netbios over tcpip怎么启用_tcpip上的netbios设置启用但是还是禁用了

1.我公司的电脑没设置过密码，今天早上却有密码了

2.已启用NetBIOS over Tcpip 下栏临时IPv6 地址什么意思

3.局域网访问问题,急求解决!

4.关闭NetBios over Tcpip项后 为什么无法上网，找不到IP 地址。

windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法来提高我们服务器的安全性。

第一招：正确划分文件系统格式，选择稳定的操作系统安装盘

为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟://cqhk.14023/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版，这个一个完全破解了的版本，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。

第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点：

1、系统盘权限设置

C:分区部分：

c:\

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER 全部(只有子文件来及文件)

system 全部(该文件夹，子文件夹及文件)

IIS_WPG 创建文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹，子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:\Documents and Settings

administrators 全部(该文件夹，子文件夹及文件)

Power Users (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹，子文件夹及文件)

C:\Program Files

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER全部(只有子文件来及文件)

IIS_WPG (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹，子文件夹及文件)

修改权限

SYSTEM全部(该文件夹，子文件夹及文件)

TERMINAL SERVER USER (该文件夹，子文件夹及文件)

修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明：我们设网站全部在E盘site目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理

E:\

Administrators全部(该文件夹，子文件夹及文件)

E:\site

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

service全部(该文件夹，子文件夹及文件)

E:\site\vhost1

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

vhost1全部(该文件夹，子文件夹及文件)

3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限

比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format

5.删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述

第三招：禁用不必要的服务，提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

第四招:修改注册表，让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

2、启动系统自带的Internet连接_blank">防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

10. 删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nstat命令来读取你的NetBIOS信息和网卡MAC地址了。

2. 账户安全

首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户，看你崩溃不？

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">这样，出错了自动转到首页

4. 安全日志

我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理 成功 失败

登录 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统 成功 失败

目录服务访问 失败

账户登录 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统而且会导致你根本没空去看，这样就失去了审核的意义

5. 运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级库,我们推荐mcafree杀毒软件+blackice_blank">防火墙

6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置，更改默认端口，和管理密码

7.设置ip筛选、用blackice禁止木马常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值.

打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".

启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.

右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".

当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".

如果系统提示"拒绝访问数据库",不管他.

你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.

我公司的电脑没设置过密码，今天早上却有密码了

优化你安装精简版好了 要是服务器还是安全与稳定第一

第一步：

一、先关闭不需要的端口

我比较小心，先关了端口。只开了3389 21 80 1433（MYSQL）有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!

当然大家也可以更改远程连接端口方法:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

"PortNumber"=dword:00002683

保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口， 直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效!

还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，表怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在\\system32\\drivers\\etc\\services中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的，如冲击波等蠕虫。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

二、关闭不需要的服务 打开相应的审核策略

我关闭了以下的服务

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的也就越多，那么要想发现严重的也越难当然如果审核的太少也会影响你发现严重的，你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是:

