第一篇：WEB管理員必看Windows 2003服務器安全設置詳解

WEB管理員必看Windows 2003服務器安全設置詳解

你有自己的服務器嗎？服務器有給掛過馬嗎，有給入侵過嗎？如果有的話，表明的服務器安全設置還是不夠好，那么你應該來看看本文的介紹，如何把windows 服務器的安全設置做得更好，一起看吧。

1)、系統安全基本設置

1.安裝說明：系統全部NTFS格式化，重新安裝系統（采用原版win2003）,安裝殺毒軟件(Mcafee)，并將殺毒軟件更新，安裝sp2補釘，安裝IIS（只安裝必須的組件）,安裝SQL2000，安裝.net2.0,開啟防火墻。并將服務器打上最新的補釘。

2)、關閉不需要的服務

Computer Browser:維護網絡計算機更新，禁用

Distributed File System: 局域網管理共享文件，不需要禁用

Distributed linktracking client：用于局域網更新連接信息，不需要禁用

Error reporting service：禁止發送錯誤報告

Microsoft Serch：提供快速的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用

PrintSpooler：如果沒有打印機可禁用

Remote Registry：禁止遠程修改注冊表

Remote Desktop Help Session Manager：禁止遠程協助 其他服務有待核查

3)、設置和管理賬戶

1、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復雜的密碼

2、系統管理員賬戶最好少建，更改默認的管理員帳戶名(Administrator)和描述，密碼最好采用數字加大小寫字母加數字的上檔鍵組合，長度最好不少于10位

3、新建一個名為Administrator的陷阱帳號，為其設置最小的權限，然后隨便輸入組合的最好不低于20位的密碼

4、計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效 時間為30分鐘

5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用

6、在安全設置-本地策略-用戶權利分配中將“從網絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶,Aspnet賬戶

7、創建一個User賬戶，運行系統，如果要運行特權命令使用Runas命令。

4）、打開相應的審核策略

審核策略更改:成功

審核登錄事件:成功,失敗

審核對象訪問:失敗

審核對象追蹤:成功,失敗

審核目錄服務訪問:失敗

審核特權使用:失敗

審核系統事件:成功,失敗

審核賬戶登錄事件:成功,失敗

審核賬戶管理:成功,失敗

5）、其它安全相關設置

1、禁止C$、D$、ADMIN$一類的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的 窗口中新建Dword值，名稱設為AutoShareServer值設為02、解除NetBios與TCP/IP協議的綁定

右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的 NETBIOS3、隱藏重要文件/目錄

可以修改注冊表實現完全隱藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠標右擊“CheckedValue”，選擇修改，把數值由1改為04、防止SYN洪水攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為SynAttackProtect，值為

25、禁止響應ICMP路由通告報文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0

6.防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設為07、不支持IGMP協議

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為IGMPLevel 值為08、禁用DCOM：運行中輸入 Dcomcnfg.exe?；剀嚕瑔螕簟翱刂婆_根節點”下的“組件服務”。打開“計算機”子 文件夾。

對于本地計算機，請以右鍵單擊“我的電腦”，然后選擇“屬 性”。選擇“默認屬性”選項卡。清除“在這臺計算機上啟用分布式 COM”復選框。

9、終端服務的默認端口為3389，可考慮修改為別的端口。

修改方法為： 服務器端：打開注冊表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations” 處找到類似RDP-TCP的子鍵，修改PortNumber值?？蛻舳耍喊凑２襟E建一個客戶端連接，選中這個連接，在“文件”菜單中選擇導出，在指定位置會 生成一個后綴為.cns的文件。打開該文件，修改“Server Port”值為與服務器端的PortNumber對應的 值。然后再導入該文件（方法：菜單→文件→導入），這樣客戶端就修改了端口。

