的对话框中，选“无”，在“外观”的对话框中，在桌面预设的青绿色，改为黑色......至于关闭activedesktop，即是叫你关闭从桌面上的web画面，例如在桌面上按鼠标右键，再按内容，然后在“背景”的对话框中，有一幅背景，名为Windows XX，那副就是web画面了！所以如何系统配置不高就不要开启。

10、把Windows变得更苗条

与DOS系统相比，Windows过于庞大，而且随着你每天的操作，安装新软件、加载运行库、添加新游戏等等使得它变得更加庞大，而更为重要的是变大的不仅仅是它的目录，还有它的 注册表 和运行库。因为即使删除了某个程序，可是它使用的DLL文件仍然会存在，因而随着使用日久，Windows的启动和退出时需要加载的DLL动态链接库文件越来越大，自然系统运行速度也就越来越慢了。这时我们就需要使用一些彻底删除DLL的程序，它们可以使Windows恢复苗条的身材。建议极品玩家们最好每隔两个月就重新安装一遍Windows，这很有效。

11、更改系统开机时间

虽然你已知道了如何新增和删除一些随机启动程序，但你又知不知道，在开机至到进入Windows的那段时间，计算机在做着什么呢？又或者是，执行着什么程序呢？那些程序，必定要全部载完才开始进入Windows，你有否想过，如果可删除一些不必要的开机时的程序，开机时的速度会否加快呢？答案是会的！想要修改，可按"开始"，选"执行"，然后键入win.ini，开启后，可以把以下各段落的内容删除，是删内容，千万不要连标题也删除！它们包括：[compatibility]、[compatibility32]、[imecompatibility]、[compatibility95]、[modulecompatibility]和[embedding]。

二、硬件篇

1、Windows系统自行关闭硬盘DMA模式

硬盘的DMA模式大家应该都知道吧，硬盘的PATA模式有DMA33、DMA66、DMA100和DMA133，最新的SATA-150都出来了！一般来说现在大多数人用的还是PATA模式的硬盘，硬盘使用DMA模式相比以前的PIO模式传输的速度要快2~8倍。DMA模式的起用对系统的性能起到了实质的作用。但是你知道吗？Windows 2000、XP、2003系统有时会自行关闭硬盘的DMA模式，自动改用PIO模式运行！这就造成在使用以上系统中硬盘性能突然下降，其中最明显的现象有：系统起动速度明显变慢，一般来说正常Windows XP系统启动时那个由左向右运动的滑条最多走2～4次系统就能启动，但这一问题发生时可能会走5～8次或更多！而且在运行系统时进行硬盘操作时明显感觉变慢，在运行一些大的软件时CPU占用率时常达到100%而产生停顿，玩一些大型3D游戏时画面时有明显停顿，出现以上问题时大家最好看看自己硬盘的DMA模式是不是被Windows 系统自行关闭了。查看自己的系统是否打开DMA模式：

a. 双击“管理工具”，然后双击“计算机管理”；

b. 单击“系统工具”，然后单击“设备管理器”；

c. 展开“IDE ATA/ATAPI 控制器”节点；

d. 双击您的“主要IDE控制器”；

2、CPU 和风扇是否正常运转并足够制冷

当CPU风扇转速变慢时，CPU本身的温度就会升高，为了保护CPU的安全，CPU就会自动降低运行频率，从而导致计算机运行速度变慢。有两个方法检测CPU的温度。你可以用“手指测法”用手指试一下处理器的温度是否烫手，但是要注意的是用这种方法必须先拔掉电源插头，然后接一根接地线来防止身上带的静电击穿CPU以至损坏。另一个比较科学的方法是用带感温器的万用表来检测处理器的温度。

因为处理器的种类和型号不同，合理温度也各不相同。但是总的来说，温度应该低于 110 度。如果你发现处理器的测试高于这处温度，检查一下机箱内的风扇是否正常运转。

3、USB和扫描仪造成的影响

由于Windows 启动时会对各个驱动器（包括光驱）进行检测，因此如果光驱中放置了光盘，也会延长电脑的启动时间。所以如果电脑安装了扫描仪等设备，或在启动时已经连接了USB硬盘，那么不妨试试先将它们断开，看看启动速度是不是有变化。一般来说，由于USB接口速度较慢，因此相应设备会对电脑启动速度有较明显的影响，应该尽量在启动后再连接USB设备。如果没有USB设备，那么建议直接在BIOS设置中将USB功能关闭。

4、是否使用了磁盘压缩

因为“磁盘压缩”可能会使电脑性能急剧下降，造成系统速度的变慢。所以这时你应该检测一下是否使用了“磁盘压缩”，具体操作是在“我的电脑”上点击鼠标右键，从弹出的菜单选择“属性”选项，来检查驱动器的属性。

5、网卡造成的影响

只要设置不当，网卡也会明显影响系统启动速度，你的电脑如果连接在局域网内，安装好网卡驱动程序后，默认情况下系统会自动通过DHCP来获得IP地址，但大多数公司的局域网并没有DHCP服务器，因此如果用户设置成“自动获得IP地址”，系统在启动时就会不断在网络中搜索DHCP 服务器，直到获得IP 地址或超时，自然就影响了启动时间，因此局域网用户最好为自己的电脑指定固定IP地址。

6、文件夹和打印机共享

安装了Windows XP专业版的电脑也会出现启动非常慢的时候，有些时候系统似乎给人死机的感觉，登录系统后，桌面也不出现，电脑就像停止反应，1分钟后才能正常使用。这是由于使用了Bootvis.exe 程序后，其中的Mrxsmb.dll文件为电脑启动添加了67秒的时间！

要解决这个问题，只要停止共享文件夹和打印机即可：选择“开始→设置→网络和拨号连接”，右击“本地连接”，选择“属性”，在打开的窗口中取消“此连接使用下列选定的组件”下的“ Microsoft 网络的文件和打印机共享”前的复选框，重启电脑即可。

7、系统配件配置不当

一些用户在组装机器时往往忽略一些小东西，从而造成计算机整体配件搭配不当，存在着速度上的瓶颈。比如有些朋友选的CPU档次很高，可声卡等却买了普通的便宜货，其实这样做往往是得不偿失。因为这样一来计算机在运行游戏、播放影碟时由于声卡占用CPU较高且其数据传输速度较慢，或者其根本无硬件解码而需要用软件解码方式，常常会引起声音的停顿，甚至导致程序的运行断断续续。又如有些朋友的机器是升了级的，过去老机器上的一些部件如内存条舍不得抛弃，装在新机器上照用，可是由于老内存的速度限制，往往使新机器必须降低速度来迁就它，从而降低了整机的性能，极大地影响了整体的运行速度。

9、断开不用的网络驱动器

为了消除或减少 Windows 必须重新建立的网络连接数目，建议将一些不需要使用的网络驱动器断开，也就是进入“我的电脑”，右击已经建立映射的网络驱动器，选择“断开”即可。

10、缺少足够的内存

Windows操作系统所带来的优点之一就是多线性、多任务，系统可以利用CPU来进行分时操作，以便你同时做许多事情。但事情有利自然有弊，多任务操作也会对你的机器提出更高的要求。朋友们都知道即使是一个最常用的WORD软件也要求最好有16MB左右的内存，而运行如3D MAX等大型软件时，64MB的内存也不够用。所以此时系统就会自动用硬盘空间来虚拟主内存，用于运行程序和储存交换文件以及各种临时文件。由于硬盘是机械结构，而内存是电子结构，它们两者之间的速度相差好几个数量级，因而使用硬盘来虚拟主内存将导致程序运行的速度大幅度降低。

11、硬盘空间不足

使用Windows系统平台的缺点之一就是对文件的管理不清楚，你有时根本就不知道这个文件对系统是否有用，因而Windows目录下的文件数目越来越多，容量也越来越庞大，加之现在的软件都喜欢越做越大，再加上一些系统产生的临时文件、交换文件，所有这些都会使得硬盘可用空间变小。当硬盘的可用空间小到一定程度时，就会造成系统的交换文件、临时文件缺乏可用空间，降低了系统的运行效率。更为重要的是由于我们平时频繁在硬盘上储存、删除各种软件，使得硬盘的可用空间变得支离破碎，因此系统在存储文件时常常没有按连续的顺序存放，这将导致系统存储和读取文件时频繁移动磁头，极大地降低了系统的运行速度。

12、硬盘分区太多也有错

如果你的Windows 2000没有升级到SP3或SP4，并且定义了太多的分区，那么也会使启动变得很漫长，甚至挂起。所以建议升级最新的SP4，同时最好不要为硬盘分太多的区。因为Windows 在启动时必须装载每个分区，随着分区数量的增多，完成此操作的时间总量也会不断增长。

三、篇

如果你的计算机感染了，那么系统的运行速度会大幅度变慢。入侵后，首先占领内存这个据点，然后便以此为根据地在内存中开始漫无休止地复制自己，随着它越来越庞大，很快就占用了系统大量的内存，导致正常程序运行时因缺少主内存而变慢，甚至不能启动；同时程序会迫使CPU转而执行无用的垃圾程序，使得系统始终处于忙碌状态，从而影响了正常程序的运行，导致计算机速度变慢。下面我们就介绍几种能使系统变慢的。

1、使系统变慢的bride

类型：黑客程序

发作时间：随机

传播方式：网络

感染对象：网络

警惕程度：★★★★

介绍：

此可以在Windows 2000、Windows XP等操作系统环境下正常运行。运行时会自动连接.hotmail网站，如果无法连接到此网站，则会休眠几分钟，然后修改注册表将自己加入注册表自启动项，会释放出四个体和一个有漏洞的邮件并通过邮件系统向外乱发邮件，还会释放出FUNLOVE感染局域网计算机，最后还会杀掉已知的几十家反软件，使这些反软件失效。

特征

如果用户发现计算机中有这些特征，则很有可能中了此。

·运行后会自动连接.hotmail网站。

·会释放出Bride.exe，Msconfig.exe，Regedit.exe三个文件到系统目录；释放出：Help.eml， Explorer.exe文件到桌面。

·会在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中加入Regedit.exe的路径。

·运行时会释放出一个FUNLOVE并将之执行，而FUNLOVE会在计算机中大量繁殖，造成系统变慢，网络阻塞。

·会寻找计算机中的邮件地址，然后按照地址向外大量发送标题为：<被感染的计算机机名>（例：如果用户的计算机名为：张冬， 则邮件的标题为：张冬）的邮件。

·还会杀掉几十家国外著名的反软件。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了Bride(Worm.bride)，请用户立刻用手中的杀毒软件进行清除。

2、使系统变慢的阿芙伦

类型：蠕虫

发作时间：随机

传播方式：网络/文件

感染对象：网络

警惕程度：★★★★

介绍：

此可以在Windows 9X、Windows NT、Windows 2000、Windows XP等操作系统环境下正常运行。运行时将自己复到到TEMP、SYSTEM、RECYCLED目录下，并随机生成文件名。该运行后，会使消耗大量的系统，使系统明显变慢，并且杀掉一些正在运行的反软件，建立四个线程在局域网中疯狂传播。

特征

如果用户发现计算机中有这些特征，则很有可能中了此：

·运行时会将自己复到到TEMP、SYSTEM、RECYCLED目录下，文件名随机

·运行时会使系统明显变慢

·会杀掉一些正在运行的反软件

·会修改注册表的自启动项进行自启动

·会建立四个线程在局域网中传播

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“阿芙伦（Worm.Avron）”，由于此没有固定的文件名，所以，最好还是选用杀毒软件进行清除。

3、恶性蠕虫 震荡波

名称: Worm.Sasser

中文名称: 震荡波

别名: W32/Sasser.worm [Mcafee]

类型: 蠕虫

受影响系统:WinNT/Win2000/WinXP/Win2003

感染症状:

·莫名其妙地死机或重新启动计算机；

·系统速度极慢，cpu占用100%；

·网络变慢；

·最重要的是，任务管理器里有一个叫"serve.exe"的进程在运行！

破坏方式：

·利用WINDOWS平台的 Lsass 漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统，堵塞网络。的攻击行为可让系统不停的倒计时重启。

·和最近出现的大部分蠕虫不同，该并不通过邮件传播，而是通过命令易受感染的机器

下载特定文件并运行，来达到感染的目的。

·文件名为：serve.exe

解决方案:

·请升级您的操作系统，免受攻击

·请打开个人防火墙屏蔽端口：445、5554和9996，防止名为serve.exe的程序访问网络

·手工解决方案：

首先，若系统为WinMe/WinXP，则请先关闭系统还原功能；

步骤一，使用进程程序管理器结束进程

右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到进程“serve.exe”，单击“结束进程按钮”，点击“是”，结束进程，然后关闭“Windows任务管理器”；

步骤二，查找并删除程序

通过“我的电脑”或“管理器”进入 系统安装目录（Winnt或windows)，找到文件“ser ve.exe”，将它删除;然后进入系统目录(Winntsystem32或windowssystem32)，找 到文件"*_up.exe"， 将它们删除；

步骤三，清除在注册表里添加的项

打开注册表编辑器: 点击开始——>运行， 输入REGEDIT， 按Enter；

在左边的面板中， 双击（按箭头顺序查找，找到后双击）：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

在右边的面板中， 找到并删除如下项目："serve.exe" = %SystemRoot%serve.exe

关闭注册表编辑器。

第二部份 系统加速

一、Windows 98

1、不要加载太多随机启动程序

不要在开机时载入太多不必要的随机启动程序。选择“开始→程序→附件→系统工具→系统信息→系统信息对话框”，然后，选择“工具→系统配置实用程序→启动”，只需要internat.exe前打上钩，其他项都可以不需要，选中后确定重起即可。

