电脑在启动时会自动寻找config.sys这个档案，如果没有它，电脑就按默认的方式运行，但这种默认的方式在大部分情况下都不是最适合电脑使用的，所以我们应对电脑进行设定，比如设定对扩展记忆体的使用，载入光碟机驱动程式等。

如果您的电脑出现Windows使用不了、游戏报告记忆体不够、光碟机找不到、无法连线网路等等错误，合理修改config.sys也许能解决一半以上的问题。

config.sys是文本档案，可以用任何编辑器编辑修改。如果你增添、更改或删除config.sys档案中的任一配置命令，则这种改变只在下一次启动DOS时才有效。

1、按照Windows2003安装光碟的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

2、IIS6.0的安装

开始选单—>控制台—>添加或删除程式—>添加/删除Windows组件

|——启用网路 COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）

|——公用档案（必选）

|——全球资讯网服务———Active Server pages（必选）

|——Internet 数据连线器（可选）

|——WebDAV 发布（可选）

|——全球资讯网服务（必选）

|——在伺服器端的包含档案（可选）

然后点击确定—>下一步安装。

3、系统补丁的更新

点击开始选单—>所有程式—>Windows Update

按照提示进行补丁的安装。

4、备份系统

用GHOST备份系统。

5、安装常用的软体

例如：防毒软体、解压缩软体等；安装之后用GHOST再次备份系统。

1、磁碟许可权

系统盘及所有磁碟只给 Administrators 组和 SYSTEM 的完全控制许可权

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制许可权

系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制许可权

系统盘\Inetpub 目录及下面所有目录、档案只给 Administrators 组和 SYSTEM 的完全控制许可权

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 档案只给 Administrators 组和 SYSTEM 的完全控制许可权

2、本地安全策略设定

开始选单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改　成功　失败

审核登录事件　成功　失败

审核对象访问　失败

审核过程跟蹤　无审核

审核目录服务访问　失败

审核特权使用　失败

审核系统事件　成功　失败

审核账户登录事件　成功　失败

审核账户管理　成功　失败

B、 本地策略——>用户许可权分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登入：加入Guests、User组

通过终端服务允许登入：只加入Administrators组，其他全部删除

C、本地策略——>安全选项

互动式登入：不显示上次的用户名　启用

网路访问：不允许SAM帐户和共享的匿名枚举　启用

网路访问：不允许为网路身份验证储存凭证　启用

网路访问：可匿名访问的共享　全部删除

网路访问：可匿名访问的命　全部删除

网路访问：可远程访问的注册表路径　全部删除

网路访问：可远程访问的注册表路径和子路径　全部删除

帐户：重命名来宾帐户　重命名一个帐户

帐户：重命名系统管理员帐户　重命名一个帐户

3、禁用不必要的服务

开始选单—>管理工具—>服务

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Server

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

4、启用防火墙

桌面—>网上邻居—>（右键）属性—>本地连线—>（右键）属性—>高级—>（选中）Internet 连线防火墙—>设定

把伺服器上面要用到的服务连线埠选中

例如：一台WEB伺服器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）

在“FTP 伺服器”、“WEB伺服器（HTTP）”、“远程桌面”前面打上对号

如果你要提供服务的连线埠不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台伺服器，请先确定远程管理的连线埠是否选中或添加。

核心本身也可以看成是一个“程式”。为什幺核心需要配置档案？核心需要了解系统中用户和组的列表，进而管理档案许可权（即根据许可权判定特定用户（UNIX_USERS）是否可以打开某个档案）。注意，这些档案不是明确地由程式读取的，而是由系统库所提供的一个函式读取，并被核心使用。例如，程式需要某个用户的（加密过的）密码时不应该打开 /etc/passwd 档案。相反，程式应该调用系统库的getpw() 函式。这种函式也被称为系统调用。打开 /etc/passwd 档案和之后查找那个被请求的用户的密码都是由核心（通过系统库）决定的。