6）、配置 IIS 服務

1、不使用默認的Web站點，如果使用也要將 將IIS目錄與系統磁盤分開。

2、刪除IIS默認創建的Inetpub目錄（在安裝系統的盤上）。

3、刪除系統盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴展名映射。右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映 射。主要為.shtml,.shtm,.stm5、更改IIS日志的路徑 右鍵單擊“默認Web站點→屬性-網站-在啟用日志記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護IIS，在2003運行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一個ISAPI篩選器，它對傳入的HTTP數據包進行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。如果沒有特殊的要求采用UrlScan默認配置就可以了。但如果你在服務器運行ASP.NET程序，并要進行調試你需打開要 %WINDIR%System32InetsrvURLscan，文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節添 加debug謂詞，注意此節是區分大小寫的。如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。如果你的網頁使用了非ASCII代碼，你需要在Option節中將AllowHighBitCharacters的值設為1在對URLScan.ini 文件做了更改后，你需要重啟IIS服務才能生效，快速方法運行中輸入iisreset如果你在配置后出現什么問題，你可以通過添加/刪除程序刪除UrlScan。

8、利用WIS(Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.7）、配置Sql服務器

1、System Administrators 角色最好不要超過兩個

3、不要使用Sa賬戶，為其配置一個超級復雜的密碼

4、刪除以下的擴展存儲過程格式為：

use mastersp_dropextendedproc '擴展存儲過程名'

xp_cmdshell：是進入操作系統的最佳捷徑，刪除訪問注冊表的存儲過程，刪除

Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regwriteXp_regremovemultistring

OLE自動存儲過程，不需要刪除

Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隱藏 SQL Server、更改默認的1433端口

右擊實例選屬性-常規-網絡配置中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 實例，并改原默 認的1433端口。

8）、修改系統日志保存地址 默認位置為 應用程序日志、安全日志、系統日志、DNS日志默認位置：%systemroot%system32config，默認 文件大小512KB，管理員都會改變這個默認大小。

安全日志文件：%systemroot%system32configSecEvent.EVT 系統日志文件：%systemroot%system32configSysEvent.EVT 應用程序日志文件：%systemroot%system32configAppEvent.EVT Internet信息服務FTP日志默認位置：%systemroot%system32logfilesmsftpsvc1，默認每天一個日 志 Internet信息服務WWW日志默認位置：%systemroot%system32logfilesw3svc1，默認每天一個日 志 Scheduler(任務計劃)服務日志默認位置：%systemroot%schedlgu.txt 應用程序日志，安全日志，系統日志，DNS服務器日志，它們這些LOG文件在注冊表中的： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog Schedluler(任務計劃)服務日志在注冊表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters] “AutoShareServer”=dword:00000000 “AutoShareWks”=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0

禁止管理共享admin$,c$,d$之類默認共享 [HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA] “restrictanonymous”=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動

9）、本地安全策略

1．只開放服務需要的端口與協議。具體方法為：按順序打開“網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→ TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協議即可。根據服務開設口，常用的TCP 口有：80口用于Web服務；21用于FTP服務；25口用于SMTP；23口用于Telnet服務；110口 用于POP3。常用的UDP端口有：53口－DNS域名解析服務；161口－snmp簡單的網絡管理協議。8000、4000用于OICQ，服務器用8000來接收信息，客戶端用4000發送信息。封TCP端口: 21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導)封UDP端口:1434(這個就不用說了吧)封所有ICMP,即封PING 以上是最常被掃的端口,有別的同樣也封,當然因為80是做WEB用的2、禁止建立空連接 默認情況下，任何用戶可通過空連接連上服務器，枚舉賬號并猜測密碼。空連接用的端口是139，通過空連接，可以復制文件到遠端服務器，計劃執行一個任務，這就是一個漏洞?？梢酝ㄟ^以下兩 種方法禁止建立空連接：