2、转换系统文件格式

将硬盘由FAT16转为FAT32。

3、不要轻易使用背景

不要使用ActiveDesktop，否则系统运行速度会因此减慢(右击屏幕→寻显示器属性→Web标签→将其中关于“活动桌面”和“频道”的选项全部取消)。

4、设置虚拟内存

自己设定虚拟内存为机器内存的3倍，例如：有32M的内存就设虚拟内存为96M，且最大值和最小值都一样(此设定可通过“控制面板→系统→性能→虚拟内存”来设置)。

5、一些优化设置

a、到控制面板中，选择“系统→性能→ 文件系统”。将硬盘标签的“计算机主要用途”改为网络服务器，“预读式优化"调到全速。

b、将“软盘”标签中“每次启动就搜寻新的软驱”取消。

c、CD-ROM中的“追加高速缓存”调至最大，访问方式选四倍速或更快的CD-ROM。

6、定期对系统进行整理

定期使用下列工具：磁盘扫描、磁盘清理、碎片整理、系统文件检查器(ASD)、Dr?Watson等。

二、Windows 2000

1、升级文件系统

a、如果你所用的操作系统是win 9x与win 2000双重启动的话，建议文件系统格式都用FAT32格式，这样一来可以节省硬盘空间，二来也可以9x与2000之间能实行共享。

提醒：要实现这样的双重启动，最好是先在纯DOS环境下安装完9x在C区，再在9x中或者用win 2000启动盘启动在DOS环境下安装2000在另一个区内，并且此区起码要有800M的空间以上

b、如果阁下只使用win 2000的话，建议将文件系统格式转化为NTFS格式，这样一来可节省硬盘空间，二来稳定性和运转速度更高，并且此文件系统格式有很好的纠错性；但这样一来，DOS和win 9x系统就不能在这文件系统格式中运行，这也是上面所说做双启动最好要用FAT32格式才能保证共享的原因。而且，某些应用程序也不能在此文件系统格式中运行，大多是DOS下的游戏类。

提醒：在win 2000下将文件系统升级为NTFS格式的方法是，点击“开始-程序-附件”选中“命令提示符”，然后在打开的提示符窗口输入"convert drive_letter:/fs:ntfs"，其中的"drive"是你所要升级的硬盘分区符号，如C区；还需要说明的是，升级文件系统，不会破坏所升级硬盘分区里的文件，无需要备份。

· 再运行“添加-删除程序”，就会看见多出了个“添加/删除 Windows 组件”的选项；

b、打开“文件夹选项”，在“查看”标签里选中“显示所有文件和文件夹”，此时在你安装win 2000下的区盘根目录下会出现Autoexec.bat和Config.sys两个文件，事实上这两个文件里面根本没有任何内容，可以将它们安全删除。

c、右击“我的电脑”，选中“管理”，在点“服务和应用程序”下的“服务”选项，会看见win 2000上加载的各个程序组见，其中有许多是关于局域网设置或其它一些功能的，你完全可以将你不使用的程序禁用；

如：Alertr，如果你不是处于局域网中，完全可以它设置为禁用；还有Fax Service，不发传真的设置成禁用；Print Spooler，没有打印机的设置成制用；Uninterruptible power Supply，没有UPS的也设置成禁用，这些加载程序你自己可以根据自己实际情况进行设置。

各个加载程序后面都有说明，以及运行状态；选中了要禁用的程序，右击它，选“属性”，然后单击停止，并将“启动类型”设置为“手动”或者“已禁用”就行了

d、关掉调试器Dr. Watson；

运行drwtsn32，把除了“转储全部线程上下文”之外的全都去掉。否则一旦有程序出错，硬盘会响很久，而且会占用很多空间。如果你以前遇到过这种情况，请查找user.dmp文件并删掉，可能会省掉几十兆的空间。这是出错程序的现场，对我们没用。另外蓝屏时出现的memory.dmp也可删掉。可在我的电脑/属性中关掉

如何将 Windows 2000 域控制器升级到 Windows Server 2003

一、软件篇

1、设定虚拟内存

硬盘中有一个很宠大的数据交换文件，它是系统预留给虚拟内存作暂存的地方，很多应用程序都经常会使用到，所以系统需要经常对主存储器作大量的数据存取，因此存取这个档案的速度便构成影响计算机快慢的非常重要因素！一般Windows预设的是由系统自行管理虚拟内存，它会因应不同程序所需而自动调校交换档的大小，但这样的变大缩小会给系统带来额外的负担，令系统运作变慢！有见及此，用户最好自定虚拟内存的最小值和最大值，避免经常变换大小。要设定虚拟内存，在“我的电脑”上按右键选择“属性”，在“高级”选项里的“效能”的对话框中，对“虚拟内存”进行设置。

3、检查应用软件或者驱动程序

有些程序在电脑系统启动会时使系统变慢。如果要是否是这方面的原因，我们可以从“安全模式”启动。因为这是原始启动，“安全模式”运行的要比正常运行时要慢。但是，如果你用“安全模式”启动发现电脑启动速度比正常启动时速度要快，那可能某个程序是导致系统启动速度变慢的原因。

4、桌面图标太多会惹祸

桌面上有太多图标也会降低系统启动速度。Windows每次启动并显示桌面时，都需要逐个查找桌面快捷方式的图标并加载它们，图标越多，所花费的时间当然就越多。同时有些杀毒软件提供了系统启动扫描功能，这将会耗费非常多的时间，其实如果你已经打开了杀毒软件的实时监视功能，那么启动时扫描系统就显得有些多余，还是将这项功能禁止吧！ 建议大家将不常用的桌面图标放到一个专门的文件夹中或者干脆删除！

5、ADSL导致的系统启动变慢

默认情况下Windows XP在启动时会对网卡等网络设备进行自检，如果发现网卡的IP地址等未配置好就会对其进行设置，这可能是导致系统启动变慢的真正原因。这时我们可以打开“本地连接”属性菜单，双击“常规”项中的“Internet协议”打开“TCP/IP属性”菜单。将网卡的IP地址配置为一个在公网（默认的网关是192.168.1.1）中尚未使用的数值如192.168.1.X，X取介于2~255之间的值，子网掩码设置为255.255.255.0，默认网关和DNS可取默认设置。

6、字体对速度的影响

虽然 微软 声称Windows操作系统可以安装1000～1500种字体，但实际上当你安装的字体超过500 种时，就会出现问题，比如：字体从应用程序的字体列表中消失以及Windows的启动速度大幅下降。在此建议最好将用不到或者不常用的字体删除，为避免删除后发生意外，可先进行必要的备份。

7、删除随机启动程序

何谓随机启动程序呢？随机启动程序就是在开机时加载的程序。随机启动程序不但拖慢开机时的速度，而且更快地消耗计算机以及内存，一般来说，如果想删除随机启动程序，可去“启动”清单中删除，但如果想详细些，例如是QQ、popkiller 之类的软件，是不能在“启动”清单中删除的，要去“附属应用程序”，然后去“系统工具”，再去“系统信息”，进去后，按上方工具列的“工具”，再按“系统组态编辑程序”，进去后，在“启动”的对话框中，就会详细列出在启动电脑时加载的随机启动程序了！XP系统你也可以在“运行”是输入Msconfig调用“系统配置实用程序”才终止系统随机启动程序，2000系统需要从XP中复制msconfig程序。

8、取消背景和关闭activedesktop

不知大家有否留意到，我们平时一直摆放在桌面上漂亮的背景，其实是很浪费计算机的！不但如此，而且还拖慢计算机在执行应用程序时的速度！本想美化桌面，但又拖慢计算机的速度，这样我们就需要不在使用背景了，方法是：在桌面上按鼠标右键，再按内容，然后在“背景”的对话框中，选“无”，在“外观”的对话框中，在桌面预设的青绿色，改为黑色......至于关闭activedesktop，即是叫你关闭从桌面上的web画面，例如在桌面上按鼠标右键，再按内容，然后在“背景”的对话框中，有一幅背景，名为Windows XX，那副就是web画面了！所以如何系统配置不高就不要开启。

10、把Windows变得更苗条

与DOS系统相比，Windows过于庞大，而且随着你每天的操作，安装新软件、加载运行库、添加新游戏等等使得它变得更加庞大，而更为重要的是变大的不仅仅是它的目录，还有它的 注册表 和运行库。因为即使删除了某个程序，可是它使用的DLL文件仍然会存在，因而随着使用日久，Windows的启动和退出时需要加载的DLL动态链接库文件越来越大，自然系统运行速度也就越来越慢了。这时我们就需要使用一些彻底删除DLL的程序，它们可以使Windows恢复苗条的身材。建议极品玩家们最好每隔两个月就重新安装一遍Windows，这很有效。

11、更改系统开机时间

虽然你已知道了如何新增和删除一些随机启动程序，但你又知不知道，在开机至到进入Windows的那段时间，计算机在做着什么呢？又或者是，执行着什么程序呢？那些程序，必定要全部载完才开始进入Windows，你有否想过，如果可删除一些不必要的开机时的程序，开机时的速度会否加快呢？答案是会的！想要修改，可按"开始"，选"执行"，然后键入win.ini，开启后，可以把以下各段落的内容删除，是删内容，千万不要连标题也删除！它们包括：[compatibility]、[compatibility32]、[imecompatibility]、[compatibility95]、[modulecompatibility]和[embedding]。

二、硬件篇

1、Windows系统自行关闭硬盘DMA模式

硬盘的DMA模式大家应该都知道吧，硬盘的PATA模式有DMA33、DMA66、DMA100和DMA133，最新的SATA-150都出来了！一般来说现在大多数人用的还是PATA模式的硬盘，硬盘使用DMA模式相比以前的PIO模式传输的速度要快2~8倍。DMA模式的起用对系统的性能起到了实质的作用。但是你知道吗？Windows 2000、XP、2003系统有时会自行关闭硬盘的DMA模式，自动改用PIO模式运行！这就造成在使用以上系统中硬盘性能突然下降，其中最明显的现象有：系统起动速度明显变慢，一般来说正常Windows XP系统启动时那个由左向右运动的滑条最多走2～4次系统就能启动，但这一问题发生时可能会走5～8次或更多！而且在运行系统时进行硬盘操作时明显感觉变慢，在运行一些大的软件时CPU占用率时常达到100%而产生停顿，玩一些大型3D游戏时画面时有明显停顿，出现以上问题时大家最好看看自己硬盘的DMA模式是不是被Windows 系统自行关闭了。查看自己的系统是否打开DMA模式：

a. 双击“管理工具”，然后双击“计算机管理”；

b. 单击“系统工具”，然后单击“设备管理器”；

c. 展开“IDE ATA/ATAPI 控制器”节点；

d. 双击您的“主要IDE控制器”；

2、CPU 和风扇是否正常运转并足够制冷

当CPU风扇转速变慢时，CPU本身的温度就会升高，为了保护CPU的安全，CPU就会自动降低运行频率，从而导致计算机运行速度变慢。有两个方法检测CPU的温度。你可以用“手指测法”用手指试一下处理器的温度是否烫手，但是要注意的是用这种方法必须先拔掉电源插头，然后接一根接地线来防止身上带的静电击穿CPU以至损坏。另一个比较科学的方法是用带感温器的万用表来检测处理器的温度。

因为处理器的种类和型号不同，合理温度也各不相同。但是总的来说，温度应该低于 110 度。如果你发现处理器的测试高于这处温度，检查一下机箱内的风扇是否正常运转。

3、USB和扫描仪造成的影响

由于Windows 启动时会对各个驱动器（包括光驱）进行检测，因此如果光驱中放置了光盘，也会延长电脑的启动时间。所以如果电脑安装了扫描仪等设备，或在启动时已经连接了USB硬盘，那么不妨试试先将它们断开，看看启动速度是不是有变化。一般来说，由于USB接口速度较慢，因此相应设备会对电脑启动速度有较明显的影响，应该尽量在启动后再连接USB设备。如果没有USB设备，那么建议直接在BIOS设置中将USB功能关闭。

4、是否使用了磁盘压缩

因为“磁盘压缩”可能会使电脑性能急剧下降，造成系统速度的变慢。所以这时你应该检测一下是否使用了“磁盘压缩”，具体操作是在“我的电脑”上点击鼠标右键，从弹出的菜单选择“属性”选项，来检查驱动器的属性。

5、网卡造成的影响

只要设置不当，网卡也会明显影响系统启动速度，你的电脑如果连接在局域网内，安装好网卡驱动程序后，默认情况下系统会自动通过DHCP来获得IP地址，但大多数公司的局域网并没有DHCP服务器，因此如果用户设置成“自动获得IP地址”，系统在启动时就会不断在网络中搜索DHCP 服务器，直到获得IP 地址或超时，自然就影响了启动时间，因此局域网用户最好为自己的电脑指定固定IP地址。

6、文件夹和打印机共享

安装了Windows XP专业版的电脑也会出现启动非常慢的时候，有些时候系统似乎给人死机的感觉，登录系统后，桌面也不出现，电脑就像停止反应，1分钟后才能正常使用。这是由于使用了Bootvis.exe 程序后，其中的Mrxsmb.dll文件为电脑启动添加了67秒的时间！

要解决这个问题，只要停止共享文件夹和打印机即可：选择“开始→设置→网络和拨号连接”，右击“本地连接”，选择“属性”，在打开的窗口中取消“此连接使用下列选定的组件”下的“ Microsoft 网络的文件和打印机共享”前的复选框，重启电脑即可。

7、系统配件配置不当

一些用户在组装机器时往往忽略一些小东西，从而造成计算机整体配件搭配不当，存在着速度上的瓶颈。比如有些朋友选的CPU档次很高，可声卡等却买了普通的便宜货，其实这样做往往是得不偿失。因为这样一来计算机在运行游戏、播放影碟时由于声卡占用CPU较高且其数据传输速度较慢，或者其根本无硬件解码而需要用软件解码方式，常常会引起声音的停顿，甚至导致程序的运行断断续续。又如有些朋友的机器是升了级的，过去老机器上的一些部件如内存条舍不得抛弃，装在新机器上照用，可是由于老内存的速度限制，往往使新机器必须降低速度来迁就它，从而降低了整机的性能，极大地影响了整体的运行速度。

9、断开不用的网络驱动器

为了消除或减少 Windows 必须重新建立的网络连接数目，建议将一些不需要使用的网络驱动器断开，也就是进入“我的电脑”，右击已经建立映射的网络驱动器，选择“断开”即可。