除非另行指定，Red Hat Linux 系统中大多数配置档案都在 /etc 目录中。配置档案可以大致分为下面几类：

/etc/host.conf 告诉网路域名伺服器如何查找主机名。（通常是 /etc/hosts，然后就是名称伺服器；可通过 netconf 对其进行更改。）

/etc/hosts 包含（本地网路中）已知主机的一个列表。如果系统的 IP 不是动态生成，就可以使用它。对于简单的主机名解析（点分表示法），在请求 DNS 或 NIS 网路名称伺服器之前，/etc/hosts.conf 通常会告诉解析程式先查看这里。

/etc/hosts.allow 请参阅 hosts_access 的在线上帮助页。至少由 tcpd 读取。

/etc/hosts.deny 请参阅 hosts_access 的在线上帮助页。至少由 tcpd 读取。

/etc/issue & /etc/issue.net 这些档案由 mingetty（和类似的程式）读取，用来向从终端（issue）或通过 telnet 会话（issue.net）连线的用户显示一个“welcome”字元串。 它们包括几行声明 Red Hat 版本号、名称和核心ID 的信息。它们由 rc.local 使用。

/etc/redhat-release 包括一行声明 Red Hat 版本号和名称的信息。由 rc.local 使用。

/etc/rc.d/rc 通常在所有运行级别运行，级别作为参数传送。 例如，要以图形（Graphics）模式（X-Server）引导机器，请在命令行运行下面的命令：init 5。运行级别 5 表示以图形模式引导系统。

/etc/rc.d/rc.local 非正式的。可以从 rc、rc.sysinit 或 /etc/inittab 调用。

/etc/rc.d/rc.sysinit 通常是所有运行级别的第一个脚本。

/etc/rc.d/rc/rcX.d 从 rc 运行的脚本（X 表示 1 到 5 之间的任意数字）。这些目录是特定“运行级别”的目录。 当系统启动时，它会识别要启动的运行级别，然后调用该运行级别的特定目录中存在的所有启动脚本。例如，系统启动时通常会在引导讯息之后显示“entering run-level 3”的讯息；这意味着 /etc/rc.d/rc3.d/ 目录中的所有初始化脚本都将被调用。

核心提供了一个接口，用来显示一些它的数据结构，这些数据结构对于决定诸如使用的中断、初始化的设备和记忆体统计信息之类的系统参数可能很有用。这个接口是作为一个独立但虚拟的档案系统提供的，称为 /proc 档案系统。很多系统实用程式都使用这个档案系统中存在的值来显示系统统计信息。例如，/proc/modules 档案列举系统中当前载入的模组。lsmod 命令读取此信息，然后将其以人们可以看懂的格式显示出来。 下面表格中指定的 mtab 档案以同样的方式读取包含当前安装的档案系统的 /proc/mount 档案。

/etc/mtab 这将随着 /proc/mount 档案的改变而不断改变。换句话说，档案系统被安装和卸载时，改变会立即反映到此档案中。

/etc/fstab 列举计算机当前“可以安装”的档案系统。 这非常重要，因为计算机引导时将运行 mount -a 命令，该命令负责安装 fstab 的倒数第二列中带有“1”标记的每一个档案系统。

/etc/mtools.conf DOS 类型的档案系统上所有操作（创建目录、複製、格式化等等）的配置。

系统管理

/etc/group 包含有效的组名称和指定组中包括的用户。单一用户如果执行多个任务，可以存在于多个组中。例如，如果一个“用户”是“project 1”工程组的成员，同时也是管理员，那幺在 group 档案中他的条目看起来就会是这样的：user: * : group-id : project1

/etc/nologin 如果有 /etc/nologin 档案存在，login(1) 将只允许 root 用户进行访问。它将对其它用户显示此档案的内容并拒绝其登录。

etc/passwd 请参阅“man passwd”。它包含一些用户帐号信息，包括密码（如果未被 shadow程式加密过）。

/etc/rpmrc rpm 命令配置。所有的 rpm 命令行选项都可以在这个档案中一起设定，这样，当任何 rpm 命令在该系统中运行时，所有的选项都会全局适用。