（1）修改注冊表中 Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous 的值為1。

（2）修改Windows 2000的本地安全策略。設置“本地安全策略→本地策略→選項”中的 RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。首先，Windows 2000的默認安裝允許任何用戶通過空連接得到系統所有賬號和共享列表，這本來 是為了方便局域網用戶共享資源和文件的，但是，同時任何一個遠程用戶也可以通過同樣的方法得 到您的用戶列表，并可能使用暴力法破解用戶密碼給整個網絡帶來破壞。很多人都只知道更改注冊 表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止空用戶連接，實際上Windows 2000的本地安全策略里（如果是域服務器就是在域服務器安全和域安全策略里）就有RestrictAnonymous選項，其中有三個值：“0”這個值是系統默認的，沒有任何限制，遠程用戶 可以知道您機器上所有的賬號、組信息、共享目錄、網絡傳輸列表(NetServerTransportEnum)等；“1” 這個值是只允許非NULL用戶存取SAM賬號信息和共享信息；“2”這個值只有Windows 2000才支 持，需要注意的是，如果使用了這個值，就不能再共享資源了，所以還是推薦把數值設為“1”比較 好。

10)、防止asp木馬

1、基于FileSystemObject組件的asp木馬

cacls %systemroot%system32scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //刪除

2．基于shell.application組件的asp木馬

cacls %systemroot%system32shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //刪除

3．將圖片文件夾的權限設置為不允許運行。

4.如果網站中不存在有asp的話，禁用asp

11）、防止SQL注入

1．盡量使用參數化語句

2．無法使用參數化的SQL使用過濾。

3．網站設置為不顯示詳細錯誤信息，頁面出錯時一律跳轉到錯誤頁面。

4.不要使用sa用戶連接數據庫

5、新建一個public權限數據庫用戶，并用這個用戶訪問數據庫

6、[角色]去掉角色public對sysobjects與syscolumns對象的select訪問權限

文章來自學IT網：http:///win2003/show-5253-2.aspx

第二篇：服務器安全設置

服務器安全設置及項目部署

1.防火墻設置

1）常規中選中啟用（推薦）選項

2）例外中添加端口號eg：17999

3）高級中 點擊第一個設置，服務選項卡選中“FTP 服務器”和“遠程桌面”，ICMP

選項卡選中“允許傳入響應請求”

4）我的電腦?屬性?遠程?遠程桌面 勾選允許用戶遠程連接此計算機

注：打開“開始→運行”，輸入“regedit”，打開注冊表，進入以下路徑：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]，看見PortNamber值了嗎？其默認值是：0xd3d，這個是16進制，點擊右邊的十進制，顯示的就是3389了，修改成所希望的端口即可，例如6111。

再打開

[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal

ServerWinStationsRDP-Tcp]，將PortNumber的值（也是3389）修改成端口6111。

更改后注意開放防火墻6111端口,否則重起后連不上

2.防火墻軟件安裝（eg：360安全衛士）

1）打上補丁，修補漏洞

2）關閉自動更新

3．更改虛擬內存

1）電腦?高級?第一個設置?高級?更改2000M到5000M

4.本地安全策略

1）管理工具?本地安全策略?新建

5.數據庫安裝

1）確保Tcp/Ip啟用

SQL server configuration manager? SQL server 2005 網絡配置? MSSQLSERVER的協議 TCP/IP啟動

3）新項目數據庫 代理必須啟動

6.JDK 安裝

環境變量配置：

Eg: java_home：D:Program FilesJavajdk1.6.0_10 classpath：.;%java_home%lib;%java_home%lib tools.jarpath設置%java_home%bin;%java_home%jre6bin;