10、缺少足够的内存

Windows操作系统所带来的优点之一就是多线性、多任务，系统可以利用CPU来进行分时操作，以便你同时做许多事情。但事情有利自然有弊，多任务操作也会对你的机器提出更高的要求。朋友们都知道即使是一个最常用的WORD软件也要求最好有16MB左右的内存，而运行如3D MAX等大型软件时，64MB的内存也不够用。所以此时系统就会自动用硬盘空间来虚拟主内存，用于运行程序和储存交换文件以及各种临时文件。由于硬盘是机械结构，而内存是电子结构，它们两者之间的速度相差好几个数量级，因而使用硬盘来虚拟主内存将导致程序运行的速度大幅度降低。

11、硬盘空间不足

使用Windows系统平台的缺点之一就是对文件的管理不清楚，你有时根本就不知道这个文件对系统是否有用，因而Windows目录下的文件数目越来越多，容量也越来越庞大，加之现在的软件都喜欢越做越大，再加上一些系统产生的临时文件、交换文件，所有这些都会使得硬盘可用空间变小。当硬盘的可用空间小到一定程度时，就会造成系统的交换文件、临时文件缺乏可用空间，降低了系统的运行效率。更为重要的是由于我们平时频繁在硬盘上储存、删除各种软件，使得硬盘的可用空间变得支离破碎，因此系统在存储文件时常常没有按连续的顺序存放，这将导致系统存储和读取文件时频繁移动磁头，极大地降低了系统的运行速度。

12、硬盘分区太多也有错

如果你的Windows 2000没有升级到SP3或SP4，并且定义了太多的分区，那么也会使启动变得很漫长，甚至挂起。所以建议升级最新的SP4，同时最好不要为硬盘分太多的区。因为Windows 在启动时必须装载每个分区，随着分区数量的增多，完成此操作的时间总量也会不断增长。

三、篇

如果你的计算机感染了，那么系统的运行速度会大幅度变慢。入侵后，首先占领内存这个据点，然后便以此为根据地在内存中开始漫无休止地复制自己，随着它越来越庞大，很快就占用了系统大量的内存，导致正常程序运行时因缺少主内存而变慢，甚至不能启动；同时程序会迫使CPU转而执行无用的垃圾程序，使得系统始终处于忙碌状态，从而影响了正常程序的运行，导致计算机速度变慢。下面我们就介绍几种能使系统变慢的。

1、使系统变慢的bride

类型：黑客程序

发作时间：随机

传播方式：网络

感染对象：网络

警惕程度：★★★★

介绍：

此可以在Windows 2000、Windows XP等操作系统环境下正常运行。运行时会自动连接.hotmail网站，如果无法连接到此网站，则会休眠几分钟，然后修改注册表将自己加入注册表自启动项，会释放出四个体和一个有漏洞的邮件并通过邮件系统向外乱发邮件，还会释放出FUNLOVE感染局域网计算机，最后还会杀掉已知的几十家反软件，使这些反软件失效。

特征

如果用户发现计算机中有这些特征，则很有可能中了此。

·运行后会自动连接.hotmail网站。

·会释放出Bride.exe，Msconfig.exe，Regedit.exe三个文件到系统目录；释放出：Help.eml， Explorer.exe文件到桌面。

·会在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中加入Regedit.exe的路径。

·运行时会释放出一个FUNLOVE并将之执行，而FUNLOVE会在计算机中大量繁殖，造成系统变慢，网络阻塞。

·会寻找计算机中的邮件地址，然后按照地址向外大量发送标题为：<被感染的计算机机名>（例：如果用户的计算机名为：张冬， 则邮件的标题为：张冬）的邮件。

·还会杀掉几十家国外著名的反软件。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了Bride(Worm.bride)，请用户立刻用手中的杀毒软件进行清除。

2、使系统变慢的阿芙伦

类型：蠕虫

发作时间：随机

传播方式：网络/文件

感染对象：网络

警惕程度：★★★★

介绍：

此可以在Windows 9X、Windows NT、Windows 2000、Windows XP等操作系统环境下正常运行。运行时将自己复到到TEMP、SYSTEM、RECYCLED目录下，并随机生成文件名。该运行后，会使消耗大量的系统，使系统明显变慢，并且杀掉一些正在运行的反软件，建立四个线程在局域网中疯狂传播。

特征

如果用户发现计算机中有这些特征，则很有可能中了此：

·运行时会将自己复到到TEMP、SYSTEM、RECYCLED目录下，文件名随机

·运行时会使系统明显变慢

·会杀掉一些正在运行的反软件

·会修改注册表的自启动项进行自启动

·会建立四个线程在局域网中传播

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“阿芙伦（Worm.Avron）”，由于此没有固定的文件名，所以，最好还是选用杀毒软件进行清除。

3、恶性蠕虫 震荡波

名称: Worm.Sasser

中文名称: 震荡波

别名: W32/Sasser.worm [Mcafee]

类型: 蠕虫

受影响系统:WinNT/Win2000/WinXP/Win2003

感染症状:

·莫名其妙地死机或重新启动计算机；

·系统速度极慢，cpu占用100%；

·网络变慢；

·最重要的是，任务管理器里有一个叫"serve.exe"的进程在运行！

破坏方式：

·利用WINDOWS平台的 Lsass 漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统，堵塞网络。的攻击行为可让系统不停的倒计时重启。

·和最近出现的大部分蠕虫不同，该并不通过邮件传播，而是通过命令易受感染的机器

下载特定文件并运行，来达到感染的目的。

·文件名为：serve.exe

解决方案:

·请升级您的操作系统，免受攻击

·请打开个人防火墙屏蔽端口：445、5554和9996，防止名为serve.exe的程序访问网络

·手工解决方案：

首先，若系统为WinMe/WinXP，则请先关闭系统还原功能；

步骤一，使用进程程序管理器结束进程

右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到进程“serve.exe”，单击“结束进程按钮”，点击“是”，结束进程，然后关闭“Windows任务管理器”；

步骤二，查找并删除程序

通过“我的电脑”或“管理器”进入 系统安装目录（Winnt或windows)，找到文件“ser ve.exe”，将它删除;然后进入系统目录(Winntsystem32或windowssystem32)，找 到文件"*_up.exe"， 将它们删除；

步骤三，清除在注册表里添加的项

打开注册表编辑器: 点击开始——>运行， 输入REGEDIT， 按Enter；

在左边的面板中， 双击（按箭头顺序查找，找到后双击）：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

在右边的面板中， 找到并删除如下项目："serve.exe" = %SystemRoot%serve.exe

关闭注册表编辑器。

第二部份 系统加速

一、Windows 98

1、不要加载太多随机启动程序

不要在开机时载入太多不必要的随机启动程序。选择“开始→程序→附件→系统工具→系统信息→系统信息对话框”，然后，选择“工具→系统配置实用程序→启动”，只需要internat.exe前打上钩，其他项都可以不需要，选中后确定重起即可。

2、转换系统文件格式

将硬盘由FAT16转为FAT32。

3、不要轻易使用背景

不要使用ActiveDesktop，否则系统运行速度会因此减慢(右击屏幕→寻显示器属性→Web标签→将其中关于“活动桌面”和“频道”的选项全部取消)。

4、设置虚拟内存

自己设定虚拟内存为机器内存的3倍，例如：有32M的内存就设虚拟内存为96M，且最大值和最小值都一样(此设定可通过“控制面板→系统→性能→虚拟内存”来设置)。

5、一些优化设置

a、到控制面板中，选择“系统→性能→ 文件系统”。将硬盘标签的“计算机主要用途”改为网络服务器，“预读式优化"调到全速。

b、将“软盘”标签中“每次启动就搜寻新的软驱”取消。

c、CD-ROM中的“追加高速缓存”调至最大，访问方式选四倍速或更快的CD-ROM。

6、定期对系统进行整理

定期使用下列工具：磁盘扫描、磁盘清理、碎片整理、系统文件检查器(ASD)、Dr?Watson等。

二、Windows 2000

1、升级文件系统

a、如果你所用的操作系统是win 9x与win 2000双重启动的话，建议文件系统格式都用FAT32格式，这样一来可以节省硬盘空间，二来也可以9x与2000之间能实行共享。

提醒：要实现这样的双重启动，最好是先在纯DOS环境下安装完9x在C区，再在9x中或者用win 2000启动盘启动在DOS环境下安装2000在另一个区内，并且此区起码要有800M的空间以上

b、如果阁下只使用win 2000的话，建议将文件系统格式转化为NTFS格式，这样一来可节省硬盘空间，二来稳定性和运转速度更高，并且此文件系统格式有很好的纠错性；但这样一来，DOS和win 9x系统就不能在这文件系统格式中运行，这也是上面所说做双启动最好要用FAT32格式才能保证共享的原因。而且，某些应用程序也不能在此文件系统格式中运行，大多是DOS下的游戏类。

提醒：在win 2000下将文件系统升级为NTFS格式的方法是，点击“开始-程序-附件”选中“命令提示符”，然后在打开的提示符窗口输入"convert drive_letter:/fs:ntfs"，其中的"drive"是你所要升级的硬盘分区符号，如C区；还需要说明的是，升级文件系统，不会破坏所升级硬盘分区里的文件，无需要备份。

· 再运行“添加-删除程序”，就会看见多出了个“添加/删除 Windows 组件”的选项；

b、打开“文件夹选项”，在“查看”标签里选中“显示所有文件和文件夹”，此时在你安装win 2000下的区盘根目录下会出现Autoexec.bat和Config.sys两个文件，事实上这两个文件里面根本没有任何内容，可以将它们安全删除。

c、右击“我的电脑”，选中“管理”，在点“服务和应用程序”下的“服务”选项，会看见win 2000上加载的各个程序组见，其中有许多是关于局域网设置或其它一些功能的，你完全可以将你不使用的程序禁用；

如：Alertr，如果你不是处于局域网中，完全可以它设置为禁用；还有Fax Service，不发传真的设置成禁用；Print Spooler，没有打印机的设置成制用；Uninterruptible power Supply，没有UPS的也设置成禁用，这些加载程序你自己可以根据自己实际情况进行设置。

各个加载程序后面都有说明，以及运行状态；选中了要禁用的程序，右击它，选“属性”，然后单击停止，并将“启动类型”设置为“手动”或者“已禁用”就行了

d、关掉调试器Dr. Watson；

运行drwtsn32，把除了“转储全部线程上下文”之外的全都去掉。否则一旦有程序出错，硬盘会响很久，而且会占用很多空间。如果你以前遇到过这种情况，请查找user.dmp文件并删掉，可能会省掉几十兆的空间。这是出错程序的现场，对我们没用。另外蓝屏时出现的memory.dmp也可删掉。可在我的电脑/属性中关掉

关于win2000域控制器改动IP地址后登录速度慢的问题！

在将 Windows 2000 域控制器升级到 Windows Server 2003 之前，或者在将新的 Windows Server 2003 域控制器添加到 Windows 2000 域中之前，请按照下列步骤操作：

清点访问承载 Windows Server 2003 域控制器的域中的的客户端，以确定它们是否与 SMB 签名兼容：

每个 Windows Server 2003 域控制器均在其本地安全策略中启用了 SMB 签名。确保使用 SMB/CIFS 协议访问承载Windows Server 2003 域控制器的域中的共享文件和打印机的所有网络客户端都可以配置或升级为支持 SMB 签名。如果无法配置或升级它们，请暂时禁用 SMB 签名，直到可以安装更新或者客户端可以升级到支持 SMB 签名的更新操作系统为止。有关如何禁用 SMB 签名的信息，请参阅本步骤结尾的“禁用 SMB 签名”部分。

操作

下面的列表显示了常用 SMB 客户端的操作：禁用 SMB 签名

如果软件更新无法安装在运行 Windows 95、Windows NT 4.0 的受影响的域控制器上，或者无法安装在引入Windows Server 2003 之前安装的其他客户端上，请暂时禁用“组策略”中的 SMB 服务签名要求，直至可以部署更新的客户端软件为止。

在域控制器组织单元的“默认域控制器”策略的以下节点中可以禁用 SMB 服务签名：

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft Network Server: 数字签名的通信(总是)

如果域控制器不位于域控制器的组织单元中，则必须将默认域控制器的组策略对象 (GPO) 链接到所有承载Windows 2000 或 Windows Server 2003 域控制器的组织单元。或者，可以在链接到那些组织单元的 GPO 中配置 SMB 服务签名。

Microsoft Windows Server 2003、Microsoft Windows XP Professional、Microsoft Windows 2000Server、Microsoft Windows 2000 Professional 和 Microsoft Windows 98

不需要执行任何操作。

Microsoft Windows NT 4.0

对于所有基于 Windows NT 4.0 的计算机，如果它们要访问包含有基于 Windows Server 2003 的计算机的域，请安装 Service Pack 3 或更高版本（建议安装 Service Pack 6A）。或者，暂时在 Windows Server 2003 域控制器上禁用 SMB 签名。有关如何禁用 SMB 签名的信息，请参阅本步骤结尾的“禁用 SMB 签名”部分。

Microsoft Windows 95

在基于 Windows 95 的计算机上安装 Windows 9x 目录服务客户端，或者暂时在 Windows Server 2003 域控制器上禁用 SMB 签名。原始的 Win9x 目录服务客户端在 Windows 2000 Server CD-ROM 上提供。但是，该客户端加载项已经由经过改进的 Win9x 目录服务客户端所取代。有关如何禁用 SMB 签名的信息，请参阅本步骤结尾的“禁用 SMB 签名”部分。

Microsoft Network Client for MS-DOS 和 Microsoft LAN Manager 客户端

Microsoft Network Client for MS-DOS 和 Microsoft LAN Manager 2.x 网络客户端可用来提供对网络的访问，它们也可以与可启动软盘结合起来使用，作为软件安装例程的一部分复制文件服务器上的共享目录中的操作系统文件和其他文件。这些客户端不支持 SMB 签名。请使用其他安装方法或者禁用 SMB 签名。有关如何禁用 SMB 签名的信息，请参阅本步骤结尾的“禁用 SMB 签名”部分。

Macintosh 客户端

某些 Macintosh 客户端与 SMB 签名不兼容，它们在尝试连接到网络时将收到以下错误消息：

- Error -36 I/O

请安装更新后的软件（如果已提供）。否则，请在 Windows Server 2003 域控制器上禁用 SMB 签名。有关如何禁用 SMB 签名的信息，请参阅本步骤结尾的“禁用 SMB 签名”部分。

其他第三方 SMB 客户端

某些第三方 SMB 客户端不支持 SMB 签名。请向您的 SMB 提供商咨询以了解是否存在更新的版本。否则，请在 Windows Server 2003 域控制器上禁用 SMB 签名。

清点域和林中的域控制器：

注意：域控制器的属性不分别跟踪每个修补程序的安装。

验证整个林中的端到端 Active Directory 复制。

验证已升级的林中的每个域控制器是否始终按照站点链接或连接对象所定义的日程表复制它在本地控制的所有命名上下文及其伙伴。在林中的基于 Windows XP 或 Windows Server 2003 的成员计算机上带以下参数使用 Windows Server 2003 版本的 Repadmin.exe：

REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA <-output formatted to fit on pageDestDC largest delta fails/total %% errorNA-DC-01 13d.21h:10m:10s / 143 67 (8240) There is no such object...NA-DC-02 13d.04h:11m:07s 180 / 763 23 (8524) The DSA operation...NA-DC-03 12d.03h:54m:41s 5 / 5 100 (8524) The DSA operation...