登录 成功 失败

账户登录 成功 失败

系统 成功 失败

策略更改 成功 失败

对象访问 失败

目录服务访问 失败

特权使用 失败

三、磁盘权限设置

1.系统盘权限设置

C:分区部分：

c:\

administrators 全部（该文件夹，子文件夹及文件）

CREATOR OWNER 全部（只有子文件来及文件）

system 全部（该文件夹，子文件夹及文件）

IIS_WPG 创建文件/写入数据（只有该文件夹）

IIS_WPG（该文件夹，子文件夹及文件）

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:\Documents and Settings

administrators 全部（该文件夹，子文件夹及文件）

Power Users （该文件夹，子文件夹及文件）

读取和运行

列出文件夹目录

读取

SYSTEM全部（该文件夹，子文件夹及文件）

C:\Program Files

administrators 全部（该文件夹，子文件夹及文件）

CREATOR OWNER全部（只有子文件来及文件）

IIS_WPG （该文件夹，子文件夹及文件）

读取和运行

列出文件夹目录

读取

Power Users（该文件夹，子文件夹及文件）

修改权限

SYSTEM全部（该文件夹，子文件夹及文件）

TERMINAL SERVER USER （该文件夹，子文件夹及文件）

修改权限

2.网站及虚拟机权限设置（比如网站在E盘）

说明：我们设网站全部在E盘site目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理。

E:\

Administrators全部（该文件夹，子文件夹及文件）

E:\site

Administrators全部（该文件夹，子文件夹及文件）

system全部（该文件夹，子文件夹及文件）

service全部（该文件夹，子文件夹及文件）

E:\site\vhost1

Administrators全部（该文件夹，子文件夹及文件）

system全部（该文件夹，子文件夹及文件）

vhost1全部（该文件夹，子文件夹及文件）

3.数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限。

4.其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限。

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format

5.删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述。

四、防火墙、杀毒软件的安装

推荐小红伞晓月版

五、SQL2000 SERV-U FTP安全设置

SQL安全方面

1.System Administrators 角色最好不要超过两个

2.如果是在本机最好将身份验证配置为Win登陆

3.不要使用Sa账户，为其配置一个超级复杂的密码

4.删除以下的扩展存储过程格式为:

use master

sp_dropextendedproc '扩展存储过程名'

xp_cmdshell:是进入操作系统的最佳捷径，删除

访问注册表的存储过程，删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate Sp_OADestroy Sp_OetErrorInfo Sp_OetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

5.隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口

serv-u的几点常规安全需要设置下:

选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

六、IIS安全设置

IIS的相关设置：

删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c：inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库，尽量用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C：WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，root，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵可对该用户站点所在目录设置具体的权限，所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件（如生成html的程序）不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步，更多的只能在方法用户从脚本提升权限：

ASP的安全设置：

://.knowsky/system.asp

设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：

regsvr32/u C：\WINNT\System32\wshom.ocx

del C：\WINNT\System32\wshom.ocx

regsvr32/u C：\WINNT\system32\shell32.dll

del C：\WINNT\system32\shell32.dll

即可将WScript.Shell， Shell.lication， WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.lication执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。

另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c：winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！

PHP的安全设置：

默认安装的php需要有以下几个注意的问题：

C：\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默认是on，但需检查一遍]

open_basedir =web目录

disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod

默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的；]

MySQL安全设置：

如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：

删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表，取消不必要用户的shutdown_priv，relo

ad_priv，process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限（此目录存放了mysql数据库的数据信息）。对于mysql安装目录给users加上读取、列目录和执行权限。

Serv-u安全问题：

安装程序尽量用最新版本，避免用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围（4001—4003）在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。

更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in， home directory does not exist.比如在测试的时候ftp根目录为d：soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。

七、其它

1.隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

2.启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器；

3.防止SYN洪水攻击：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300，000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口：

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8.禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9.更改TTL值：

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107（WINNT）;

TTL=108（win2000）;

TTL=127或128（win9x）;

TTL=240或241（linux）;

TTL=252（solaris）;

TTL=240（Irix）;

实际上你可以自己更改的：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff（0-255 十进制，默认值128）改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。

10. 删除默认共享：

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接：

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

12.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nstat命令来读取你的NetBIOS信息和网卡MAC地址了。

13. 账户安全

首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户，看你崩溃不？

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理

14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样，出错了自动转到首页。

15.本地安全策略和组策略的设置，如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值

打开 %SystemRoot%\Security文件夹，创建一个 "OldSecurity"子目录，将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名，如改为"Secedit.old"

启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC"，启动管理控制台，"添加/删除管理单元"，将"安全配置和分析"管理单元添加上

右击"安全配置和分析"->"打开数据库"，浏览"C:\WINNT\security\Database"文件夹，输入文件名"secedit.sdb"，单击"打开"

当系统提示输入一个模板时，选择"Setup Security.inf"，单击"打开"，如果系统提示"拒绝访问数据库"，不管他，你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库，在"C:\WINNT\security"子文件夹下重新生成了log文件，安全数据库重建成功。

16.禁用DCOM:

运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

第二步：

尽管Windows 2003的功能在不断增强，但是由于先天性的原因，它还存在不少安全隐患，要是不将这些隐患“堵住”，可能会给整个系统带来不必要的麻烦；下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法，希望能对各位带来帮助！