7.tomcat 安裝

8.apache安裝

9.負載均衡

10.項目部署

1)數據庫還原，附加或數據庫新建sql

2）netfee,feecfg,push

注：域名指向

10.其他軟件安裝（edit記事本，搜狗拼音，

第三篇：windows 2003 server web配置和安全

輸入此網站的網頁文件所在目錄。設置網站訪問的權限，一般不需要“寫入”權限。點擊下一步，完成新網站的創建。

配置不同IP地址的站點方法

具體方法：

在“IIS服務管理器”中，右擊新建的網站（電影服務），選擇屬性，并在“網站選項卡”下更改IP地址。

配置不同端口的站點方法

具體方法：

在“IIS服務管理器”中，右擊新建的網站（電影服務），選擇屬性，并在“網站選項卡”下更改端口為不同的值，如81。

配置不同主機頭

具體方法：

在“IIS服務管理器”中，右擊新建的網站（電影服務），選擇屬性，在“網站選項卡”下點擊ip地址后的“高級”，并在彈出的“高級網絡標識”窗口中點擊“編輯”按鈕。

接著在彈出的“添加/編輯網絡標識”窗口中“主機頭值”。

設置完主機頭后還需要配置DNS服務器，添加主機頭值的主機記錄，是客戶端能夠解析出主機頭的IP地址，就可以使用“http://主機頭”訪問網站。

二、WEB站點的排錯

·客戶機訪問WEB站點的過程

1>當客戶機訪問網站時，服務器先檢查客戶機IP地址是否授權

2>然后檢查用戶和密碼是否正確（匿名用戶不需要密碼）

3>接著檢查主目錄是否設置了“讀取權限”

4>最后檢查網站文件的NTFS權限

·常見錯誤

1、錯誤號403.6

分析：

由于客戶機的IP地址被WEB網站中設置為阻止。

解決方案：

打開站點屬性->“目錄安全性選項卡”->“IP地址和域名限制”->點擊“編輯”按鈕，并將拒絕的IP段刪除。

2、錯誤號401.1

分析：

由于用戶匿名訪問使用的賬號(默認是IUSR_機器名)被禁用，或者沒有權限訪問計算機，將造成用戶無法訪問。

解決方案：

（1）查看IIS管理器中站點安全設置的匿名帳戶是否被禁用，如果是，請嘗試用以下辦法啟用：

控制面板->管理工具->計算機管理->本地用戶和組，將IUSR_機器名賬號啟用。如果還沒有解決，請繼續下一步。

（2）查看本地安全策略中，IIS管理器中站點的默認匿名訪問帳號或者其所屬的組是否有通過網絡訪問服務器的權限，如果沒有嘗試用以下步驟賦予權限：

開始->程序->管理工具->本地安全策略->安全策略->本地策略->用戶權限分配，雙擊“從網絡訪問此計算機”，添加IIS默認用戶或者其所屬的組。

注意：一般自定義 IIS默認匿名訪問帳號都屬于組，為了安全，沒有特殊需要，請

遵循此規則。

3、錯誤號401.2

原因：關閉了匿名身份驗證

解決方案：

打開站點屬性->目錄安全性->身份驗證和訪問控制->選中“啟用匿名訪問”，輸入用戶名，或者點擊“瀏覽”選擇合法的用戶，并兩次輸入密碼后確定。

4、錯誤號：401.3

原因：

原因一 IIS匿名用戶一般屬于Guests組，而我們一般把存放網站的硬盤的權限只分配給administrators組，這時候按照繼承原則，網站文件夾也只有administrators組的成員才能訪問，導致IIS匿名用戶訪問該文件的NTFS權限不足，從而導致頁面無法訪問。

原因二 是在IIS 管理器中將網站的權限設置不可讀（IIS匿名用戶）。

解決方案：

給IIS匿名用戶訪問網站文件夾的權限.方法1：進入該文件夾的安全選項，添加IIS匿名用戶，并賦予相應權限，一般是只讀。

方法2： 右擊站點，選擇“權限”，打開權限設置窗口。并賦予IIS匿名用戶只讀權限。

敬告：“win2003 服務器設置 完全版” 一文如與您有版權沖突請聯系站長處理，我們是公益免費論文網，不周之處，萬請諒解！

--->返回到論文先生網首頁<---

-第一步：

一、先關閉不需要的端口

我比較小心，先關了端口。只開了3389 21 80 1433（MYSQL）有些人一直說什么默認的3389不安全，對此我不否認，但是利用的途徑也只能一個一個的窮舉爆破，你把帳號改

了密碼設置為十五六位，我估計他要破上好幾年，哈哈!辦法:本地連接--屬性--Internet協議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上 然后添加你需要的端口即可。PS一句:設置完端口需要重新啟動!

