当前位置:首页 > 网络安全 > windows安全 > Windows2003安全优化设置大全

Windows2003安全优化设置大全

2016-08-28 | 来源:网络 | 人气: |
1、启动、关闭系统高级设置 ★加快开机及关机速度HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement\PrefetchParameters,右边键值EnablePrefetcher,它的值是3,改为1或

1、启动、关闭系统高级设置

★加快开机及关机速度HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters,右边键值EnablePrefetcher,它的值是3,改为1或5。找 HKEY_LOCAL_MACHINE\System\CurrentControlSet\ControlWaitToKillServiceTimeout 设为:1000或更小。 ( 原设定值:20000 )

找到 HKEY_CURRENT_USER\Control Panel\Desktop,将waitToKillAppTimeout 改为 1000,( 原设定值:20000 )即关闭程序时仅等待1秒。将 HungAppTimeout 值改为:200( 原设定值:5000 ), 表示程序出错时等待0.2秒。

★设置硬盘工作模式加速启动:

我的电脑-属性-硬件-设备管理器-IDE ATA/ATAPI控制器-IDE通道-属性-高级设置,在传送模式中选择“DMA”。将次要IDE通道的设备类型改为无,将使开机滚动条减少至一圈。

★禁用配置服务器向导:

禁止“配置你的服务器”(Manage Your Server)向导的出现:在控制面板(Control Panel) -> 管理员工具 (Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“登录时不要显示该页”(Don't display this page at logon)。

2、个性启动画面

★更改开机画面

找到C:\Boot.ini 文件在Win2003启动项后加上 /bootlogo  /noguiboot 两个参数,然后制作一个名为Boot.BMP格式的640×480像素、16位色的图片,将其保存到C:\WINDOWS 下,重启OK啦!

★系统启动画面

在记事本里编辑如下内容:                                                                           Windows Registry Editor Version 5.00                                              [HKEY_USERS\.DEFAULT\Control Panel\Desktop]                            "Wallpaper"="C:\\Windows\\Boot.bmp"

在此Boot.bmp 格式的图片可以根据显示器所设的分辨率来调整,若桌面是1024*768 则BMP图像也应该为1024*768格式。当然这里也有各种各样的工具来修改,本人比较喜欢的StyleXP、神奇注册表以及注册表编辑器等等,后两种只适用于XP系统。

3、 禁用开机 CTRL+ALT+DEL和实现自动登陆

★方法1:打开注册表(运行->“Regedit”),再打开:

HKEY_LOCAL_MACHIN\SOFTWARE\MicroSoft\Windows NT\CurrentVersion\Winlogon段,在此段中按右键,新建二个字符串段,AutoAdminLogon=“1”,DefaultPassword=“为超级用户Administrator所设置的Password”。

注意,一定要为Administrator设置一个密码,否则不能实现自启动。 然后,重新启动Windows即可实现自动登录。

★方法2:管理工具 -> Local Security Settings(本地安全策略) -> 本地策略 -> 安全选项 ->interactive logon: Do not require CTRL+ALT+DEL,启用之。

★方法3(自动登陆):使用Windows XP的Tweak UI来实现Server 2003自动登陆。

下载:Tweak UI http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe

下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名(如果没有就不写),点击下面的Set Password,输入用户名的密码,然后点击OK。

4、 禁止关机时出现的关机理由选择项:

关机事件跟踪(Shutdown Event Tracker)也是Windows server 2003区别于其他工作站系统的一个设置,对于服务器来说这是一个必要的选择,但是对于工作站系统却没什么用,我们同样可以禁止它。打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates )-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出,这样,你将看到类似于windows 2000的关机窗口

5、启用硬件和DirectX加速

企业版系统安装后,声卡是禁止状态,所以要在 控制面板 -> 声音 -> 启用,重启之后再设置它在任务栏显示。 如果你使用的是Windows server 2003标准版无需此操作,因为标准版已允许声音服务。

★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到 “Windows Audio”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)

★硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级( Advanced )--疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保存退出。这期间可能出现一瞬的黑屏是完全正常。

★DirectX加速:打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊 断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。

6、禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现:

    在IE工具选项中将安全级别设置为中或中低。自定义设置中将有关的选择提示修改为禁止或启用。

7、如何启用 ASP 支持:

Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6,还需要单独开启对于 ASP 的支持。方法是: 控制面板 -> 管理工具 -> Web服务扩展 -> Active Server Pages -> 允许。

8、如何启用 XP 的桌面主题:

★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,选themes“主题”(默认是禁止的) ,然后改为“自动”,按“应用”,选“开启”。

★接着点“桌面”的属性,在“主题”里选“windows xp”

★我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影

9、禁止Dr.Watson的运行:

HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug子键分支,双击在它下面的Auto键值名称,将其“数值数据”改为0,刷新生效。

10、防范ipc$入侵

1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)

首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的键值改为:00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC$共享

说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

2、禁止默认共享

1)察看本地共享资源

运行-cmd-输入net share

2)删除共享(每次输入一个)

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete(如果有e,f,……可以继续删除)

3)修改注册表删除共享 

运行-regedit

找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer(DWORD)的键值改为0000000。

如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。

11、安装Java VM

Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。

12、安装DirectX 9a

在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前必须先启用DirectX and Graphics Acceleration。

个性化工作站

★我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。

右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能(Performance)--设置(Setting)--高级(Advanced),把“处理器计划”(Processor scheduling )和内存使用(Memory usage)分配给“程序”(Programs)使用。然后点击“确定”(OK.)