堵住自动保存隐患

Windows 2003操作系统在调用应用程序出错时，系统中的Dr. Watson会自动将一些重要的调试信息保存起来，以便日后维护系统时查看，不过这些信息很有可能被黑客“瞄上”，一旦瞄上的话，各种重要的调试信息就会暴露无疑，为了堵住Dr. Watson自动保存调试信息的隐患，我们可以按如下步骤来实现：

1、打开开始菜单，选中“运行”命令，在随后打开的运行对话框中，输入注册表编辑命令“ergedit”命令，打开一个注册表编辑窗口；

2、在该窗口中，用鼠标依次展开HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在对应AeDebug键值的右边子窗口中，用鼠标双击Auto值，在弹出的参数设置窗口中，将其数值重新设置为“0”，

3、打开系统的Windows管理器窗口，并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹，最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。

完成上面的设置后，重新启动一下系统，就可以堵住自动保存隐患了。

堵住共享隐患

为了给局域网用户相互之间传输信息带来方便，Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能，不过我们在享受该功能带来便利的同时，共享功能也会“引狼入室”，“大度”地向黑客们敞开了不少漏洞，给服务器系统造成了很大的不安全性；所以，在用完文件或打印共享功能时，大家千万要随时将功能关闭哟，以便堵住共享隐患，下面就是关闭共享功能的具体步骤：

1、执行控制面板菜单项下面的“网络连接”命令，在随后出现的窗口中，用鼠标右键单击一下“本地连接”图标；

2、在打开的快捷菜单中，单击“属性”命令，这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框；

3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项；

4、如此一来，本地计算机就没有办法对外提供文件与打印共享服务了，这样黑客自然也就少了攻击系统的“通道”。

堵住远程访问隐患

在Windows2003系统下，要进行远程网络访问连接时，该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码，通过普通明文内容方式传输给对应连接端的客户端程序；在明文帐号传输过程中，实现“安插”在网络通道上的各种嗅探工具，会自动进入“嗅探”状态，这个明文帐号就很容易被“俘虏”了；明文帐号内容一旦被黑客或其他攻击者另谋他用的话，呵呵，小心自己的系统被“疯狂”攻击吧！为了杜绝这种安全隐患，我们可以按下面的方法来为系统“加固”：

1、点击系统桌面上的“开始”按钮，打开开始菜单；

2、从中执行控制面板命令，从弹出的下拉菜单中，选中“系统”命令，打开一个系统属性设置界面；

3、在该界面中，用鼠标单击“远程”标签；

4、在随后出现的标签页面中，将“允许用户远程连接到这台计算机”选项取消掉，这样就可以将远程访问连接功能屏蔽掉，从而堵住远程访问隐患了。

堵住用户切换隐患

Windows 2003系统为我们提供了快速用户切换功能，利用该功能我们可以很轻松地登录到系统中；不过在享受这种轻松时，系统也存在安装隐患，例如我们要是执行系统“开始”菜单中的“注销”命令来，快速“切换用户”时，再用传统的方式来登录系统的话，系统很有可能会本次登录，错误地当作是对计算机系统的一次暴力“袭击”，这样Windows2003系统就可能将当前登录的帐号当作非法帐号，将它锁定起来，这显然不是我们所需要的；不过，我们可以按如下步骤来堵住用户切换时，产生的安全隐患：

在Windows 2003系统桌面中，打开开始菜单下面的控制面板命令，找到下面的“管理工具”命令，再执行下级菜单中的“计算机管理”命令，找到“用户帐户”图标，并在随后出现的窗口中单击“更改用户登录或注销的方式”；在打开的设置窗口中，将“使用快速用户切换”选项取消掉就可以了。

堵住页面交换隐患

Windows 2003操作系统即使在正常工作的情况下，也有可能会向黑客或者其他访问者泄漏重要的机密信息，特别是一些重要的帐号信息。也许我们永远不会想到要查看一下，那些可能会泄漏隐私信息的文件，不过黑客对它们倒是很关心的哟！Windows 2003操作系统中的页面交换文件中，其实就隐藏了不少重要隐私信息，这些信息都是在动态中产生的，要是不及时将它们清除，就很有可能成为黑客的入侵突破口；为此，我们必须按照下面的方法，来让Windows 2003操作系统在关闭系统时，自动将系统工作时产生的页面文件全部删除掉：