/etc/securetty 包含设备名称，由 tty 行组成（每行一个名称，不包括前面的 /dev/），root 用户在这里被允许登录。

/etc/usertty

/etc/shadow 包含加密后的用户帐号密码信息，还可以包括密码时效信息。

/etc/shells 包含系统可用的可能的“shell”的列表。

/etc/motd 每日讯息；在管理员希望向 Linux 伺服器的所有用户传达某个讯息时使用。

初学者在使用电脑过程中，肯定会碰到各种各样的问题：如怎幺管理电脑的自启动程式、如何查看载入的系统服务、怎样从安装光碟提取丢失的系统档案等。为了解决类似问题，微软在系统中提供了一个实用工具——系统配置实用程式（Msconfig）。

以系统管理员身份登录系统后，单击“开始→运行”输入“Msconfig”回车后即可启动系统配置实用程式

下面就结合几个套用实例来详细介绍Msconfig的使用（以WinXP为例）。

默认情况下，Windows採用的是正常启动模式（即载入所有驱动和系统服务），但是有时候由于设备驱动程式遭到破坏或服务故障，常常会导致启动出现一些问题，这时可以利用Msconfig的其它启动模式来解决问题。单击 “一般”选项，在“启动模式”选择“诊断启动”，这种启动模式有助于我们快速找到启动故障原因。此外，还可以选择“有选择的启动模式”，按提示勾选需要启动的项目即可。

小提示：诊断启动是指系统启动时仅载入基本设备驱动程式如显示卡驱动，而不载入Modem、网卡等设备，服务也仅是系统必须的一些服务。这时系统是最乾净的，如果启动没有问题，可以依次载入设备和服务来判断问题出在哪里。

虽然WinXP具备强大的档案保护功能，不过有时候由于安装/卸载软体或误操作，还是经常会造成系统档案的丢失。一般重要的系统档案，在系统安装光碟CAB档案中都可以找到。单击上图的“展开档案”，然后在弹出视窗中依次输入要还原的档案（填入丢失档案名称）、还原自（单击“浏览自”，选择安装光碟的CAB压缩档案）、保存档案到（选择保存档案路径，WinXP/2000一般为c:windowssystem32，Win98则为c:windowssystem），最后单击“展开”，系统会自动解压CAB档案，将系统档案从安装光碟提取到电脑。

可以先用系统的SFC命令来扫描系统档案的改动，找出变化的系统档案，命令格式：SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]

/SCANNOW：立即扫描所有受保护的系统档案。

/SCANONCE：下次启动时扫描所有受保护的系统档案。

/SCANBOOT：每次启动时扫描所有受保护的系统档案。

/REVERT：将扫描返回到默认设定。

/PURGECACHE：清除档案快取。

/CACHESIZE=x：设定档案快取大小。

在电脑套用中经常会看到“许可权”这个词，特别是Windows 2000/XP被越来越多的朋友装进电脑后，常常会有读者问，什幺是许可权呢?它到底有什幺用?下面我们将用几个典型实例为大家讲解windows中的许可权套用，让你不仅可以在不安装任何软体的情况下，限制别人访问你的资料夹、指定用户不能使用的程式，而且还有来自微软内部的加强系统安全的绝招。

初识Windows的许可权

首先，要完全使用windows许可权的所有功能，请确保在套用许可权的分区为NTFS档案系统。本文将以windowsXP简体中文专业版+SP2作为範例讲解。

在以NT核心为基础的Windows 2000/XP中，许可权主要分为七大类完全控制、修改，读取和运行、列出资料夹目录、读取、写入、特别的许可权。

其中完全控制包含了其他六大许可权．只要拥有它，就等同于拥有了另外六大许可权，其余複选框会被自动选中．属于“最高等级”的许可权。

而其他许可权的等级高低分别是：特别的许可权>读取和运行>修改>写入>读取。

默认情况下，Windows XP将启用"简单档案共享"，这意味着安全性选项卡和针对许可权的高级选项都不可用．也就不能进行本文所述的那些许可权套用操作了。请右击任意档案或资料夹．选择“属性”，如果没有看到“安全”选项卡，你可以通过如下方法打开它。