★禁用错误报告

右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--点击“错误报告” (Error Reporting )按钮,在出现的窗口中把“禁用错误报告”(Disable Error Reporting)选上并复选“ 但在发生严重错误时通知我”(But, notify me when critical errors occur.)

★调整虚拟内存

一些朋友经常会对关机和注销缓慢感到束手无策,解决办法就是禁用虚拟内存,这样你的注销和关机时间可能 会加快很多。右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能 (Performance)--设置(Setting)--高级(Advanced),点击“虚拟内存”(Virtual memory)部分的 “更改”(Change),然后在出现的窗口选择“无分页文件”。重启系统即可。

★自动关闭停止响应程序 

HKEY_CURRENT_USER-Control Panel-Desktop,将字符串值AutoEndTasks的数值数据改为1。

★在控制面板里显示全部组件:

把 Windows\inf 目录中的 sysoc.inf 文件里的 "hide" 替换掉。

★禁用系统服务Qos

开始菜单→运行→键入 gpedit.msc ,出现“组策略”窗口,展开 "管理模板”→“网络” , 展开 "QoS 数据包调度程序", 在右边窗右键单击“限制可保留带宽" ,在属性中的“设置”中有“限制可保留带宽" ,选择“已禁用”,确定即可。当上述修改完成并应用后,用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler(QoS 数据包调度程序)"。说明修改成功,否则说明修改失败。

★加速共享:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace。在这里面,应该有个{D6277990-4C6A-11CF- 87-00AA0060F5BF}键。只需把它删掉,重新启动计算机。 不建议设置此项,凡是共享就要开启相应的端口可能带来安全的隐患就越大,因此一定要处理好Win2003中为了管理而开启的共享。

允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务

★假如你希望启用Windows内置的IMAPI CD-Burning服务。做如下工作:

打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“IMAPI CD-Burning COM Service ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)

★假如你有如数码相机和扫描仪之类的影像设备,你应该打开Windows Image Acquisition 服务。

打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“Windows Image Acquisition (WIA) ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK)

★改变窗口弹出的速度:

找到HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子键分支,在右边的窗口中找到 MinAniMate键值,其类型为REG_SZ,默认情况下此健值的值为1,表示打开窗口显示的动画,把它改为0,则禁止动画显示,接下来从开始菜单中选择“注销”命令,激活刚才所作的修改。

★禁止Windows的压缩功能:

点击“开始”下的“运行”,在“运行”输入框中输入“regsvr32/u zipfldr.dll”,然后按回车键即可。

★设置个性的启动信息或警告信息:

个性化的Windows XP启动:打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon子键分支,双击LegalNoticeCaption健值,打开“编辑字符串”对话框,在“数值数据”下的文本框中输入自己想要的信息标题,如“欢迎使用安天下科贸有限公司!”,然后点击“确定”,重新启动。如果想要改变警告信息的话可以双击LegalNoticeText健值名称,在出现的“编辑字符串”窗口中输入想要显示的警告信息,单击“确定”,重新启动。

★加快菜单显示速度 

HKEY_CURRENT_USER]-Control Panel-Desktop,将字符串值MenuShowDelay的数值数据改为0,调整后如觉得菜单显示速度太快而不适应者可将MenuShowDelay的数值数据更改为200,重新启动即可(若无此字符串不可增加,一加就出问题)。

★加快窗口显示速度:

HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子键分支,在右边的窗口中找到MinAniMate键值,其类型为REG_SZ,默认情况下此健值的值为1,表示打开窗口显示的动画,把它改为0,则禁止动画的显示,注销生效。

高级设置

1、安全设置停止server服务

1)暂时停止server服务

net stop server /y (重新启动后server服务会重新开启)

2)永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务

控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用

4、安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)

1).解开文件和打印机共享绑定

  鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。

2).利用TCP/IP筛选

  鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项],在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。

  3).使用IPSec安全策略阻止对端口139和445的访问

  选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。

  4).使用防火墙防范攻击

  在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击[确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了(如图3)。

2、给所有账户设置复杂密码,防止通过ipc$穷举密码

 1.用户口令设置  

  设置一个键的密码,在很大程度上可以避免口令攻击。密码设置的字符长度应当在8个以上,最好是字母、数字、特殊字符的组合,如“psp53,@pq”、“[email protected]”等,可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。  

 2. 删除默认共享  

  单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”,双击登录项,然后添加“delshare.bat”(参数不需要添加),从而删除Windows 2003默认的共享。