1、在Windows 2003的“开始”菜单中，执行“运行”命令，打开运行对话框，并在其中输入“Regedit”命令，来打开注册表窗口；

2、在该窗口的左边区域中，用鼠标依次单击HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management键值，找到右边区域中的ClearPageFileAtShutdown键值，并用鼠标双击之，在随后打开的数值设置窗口中，将该DWORD值重新修改为“1”；

3、完成设置后，退出注册表编辑窗口，并重新启动计算机系统，就能让上面的设置生效了。

已启用NetBIOS over Tcpip 下栏临时IPv6 地址什么意思

解决方法:

在"我的电脑"> 右键,选择属性,点"管理",打开"计算机管理">"本地用户和组"

在里面设置用户和组的安全性就OK

禁用"相应的用户"

禁用"相应的组"

一、禁止默认共享

1.先察看本地共享

运行-cmd-输入net share

2.删除共享(每次输入一个）

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

3.删除ipc$空连接

在运行内输入regedit

在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA

项里数值名称RestrictAnonymous的数值数据由0改为1.

4.关闭自己的139端口,ipc和RPC漏洞存在于此.

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”

属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关

闭了139端口,禁止RPC漏洞.

二、设置服务项，做好内部防御

A.服务策略：

控制面板→管理工具→服务

关闭以下服务：

1.Alerter[通知选定的用户和计算机管理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去，关闭后远程计算机无法访问共享

4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]

5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]

6.IMAPI CD-Burning COM Service[管理 CD 录制]

7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]

8.Kerberos Key Distribution Center[授权协议登录网络]

9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]

10.Messenger[警报]

11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]

14.Print Spooler[打印机服务，没有打印机就禁止吧]

15.Remote Desktop Help Session Manager[管理并控制远程协助]

16.Remote Registry[使远程计算机用户修改本地注册表]

17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]

19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]

20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持

而使用户能够共享文件、打印和登录到网络]

21.Telnet[允许远程用户登录到此计算机并运行程序]

22.Terminal Services[允许用户以交互方式连接到远程计算机]

23.Windows Image Acquisition (WIA)[照相服务，应用与数码摄象机]

B.帐号策略：

一.打开管理工具.本地安全设置.密码策略

1.密码必须符合复杂要求性.启用

2.密码最小值.我设置的是10

3.密码最长使用期限.我是默认设置42天

4.密码最短使用期限0天

5.强制密码历史 记住0个密码

6.用可还原的加密来存储密码 禁用

-------------------

C.本地策略:

打开管理工具

找到本地安全设置.本地策略.审核策略

1.审核策略更改 成功失败

2.审核登陆 成功失败

3.审核对象访问 失败

4.审核跟踪过程 无审核

5.审核目录服务访问 失败

6.审核特权使用 失败

7.审核系统 成功失败

8.审核帐户登陆时间 成功失败

9.审核帐户管理 成功失败

然后再到管理工具找到

查看器

应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不覆盖

安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖

系统 右键 属性 设置日志大小上限 我都是设置了512000KB 选择不覆盖

D.安全策略:

打开管理工具

找到本地安全设置.本地策略.安全选项

1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]

2.网络访问.不允许SAM帐户的匿名枚举 启用

3.网络访问.可匿名的共享 将后面的值删除

4.网络访问.可匿名的命名管道 将后面的值删除

5.网络访问.可远程访问的注册表路径 将后面的值删除

6.网络访问.可远程访问的注册表的子路径 将后面的值删除

7.网络访问.限制匿名访问命名管道和共享

8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]

9.帐户.重命名系统管理员帐户[建议取中文名]

E.用户权限分配策略:

打开管理工具

找到本地安全设置.本地策略.用户权限分配

1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID

2.从远程系统强制关机,Admin帐户也删除,一个都不留

3.拒绝从网络访问这台计算机 将ID删除

4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务

5.通过终端允许登陆 删除Remote Desktop Users

F.终端服务配置

打开管理工具

终端服务配置

1.打开后，点连接,右键,属性,远程控制,点不允许远程控制

2.常规,加密级别,高,在使用标准windows验证上点√!