打开“我的电脑”，点击“工具→资料夹选项→查看”，接着在然后单击取消“使用简单档案共享(推荐)”複选框即可。

实战许可权“正面”套用

以下套用的前提，是被限制的用户不在Administrators组，否则将可能发生越权访问，后面"反面套用"会讲到。执行许可权设定的用户至少需要为Power Users组的成员，才有足够许可权进行设定。

实例1：我的文档你别看－保护你的档案或资料夹

假设A电脑中有三个用户，用户名分别为User1、User2、User3。Userl不想让User2和User3查看和操作自己的“test”资料夹。

第一步：右击"test"资料夹并选择"属性"，进入"安全"选项卡，你将会看到"组或用户名称"栏里有Administrators(A\Administrators)、CREATOR OWNER、SYSTEM Users(A\Users)、User1(A\ User1)。他们分别表示名为A电脑的管理员组，创建、所有者组，系统组，用户组以及用户User1对此资料夹的许可权设定。当然，不同的电脑设定和软体安装情况，此栏里的用户或用户组信息不一定就是和我描述的一样．但正常情况下最少将包含3项之一：Administrators、SYSTEM、Users或Everyone。

第二步：依次选中并删除Administrators、CREATOR OWNER、SYSTEM、Users，仅保留自己使用的Userl账户。在操作中可能会遇到的提示框。

其实只要单击"高级"按钮，在"许可权"选项卡中，取消"从父项继承那些可以套用到子对象的许可权项目，包括那些在此明确定义的项目"的複选框，在弹出对话框中单击"删除"即可。该操作使此资料夹清除了从上一级目录继承来的许可权设定，仪保留了你使用的User1账户。

就这幺轻鬆，你就实现了其他用户，甚至系统许可权都无法访问"test"资料夹的目的。

★需要注意的是，如果这个资料夹中需要安装软体，那幺就不要删除"SYSTEM"，不然可能引起系统访问出错

★Administrator并不是最高指挥官：你可能会问，为什幺这里会有一个"SYSTEM"账户呢?同时许多朋友认为windows2000/XP中的Administrator是拥有许可权最高的用户，其实不然，这个"SYSTEM"才具有系统最高许可权，因为它是"作为作业系统的一部分工作"，任何用户通过某种方法获取了此许可权，就能凌驾一切。

实例2：上班时间别聊天－禁止用户使用某程式

第一步：找到聊天程式的主程式，如QQ，其主程式就是安装目录下的QQ.exe，打开它的属性对话框，进入"安全"选项卡，选中或添加你要限制的用户，如User3。

第二步：接着选择"完全控制"为"拒绝"，"读取和运行"也为"拒绝"。

第三步：单击"高级"按钮进入高级许可权没置，选中User3，点"编辑"按钮，进入许可权项目。在这里的"拒绝"栏中选中"更改许可权"和"取得所有权"的複选框。

也可以使用组策略编辑器来实现此功能，但安全性没有上面方法高。点击"开始→运行"，输入"gpedit.msc"，回车后打开组策略编辑器，进入"计算机设定→windows设定→安全设定→软体限制策略→其他规则"，右击，选择"所有任务→新路径规则"，接着根据提示设定想要限制的软体的主程式路径，然后设定想要的安全级别，是"不允许的"还是"受限制的"。

实例3：来者是客-－微软内部增强系统安全的秘技

本实战内容将需要管理员许可权。所谓入侵，无非就是利用某种方法获取到管理员级别的许可权或系统级的许可权，以便进行下一步操作，如添加自己的用户。如果想要使入侵者"进来"之后不能进行任何操作呢?永远只能是客人许可权或比这个许可权更低，就算本地登录，连关机都不可以。那幺，他将不能实施任何破坏活动。