當然大家也可以更改遠程連接端口方法:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

“PortNumber”=dword:00002683

保存為.REG文件雙擊即可!更改為9859，當然大家也可以換別的端口，直接打開以上注冊表的地址，把值改為十進制的輸入你想要的端口即可!重啟生效!

還有一點，在2003系統里，用TCP/IP篩選里的端口過濾功能，使用FTP服務器的時候，只開放21端口，在進行FTP傳輸的時候，FTP 特有的Port模式和Passive模式，在

進行數據傳輸的時候，需要動態的打開高端口，所以在使用TCP/IP過濾的情況下，經常會出現連接上后無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火墻能很好的解決這個問題，所以都不推薦使用網卡的TCP/IP過濾功能。所做FTP下載的用戶看仔細點，表怪俺說俺寫文章是垃圾...如果要關閉不必要的端口，在system32driversetcservices中有列表，記事本就可以打開的。如果懶惰的話，最簡單的方法是啟用WIN2003的自身帶的網絡防火墻，并進行端口的改變。功能還可以!Internet 連接防火墻可以有效地攔截對Windows 2003服務器的非法入侵，防止非法遠程主機對服務器的掃描，提高Windows 2003服務器的安全性。同時，也可以有效攔截利用操作系統漏洞進行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能，能夠對整個內部網絡起到很好的保護作用。

二、關閉不需要的服務 打開相應的審核策略

我關閉了以下的服務

Computer Browser 維護網絡上計算機的最新列表以及提供這個列表 Task scheduler 允許程序在指定時間運行

Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務 Removable storage 管理可移動媒體、驅動程序和庫 Remote Registry Service 允許遠程注冊表操作

Print Spooler 將文件加載到內存中以便以后打印。要用打印機的朋友不能禁用這項 IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE）和IP安全驅動程序 Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知 Com+ Event System 提供事件的自動發布到訂閱COM組件 Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序 Messenger 傳輸客戶端和服務器之間的 NET SEND 和警報器服務消息 Telnet 允許遠程用戶登錄到此計算機并運行程序

把不必要的服務都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規則和標準上來說，多余的東西就沒必要開啟，減少一份隱患。

在“網絡連接”里，把不需要的協議和服務都刪掉，這里只安裝了基本的Internet協議(TCP/IP)，由于要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里--“NetBIOS”設置“禁用tcp/IP上的NetBIOS(S)”。在高級選項里，使用“Internet連接防火墻”，這是windows 2003 自帶的防火墻，在2000系統里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經基本達到了一個IPSec的功能。

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件，你需要根據情況在這二者之間做出選擇。

推薦的要審核的項目是:

登錄事件 成功 失敗

賬戶登錄事件 成功 失敗

系統事件 成功 失敗

策略更改 成功 失敗

對象訪問 失敗

目錄服務訪問 失敗

特權使用 失敗

三、磁盤權限設置 1.系統盤權限設置 C:分區部分： c: administrators 全部（該文件夾，子文件夾及文件）CREATOR OWNER 全部（只有子文件來及文件）system 全部（該文件夾，子文件夾及文件）IIS_WPG 創建文件/寫入數據（只有該文件夾）IIS_WPG（該文件夾，子文件夾及文件）遍歷文件夾/運行文件 列出文件夾/讀取數據 讀取屬性

創建文件夾/附加數據 讀取權限

c:Documents and Settings administrators 全部（該文件夾，子文件夾及文件）Power Users（該文件夾，子文件夾及文件）讀取和運行 列出文件夾目錄 讀取

SYSTEM全部（該文件夾，子文件夾及文件）C:Program Files administrators 全部（該文件夾，子文件夾及文件）CREATOR OWNER全部（只有子文件來及文件）IIS_WPG（該文件夾，子文件夾及文件）讀取和運行 列出文件夾目錄 讀取