3.网卡,将最多连接数上设置为0

4.高级,将里面的权限也删除.[我没设置]

再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话

G.用户和组策略

打开管理工具

计算机管理.本地用户和组.用户

删除Support_388945a0用户等等

只留下你更改好名字的adminisrator权限

计算机管理.本地用户和组.组

组.我们就不组了.分经验的(不管他.默认设置)

X.DIY策略[根据个人需要]

1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.

2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.

3.对匿名连接的额外限制

4.禁止按 alt+crtl+del

5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]

6.只有本地登陆用户才能访问cd-rom

7.只有本地登陆用户才能访问软驱

8.取消关机原因的提示

1、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面；

2、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框；

3、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机；

4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。

9.禁止关机跟踪

开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，

选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“

（Administrative Templates）-> ”系统“（System）,在右边窗口双击

“Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），

点击然后“确定”（OK）保存后退出这样，你将看到类似于windows 2000的关机窗口

三、修改权限防止或木马等破坏系统

winxp、windows2003以上版本适合本方法.

因为目前的木马抑或是都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话

那么,它们就没有办法写在里面了.看命令

A命令

cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录

cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录

呵呵，这样等就进不去了，如果你觉得这个还不够安全，

还可以进行修改觉得其他危险目录,比如直接修改C盘的权限，但修改c修改、写入后，安装软件时需先把权限恢复过来才行

B命令

cacls C: /G administrator:R 禁止修改、写入C盘

cacls C: /G administrator:F 恢复修改、写入C盘

这个方法防止，

如果您觉得一些防火墙消耗内存太大的话

此方法稍可解决一点希望大家喜欢这个方法^_^

X命令

以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]

cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd

cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd

cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp.exe

cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp.exe

cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe

cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe

四、重要文件名加密[NTFS格式]

此命令的用途可加密windows的密码档,QQ密码档等等^.^

命令行方式

加密：在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名（或文件夹名）”。

解密：在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名（或文件夹名）”。

五、修改注册表防御D.D.O.S

在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击

SynAttackProtect REG_DWORD 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

更多新的防御技巧请搜索其他信息,

由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...

六、打造更安全的防火墙

只开放必要的端口，关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放，

黑客就会利用扫描工具扫描那些端口可以利用，这对安全是一个严重威胁。 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人：OICQ 250875628

端口 协议 应用程序

21 TCP FTP

25 TCP SMTP

53 TCP DNS

80 TCP HTTP SERVER

1433 TCP SQL SERVER

5631 TCP PCANYWHERE

5632 UDP PCANYWHERE

6（非端口） IP协议

8（非端口） IP协议

那么,我们根据自己的经验,将下面的端口关闭

TCP

21

22

23

25 TCP SMTP

53 TCP DNS

80

135 epmap

138 [冲击波]

139 smb

445

1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b

1026 DCE/12345778-1234-abcd-ef00-0123456789ac

1433 TCP SQL SERVER

5631 TCP PCANYWHERE

5632 UDP PCANYWHERE

3389

4444[冲击波]

4489

UDP

67[冲击波]

137 netbios-ns

161 An SNMP Agent is running/ Default community names of the SNMP Agent

关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了

七、保护个人隐私

1、TT浏览器

选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的.

TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是.[TT就是腾讯的浏览器](不过有些人喜欢用MyIE,因为我使用的时间和对他的了解不是很深吧,感觉不出他对安全方面有什么优势一_一~,希望支持MyIE的朋友不要揍我,否则我会哭... ...)

2、移动“我的文档”

进入管理器，右击“我的文档”，选择“属性”，在“目标文件夹”选项卡中点“移动”按钮，

选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪，桌面、开始等处都看不到了，

建议经常使用的朋友做个快捷方式放到桌面上。

3、移动IE临时文件

进入“开始→控制面板→Internet 选项”，在“常规”选项卡的“Internet 文件”栏里点“设置”按钮，

在弹出窗体中点“移动文件夹”按钮，选择目标文件夹后，点“确定”，在弹出对话框中选择“是”，

系统会自动重新登录。点本地连接,高级,安全日志,把日志的目录更改专门分配日志的目录，

不建议是C:再重新分配日志存储值的大小,我是设置了10000KB

局域网访问问题,急求解决!