注意：此法有较高的危险性．建议完全不知道以下程式用途的读者不要尝试．以免误操作引起系统不能进入或出现很多错误。

第一步：确定要设定的程式

搜寻系统目录下的危险程式，它们可以用来创建用户夺取及提升低许可权用户的许可权，格式化硬碟，引起电脑崩溃等恶意操作：cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe

第二步：按系统调用的可能性分组设定

按照下面分组．设定这些程式许可权。完成一组后，建议重启电脑确认系统运行是否一切正常，查看"事件查看器"，是否有错误信息("控制台→管理工具→事件查看器")。

(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com

(仅保留你自己的用户，SYSTEM也删除)

(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe

(仅保留你自己的用户，SYSTEM也删除)

(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe

(保留你自己的用户和SYSTEM)

(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe

(保留你自己的用户和SYSTEM)

第三步：用户名欺骗

这个方法骗不了经验丰富的入侵者，但却可以让不够高明的伪黑客们弄个一头雾水。

打开"控制台一管理工具一计算机管理"，找到"用户"，将默认的Administrator和Guest的名称互换，包括描述信息也换掉。完成后，双击假的"Administrator"用户，也就是以前的Guest用户．在其"属性"视窗中把隶属于列表里的Guests组删除．这样．这个假的"管理员"账号就成了"无党派人士"，不属于任何组，也就不会继承其许可权。此用户的许可权几乎等于0，连关机都不可以，对电脑的操作几乎都会被拒绝。如果有谁处心积虑地获取了这个用户的许可权，那幺他肯定吐血。

第四步：集权控制，提高安全性

打开了组策略编辑器，找到"计算机设定→windows设定→安全设定→本地策略→用户权利指派"，接着根据下面的提示进行设定。

(1)减少可访问此计算机的用户数，减少被攻击机会

找到并双击"从网路访问此计算机"，删除账户列表中用户组，只剩下"Administrators"；

找到并双击"拒绝本地登录"，删除列表中的"Guest"用户，添加用户组"Guests"。

(2)确定不想要从网路访问的用户，加入到此"黑名单"内

找到并双击"拒绝从刚络访问这台计算机"，删除账户列表中的"Guest"用户，添加用户组"Guests"；

找到并双击"取得档案或其他对象的所有权"，添加你常用的账户和以上修改过名称为"Guest"的管理员账户，再删除列表中"Administrators"。

(3)防止跨资料夹操作

找到并双击"跳过遍历检查"，添加你所使用的账户和以上修改过名称为"Guest"的管理员账户，再删除账户列表中的"Administrators"、"Everyone"和"Users"用户组。

(4)防止通过终端服务进行的密码猜解尝试

找到并双击"通过终端服务拒绝登录"，添加假的管理员账户"Administrator"；找到"通过终端服务允许登录"，双击，添加你常用的账户和以上修改过名称为"Guest"的管理员账户，再删除账户列表中的"Administrators"，"Remote Desktop User"和"HelpAssistant"(如果你不用远程协助功能的话才可删除此用户)。

(5)避免拒绝服务攻击

找到并双击"调整进程的记忆体配额"，添加你常用的账户，再删除账户列表中的"Administrators"

实例4："你的文档"别独享——突破资料夹"私有"的限制

windows XP安装完成并进入系统时，会询问是否将"我的文档"设为私有(专用)，如果选择了"是"，那将使该用户下的"我的文档"资料夹不能被其他用户访问，删除，修改。其实这就是利用许可权设定将此资料夹的访问控制列表中的用户和用户组删除到了只剩下系统和你的用户，所有者也设定成了那个用户所有，Administrators组的用户也不能直接访问。如果你把这个资料夹曾经设定为专用，但又在该盘重装了系统，此资料夹不能被删除或修改。可按照下面步骤解决这些问题，让你对这个资料夹的访问，畅通无阻。