Power Users（該文件夾，子文件夾及文件）修改權限

SYSTEM全部（該文件夾，子文件夾及文件）

TERMINAL SERVER USER（該文件夾，子文件夾及文件）修改權限

2.網站及虛擬機權限設置（比如網站在E盤）說明：我們假設網站全部在E盤www.tmdps.cnfg.exe。回車，單擊“控制臺根節點”下的“組件服務”。打開“計算機”子文件夾。對于本地計算機，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認屬性”選項卡。清除“在這臺計算機上啟用分布式 COM”復選框。

第二步：

盡管Windows 2003的功能在不斷增強，但是由于先天性的原因，它還存在不少安全隱患，要是不將這些隱患“堵住”，可能會給整個系統帶來不必要的麻煩；下面筆者就介紹Windows2003中不常見的安全隱患的防堵方法，希望能對各位帶來幫助！

堵住自動保存隱患

Windows 2003操作系統在調用應用程序出錯時，系統中的Dr.Watson會自動將一些重要的調試信息保存起來，以便日后維護系統時查看，不過這些信息很有可能被黑客“瞄上”，一旦瞄上的話，各種重要的調試信息就會暴露無疑，為了堵住Dr.Watson自動保存調試信息的隱患，我們可以按如下步驟來實現：

1、打開開始菜單，選中“運行”命令，在隨后打開的運行對話框中，輸入注冊表編輯命令“ergedit”命令，打開一個注冊表編輯窗口；

2、在該窗口中，用鼠標依次展開HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在對應AeDebug鍵值的右邊子窗口中，用鼠標雙擊Auto值，在彈出的參數設置窗口中，將其數值重新設置為“0”，3、打開系統的Windows資源管理器窗口，并在其中依次展開Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾、DrWatson文件夾，最后將對應DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。

完成上面的設置后，重新啟動一下系統，就可以堵住自動保存隱患了。

堵住資源共享隱患

為了給局域網用戶相互之間傳輸信息帶來方便，Windows Server 2003系統很是“善解人意”地為各位提供了文件和打印共享功能，不過我們在享受該功能帶來便利的同時，共享功能也會“引狼入室”，“大度”地向黑客們敞開了不少漏洞，給服務器系統造成了很大的不安全性；所以，在用完文件或打印共享功能時，大家千萬要隨時將功能關閉喲，以便堵住資源共享隱患，下面就是關閉共享功能的具體步驟：

1、執行控制面板菜單項下面的“網絡連接”命令，在隨后出現的窗口中，用鼠標右鍵單擊一下“本地連接”圖標；

2、在打開的快捷菜單中，單擊“屬性”命令，這樣就能打開一個“Internet協議(TCP/IP)”屬性設置對話框；

3、在該界面中取消“Microsoft網絡的文件和打印機共享”這個選項；

4、如此一來，本地計算機就沒有辦法對外提供文件與打印共享服務了，這樣黑客自然也就少了攻擊系統的“通道”。

堵住遠程訪問隱患

在Windows2003系統下，要進行遠程網絡訪問連接時，該系統下的遠程桌面功能可以將進行網絡連接時輸入的用戶名以及密碼，通過普通明文內容方式傳輸給對應連接端的客戶端程序；在明文帳號傳輸過程中，實現“安插”在網絡通道上的各種嗅探工具，會自動進入“嗅探”狀態，這個明文帳號就很容易被“俘虜”了；明文帳號內容一旦被黑客或其他攻擊者另謀他用的話，呵呵，小心自己的系統被“瘋狂”攻擊吧！為了杜絕這種安全隱患，我們可以按下面的方法來為系統“加固”：