林中的所有域控制器必须安全地复制 Active Directory，并且 repadmin 输出中“Largest Delta”一列中的值不应明显大于给定目标域控制器所使用的对应站点链接或连接对象上的复制频率。

解决未能在少于 Tombstone 生存时间 (TSL) 的天数（默认为 60 天）进行入站复制的域控制器之间的所有复制错误。如果无法使复制起作用，您可能需要强制性地使域控制器降级并使用 Ntdsutil 元数据清除命令从林中将它们删除，然后将它们重新提升到林中。可以使用强制性降级的方法来保存操作系统安装和孤立的域控制器上的程序。 有关如何从域中删除孤立的 Windows 2000 域控制器的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

216498域控制器降级失败后如何删除 Active Directory 中的数据

只有在没有其他办法时，才应取此操作来恢复操作系统的安装和已安装的程序。您将失去孤立的域控制器上未复制的对象和属性，包括用户、计算机、信任关系、它们的密码、组和组成员关系。

在尝试解决域控制器（未在大于 tombstonelifetime 的天数内复制某个特定 Active Directory 分区的入站更改）上的复制错误时，一定要小心。进行该操作时，您可能会恢复在一个域控制器上已经删除的对象，但对于这些对象，直接的或可传递的复制伙伴从未在前 60 天内收到该删除。

考虑删除驻留在尚未在前 60 天内执行入站复制的域控制器上的所有延迟对象。或者，可以强制性地使在 tombstone 生存时间天数内未执行给定分区上的任何入站复制的域控制器降级，并使用 Ntdsutil 和其他实用工具从 Active Directory 林中删除它们其余的元数据。请与您的支持提供商或 Microsoft PSS 联系以获取其他帮助。

验证 Sysvol 共享的内容是否一致。

验证组策略的文件系统部分是否一致。可以使用工具包中的 Gpotool.exe 确定整个域的策略是否存在不一致。使用 Windows Server 2003 支持工具中的 Healthcheck 确定 Sysvol 共享副本集在每个域中是否正常运行。

如果 Sysvol 共享的内容不一致，请解决所有的不一致。

使用支持工具中的 Dcdiag.exe 验证所有域控制器是否具有共享的 Netlogon 和 Sysvol 共享。为此，请在命令提示符处键入以下命令：

DCDI.EXE /e /test:frssysvol

清点操作角色。

架构和结构操作主机用于将林范围和域范围的架构更改引入到林及其由 Windows Server 2003 adprep 实用工具创建的域中。验证承载林中每个域的架构角色和结构角色的域控制器是否驻留在活动域控制器上，并验证每个角色所有者是否已经在所有分区上一次重新启动后执行了这些分区上的入站复制。

DCDI /test:FSMOCHECK 命令可用于查看林范围和域范围的操作角色。应通过使用 NTDSUTIL 将驻留在不存在的域控制器上的操作主机角色获取至正常的域控制器上。如果可能，应当转移驻留在不正常域控制器上的角色。否则，应获取它们。NETDOM QUERY FSMO 命令不标识驻留在已删除的域控制器上的 FSMO 角色。

验证架构主机和每个结构主机是否已在上一次启动后执行了 Active Directory 的入站复制。可以使用REPADMIN /SHOWREPS DCNAME 命令来验证入站复制，其中 DCNAME 是 NetBIOS 计算机名称或域控制器的完全限定计算机名称。有关操作主机及其位置的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

1132Windows 2000 Active Directory FSMO 角色

223346 在 Active Directory 域控制器上放置和优化 FSMO

日志查看

检查所有域控制器的日志，查找有问题的。日志中绝对不能包含指示以下任何一个过程和组件有问题的严重消息：

承载 Active Directory 数据库文件 Ntds.dit 的卷上的可用空间必须至少等于 Ntds.dit 文件大小的 15-20%。承载 Active Directory 日志文件的卷上的可用空间也必须至少等于 Ntds.dit 文件大小的 15-20%。有关如何释放更多磁盘空间的其他信息，请参阅本文的“磁盘空间不足的域控制器”部分。

DNS 清理（可选）

以 7 天为间隔为林中的所有 DNS 服务器启用 DNS 清理。为了取得最佳效果，请在进行操作系统升级前的 61 天或更早执行此操作。这样，在对 Ntds.dit 文件执行脱机碎片整理时，就可以为 DNS 清理后台驻留程序提供足够的时间对过期的 DNS 对象进行垃圾回收。

禁用 DLT Server 服务（可选）

DLT Server 服务在 Windows Server 2003 域控制器的新安装和升级安装上禁用。如果未使用分布式链接跟踪，则可在 Windows 2000 域控制器上禁用 DLT Server 服务并开始从林中的每个域中删除 DLT 对象。有关其他信息，请参阅以下 Microsoft 知识库文章中的“Microsoft 对分布式链接跟踪的建议”部分：

312403 基于 Windows 的域控制器上的分布式链接跟踪

系统状态备份

为林中每个域中的至少两个域控制器创建一个系统状态备份。如果升级无效，则可使用该备份来恢复林中的所有域。

Windows 2000 林中的 Microsoft Exchange 2000

注意：

如果 Exchange 2000 Server 已安装或者将要安装到 Windows 2000 林中，请先阅读本部分内容，然后再运行Windows Server 2003 adprep /forestprep 命令。

如果将要安装 Microsoft Exchange Server 2003 架构更改，请先阅读“概述：将 Windows 2000 域控制器升级到Windows Server 2003”这一部分，然后再运行 Windows Server 2003 adprep 命令。

Exchange 2000 架构定义了三个具有不符合请求注释 (RFC) 的 LDAPDisplayName 的 inetOrgPerson 属性：houseIdentifier、secretary 和 labeledURI。

Windows 2000 inetOrgPerson Kit 和 Windows Server 2003 adprep 命令定义了三个符合 RFC 版本且具有相同 LDAPDisplayName 的属性，它们与不符合 RFC 版本的属性相同。

当 Windows Server 2003 adprep /forestprep 命令在没有纠正脚本的情况下在包含 Windows 2000 和 Exchange 2000架构更改的林中运行时，houseIdentifier、labeledURI 和 secretary 属性的 LDAPDisplayName 会变得错位。如果“Dup”或其他唯一的字符添加到冲突属性名的开头以使目录中的对象和属性具有唯一名称，则属性会变得“错位”。

在下列情况下，Active Directory 林中不容易出现这些属性的错位 LDAPDisplayName：

如果在添加 Exchange 2000 架构之前在包含 Windows 2000 架构的林中运行 Windows Server 2003 adprep /forestprep 命令。

如果在创建的林中将 Exchange 2000 架构安装到 Windows Server 2003 域控制器是该林中的首个域控制器的位置。

如果将 Windows 2000 inetOrgPerson Kit 添加到包含 Windows 2000 架构的林中，接着安装 Exchange 2000 架构更改，然后运行 Windows Server 2003 adprep /forestprep 命令。

如果将 Exchange 2000 架构添加到现有的 Windows 2000 林中，然后在运行 Windows Server 2003 adprep /forestprep 命令之前运行 Exchange 2003 /forestprep。

在下列情况下，错位的属性将出现在 Windows 2000 中：

如果在安装 Windows 2000 inetOrgPerson Kit 之前将 Exchange 2000 版本的 labeledURI、houseIdentifier 和secretary 属性添加到 Windows 2000 林中。

您在运行 Windows Server 2003 adprep /forestprep 命令而未首先运行清理脚本之前，将 Exchange 2000 版本的labeledURI、houseIdentifier 和 secretary 属性添加到 Windows 2000 林中。

以下每种情形的操作：

情形 1：在您运行 Windows Server 2003 adprep /forestprep 命令之后添加了 Exchange 2000 架构更改

如果 Exchange 2000 架构更改将要在运行 Windows Server 2003 adprep /forestprep 命令以后引入到 Windows 2000林中，则不需要进行清理。请转到“概述：将 Windows 2000 域控制器升级到 Windows Server 2003”部分。

情形 2：将在运行 Windows Server 2003 adprep /forestprep 命令之前安装 Exchange 2000 架构更改

如果已经安装了 Exchange 2000 架构更改，但尚未运行 Windows Server 2003 adprep /forestprep 命令，请考虑以下操作：

使用作为 Schema Admins 安全组成员的帐户登录架构操作主机的控制台。

依次单击“开始”和“运行”，在“打开”框中键入 notepad.exe，然后单击“确定”。

将以下文本（包括“schemaUpdateNow: 1”后的尾部连字符）复制到记事本中。

确认每行的末尾没有空格。

在“文件”菜单上，单击“保存”。在“另存为”对话框中，按照下列步骤操作：

在“文件名”框中，键入以下内容：

\%userprofile%\InetOrgPersonPrevent.ldf

在“保存类型”框中，单击“所有文件”。

在“编码”框中，单击“Unicode”。

单击“保存”。

退出记事本。

运行 InetOrgPersonPrevent.ldf 脚本。

DC=X 是一个区分大小写的常量。

根域的域名路径必须要用引号引起来。

依次单击“开始”和“运行”，在“打开”框中键入 cmd，然后单击“确定”。

在命令提示符处键入以下命令，然后按 Enter：

cd %userprofile%

键入下面的命令

c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "<林根域的域名路径>"

语法注释：例如，林根域为 TAILSPINTOYS.COM 的 Active Directory 林的命令语法将为：

c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"

注意：如果收到以下错误消息，则可能需要更改

Schema Update Allowed

注册表子项：

Schema update is not allowed on this DC because the registry key is not set or the DC is not the schema FSMO Role Owner.

有关如何更改此注册表子项的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

285172架构更新需要 Active Directory 中的架构的写权限

在运行 Windows Server 2003 adprep /forestprep 命令之前，验证架构命名上下文中的 CN=ms-Exch-Assistant-Name、CN=ms-Exch-LabeledURI 和 CN=ms-Exch-House-Identifier 属性的 LDAPDisplayName 现在是否分别显示为 msExchAssistantName、msExchLabeledURI 和 msExchHouseIdentifier。

请转到“概述：将 Windows 2000 域控制器升级到 Windows Server 2003”部分以运行 adprep /forestprep 和/domainprep 命令。

情形 3：在未先运行 inetOrgPersonFix 的情况下运行了 Windows Server 2003 forestprep 命令

如果在包含 Exchange 2000 架构更改的 Windows 2000 林中运行 Windows Server 2003 adprep /forestprep 命令，则houseIdentifier、secretary 和 labeledURI 的 LDAPDisplayName 属性将会错位。要识别错位的名称，请使用 Ldp.exe 查找受影响的属性：

从 Microsoft Windows 2000 或 Windows Server 2003 介质的 Support\Tools 文件夹中安装 Ldp.exe。

从林中的域控制器或成员计算机启动 Ldp.exe。

在“连接”菜单上，单击“连接”，将“服务器”框留空，在“端口”框中键入 389，然后单击“确定”。

在“连接”菜单上，单击“绑定”，将所有框留空，然后单击“确定”。

记下 SchemaNamingContext 属性的可分辨名称路径。例如，对于 CORP.ADATUM.COM 林中的域控制器，可分辨名称路径可能是 CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com。

在“浏览”菜单上，单击“搜索”。

使用下列设置配置“搜索”对话框：

“基位置 DN”：在步骤 3 中确定的架构命名上下文的可分辨名称路径。

“筛选器”：(ldapdisplayname=dup*)

“作用域”：子树

错位的 houseIdentifier、secretary 和 labeledURI 属性的 LDAPDisplayName 属性类似于以下格式：

LDAPDisplayName:DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;

LDAPDisplayName:DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f

LDAPDisplayName:DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef

如果 labeledURI、secretary 和 houseIdentifier 的 LDAPDisplayName 在步骤 6 中错位，请运行 Windows Server 2003 InetOrgPersonFix.ldf 脚本进行恢复，然后请转到“使用 Winnt32.exe 升级 Windows 2000 域控制器”部分。

DC=X 是一个区分大小写的常量。

林根域的域名路径必须要用引号引起来。

创建一个名为 %Systemdrive%\IOP 的文件夹，然后将 InetOrgPersonFix.ldf 文件解压缩到此文件夹中。

在命令提示符处，键入 cd %systemdrive%\iop。

从位于 Windows Server 2003 安装介质的 Support\Tools 文件夹中的 Support.cab 文件中解压缩 InetOrgPersonFix.ldf 文件。

从架构操作主机的控制台，使用 Ldifde.exe 加载 InetOrgPersonFix.ldf 文件，以更正houseIdentifier、secretary 和 labeledURI 属性的 LdapDisplayName 属性。为此，请键入以下命令，其中 <X> 是一个区分大小写的常量，<dn path for forest root domain> 是林的根域的域名路径：