第一步：登录管理员许可权的账户，如系统默认的Administrator，找到被设为专用的"我的文档"，进入其"属性"的"安全"选项卡，你将会看到你的用户不在里面，但也无法添加和删除。

第二步：单击"高级"按钮，进入高级许可权设定，选择"所有者"选项卡，在"将所有者更改为"下面的列表中选中你现在使用的用户，如"Userl(A\Userl)"，然后再选中"替换子容器及对象的所有者"的複选框，然后单击"套用"，等待操作完成。

第三步：再进入这个资料夹看看，是不是不会有任何许可权的提示了?可以自由访问了?查看里面的档案，複製、删除试试看．是不是一切都和"自己的"一样了?嘿嘿。如果你想要删除整个资料夹，也不会有什幺阻止你了。

SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 改3389 的

Windows 98提供了一款系统配置实用程式（Msconfig.exe），该工具允许你通过一系列複选框操作来修改系统配置，从而降低修改出错的风险。对于一些常见的疑难解答操作，採用人机会话的方式，特别适合于一般用户。

单击Windows 98的“开始”按扭，选择“运行”，在“运行”对话框中键入“msconfig.exe”，单击“确定”按扭启动系统配置实用程式。

使用Msconfig可以将当前的系统配置档案Config.sys、Autoexec.bat、System.ini 和 Win.ini分别备份成以.PSS为扩展名的档案，备份档案与原始档案位于同一目录下。这样做的目的是确保此次对系统配置档案所作的修改是可以还原的。具体操作：单击“常规”标籤，单击“创建备份”，然后单击“确定”；若单击“还原备份”，然后再单击“确定”按扭即可恢复原系统配置档案。

1．对于一般用户，也许希望在系统启动过程中，建立一个启动选单，以减少因系统异常而需要安全模式启动时，用户不必在启动系统时按住CTRL（对于某些计算机是F8） 键就能显示 Startup选单。具体操作：单击“常规”标籤的“高级”按扭，将“高级疑难解答设定”对话框中的“启用‘启动’选单”複选框选中。然后单击确定“按扭”退出。重新启机后设定生效。

2．系统掉电（或非正常关机）重新启动机器时，磁碟扫描程式便自动运行，当你不喜欢这种启动方式时，可以关闭磁碟扫描程式，具体操作：将“高级疑难解答设定”对话框中的“如果关机失败，请禁用磁碟扫描程式”複选框选中。然后单击“确定”按扭退出，重新启机后设定生效。

3． 如当恶作剧者（或其它原因）将你的机器记忆体由32MB限制为16MB时，将影响你的Windows及其应用程式的运行速度。解决方案是将“高级疑难解答设定”对话框中的“将记忆体限制为”複选框选中，并且将右框线中的值恢复为32MB，然后单击“确定”按钮退出，重新启机后设定生效。

在Windows 98的桌面或者系统列中，常常出现一些伴随系统启动过程中自动启动程式。你若想取消这些程式的自启动，可以选择“系统配置实用程式”对话框的“启动”标籤，在列表框中用滑鼠取消自启动程式左侧複选框的勾选，然后单击“确定”按钮，重新启机使设定生效。

基本的伺服器安全设定

安装好作业系统之后，最好能在託管之前就完成补丁的安装，配置好网路后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。

至于防毒软体我使用有两款，一款是瑞星，一款是诺顿，瑞星杀木马的效果比诺顿要强，我测试过病毒包，瑞星要多杀出很多，但是装瑞星的话会有一个问题就是会出现ASP动态不能访问，这时候需要重新修复一下，具体操作步骤是：

关闭防毒软体的所有的实时监控，脚本监控。

╭═══════════════╮╭═══════════════╮

在Dos命令行状态下分别输入下列命令并按回车（Enter）键：

regsvr32jscript.dll（命令功能：修复Java动态程式库）

regsvr32vbscript.dll（命令功能：修复VB动态程式库）

╰═══════════════╯╰═══════════════╯

不要指望防毒软体杀掉所有的木马，因为ASP木马的特徵是可以通过一定手段来避开防毒软体的查杀。

2003的连线埠禁止可以通过自身防火墙来解决，这样比较好，比筛选更有灵活性，桌面—>网上邻居—>（右键）属性—>本地连线—>（右键）属性—>高级—>（选中）Internet 连线防火墙—>设定