1、點擊系統桌面上的“開始”按鈕，打開開始菜單；

2、從中執行控制面板命令，從彈出的下拉菜單中，選中“系統”命令，打開一個系統屬性設置界面；

3、在該界面中，用鼠標單擊“遠程”標簽；

4、在隨后出現的標簽頁面中，將“允許用戶遠程連接到這臺計算機”選項取消掉，這樣就可以將遠程訪問連接功能屏蔽掉，從而堵住遠程訪問隱患了。

堵住用戶切換隱患

Windows 2003系統為我們提供了快速用戶切換功能，利用該功能我們可以很輕松地登錄到系統中；不過在享受這種輕松時，系統也存在安裝隱患，例如我們要是執行系統“開始”菜單中的“注銷”命令來，快速“切換用戶”時，再用傳統的方式來登錄系統的話，系統很有可能會本次登錄，錯誤地當作是對計算機系統的一次暴力“襲擊”，這樣Windows2003系統就可能將當前登錄的帳號當作非法帳號，將它鎖定起來，這顯然不是我們所需要的；不過，我們可以按如下步驟來堵住用戶切換時，產生的安全隱患：

在Windows 2003系統桌面中，打開開始菜單下面的控制面板命令，找到下面的“管理工具”命令，再執行下級菜單中的“計算機管理”命令，找到“用戶帳戶”圖標，并在隨后出現的窗口中單擊“更改用戶登錄或注銷的方式”；在打開的設置窗口中，將“使用快速用戶切換”選項取消掉就可以了。

堵住頁面交換隱患

Windows 2003操作系統即使在正常工作的情況下，也有可能會向黑客或者其他訪問者泄漏重要的機密信息，特別是一些重要的帳號信息。也許我們永遠不會想到要查看一下，那些可能會泄漏隱私信息的文件，不過黑客對它們倒是很關心的喲！Windows 2003操作系統中的頁面交換文件中，其實就隱藏了不少

重要隱私信息，這些信息都是在動態中產生的，要是不及時將它們清除，就很有可能成為黑客的入侵突破口；為此，我們必須按照下面的方法，來讓Windows 2003操作系統在關閉系統時，自動將系統工作時產生的頁面文件全部刪除掉：

1、在Windows 2003的“開始”菜單中，執行“運行”命令，打開運行對話框，并在其中輸入“Regedit”命令，來打開注冊表窗口；

2、在該窗口的左邊區域中，用鼠標依次單擊HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management鍵值，找到右邊區域中的ClearPageFileAtShutdown鍵值，并用鼠標雙擊之，在隨后打開的數值設置窗口中，將該DWORD值重新修改為“1”；

3、完成設置后，退出注冊表編輯窗口，并重新啟動計算機系統，就能讓上面的設置生效了。

更多專題：服務器安全防黑系列知識、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、安全之 scw Windows Server 2003是大家最常用的服務器操作系統之一。雖然它提供了強大的網絡服務功能，并且簡單易用，但它的安全性一直困擾著眾多網管，如何在充分利用Windows Server 2003提供的各種服務的同時，保證服務器的安全穩定運行，最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版補丁包的發布，恰好解決這個問題，它不但提供了對系統漏洞的修復，還新增了很多易用的安全功能，如安全配置向導（SCW）功能。利用SCW功能的“安全策略”可以最大限度增強服務器的安全，并且配置過程非常簡單，下面就一起來看吧！

厲兵秣馬 先裝“SCW”

大家都很清楚，Windows Server 2003系統為增強其安全性，默認情況下，很多服務組件是不被安裝的，要想使用，必須手工安裝。“SCW”功能也是一樣，雖然你已經成功安裝了補丁包SP1，但也需要手工安裝“安全配置向導（SCW）”組件。

進入“控制面板”后，運行“添加或刪除程序”，然后切換到“添加/刪除Windows組件”頁。下面在“Windows組件向導”對話框中選中“安全配置向導”選項，最后點擊“下一步”按鈕后，就能輕松完成“SCW”組件的安裝。

安裝過程就這么簡單，接下來就能根據自身需要，利用“SCW”配置安全策略，增強Windows Server 2003服務器安全。

配置“安全策略” 原來如此“簡單”

在Windows Server 2003服務器中，點擊“開始→運行”后，在運行對話框中執行“SCW.exe”命令，就會彈出“安全配置向導”對話框，開始你的安全策略配置過程。當然你也可以進入“控制面板→管理工具”窗口后，執行“安全配置向導”快捷方式來啟用“SCW”。

1．新建第一個“安全策略”