C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "<林根域的域名路径>"

语法注释：

在安装 Exchange 2000 之前，验证架构命名上下文中的 houseIdentifier、secretary 和 labeledURI 属性是否没有“错位”。

windows2000 server应该关闭哪些不安全的端口？

楼上朋友请不要胡乱指点。

更改IP后确实会出现登陆速度比较慢的原因，原因在于client在通过query查询SRV记录和A记录的时候更本无法找到DC，所以会出现这样的问题，更改IP后的解决方法如下：

1.重新更改IP后，将client的TCP/IP属性中的DNS更改为新的IP地址

2.在域控制器上重新注册SRV记录

打开命令行输入以下命令：

net stop dns

net start dns

net stop netlogon

net start netlogon

完成操作后既可！不用重新退出域再加入。

更多疑问可以登陆://bbs.mstc.cn 获取答案

win2000服务优缺点

Windows2000安全配置教程

Windows2000绝版安全配置教程：前段时间，中美网络大战，我看了一些被黑的服务器，发现绝大部分被黑的服务器都是Nt/win2000的机器，真是惨不忍睹。Windows2000 真的那么不安全么？其实，Windows2000 含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000将会是一个很安全的操作系统。我抽空翻了一些网站，翻译加凑数的整理了一篇checklist出来。希望对win2000管理员有些帮助。本文并没有什么高深的东西，所谓的清单，也并不完善，很多东西要等以后慢慢加了，希望能给管理员作一参考。

具体清单如下：

初级安全篇

1.物理安全

服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

2.停掉Guest 帐号

在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。

3．限制不必要的用户数量

去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机1个帐户中竟然有180个帐号都是弱口令帐户。

4．创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。

5．把系统administrator帐号改名

大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。

6．创建一个陷阱帐号

什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！

7.把共享文件的权限从”everyone”组改成“授权用户”

“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。

8.使用安全密码

一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。

9.设置屏幕保护密码

很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。

10． 使用NTFS格式分区

把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。

11．运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级库

12．保障备份盘的安全

一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。

中级安全篇：

1．利用win2000的安全配置工具来配置策略

微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页： ://.microsoft/windows2000/techinfo/howitworks/security/sctoolset.asp

2．关闭不必要的服务

windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

3．关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

4．打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

策略 设置

审核系统登陆 成功，失败

审核帐户管理 成功，失败

审核登陆 成功，失败

审核对象访问 成功

审核策略更改 成功，失败

审核特权使用 成功，失败

审核系统 成功，失败

5.开启密码密码策略

策略 设置

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5 次

强制密码历史 42 天

6．开启帐户策略

策略 设置

复位帐户锁定计数器 20分钟

帐户锁定时间 20分钟

帐户锁定阈值 3次

7．设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。

8．把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

9.不让系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

把 REG_SZ 的键值改成 1 .

10．禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

10.到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。

高级篇

1. 关闭 DirectDraw

这是C2级安全标准对卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&?），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。

2.关闭默认共享

win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录 路径和功能

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

和Backup Operators组成员才可连接，Win2000 Server版本

Server Operatros组也可以连接到这些共享目录

ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都

指向Win2000的安装路径，比如 c:\winnt

FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。

IPC$ 空连接。IPC$共享提供了登录到系统的能力。

NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处

理登陆域请求时用到

PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

3.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。

4.使用文件加密系统EFS

Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 ://.microsoft/windows2000/techinfo/howitworks/security/encrypt.asp

5.加密temp文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6.锁住注册表

在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考： ://support.microsoft/support/kb/articles/Q153/1/83.asp

7.关机时清除掉页面文件

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把ClearPageFileAtShutdown的值设置成1。

8.禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。.jz5u

9.考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10.考虑使用IPSec

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

win2000进入用户名登入界面时有问题！！

WINDOWS 2000 Professional系统功能服务、网络服务、功能扩展服务详解

注：文中所述之启动即指状态启动，启动类别自动；停止指启动类别的手动或禁用（根据实际情况选择，一般而言，对于不涉及安全问题的，手动即可）

1.Alerter

Alerter(警报器)。将系统上发生的与管理有关的以警示信息传送至网络上指定的电脑或用户，例如当发生打印错误或硬盘即将写满等，即由该服务负责收集、送出。该服务进程名为Services.exe(即启动这个服务后在的后台运行的进程名称，可以通过任务管理器查看到，如图3所示)。

依存关系：Workstation

建议：一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts)，除非你的计算机用在局域网络上，停止。

2.Application Management

AppMgmt(应用程序管理服务)。提供软件安装服务，如分派、发行以及删除。该服务进程名为Svchost.exe。

依存关系：无

建议：启动。

3.Automatic Updates

Wuauserv(自动更新服务)。从Windows Update启用Windows更新的下载和安装。该服务进程名为Svchost.exe。

依存关系：无

建议：启动。

4.Background Intelligent Transfer Service

BITS(后台智能传输服务)。使用空闲的网络带宽传输数据。当网络切断或计算机需要重新启动时，该服务会自动对文件传输加以维护，当网络重新连接时，该服务将从停止的地方继续开始传输文件。该服务进程名为Svchost.exe。

依存关系：Remote Procedure Call(RPC)和 Workstation

建议：该服务的应用即是实现支持Windows自动更新时的断点续传，根据Automatic Updates服务的具体情况，启动。

5.ClipBook

ClipSrv(剪贴簿)。启用“剪贴簿查看器”储存信息并实现与远程计算机共享。该服务进程名为Clipsrv.exe。

依存关系：Network DDE

建议：该服务对于一般家用计算机根本涉及不到，可以根据具体情况，停止。

6.COM+ Event System

EventSystem(COM+系统服务)。支持系统通知服务(SENS)，此服务为订阅组件对象模型(COM)组件提供自动分布功能。该服务进程名为Svchost.exe。

依存关系：Remote Procedure Call(RPC)和System Event Notification

建议：有些程序可能用到COM+ 组件，像BootVis的Optimize system应用，根据具体情况，启动。

7.Computer Browser

Browser(计算机浏览器服务)。维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。该服务进程名为Svchost.exe。

依存关系：Server 和 Workstation

建议：一般家用计算机涉及不到，除非你的计算机位于局域网内，停止。

8.DHCP Client

Dhcp(DHCP客户端服务)。通过注册和更改IP地址以及DNS名称来管理网络配置。简单地讲，DHCP就是由网络中的一台主机将所有的网络参数自动分配给网络内的任何一如计算机，而DHCP客户端就是网络中被分配网络参数的对象计算机。该服务进程名为Svchost.exe。

依存关系：AFD网络支持环境、SYMTDI、TCP/IP Protocol Driver和NetBIOS over TCP/IP

建议：如果你的机器能在网络中被自动分配IP地址等参数，停止。对于家庭用户来讲，只要是使用DSL/Cable上网，开启ICS和IPSEC服务的，都需要这个服务来指定静态IP，启动。

9.Distributed Link Tracking Client

TrkWks(分布式连结追踪客户端服务)。在计算机内NTFS文件之间保持链接或在网络域中的计算机之间保持链接。该服务进程名为Svchost.exe。

依存关系：Remote Procedure Call(RPC)

建议：对于不在局域网中的用户，停止。

10.Distributed Transaction Coordinator

MSDTC(分布式交易协调器)。协调跨多个数据库、消息队列、文件系统等管理器的事务。该服务的进程名为Msdtc.exe。

依存关系：Remote Procedure Call(RPC)和Security Accounts Manager

建议：一般家用计算机涉及不到，除非你启用Message Queuing服务，停止。

11.DNS Client

Dnscache(DNS 客户端服务)。为此计算机解析和缓冲域名系统(DNS)名称。该服务进程名为Svchost.exe。

依存关系：TCP/IP Protocol Driver

建议：事实上，一个网站并不是只有一台服务器在工作，基于安全性考虑，停止。

12.Event Log

EventLog(系统记录服务)。启用在查看器查看基于Windows的程序和组件颁发的日志消息。该服务进程名为Services.exe。

依存关系：Windows Management Instrumentation

建议：该服务是基础服务，请不要调整其状态。

13.Fax Service

传真服务。使用Modem收发传真的服务。该服务进程名为Faxsvc.exe。

依存关系：Plug and Play、Print Spooler、Remote Procedure Call(RPC)、Telephony

建议：该服务可以使你使用传真服务，不过对于一般家庭用户来说，此服务属于不常用的服务，根据实际情况选择，建议：停止。

14.Indexing Service

Cisvc(索引服务)。本地和远程计算机上文件的索引内容和属性，通过灵活查询语言提供文件快速访问。该服务进程名为Cisvc.exe。

依存关系：Remote Procedure Call(RPC)

建议：该服务可以让你加快搜查速度，不过应该很少人进行远程计算机搜寻，停止。

15.Infrared Monitor

有效范围内红外线设备检测服务。该服务进程名为svchost.exe。

依存关系：Remote Procedure Call(RPC)

建议：使用手机、PDA、笔记本等移动设备进行电脑交换数据、联机时使用的服务，除非使用此服务时启动，一般情况停止。

16.Internet Connection Sharing

网络连接共享服务。家庭宽带用户的有服务器型网络连接共享中使用。

依存关系：Remote Access Connection Manager

建议：根据实际情况选择，一般情况下停止。

17.IPSEC Services

Dmserver(IP 安全)。监测和监视新硬盘驱动器，并向逻辑磁盘管理器管理服务发送卷信息以便配置。该服务进程名为Svchost.exe。

依存关系：IPSEC driver、Remote Procedure Call(RPC)、TCP/IP Protocol Driver

建议：协助保护经由网络传送的数据，IPSEC为一重要环节，为虚拟私人网络(***)中提供安全性，而***允许组织经由因特网安全地传输数据。一般用户者涉及不到，停止。

18.Logical Disk Manager

Dmserver(逻辑磁盘管理员服务)。监测和监视新硬盘驱动器，并向逻辑磁盘管理器管理服务发送卷的信息以便配置。该服务进程名为Svchost.exe。

依存关系：Plug and Play、Remote Procedure Call(RPC)、Logical Disk Manager Administrative Service

建议：该服务对于经常使用移动硬盘、闪盘等外设的用户必不可以，根据具体情况，启动。

19.Logical Disk Manager Administrative Service

Dmadmin(逻辑磁盘管理员系统管理服务)。配置硬盘驱动器和卷。此服务只为配置处理运行，然后终止。该服务进程名为Dmadmin.exe。

依存关系：Plug and Play、Remote Procedure Call(RPC)、Logical Disk Manager

建议：使用Microsoft Management Console(MMC)主控台的功能时才用到，根据具体情况，可设置为手动。

20.Messenger

Messenger(信使服务)。传输客户端和服务器之间的NET SEND和Alerter服务消息。此服务与Windows Messenger无关。该服务进程名为Svchost.exe。

依存关系：NetBIOS Interface、Plug and Play、Remote Procedure Call(RPC)、Workstation

建议：基于安全性考虑，停止。

21.Net Logon

Net Logon(网域登录服务)。支持网络计算机pass-through 账户登录身份验证。该服务进程名为Lsass.exe。

依存关系：Workstation

建议：如果要使用网内的域服务器登录到域网时，启动。

22.NetMeeting Remote Desktop Sharing

Mnmsrvc(NetMeeting 远程桌面共享)。允许经过授权的用户使用NetMeeting在公司Intranet 上远程访问这台计算机。该服务进程名为Mnmsrvc.exe

依存关系：Remote Procedure Call(RPC)

建议：视具体情况，停止，但关闭它后，远程桌面共享功能将无法使用。

23.Network Connections

Netman(网络联机)。管理“网络和拨号连接”文件夹中对象，在其中你可以查看局域网和远程连接。该服务进程名为Svchost.exe。

依存关系：Remote Procedure Call(RPC)、Internet Connection Firewall(ICF)/ Internet Connection Sharing(ICS)

建议：关闭它之后，在“网络和拨号连接”对话框中将什么也看不到，更不用说新建连接和拨号上网了，因此除非你的机器是绝对的单机环境，启动。

24.Network DDE

NetDDE(网络动态数据交换服务)。为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE)的网络传输和安全。该服务进程名为Netdde.exe。

依存关系：Network DDE DSDM、ClipBook

建议：如无需ClipBook服务，停止。

25.Network DDE DSDM

NetDDE dsdm(网络动态数据交换网络共享服务)。管理动态数据交换(DDE)网络共享。该服务进程名为Netdde.exe。

依存关系：Network DDE

建议：如无需Network DDE服务，停止。

26.NT LM Security Support Provider

NtlmSsp(NT LM安全性支持提供者服务)。为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。该服务进程名为Lsass.exe。

依存关系：Telnet

建议：如果不使用Message Queuing或Telnet Server服务，停止。

27.Performance Logs and Alerts

SysmonLog(效能记录日志及警示服务)。收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。该服务进程名为Smlogsvc.exe。

依存关系：无

建议：停止。

28.Plug and Play

PlugPlay(即插即用服务)。使计算机在没有用户输入的情况下，能识别并适应硬件的更改。该服务进程名为Services.exe。

依存关系：Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio

建议：终止或禁用此服务会造成系统不稳定，启动。

29.Portable Media Serial Number Service

WmdmPmSN(便携的媒体序号服务)。获得系统中媒体播放器的序列号，用于控制盗版音乐文件复制到便携播放器上，如MP3、MD等。该服务进程名为Svchost.exe。

依存关系：无

建议：一般情况下停止。

30.Print Spooler

Spooler(打印后台处理服务)。将文件加载到内存中，待打印机空闲后，再将数据送往打印机处理。该服务进程名为Spoolsv.exe。

依存关系：Remote Procedure Call(RPC)

建议：设置为手动。如果没有打印机，可停止。

31.Protected Storage

Protected Storage(受保护的存放区服务)。提供对敏感数据(如密码)的保护性存储，以便防止未授权的服务、过程或用户对其非法访问。该服务进程名为Lsass.exe。

依存关系：Remote Procedure Call(RPC)