把伺服器上面要用到的服务连线埠选中

例如：一台WEB伺服器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）

在“FTP 伺服器”、“WEB伺服器（HTTP）”、“远程桌面”前面打上对号

如果你要提供服务的连线埠不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台伺服器，请先确定远程管理的连线埠是否选中或添加。

许可权设定

许可权设定的原理

?WINDOWS用户，在WINNT系统中大多数时候把许可权按用户（组）来划分。在【开始→程式→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

?NTFS许可权设定，请记住分区的时候把所有的硬碟都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的许可权。【档案（夹）上右键→属性→安全】在这里管理NTFS档案（夹）许可权。

?IIS匿名用户，每个IIS站点或者虚拟目录，都可以设定一个匿名访问用户（暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP档案的时候，这个.ASP档案所具有的许可权，就是这个“IIS匿名用户”所具有的许可权。

许可权设定

磁碟许可权

系统盘及所有磁碟只给 Administrators 组和 SYSTEM 的完全控制许可权

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制许可权

系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制许可权

系统盘\Inetpub 目录及下面所有目录、档案只给 Administrators 组和 SYSTEM 的完全控制许可权

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 档案只给 Administrators 组和 SYSTEM 的完全控制许可权

开始选单—>管理工具—>服务

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Server

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

改名或卸载不安全组件

不安全组件不惊人

在阿江探针1.9里加入了不安全组件检测功能（其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的），这个功能让很多站长吃惊不小，因为他发现他的伺服器支持很多不安全组件。

其实，只要做好了上面的许可权设定，那幺FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的资料夹或者站点的许可权。那个欢乐时光更不用怕，有防毒软体在还怕什幺时光啊。

最危险的组件是WSH和Shell，因为它可以运行你硬碟里的EXE等程式，比如它可以运行提升程式来提升SERV-U许可权甚至用SERVU来运行更高许可权的系统程式。

谨慎决定是否卸载一个组件

组件是为了套用而出现的，而不是为了不安全而出现的，所有的组件都有它的用处，所以在卸载一个组件之前，你必须确认这个组件是你的网站程式不需要的，或者即使去掉也不关大体的。否则，你只能留着这个组件并在你的ASP程式本身上下工夫，防止别人进来，而不是防止别人进来后SHELL。

比如，FSO和XML是非常常用的组件之一，很多程式会用到他们。WSH组件会被一部分主机管理程式用到，也有的打包程式也会用到。

最简单的办法是直接卸载后删除相应的程式档案。将下面的代码保存为一个.BAT档案，( 以下均以 WIN2000 为例，如果使用2003，则系统资料夹应该是 C:\WINDOWS\ )

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除档案，不用管它，重启一下伺服器，你会发现这三个都提示“×安全”了。

改名不安全组件

需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“”和“Shell.application”。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 档案。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_ajiang

那幺，就把刚才导出的.reg档案里的内容按上面的对应关係替换掉，然后把修改好的.reg档案导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码（两个档案我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\]

@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\\InProcServer32]

@="C:\\WINNT\\system32\\shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\\ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOT\CLSID\\TypeLib]

@=""

[HKEY_CLASSES_ROOT\CLSID\\Version]

@="1.1"

[HKEY_CLASSES_ROOT\CLSID\\VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]

@=""

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]

@="Shell.Application_ajiang.1"

你可以把这个保存为一个.reg档案运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：

【开始→程式→管理工具→服务】，找到Workstation，停止它，禁用它。

防止Serv-U许可权提升

其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设定一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字元就可以了，ServUAdmin.exe也一样处理。