启用NetBIOSoverTcpip下栏临时IPv6地址即共享了该IPv6地址

netbiosovertcpip是指集成于TCP/IP协议里面的NetBIOS协议（从windowsXP开始的），这个协议主要用于局域网，共享文件和打印机需要这个协议。否则不需要这个协议。

启用NetBIOSoverTcpip下栏临时IPv6地址即做到了共享了该IPv6地址。

关闭NetBios over Tcpip项后 为什么无法上网，找不到IP 地址。

1.1.网线。双机互连不使用HUB或交换机，用交叉线连接两机；如果使用HUB或者交换机，均用直连线连接至HUB或交换机，保证交换机、网卡状态灯正常。

1.2.IP协议。WIN98及以后的机器在安装时会默认安装TCP/IP协议，WIN95需要另外安装。在网上邻居－>属性（WIN9X/Me）或者网上邻居－>属性－>本地连接－>属性（WIN2K/XP）里可以查看是否安装了TCP/IP协议。

1.3.IP地址。在TCP/IP属性里设置IP地址、子网掩码和网关，如果有需要可以设置DNS和WINS服务器地址。IP地址推荐设置：192.168.X.X，子网掩码：255.255.255.0。如果你的局域网中有DHCP服务器，选择自动获取地址即可。 验证方法：在DOS提示符下使用ping x.x.x.x（对方IP地址），如返回如下信息，说明IP设置成功： Reply from x.x.x.x（对方IP地址）:bytes=32 time<1ms TTL=128

1.4.NetBIOS over TCP/IP。网上邻居的浏览和通讯要使用NetBIOS协议，该协议是无法被路由器转发的，因此WIN2K及以后的操作系统均提供将NetBIOS协议封装在TCP/IP中的功能。在Win9X/Me系统中，打开网上邻居－>属性可以参看是否安装了NetBIOS协议，在Win2K/XP中，打开TCP/IP属性－>高级－>WINS－>NetBIOS设置，选择“启用TCP/IP上的NetBIOS”。 验证NetBIOS名称解析：使用ping XXXX（对方机器名），如果返回如1.3中的信息，说明NetBIOS协议解析正常。

1.5.HOST文件。如果在1.4中无法正确解析机器名，可以修改host文件，在WINDOWS目录中搜索HOST关键字，找到后，使用记事本打开host（有的系统为host.sam），在末尾加入如下内容： x.x.x.x（对方的IP地址）使用Tab键跳到下一制表列XXXX（对方的机器名） 存盘退出，注意，如果原文件带有.sam扩展名，要去掉扩展名，才能生效。使用与1.4.同样的方法验证。

1.6.启用打印与文件共享。在网上邻居和本地连接属性里可以看到是否安装了打印机与文件共享。验证：如果在网上邻居中看不到自己的机器，说明你没有安装打印机与文件共享。

1.7.启用GUEST用户：WIN2K/XP在工作组模式下要使用Guest用户来允许网络访问，因此要启用Guest用户。打开控制面板－>用户帐户或者在管理工具－>计算机管理－>本地用户和组中打开Guest帐户，如果使用域管理模式，可以忽略这一步。

1.8.启用计算机浏览服务。WIN2K/XP要确保计算机浏览服务正常启动。打开计算机管理－>服务和应用程序－>服务，确保“Computer Browser”没有被停止或禁用。

1.9.防火墙：确保WINXP自带的防火墙没有开启，打开本地连接属性－>高级，关掉Internet连接防火墙。如果使用了第三方的防火墙产品，参考其使用手册，确保防火墙没有禁止以下端口的通讯：UDP－137、UDP－138、TCP－139、TCP－445（仅WIN2K及以后的操作系统）。