建议：视具体使用环境而定，在不安全的环境下建议停止。

32.QoS RSVP

RSVP(QoS许可控制服务)。为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。该服务进程名为Rsvp.exe。

依存关系：AFD网络支持环境、TCP/IP protocol Driver、Remote Procedure Call(RPC)

建议：用来保留20%带宽的服务，如果你的网络卡不支持802.1P或在你计算机的网络中没有ACS server，停止。

33.Remote Access Auto Connection Manager

RasAuto(远程访问自动联机管理员服务)。无论什么时候当某个程序引用一个远程DNS、NetBIOS名或地址就创建一个到远程网络的连接。该服务进程名为Svchost.exe。

依存关系：Remote Access Connection Manager、Telephony

建议：如果你的机器提供网络共享服务就启动它，以避免网络断线后手动连接，否则停止。

34.Remote Access Connection Manager

RasMan(远程访问联机管理员服务)。创建网络连接。该服务进程名为Svchost.exe。

依存关系：Telephony、Internet Connection Firewall(ICF)/ Internet Connection Sharing(ICS)、Remote Access Auto Connection Manager

建议：根据具体情况而定。

35.Remote Procedure Call(RPC)

RpcSs(远程过程调用)。提供终结点映射程序(endpoint mer)以及其他RPC服务。该服务进程名为Svchost.exe。

依存关系：相当多的服务均依赖于它的运行

建议：很多服务都需要依存它运行，启动。

36.Remote Procedure Call(RPC)Locator

RpcLocator(远程过程调用定位服务)。管理RPC名称服务数据库。通过它对RPC的命名管理，调用者才能找到被调用者的位置。该服务进程名为Locator.exe。

依存关系：Workstation

建议：由于系统注册表的存在，使用命名管理并无实际意义，停止。

37.Remote Registry Service

RemoteRegistry(远程注册表服务)。使远程用户能修改此计算机上的注册表设置。该服务进程名为Svchost.exe。

依存关系：Remote Procedure Call(RPC)

建议：基于安全性的理由，如果没有特别的需求，停止。

38.Removable Storage

NtmsSvc(卸除式存放装置服务)。对特殊可移动存储器的管理，如ZIP软驱和磁带驱动器。该服务进程名为Svchost.exe。

依存关系：Remote Procedure Call(RPC)

建议：一般人很少涉及到这类特殊设备，停止。

39.Routing and Remote Access

RemoteAccess(路由和远程访问服务)。在局域网以及广域网环境中提供路由服务。该服务进程名为Svchost.exe。

依存关系：Remote Procedure Call(RPC)、NetBIOSGroup

建议：提供拨号联机到广域网或是***服务，一般用户使用不到，停止。

40. RunAs Service

RunAs Service (不同凭据下启用启动过程服务)。提供不同凭据下启用启动过程服务。该服务进程名为services.exe。

依存关系：无

建议：根据自己实际需要决定。

41.Security Accounts Manager

SamSs(安全性账户管理服务)。存储本地用户账户的安全信息。该服务进程名为Lsass.exe。

依存关系：Remote Procedure Call(RPC)、Distributed Transaction Coordinator

建议：管理账号和组策略(Gpedit.msc)应用，启动。

42.Server

lanmanserver(服务器服务)。支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止，这些功能不可用。该服务进程名为Svchost.exe。

依存关系：Computer Browser

建议：在没有与其他计算机分享的需要时停止。

43.Smart Card

SCardSvr(智能卡服务)。管理此计算机对智能卡的取读访问。如果此服务被终止，此计算机将无法读取智能卡。该服务进程名为Scardsvr.exe。

依存关系：Plug and Play

建议：如果你不使用智能卡，停止。

44.Smart Card Helper

SCardDrv(智能卡协助服务)。启用对此计算机使用的旧式非即插即用智能卡读取器的支持。该服务进程名为Scardsvr.exe。

依存关系：无

建议：如果你不使用智能卡，停止。

45.System Event Notification

SENS(系统通知服务)。跟踪系统，如登录Windows、网络以及电源等。将这些通知给COM+系统“订阅者(subscriber)”。该服务进程名为Svchost.exe。

依存关系：COM+ Event System

建议：基于安全性考虑，停止。

46.Task Scheduler

Schedule(任务服务)。使用户能在此计算机上配置和制定自动任务的日程。该服务进程名为Svchost.exe。

依存关系：Remote Procedure Call(RPC)

建议：设置自动定时磁盘扫描、定时扫描、更新等，视具体情况而定。

47.TCP/IP NetBIOS Helper Service

LmHosts(TCP/IP NetBIOS助手服务)。允许对“TCP/IP 上 NetBIOS(NetBT)”服务以及NetBIOS名称解析的支持。该服务进程名为Svchost.exe。

依存关系：AFD 网络支持环境、NetBios Over TCP/IP

建议：如果你的网络不使用NetBIOS或是WINS，停止。

48.Telephony

TapiSrv(电话语音)。提供TAPI的支持，以便程序控制本地计算机，服务器以及LAN上的电话设备和基于IP的语音连接。该服务进程名为Svchost.exe。

依存关系：Plug and Play、Remote Procedure Call(RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager

建议：一般拨号调制解调器或是一些DSL/Cable可能用到，视具体情况而定。

49.Telnet

TlntSvr(远程登录服务)。允许远程用户登录到此计算机并运行程序，并支持多种TCP/IP Telnet客户，包括基于UNIX和Windows的计算机。该服务进程名为Tlntsvr.exe。

依存关系：NT LM Security Support Provider、Remote Procedure Call(RPC)、TCP/IP Protocol Driver

建议：基于安全性考虑，如无特别需求，停止。

50.Uninterruptible Power Supply

UPS(UPS电源管理服务)。管理连接到计算机的不间断电源(UPS)。该服务进程名为Ups.exe。

依存关系：无

建议：一般人使用不到UPS，停止。

51.Windows Installer

MSIServer(Windows安装服务)。根据包含在MSI文件中的指示来安装、修复或删除软件。它是一个系统服务，协助使用者正确地安装、设定、追踪、升级和移除软件程序，可管理应用程序建立和安装的标准格式，并且追踪例如档案群组、登录项目及快捷方式等组件。该服务进程名为Msiexec.exe。

依存关系：Remote Procedure Call(RPC)

建议：视具体情况而定。

52.Windows Management Instrumentation

Winmgmt(Windows管理规范服务)。提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。该服务进程名为Svchost.exe。

依存关系：Event Log、Remote Procedure Call(RPC)

建议：是一种提供标准的基础结构来监视和管理系统的服务，启动。

53.Windows Management Instrumentation Driver Extensions

Wmi(Windows管理规范驱动延伸服务)。与驱动程序间交换系统管理信息。该服务进程名为Svchost.exe。

依存关系：无

建议：WMI服务的延伸，提供信息使用，启动。

54.Windows Time

W32Time(Windows 时间设定)。维护在网络上的所有客户端和服务器的时间和日期同步。该服务进程名为Svchost.exe。

依存关系：无

建议：视具体情况而定，启动。

55.Workstation

Lanmanworkstation(工作站服务)。创建和维护到远程服务的客户端网络连接。该服务进程名为Svchost.exe。

依存关系：Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call(RPC)Locator

建议：Internet网联机所必需的一些功能，启动。

关于域服务器的问题

是啊 一定是个外行老师 你这可以视为忘记管理员密码的问题

忘记管理员密码怎么办之第一招:删除sam文件

对sp3以前的工作组模式windows2000，删除winntsystem32config文件夹下的sam文件(无后缀)之后，本机所有用户丢失，用administrator登录，密码空即可

忘记管理员密码怎么办之第二招:O&O软件

编译:

O&O Bluecon 2000是一款德国人开发的工具软件,它可以让你方便的修复被损坏的Windows NT/2000系统,与Windows 2000的恢复控制台差不多,唯一不同的是它不需要你输入密码就能够进入系统.这款工具最常用的功能可能就是修改本地管理员的密码了.

使用O&O Bluecon 2000修改本地管理员密码的步骤如下:

一.制作工具盘.

(1)制作四张Windows2000安装启动盘,制作方法见本站的Winnt/2000重要软盘制作小全。

(2)启动O&O BlueCon 2000软件的"O&O BootWizard"，修改我们刚才制作的安装软盘(只修改第1张和第4张),共分四步.

(3)第一步Select Boot Device询问你使用哪一种方式引导系统,是Floppy(即四张安装软盘)还是CD-ROM,我们在这儿选Floppy(4 disk required)这一项,按下一步;

(4)第二步Select Options询问我们是不是创建Windows2000安装启动盘,因为我们刚才就创建了,因此不选,按下一步;

(5)第三步Patch Disk 1和Patch Disk 4,会提示你依次插入第1张和第4张进行修改操作.按屏幕提示完成工具盘制作.

二.修改本地管理员密码

这款工具与我前一款介绍的修改管理员密码的工具相同,只能够修改SAM中的本地管理员密码.

在使用O&O修改本地管理员的密码前,先介绍一下O&O支持的命令,共28个,你可以在"A:>"提示符下使用"?"或"help"命令查看.这28个命令中比较重要的有:

backup:备份注册表

device:显示某一操作系统的硬件配置情况

edlin:一个文本编辑工具

passwd:修改密码命令

reboot:重新启动机器命令

regedit:编辑注册表命令

service:显示/启动/禁止服务命令

scopy或scp:文件复制命令,可以复制文件的安全属性

user:显示某一操作系统的用户

vmap:显示当前卷的信息

这些命令的参数与详细用法可以使用"命令 /?"的方式获得.

具体的修改本地用户的操作如下:

(1)将第1张软盘插入软驱中,重新启动机器,以软盘引导系统,按屏幕提示依次插入这4张盘,走完安装界面,最后,系统会提示:

O&O Bluecon 2000 V2.0 Build 256 - English Keyboard

A:>

(2)使用Passwd命令对SAM数据库账号的密码进行修改,Passwd命令的用法如下:

Passwd <account> [<password>]

Passwd命令中Password参数是可选的,如果你不输入该账号的密码,那么该账号的密码将被清空(不建议这样).

如果你要将管理员Administrator的密码修改为123456,就可以这样使用:

A:>Passwd Administrator 123456

回车后如果你当前系统中存在多个操作系统,系统会提示你要修改哪个操作系统的管理员密码.类似提示如下:

Please choose a system to logon

1. "Microsoft Windows 2000 Server" /fastdetect

2. "Microsoft Windows XP Professional" /fastdetect

3. "Microsoft Windows 2000 Recovery Cortrol" /cmdcons

选择一个合适的要修改的操作系统,我们这儿选1,即要修改Windows2000 server的管理员密码.一会儿如果系统提示"Password was successfully changed"就表示管理中的密码修改成功.如果你的O&O软件不是完全版而只是未注册版,那系统会提示管理员的密码是只读的,不能够进行修改.

(3)从软驱出取出软盘,重新启动系统,进入目录恢复模式,我们就可以使用新的管理员密码进入系统了.

这款软件最新版的下载地址是:://.oosoft

忘记管理员密码怎么办之第三招:输入法漏洞

--------------------------------------------------------------------------------

[我之所以还要转这篇文章,是因为下面我还要使用这篇文章要讲的方法,实际上大家应该对这个方法非常熟悉了,而且输入法漏洞也几乎绝种乐.:p]

输入法漏洞可以说是中文Windows2000推出后的第一个致命漏洞,通过它我们可以做许多的事情,包括建立用户.

我将网上的一些关于如何通过这个漏洞建立用户的收集整理了几种,以备管理员朋友们不时之需.:)

一、使用文件类型编辑创建管理员用户

开机到登陆界面

1.调出输入法,如全拼->帮助->操作指南,跳出输入法指南帮助文件

2.右击"选项"按钮,选择"跳至url"

3.在跳至URL上添上"c:",其它的也可.

4.帮助的右边会进入c:

5.按帮助上的"选项"按钮.

6.选"internet"选项.会启动文件类型编辑框.

7.新建一个文件类型,如一个you文件类型,在跳出的文件后缀中添上"you".确定.

8.选中文件类型框中的"you"文件类型,点击下面的"高级按钮",会出现文件操作对话框.

9.新建一种文件操作,操作名任意写,如"ppp"

10.该操作执行的命令如下:

C:WINNTsystem32cmd.exe /c net user aboutnt 123456 /add & C:WINNTsystem32cmd.exe /c net localgroup administrators

aboutnt /add

完成后退出

11.将c:的某个文件如"ppp.txt"改为"ppp.txt.you",然后双击打开这个文件.

12.通常这个文件是打不开的,系统运行一会便没有了提示,但这时我们已经将用户aboutnt加上了,权限是管理员.

13.返回,重新以aboutnt用户登录即可。

二、使用快捷方式创建管理员用户

1-4步与第一种同。

5.右击c:下的任一文件或文件夹,如右击Winnt文件夹,创建它的快捷方式:"快捷方式 WINNT".

6.右击"快捷方式 WINNT"文件->"属性"->"快捷方式"标签,将目标修改为"c:winntsystem32

et.exe user aboutnt 123456 /add",起始位置修改为"c:winntsystem32".确定退出."快捷方式 WINNT"文件的图标会由一个文件夹变成一个dos窗口.

7.右击"快捷方式 WINNT",运行它,创建"aboutnt"用户

8.重复6步,将目标修改为"c:winntsystem32

et.exe localgroup administrators

aboutnt /add",起始位置修改为"c:winntsystem32".确定退出.

9.右击"快捷方式 WINNT",运行它,将"Aboutnt"用户加入了本地管理员组中.

10.删除"快捷方式 WINNT"文件,返回,以以aboutnt用户登录即可.

忘记管理员密码怎么办之第四招:屏幕保护程序

--------------------------------------------------------------------------------

屏幕保护程序有时作用是非常大的,使用它恢复被遗忘的管理员密码就是一个例子.

使用了屏幕保护程序的办法,大家都知道,通常(注意,并不绝对),如果系统启动出现登录邀请框后15分钟不登录,win2000会启动屏幕保护程序logon.scr,位于c:winntsystem32下,一个win2000标志会满屏跑.