另外注意设定Serv-U所在的资料夹的许可权，不要让IIS匿名用户有读取的许可权，否则人家下走你修改过的档案，照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防範

一般情况下，黑客总是瞄準论坛等程式，因为这些程式都有上传功能，他们很容易的就可以上传ASP木马，即使设定了许可权，木马也可以控制当前站点的所有档案了。另外，有了木马就然后用木马上传提升工具来获得更高的许可权，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且资料库忘记了改名，人家就可以直接下载你的资料库了，然后距离找到论坛管理员密码就不远了。

作为管理员，我们首先要检查我们的ASP程式，做好必要的设定，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个伺服器，因为如果你的伺服器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设定。这就用到了前面所说的那一大堆东西，做了那些许可权设定和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

系统配置命令

winver---------检查Windows版本

wmimgmt.msc----打开windows管理体系结构(WMI)

wupdmgr--------windows更新程式

wscript--------windows脚本宿主设定

write----------写字板

winmsd---------系统信息

wiaacmgr-------扫瞄器和照相机嚮导

winchat--------XP自带区域网路聊天

mem.exe--------显示记忆体使用情况

Msconfig-------系统配置实用程式

mplayer2-------简易windows media player (Windows Media Player 6.4)

mspaint--------画图板

mstsc----------远程桌面连线

mplayer2-------媒体播放机

magnify--------放大镜实用程式

mmc------------打开控制台

mobsync--------同步命令

dxdiag---------检查DirectX信息，以及进行DirectX的诊断

drwtsn32------ 系统医生

devmgmt.msc--- 设备管理器

dfrg.msc-------磁碟碎片整理程式

diskmgmt.msc---磁碟管理实用程式

dcomcnfg-------打开系统组件服务

ddeshare-------打开DDE共享设定

dvdplay--------DVD播放器

net stop messenger-----停止信使服务

net start messenger----开始信使服务

notepad--------打开记事本

nslookup-------网路管理的工具嚮导

ntbackup-------系统备份和还原

narrator-------萤幕“讲述人”

ntmsmgr.msc----移动存储管理器

ntmsoprq.msc---移动存储管理员操作请求

netstat -an----(TC)命令检查接口

syncapp--------创建一个公文包

sysedit--------系统配置编辑器

sigverif-------档案签名验证程式

sndrec32-------录音机

shrpubw--------创建已分享档案夹

secpol.msc-----本地安全策略

syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码

services.msc---本地服务设定

Sndvol32-------音量控制程式

sfc.exe--------系统档案检查器

sfc /scannow---windows档案保护

tsshutdn-------60秒倒计时关机命令

tourstart------xp简介（安装完成后出现的漫游xp程式）

taskmgr--------任务管理器

eventvwr-------事件查看器

eudcedit-------造字程式

explorer-------打开资源管理器

packager-------对象包装程式

perfmon.msc----计算机性能监测程式

progman--------程式管理器

regedit----注册表编辑器

rsop.msc-------组策略结果集

regedt32-------注册表编辑器

rononce -p ----15秒关机

regsvr32 /u *.dll----停止dll档案运行

regsvr32 /u zipfldr.dll------取消ZIP支持

cmd.exe--------CMD命令提示符

chkdsk.exe-----Chkdsk磁碟检查

certmgr.msc----证书管理实用程式

calc-----------启动计算器

charmap--------启动字元映射表

cliconfg-------SQL SERVER 客户端网路实用程式

Clipbrd--------剪贴簿查看器

conf-----------启动netmeeting

compmgmt.msc---计算机管理

cleanmgr-------垃圾整理

ciadv.msc------索引服务程式

osk------------打开萤幕键盘

odbcad32-------ODBC数据源管理器

oobe/msoobe /a----检查XP是否激活

lusrmgr.msc----本机用户和组

logoff---------注销命令

iexpress-------建立自解压工具嚮导

Nslookup-------IP位址侦测器

fsmgmt.msc-----已分享档案夹管理器

utilman--------辅助工具管理器

gpedit.msc-----组策略