1.10.设置共享文件夹和打印机。 经过以上步骤，你的网上邻居应该可以正常工作了。

网上邻居的常见问题

1：所有的网上邻居中的机器不可访问 ----主浏览器死机，还没有选举出新的浏览器

2：某些网上邻居的机器不可用 可以在“网上邻居”中看到一台电脑，但是点击该电脑图标却出现“网络路径不存在”的错误提示----是浏览表中的内容没有更新 。如果一台电脑非法关机，它的名字可能会在网络上保留40多分钟，所以你现在点击的可能是一台非法关机的电脑。因为浏览列表的获得不是通过访问其中每一台机子得到的，很多时候网络中的计算机并不能正确更新浏览列表。当一台计算机正常关机时，它会向网络发出广播宣告，使浏览主控服务器及时将它从浏览列表中删除；而非正常关机后，浏览列表里仍会把该条目保持很长一段时间(NT下是45分钟),这就是我们仍能在网络邻居里看到它的原因。另外有时候，明明计算机已经关了，但网上邻居上却仍然存在 ----这个是网上邻居的正常现象，也是浏览表没有更新的原因。主浏览器的列表更新需要每隔一段时间进行，这样客户机得到的浏览列表就不是实时更新的。比如客户机非法关机后，在主浏览器的浏览列表里还会保存很长一段时间，而实际上该计算机已经无法访问了。 解决方案：如果要访问的计算机不在网上邻居的列表里或在列表里却无法通过NetBIOS名称访问，可以在地址栏里输入“\\IP地址”来访问。

3：用windows98操作系统访问win2000或xp系统时无法访问。可能是win2000或xp系统上的 guest 帐号被禁用或者Win2000用了NTFS分区格式，设置了权限控制。解决方案：启用Win2000里的guest 用户 ，如果没有启用guest用户那么Win98访问Win2000时会要求输入IPC$密码。同时查看要访问的分区或文件夹是否设置了过高的访问权限，一般要允许Win98系统的机器访问的话，Win2000里的安全控制里不要将everyone的账号组删除。 1.如果是98的话，在开启了系统Guest用户的情况下，点击“开始”—→“运行”，输入gpedit.msc，可以调出组策略编辑器，在“本地计算机策略—→计算机配置—→Windows设置—→安全设置—→本地策略—→用户权利指派—→拒绝从网络访问这台计算机”中赫然可以看到有Guest用户！如果在这里删除Guest用户，那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了。 2.如果是2000或者xp的话，你就干脆把网络协议全部删掉，只留有用的，如：TCP/IP,IPX/SPX,NETBUIE。不必要的网络协议往往会影响网络的连接速度和效率。 ping不通，可能是xp自带防火墙，关掉它试试。

4： 网上邻居电脑或工作组名单的来源。 如果是每次需要时才开始在网上查找电脑，寻找方式除了广播以外别无它法，如果有多台电脑同时执行类似任务，势必引发网络大赛车，因此Mircosoft提出了Browser Service（浏览服务）作为解决方案。Mircosoft网络上必须有一台或数台机器充当浏览服务器，维护并随时更新网络上的电脑与工作组名单，这样任何一台电脑需要浏览“网上邻居”，便可以向服务器请求名单，避免了广播查询造成的网络阻塞。可以担任Browser的电脑并不是随意的，这取决与该电脑用什么操作系统和它开机时间长短。一般来说，用WinNT/2000/XP作为操作系统比Win9X/ME的电脑成为Browser的优先级高，如果操作系统相同，则比较系统的版本，新版本优先权高，如果系统和版本相同，则先开机的优先。当网络中第一台电脑开机时，它会发出查询有没有Master Browser，如果没有则自己成为Master Browser，如果有的话则会比较操作系统的版本，高的成为Master Browser。当一台非Master Browser关机时，它会主动通知Master Browser，然后由Master Browser将它从网络清单中清除，但是如果客户机非正常关机，则Master Browser不会将它从网络清单中清除，最长要经过48分钟后才会将它清除掉。