我这次就对这个logon.scr做了手脚,因为logon.scr是个可执行文件,于是我先将logon.scr改名为logon.zqs,然后将c:winnt下的explorer.exe复制到c:winntsystem32下,改名为logon.scr,这一步需要我们拆下硬盘到其它机器上去操作,当然有其它的方法也行.

重新启动机器,出现登录对话框后不登录,等待15分钟,屏幕保护程序启动,一个管理器出现了,目标定位在c:下,下面的操作就简单了,使用输入洞的方法即可.不再详说.

忘记管理员密码怎么办之第五招:启动脚本

--------------------------------------------------------------------------------

这第五种方法较之前面的第三,第四种方法,是最可行的一种,可能百发百中吧.:)请着重看启动脚本的最后一种应用.

深入浅出Win2000计算机启动/关机脚本

一.简介

Win2000计算机启动/关机脚本(startup/shutdown scripts)是Win2000的一个新特点.启动脚本是邀请用户登录之前运行的批文件,它的功能类似于Win9X和DOS中的自动执行批处理文件autoexec.bat;关机脚本是计算机关机之前运行的批文件.

与Win2000用户登录/注销脚本(logon/logoff scripts)相比,它们之间的主要区别是:计算机启动/关机脚本在计算机启动和关机时运行,脚本程序只运行一次,通常在启动脚本运行完毕后才出现邀请用户登录的对话框;用户登录/注销脚本在邀请用户登录的对话框出现后,用户登录系统或从系统注销时运行,运行次数由用户登录/注销的次数决定,每登录/注销系统一次,脚本程序就运行一次.

二.指派

在启用计算机启动/关机脚本前,必须进行指派.指派计算机启动/关机脚本需要通过组策略MMC（管理控制台）管理单元进行,具体的操作如下:

1.单击"开始"菜单->"运行",在打开框内输入"MMC",打开微软管理控制台(Microsoft Management Console,MMC).

2.单击"控制台"菜单->"添加/删除管理单元...",在跳出"添加/删除管理单元"对话框内单击"添加"按钮,添加独立管理单元.

3.在"添加独立管理单元"对话框的"可用的独立管理单元"列表内选择"组策略",按下面的"添加"按钮.

4.当系统询问使用哪一个组策略对象时,如果你要指派面向本地计算机,只在本地计算机执行的启动/关机脚本,请选择缺省的"本地计算机"组策略对象;如果你要指派面向Win2000域,在域内所有计算机上执行的启动/关机脚本,那请点击"选择组策略对象"对话框中的"浏览..."按钮,在"浏览组策略"对话框选定能应用到整个域中的组策略对象,这里以"Default Domain Policy"对象为例,它是Win2000域缺省的域策略对象(图一)(t1.gif).

5.完成后依次关闭各对话框回到管理控制台,现在管理控制台上就有了一个相应的组策略对象树(图二)(t2.gif).

6.在管理控制台左侧的控制台树窗格中,依次展开组策略对象->"计算机配置"->"Windows设置"->"脚本(启动/关闭)"节点,双击右侧详细资料窗格中的"启动"或"关机"项目就可以设置计算机启动或关机时使用的脚本了(图三)(t3.gif)(因Win2000计算机启动和关机脚本的设置方法相同,下面的操作均以启动脚本为例).

7.双击右侧详细资料窗格中的"启动"项目,在跳出的"启动属性"对话框中点击"添加"按钮,添加新的计算机启动脚本.

8.一个启动脚本条目包括两方面的内容:脚本名和脚本参数(图四)(t4.gif).如果脚本名不包含文件路径,比如图中的脚本文件名只是"scripta.vbs",系统会到缺省的计算机启动脚本路径下寻找这个脚本文件.脚本的参数是可选的,可填可不填,看实际情况而定,图中的开机脚本使用了运行参数"start".

9.本地计算机脚本的缺省路径通常是"%systemroot%system32GroupPolicyMachineScripts",如"C:winntsystem32GroupPolicyMachineScripts".应用到域的计算机脚本的缺省路径通常是""\\<DC name>sysvol<domain name>Policies<GUID>MachineScripts",如"\\MyDC1sysvolMydomPolicies{31B2F340-016D-11D2-832F-00C04FB873F9}MachineScripts".启动脚本文件存放在"Startup"子文件夹中,关机脚本文件存放在"ShutDown"子文件夹中.

10.我们可以根据需要重复点击"启动属性"对话框中的"添加"按扭,为计算机添加多个启动脚本(图五)(t5.gif).

11.设置完毕,保存后退出组策略MMC管理单元.等组策略刷新后,这些脚本就会在计算机启动和关机时起作用.

三.深入

1.我们对计算机启动/关机脚本的设置数据被Win2000保存在了一个名为scripts.ini的隐藏配置文件中,这个文件位于"C:WINNTsystem32GroupPolicyMachineScripts"目录下,可以使用任一款文件编辑软件如记事本进行编辑.

scripts.ini文件内容通常包含两个数据段:[Startup]和[Shutdown],[Startup]数据段下是启动脚本配置,[Shutdown]数据段下是关机脚本配置.每个脚本条目被分成脚本名和脚本参数两部分存贮,脚本名保存在XCmdLine关键字下,参数保存在XParameters关键字下,这里的X表示从0开始的脚本序号,以区别多个脚本条目和标志各脚本条目的运行顺序.下面是一个简单的scripts.ini文件的例子:

[Startup]

0CmdLine=d:startss.bat

0Parameters=

1CmdLine=scriptsa.vbs

1Parameters=start

[Shutdown]

0CmdLine=shut.vbs

0Parameters=

从例子中我们可以看出,共设置了两个计算机启动脚本:ss.bat和scripta.vbs.ss.bat位于d:start目录下,没有使用参数;scriptsa.vbs位于缺省的启动脚本目录C:WINNTsystem32GroupPolicyMachineScriptsStartup下,使用了参数"start".两个脚本的执行顺序是先执行ss.bat后执行scriptsa.vbs.设置了一个关机脚本shut.vbs,没有使用参数,该脚本位于缺省的关机脚本目录C:WINNTsystem32GroupPolicyMachineScriptsShutdown下.

2.启动/关机脚本的运行情况,包含是否同步运行、是否显示运行状态、最长等待时间等，都可以在组策略中进行微调.具体操作如下:

(1)-(5)步同第二部分指派操作中的1-5步;

(6)在管理控制台左侧的控制台树窗格中,依次展开组策略对象->"计算机配置"->"管理模板"->"登录"节点,右侧详细内容窗格中显示的内容有四项与启动/关机脚本有关(图六)(t6.gif):非同步运行启动脚本,显示启动脚本的运行状态,显示关机脚本的运行状态,组策略脚本的最长等待时间.

(7)非同步运行启动脚本

在默认情况(也就是没有配置的情况,下同)下,系统要等每个启动脚本运行完毕才运行下一个启动脚本.如果启用这个策略,系统则不会协调启动脚本的运行顺序,启动脚本可以同时运行.如果停用或不配置这个策略,每个启动脚本要在上一个脚本运行完毕后才能运行.建议不配置.

这个策略对应的注册表值是"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystemRunStartupScriptSync",这是一个REG_DWORD值,0表示启用,1表示禁用.

(8)显示启动/关机脚本的运行状态

在默认情况下,系统不显示启动脚本中的指令.如果启用这个策略,系统会在启动脚本运行时显示每个指令,指令将出现在命令窗口,或显示出人机交互界面。这个功能主要是为高级用户设计的.如果停用或不配置这个策略，指令则不会显示.建议不配置.

举个例子,设你在启动脚本中有一条命令是"c:winntexplorer.exe c:winnt",如果启用了这一策略允许显示启动脚本的运行状态,那么当计算机启动时,一个管理器窗口就会跳出来,桌面被打开,系统以system用户的身份交互登录到计算机上,这无异于那个著名的输入法漏洞!由此可以看出,打开启动/关机脚本的运行状态有时是非常危险的.

这两个组策略条目对应的注册表值分别是"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystemHideStartupScripts"和"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystemHideShutdownScripts",均为REG_DWORD值,0表示启用,1表示禁用.

(9)组策略脚本的最长等待时间

这个策略限制了由组策略完成运行登录、开始和关闭脚本所需的全部时间.如果当指定时间已超过但脚本尚未完成运行,系统会停止脚本处理并记录一个错误.在默认情况下,系统允许合并的脚本集运行600秒(10分钟).

要使用这个策略,在第二个框中键入从1到32000之间的数目以确定您希望系统等待脚本完成的时间,单位是秒.要让系统一直等到完成运行脚本为止,无论等待时间多久,请键入0(图七)(t7.gif).但不建议这样,如果你的脚本写的很差,那后果将难以想象!

如果其它系统任务必须等待脚本完成才能进行,这个间隔时间就非常关键.在默认的情况下,必须完成每一个启动脚本后才能运行下一个,您还可以使用"非同步运行启动脚本"策略让系统等到完成启动脚本后再出现邀请用户登录的对话框.间隔过长可延缓系统并使用户不方便,如果间隔太短,所需的任务无法完成系统会可能会过早就绪,导致出现问题.

这个组策略条目对应的注册表值是"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystemMaxGPOScriptWait",也是一个REG_DWORD值,它的值表示等待的时间,单位是秒.

四.应用

计算机启动/关机脚本的用途很多,下面举三个比较典型的例子:

1.计算机启动和关机时间审核

(1)编写一个能够记录时间的脚本LogTime.vbs,内容如下:

\'================================================

dim ArgObj,str,strtmp

Set ArgObj = WScript.Arguments

If ArgObj.Count < 1 Then

strtmp="无参数操作!"

else

select case ArgObj.Item(0)

case "startup"

strtmp=" 服务器启动."

case "shutdown"

strtmp=" 服务器关闭."

case else

strtmp=" 未知操作!参数:"+ArgObj.Item(0)

end select

end if

set fso=CreateObject("Scripting.FileSystemObject")

set tmp=fso.opentextfile("d:loglogtime.txt",8,true)

str="["+cstr(now())+"] "+strtmp+chr(13)+chr(10)

tmp.write str

tmp.close

set tmp=nothing

set fso=nothing

\'=================================================

这个脚本有两个参数:startup和shutdown.当用作启动脚本时,使用"startup"参数;当用做关机脚本时,使用"shutdown"参数.另外,脚本中使用了FileSystemObject对象,使用该脚本前请确保这个对象已经存在于你的计算机上.

(2)按照前面的方法将脚本设置好.每次计算机启动或关机,这个脚本都会运行,并将计算机启动或关机的时间(实际上这个脚本运行时的时间,但两者应该相差无几)记录到一个文本文件中，例子中是"d:loglogtime.txt",可以根据需要更改.

2.删除一些特殊的共享

在Win2000中,由于计算机管理、用户登录等方面的需要,系统会建立许多特殊的共享,如C$、D$、ADMIN$、IPC$、NETLOGON等,但这些共享并不是所有的计算机都必须的.使用"计算机管理"MMC或net share命令等禁止这些共享,只是一种治标不治本的方法,它们在计算机重新启动后会重新出现.基于安全等方面的考虑,我们有时希望将这些共享彻底删除.现在删除这类特殊共享的方法比较多,如编辑注册表,下面就再提供一种使用启动脚本删除这些特殊共享的方法.

(1)编写一个能删除特殊共享的批处理文件DelShare.bat,内容如下:

net share C$ /delete

net share D$ /delete

net share IPC$ /delete

net share NETLOGON /delete

(2)按照前面的方法将脚本设置为启动脚本,重新启动计算机.OK,一切都清净了.:)

3.恢复管理员密码或新建管理员账号

丢失管理员密码是件非常令人头疼的事情,但说不定什么时候就会碰到.在紧急情况下，如何恢复管理员密码乃至新建一个管理员账号,现在已经有许多成熟的技术,如经典的登录屏幕保护程序法、使用O&O软件等.实际上,使用启动脚本也是一个相当不错的选择.

(1)如果故障计算机使用FAT/FAT32文件系统,那可直接使用Win98引导盘引导.如果使用NTFS文件系统,可将故障计算机上的硬盘取下,以从盘模式挂接到其它的Win2000计算机上.下面的操作以后一种情况为准,设现在故障计算机的system分区(通常是C:)在新的计算机上成为分区E:.

(2)编写一个能恢复管理员密码的批处理文件admin.bat,内容只需要一条"net user"命令即可.如下:

net user administrator 12345678

这儿我们设当前的管理员是administrator,将它的密码恢复为"12345678".将文件admin.bat保存到"E:winntsystem32GroupPolicyMachineScriptsStartup"下,也就是故障计算机原来的"C:winntsystem32GroupPolicyMachineScriptsStartup"下.

(3)编写一个启动/关机脚本配置文件scripts.ini,这个文件名是固定的,不能改变.内容如下:

[Startup]

0CmdLine=admin.bat

0Parameters=

将文件scripts.ini保存到"E:winntsystem32GroupPolicyMachineScripts"下,也就是故障计算机原来的"C:winntsystem32GroupPolicyMachineScripts"下.

(4)将硬盘恢复为主盘,接回原来的计算机,重新启动,等待启动脚本运行.启动脚本运行结束管理员administrator的密码就被恢复为"12345678".

(5)如果要新建一个管理员账号,admin.bat文件的内容可以修改为:

net user admin 12345678 /add

net localgroup administrators admin /add

这样一个名为"admin",密码是"12345678"的管理员账号就建立了.

这个方法不仅可以恢复独立服务器上本地管理员密码,也可以恢复Win2000域中域管理员的密码.

如果真的中毒就要另行解决了

win2000 server重要漏洞?

域服务器保持现在的网络结构不变即可。

1.工作机上网最好使用代理服务器，或者宽带路由器上网，能过Ip或者mac限定即可让有条件的人上网。

2，域建立容易，维护难，建立一个域，要有两台DC，安装一个域，再安装一台添加到这台域里。作为另一台域控。

服务器版本，win2000server及以上，win2003server除web版，win2008server.