 接下来再禁用IPC连接:打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可。

 3. 关闭自动播放功能

  自动播放功能不仅对光驱起作用,而且对其它驱动器也起作用,这样很容易被黑客利用来执行黑客程序。  

  打开组策略编辑器,依次展开“计算机配置→管理模板→系统”,在右侧窗口中找到“关闭自动播放”选项并双击,在打开的对话框中选择“已启用”,然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”,按“确定”即可生效。

 4. 清空远程可访问的注册表路径

  将远程可访问的注册表路径设置为空,这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。

  打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的如图所的窗口中,将可远程访问的注册表路径和子路径内容全部删除。

二、故障解决

1.播放电影时画面粗糙

  很多朋友都有这样的“遭遇”:自己的电脑配置相当好,安装了Windows 2003时显卡也能够被自动识别并安装,可是播放电影时画面非常粗糙,安装最新版显卡驱动后画面质量依然如故。其实这是因为Windows 2003默认的显示选项没有根据个人用户的需要进行优化所致。

  解决方法很简单:在桌面上点右键,依次进入 “显示属性→设置→高级→疑难解答”,将“硬件加速”游标 向右拖至“完全”,点“确定”退出。然后依次进入“开始→ 所有程序→附件→系统工具→系统信息”,选择“工具→ DirectX诊断工具”(由于程序搜集系统信息,所以需要稍微等待一下,可能出现闪屏),选择“显示”选项卡,依次启用 “DirectDraw Acceleration”和“Direct3D Acceleration”项,点“退出” 即可。

2.声卡不工作或者打游戏时声音严重滞后   

  在Windows 2003中,多数声卡都能继续使 用它们在Windows 2000/XP中的驱动程序,而较老的声卡(如帝盟S90等)的驱动就只有手动安装了。在装好声卡以后,用户经常遇到以下两个问 题。

  1) 声卡不工作   

  驱动安装 完成后,在Windows 2003标准版中就可以正常使用声卡了,而在企业版中,系统还 是不能发声。解决步骤是:进入“控制面板→声音和 音频控制 设备”,勾选“音频服务”选项,点“确定”后重启计算机即可。   

  2) 玩游戏时声音严重滞后  

  解决方法是:进入“DirectX诊断工具”, 选择“声音”选项卡,在“加速级别”中将游标向右拖动到“ 完全加速”,点“退出”即可。 

    3) High Definition Audio声卡在2003SP1上不能安装问题   

    INTEL 915的板子,机器是板载的声卡,安装win 2003 sp1后,声卡驱动装不了。并且系统设备里面“Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序”出错。开始怀疑主板驱动有问题,重装主板驱动,依旧有问题。经过多方查找问题所在,原来是配备了高清晰度音频设备的 Windows 系统中导致高清晰度音频设备无法正确地播放音频。官方已经提供补丁下载,安装本补丁重起计算机后就可以正确的安装声卡驱动程序了。

补丁微软官方下载    文件名:WindowsServer2003-KB901105-v3-x86-CHS.exe。

Microsoft+用于+High+Definition+Audio+的+UAA+总线驱动程序 。如果你的主板是915的.那么你装windows2003升级成sp1后,你的声卡就会莫明奇妙的不能用了!要求你安装Microsoft+用于+High+Definition+Audio+的+UAA+总线驱动程序.. 

3.IE总是提醒存在安全隐患 

  “总觉得最新的版本最安全,没想到在 Windows 2003下浏览网页时,每访问一个页面,IE都会提醒存在安全隐患,询问是否继续访问,太不方便了”,经常有朋友这样抱怨 。   

  出现这个问题的原因是Windows2003中的 IE默认安全级别是“高”,这样虽然安全性得以提高,但却给我们日 常上网带来许多麻烦。建议将安全级别调整到“中',方法是: 启动IE,选择“工具→ Internet选项 ”,在“安全”选项卡中将安全级别设为“中”或“中低” 。   

4.运行大型软件时系统反应缓慢   

  服务器和工作站对系统资源的要求是不相 同的,如果我们平时要运行诸如Photoshop、 3DSMAX 等软件,则应当将系统资源重新分配,修改为类似Windows XP 的状态。  

  设置步骤是:进入“控制面板→系统”选择“ 高级”选项卡,在“性能”栏里点“设置”按钮,选择“高级 ”选项卡,在“处理器计划”和“内存使用”两栏中均选择“程序”,最后点“确定”并重新启动计算机即可。

评论

评论数10

表情
发表评论
网友评论仅供其表达个人看法,并不表明网易立场。
《Windows2003安全优化设置大全》更多评论

阅读下一篇

WindowsServer2003安全审计事件ID分析

--Tag:安全事件 根据下面的ID,可以帮助我们快速识别由WindowsServer2003操作系统生成的安全事件,究竟意味着什么事件出现了。 一、帐户登录事件 下面显示了由 ... 查看全文

返回windows安全 返回网站首页