5： “网上邻居”非常慢 。原因：一、网上邻居提速两原则： 1、使用单一网络通信协议 windows允许是用多种通信协议，如NetBEUI和 IPX/spx等，虽然方便，但也制造了更多的网络广播垃圾，同时也减缓了存取网络的速度，只用一种通信协议当然最理想不过，因此若没有必要，将多余的协议删掉。 2、使用WINS服务器配合使用TCP IP ，WinNT/2000 server提供WINS服务器功能，在局域网中安装一台WINS服务器，则网络上所有电脑都成为WiNS客户端，这样客户端只需要向WINS服务器发出请求而不必进行广播查询，对于中大型网络是个不错的选择。 二、Master Browser是关键有的Master Browser系统差不多要耗尽（需要重起），也有的Master Browser被使用了防火墙的用户霸占，这时我们就需要先找到它，然后再取相应方式解决。WinNT/2000 Resource kit中一个叫Browstat.exe的小工具可以帮我们找到Master Browser，安装后执行 net config rdr ,然后记下NetBT_Tcpip_及后边大括号中的内容，如是NetBT_Tcpip_{612E.....},然后执行Browstat GETMASTER NetBT_Tcpip_{612E.....} XXX （XXX是要获得Master Browser的工作组或域）。如果访问一个工作组时被告知该工作组列表拒绝访问，这种情况一般都是该工作组的Master Browser用了防火墙，找到该机器，关闭防火墙就可以解决问题。 为什么我浏览网上邻居的时候很慢？怎样解决？ :因为通过网上邻居浏览其它计算机的时候，2000会先搜索自己的共享目录和可作为网络共享的打印机以及任务中和网络相关的任务，所以导致速度慢。 启动注册表编辑器regedit 找到 HKEY_LOCAL_MACHINE/sofeware/Microsoft/Windows/Current Version/Explore/RemoteComputer/NameSpace 删除{2227A280-3AEA-1069-A2DE08002B30309D}（打印机）删除{D6277990-4C6A-11CF8D87-00AA0060F5BF}（任务）再次打开的时候就会发现速度比以前提高很多了。

6：不能浏览网络，但是却能够与局域网的其它计算机玩网络游戏。

（1）.确保硬件没有问题 有些人虽然打开网上邻居时有错误，提示不能浏览网络，但是却能够与局域网的其它计算机玩网络游戏。这就表明你的硬件没有问题。再者，用ping命令，ping本地的IP地址或计算机名。如果能ping通，也说明你的硬件没有问题。

（2）.网络配置 若是Windows 98系列操作系统，强烈建议宿舍、家庭局域网在网络组件中安装五个网络组件（如图），缺一不可，多则累赘。第一个是Microsoft 网络用户，第二个是正确安装网卡驱程，第三个和第四个是IPX协议和TCP/IP协议，最后一个是Microsoft 网络文件共享。若是Windows 2000、XP操作系统，也只需要做类似设置即可。

（3）.TCP/IP里面的设置 保证局域网里面的计算机处于同一网段上。一般把IP地址设为：192.168.1.X，子网掩码：255.255.255.0，就可以了。

（4）.不要更改其它网络组件的默认设置 总结 提示读者注意的是，一定要注视第2点所说的安装网络文件共享这个组件。只要局域网中有一台计算机没有装这个东东，出现无法浏览网络的几率就大大提升了。 说到最后，还要加上一句读者不希望看到话：即使是硬件没问题，软件设置没有问题，在对等局域网中出现无法浏览网上邻居还是不可避免的现象！！这涉及到计算机列表保存在主控服务器上的知识， 不是一两句话能够说清楚的。我们只要做到上面几点，就很少会出现无法浏览网上邻居的情况。

7：可以访问别人的电脑，别人看不到自己的电脑。这种情况应该是你只安装了网卡驱动，网络协议和Microsoft网络用户，所以你可以访问别人的电脑，但是没有安装“文件与打印机共享服务”，也就是没有作为服务器的功能，所以别人看不到你的电脑。

NETBIOS

OVER

TCPIP默认开启了137、138、139、445端口。...

简单来说:DHCP

Client

和

TCP/IP

NetBIOS

Helper网络服务依赖于netbios

over

tcpip

驱动,如果将其停止,相关的两个服务也会停止,这样本地PC就无法从DHCP服务器上获取IP