安装DC，第一台DC将首先DNS设定成自己的IP。运行dcpromo或者运行控制面板里的程序。第二台服务器也是一样。

在DNS设置转发，将DNS转发添加ISP外网的DNS，这样客户机又能用域，上网时也能解析外部网站。

有问题再补充

---------------------------------------------

AD建立好了。除了自身的备份外，域内有一个以上的DC，会对AD系统有备份作用，换句话说，当这个DC突然坏了，或者有问题时，我们可以快速切换到另一台，成为可能。

Win2000 Server入侵监测 (阅览 13354 次)

经过精心配置的Win2000服务器可以防御90%以上的入侵和渗透，但是，就象上一章结束时我所提到的：系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着；同时由于攻防是矛盾的统一体，道消魔长和魔消道长也在不断的转换中，因此，再高明的系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵。

所以，安全配置服务器并不是安全工作的结束，相反却是漫长乏味的安全工作的开始，本文我们将初步探讨Win2000服务器入侵检测的初步技巧，希望能帮助您长期维护服务器的安全。

本文中所说的入侵检测指的是利用Win2000 Server自身的功能及系统管理员自己编写的软件/脚本进行的检测，使用防火墙（Firewall）或入侵监测系统（IDS）的技巧并不在本文的讨论范围之内。

现在定：我们有一台Win2000 Server的服务器，并且经过了初步的安全配置（关于安全配置的详情可以参阅Win2000 Server安全配置入门<一>），在这种情况下，大部分的入侵者将被拒之门外。（哈哈，我管理员可以回家睡大觉去了）慢着，我说的是大部分，不是全部，经过初步安全配置的服务器虽然可以防御绝大多数的Script kid（脚本族-只会用别人写的程序入侵服务器的人），遇到了真正的高手，还是不堪一击的。虽然说真正的高手不会随便进入别人的服务器，但是也难保有几个品行不端的邪派高手看上了你的服务器。（我真的这么衰么？）而且，在漏洞的发现与补丁的发布之间往往有一段时间的真空，任何知道漏洞资料的人都可以乘虚而入，这时，入侵检测技术就显得非常的重要。

入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面：

1、 基于80端口入侵的检测

WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多。对于NT来说，IIS一直是系统管理员比较头疼的一部分（恨不得关了80端口），不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。（具体怎么配我不管你，不过你要是不详细记录，回头查不到入侵者的IP可不要哭）

现在我们再设（怎么老是设呀，烦不烦？）别急呀，我不能为了写这篇文章真的去黑掉一台主机，所以只好设了，我们设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间（Time）、客户端IP（Client IP）、方法（Method）、URI(URI Stem)、URI查询(URI Query)，协议状态（Protocol Status)，我们用最近比较流行的Unicode漏洞来进行分析：打开IE的窗口，在地址栏输入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默认的情况下你可以看到目录列表（什么？你已经做过安全配置了，看不到？恢复默认安装，我们要做个实验），让我们来看看IIS的日志都记录了些什么，打开Ex010318.log（Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期）：07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58（就是北京时间23:42:58），有一个家伙（入侵者）从127.0.0.1的IP在你的机器上利用Unicode漏洞（%c1%1c被解码为"\"，实际的情况会因为Windows语言版本的不同而有略微的差别）运行了cmd.exe，参数是/c dir，运行结果成功（HTTP 200代表正确返回）。(哇，记录得可真够全的，以后不敢随便乱玩Unicode了)

大多数情况下，IIS的日志会忠实地记录它接收到的任何请求（也有特殊的不被IIS记录的攻击，这个我们以后再讨论），所以，一个优秀的系统管理员应该擅长利用这点来发现入侵的企图，从而保护自己的系统。但是，IIS的日志动辄数十兆、流量大的网站甚至数十G，人工检查几乎没有可能，唯一的选择就是使用日志分析软件，用任何语言编写一个日志分析软件（其实就是文本过滤器）都非常简单，不过考虑到一些实际情况（比如管理员不会写程序，或者服务器上一时找不到日志分析软件），我可以告诉大家一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global.asa文件，可以使用以下的CMD命令：find "Global.asa" ex010318.log /i这个命令使用的是NT自带的find.exe工具（所以不怕紧急情况找不着），可以轻松的从文本文件中找到你想过滤的字符串，"Global.asa"是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。因为我无意把这篇文章写成微软的Help文档，所以关于这个命令的其他参数以及它的增强版FindStr.exe的用法请去查看Win2000的帮助文件。

无论是基于日志分析软件或者是Find命令，你都可以建立一张敏感字符串列表，包含已有的IIS漏洞（比如"+.htr"）以及未来将要出现的漏洞可能会调用的（比如Global.asa或者cmd.exe），通过过滤这张不断更新的字符串表，一定可以尽早了解入侵者的行动。

需要提醒的是，使用任何日志分析软件都会占用一定的系统，因此，对于IIS日志分析这样低优先级的任务，放在夜里空闲时自动执行会比较合适，如果再写一段脚本把过滤后的可疑文本发送给系统管理员，那就更加完美了。同时，如果敏感字符串表较大，过滤策略复杂，我建议还是用C写一个专用程序会比较合算。

2、 基于安全日志的检测

通过基于IIS日志的入侵监测，我们能提前知道窥伺者的行踪（如果你处理失当，窥伺者随时会变成入侵者），但是IIS日志不是万能的，它在某种情况下甚至不能记录来自80端口的入侵，根据我对IIS日志系统的分析，IIS只有在一个请求完成后才会写入日志，换言之，如果一个请求中途失败，日志文件中是不会有它的踪影的（这里的中途失败并不是指发生HTTP400错误这样的情况，而是从TCP层上没有完成HTTP请求，例如在POST大量数据时异常中断），对于入侵者来说，就有可能绕过日志系统完成大量的活动。

而且，对于非80 Only的主机，入侵者也可以从其它的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核，一般来说，登录与账户管理是我们最关心的，同时打开成功和失败审核非常必要，其他的审核也要打开失败审核，这样可以使得入侵者步步维艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有很好的配置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上述情况的出现。

设置了安全日志却不去检查跟没有设置安全日志几乎一样糟糕（唯一的优点是被黑了以后可以追查入侵者），所以，制定一个安全日志的检查机制也是非常重要的，作为安全日志，推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动（速度快呀，要不你入侵到一半的时候连不上了，那可是哭都哭不出来）上午上班第一件事正好看看日志有没有异常，然后就可以放心去做其他的事了。如果你喜欢，也可以编写脚本每天把安全日志作为邮件发送给你（别太相信这个了，要是哪个高手上去改了你的脚本，每天发送"平安无事"……）

除了安全日志，系统日志和应用程序日志也是非常好的监测工具，一般来说，入侵者除了在安全日志中留下痕迹（如果他拿到了Admin权限，那么他一定会去清除痕迹的），在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。

3、文件访问日志与关键文件保护

除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对他们的访问。

文件访问有很多的选项：访问、修改、执行、新建、属性更改......一般来说，关注访问和修改就能起到很大的监视作用。

例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问（例如cmd.exe, net.exe，system32目录），那么，入侵者就很难安放后门而不引起我们的注意，要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的日志监测工作

（哪个系统管理员有耐心每天看四、五千条垃圾日志？）

关键文件不仅仅指的是系统文件，还包括有可能对系统管理员/其他用户构成危害的任何文件，例如系统管理员的配置、桌面文件等等，这些都是有可能用来窃取系统管理员资料/密码的。

4、 进程监控

进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的（也有以其他形式存在的木马，参见《揭开木马的神秘面纱三》），作为系统管理员，了解服务器上运行的每个进程是职责之一（否则不要说安全，连系统优化都没有办法做），做一份每台服务器运行进程的列表非常必要，能帮助管理员一眼就发现入侵进程，异常的用户进程或者异常的占用都有可能是非法进程。除了进程外，DLL也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。

5、 注册表校验

一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值（比如Run、Runonce等等），查找起来是相对容易的，但是对于可以自己编写/改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了。（注册表藏身千变万化，例如需要特别提出来的FakeGina技术，这种利用WINNT外嵌登录DLL（Ginadll）来获得用户密码的方法最近比较流行，一旦中招，登录用户的密码就会被记录无遗，具体的预防方法我这里就不介绍了。）应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。

6、端口监控

虽然说不使用端口的木马已经出现，但是大部分的后门和木马还是使用TCP连接的，监控端口的状况对于由于种种原因不能封锁端口的主机来说就是非常重要的了，我们这里不谈使用NDIS网卡高级编程的IDS系统，对于系统管理员来说，了解自己服务器上开放的端口甚至比对进程的监控更加重要，常常使用netstat查看服务器的端口状况是一个良好的习惯，但是并不能24小时这样做，而且NT的安全日志有一个坏习惯，喜欢记录机器名而不是IP（不知道比尔盖子怎么想的），如果你既没有防火墙又没有入侵检测软件，倒是可以用脚本来进行IP日志记录的，看着这个命令：

netstat -n -p tcp 10>>Netstat.log,这个命令每10秒钟自动查看一次TCP的连接状况，基于这个命令我们做一个Netlog.bat文件:

time /t>>Netstat.log

Netstat -n -p tcp 10>>Netstat.log

这个脚本将会自动记录时间和TCP连接状态，需要注意的是：如果网站访问量比较大，这样的操作是需要消耗一定的CPU时间的，而且日志文件将越来越大，所以请慎之又慎。（要是做个脚本就完美无缺，谁去买防火墙？:）

一旦发现异常的端口，可以使用特殊的程序来关联端口、可执行文件和进程(如inzider就有这样的功能，它可以发现服务器监听的端口并找出与该端口关联的文件，inzider可以从://.nttoolbox下载到)，这样无论是使用TCP还是UDP的木马都无处藏身。

7、终端服务的日志监控

单独将终端服务（Terminal Service）的日志监控分列出来是有原因的，微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议（RDP）的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件，但是因为这个软件功能强大而且只受到密码的保护，所以也非常的危险，一旦入侵者拥有了管理员密码，就能够象本机一样操作远程服务器（不需要高深的NT命令行技巧，不需要编写特殊的脚本和程序，只要会用鼠标就能进行一切系统管理操作，实在是太方便、也实在是太可怕了）。虽然很多人都在使用终端服务来进行远程管理，但是，并不是都知道如何对终端服务进行审核，大多数的终端服务器上并没有打开终端登录的日志，其实打开日志审核是很容易的，在管理工具中打开远程控制服务配置（Terminal Service Configration），点击"连接"，右击你想配置的RDP服务（比如 RDP-TCP(Microsoft RDP 5.0)，选中书签"权限"，点击左下角的"高级"，看见上面那个"审核"了么？我们来加入一个Everyone组，这代表所有的用户，然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败就足够了，审核太多了反而不好，这个审核是记录在安全日志中的，可以从"管理工具"->"日志查看器"中查看。现在什么人什么时候登录我都一清二楚了，可是美中不足的是：这个破烂玩艺居然不记录客户端的IP（只能查看在线用户的IP），而是华而不实的记录什么机器名，倒！要是别人起个PIG的机器名你只好受他的嘲弄了，不知道微软是怎么想的，看来还是不能完全依赖微软呀，我们自己来吧？写个程序，一切搞定，你会C么？不会？VB呢？也不会？Delphi？……什么？你什么编程语言都不会？我倒，毕竟系统管理员不是程序员呀，别急别急，我给你想办法，我们来建立一个bat文件，叫做TSLog.bat，这个文件用来记录登录者的IP，内容如下：

time /t >>TSLog.log

netstat -n -p tcp | find ":3389">>TSLog.log

start Explorer

我来解释一下这个文件的含义：

第一行是记录用户登录的时间，time /t的意思是直接返回系统时间（如果不加/t，系统会等待你输入新的时间），然后我们用追加符号">>"把这个时间记入TSLog.log作为日志的时间字段；

第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议，然后我们用管道符号"|"把这个命令的结果输出给find命令，从输出结果中查找包含":3389"的行（这就是我们要的客户的IP所在的行，如果你更改了终端服务的端口，这个数值也要作相应的更改），最后我们同样把这个结果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，记录格式如下：

22:40

TCP 192.168.12.28:3389 192.168.10.123:4903 ESTABLISHED

22:54

TCP 192.168.12.28:3389 192.168.12.29:1039 ESTABLISHED

也就是说只要这个TSLog.bat文件一运行，所有连在3389端口上的IP都会被记录，那么如何让这个批处理文件自动运行呢？我们知道，终端服务允许我们为用户自定义起始的程序，在终端服务配置中，我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本（相当于shell环境）是Explorer（管理器），所以我在TSLog.bat的最后一行加上了启动Explorer的命令startExplorer，如果不加这一行命令，用户是没有办法进入桌面的！当然，如果你只需要给用户特定的Shell：

例如cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法，作为系统管理员，你完全可以自由发挥你的想象力、自由利用自己的，例如写一个脚本把每个登录用户的IP发送到自己的信箱对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限，所以他不会知道你对登录进行了IP审核，只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了，不过需要注意的是这只是一个简单的终端服务日志策略，并没有太多的安全保障措施和权限机制，如果服务器有更高的安全要求，那还是需要通过编程或购买入侵监测软件来完成的。

8、陷阱技术

早期的陷阱技术只是一个伪装的端口服务用来监测扫描，随着矛和盾的不断升级，现在的陷阱服务或者陷阱主机已经越来越完善，越来越象真正的服务，不仅能截获半开式扫描，还能伪装服务的回应并记录入侵者的行为，从而帮助判断入侵者的身份。

我本人对于陷阱技术并不是非常感兴趣，一来从技术人员角度来说，低调行事更符合安全的原则；二来陷阱主机反而成为入侵者跳板的情况并不仅仅出现在中，在现实生活中也屡见不鲜，如果架设了陷阱反而被用来入侵，那真是偷鸡不成了。

记得CoolFire说过一句话，可以用来作为对陷阱技术介绍的一个结束：在不了解情况时，不要随便进入别人的系统，因为你永远不能事先知道系统管理员是真的白痴或者伪装成白痴的天才......

入侵监测的初步介绍就到这里，在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，扼杀入侵的行动。