如果你是第一次使用“SCW”功能，首先要為Windows Server 2003服務器新建一個安全策略，安全策略信息是被保存在格式為XML 的文件中的，并且它的默認存儲位置是“C:WINDOWSsecuritymsscwPolicies”。因此一個Windows Server 2003系統可以根據不同需要，創建多個“安全策略”文件，并且還可以對安全策略文件進行修改，但一次只能應用其中一個安全策略。

在“歡迎使用安全配置向導”對話框中點擊“下一步”按鈕，進入到“配置操作”對話框，因為是第一次使用“SCW”，這里要選擇“創建新的安全策略”單選項，點擊“下一步”按鈕，就開始配置安全策略。

2．輕松配置“角色”

首先進入“選擇服務器”對話框，在“服務器”欄中輸入要進行安全配置的Windows Server 2003服務器的機器名或IP地址，點擊“下一步”按鈕后，“安全配置向導”會處理安全配置數據庫。

接著就進入到“基于角色的服務配置”對話框。在基于角色的服務配置中，可以對Windows Server 2003服務器角色、客戶端角色、系統服務、應用程序，以及管理選項等內容進行配置。

所謂服務器“角色”，其實就是提供各種服務的Windows Server 2003服務器，如文件服務器、打印服務器、DNS服務器和DHCP服務器等，一個Windows Server 2003服務器可以只提供一種服務器“角色”，也可以扮演多種服務器角色。點擊“下一步”按鈕后，就進入到“選擇服務器角色”配置對話框，這時需要在“服務器角色列表框”中勾選你的Windows Server 2003服務器所扮演的角色。

注意：為了保證服務器的安全，只勾選你所需要的服務器角色即可，選擇多余的服務器角色選項，會增加Windows Server 2003系統的安全隱患。如筆者的Windows Server 2003服務器只是作為文件服務器使用，這時只要選擇“文件服務器”選項即可。

進入“選擇客戶端功能”標簽頁，來配置Windows Server 2003服務器支持的“客戶端功能”，其實Windows Server 2003服務器的客戶端功能也很好理解，服務器在提供各種網絡服務的同時，也需要一些客戶端功能的支持才行，如Microsoft網絡客戶端、DHCP客戶端和FTP客戶端等。根據需要，在列表框中勾選你所需的客戶端功能即可，同樣，對于不需要的客戶端功能選項，建議你一定要取消對它的選擇。

接下來進入到“選擇管理和其它選項”對話框，在這里選擇你需要的一些Windows Server 2003系統提供的管理和服務功能，操作方法是一樣的，只要在列表框中勾選你需要 的管理選項即可。點擊“下一步”后，還要配置一些Windows Server 2003系統的額外服務，這些額外服務一般都是第三方軟件提供的服務。

然后進入到“處理未指定的服務”對話框，這里“未指定服務”是指，如果此安全策略文件被應用到其它Windows Server 2003服務器中，而這個服務器中提供的一些服務沒有在安全配置數據庫中列出，那么這些沒被列出的服務該在什么狀態下運行呢？在這里就可以指定它們的運行狀態，建議大家選中“不更改此服務的啟用模式”單選項。最后進入到“確認服務更改”對話框，對你的配置進行最終確認后，就完成了基于角色的服務配置。

3．配置網絡安全

以上完成了基于角色的服務配置。但Windows Server 2003服務器包含的各種服務，都是通過某個或某些端口來提供服務內容的，為了保證服務器的安全，Windows防火墻默認是不會開放這些服務端口的。下面就可以通過“網絡安全”配置向導開放各項服務所需的端口，這種向導化配置過程與手工配置Windows防火墻相比，更加簡單、方便和安全。

在“網絡安全”對話框中，要開放選中的服務器角色，Windows Server 2003系統提供的管理功能以及第三方軟件提供的服務所使用的端口。點擊“下一步”按鈕后，在“打開端口并允許應用程序”對話框中開放所需的端口，如FTP服務器所需的“20和21”端口，IIS服務所需的“80”端口等，這里要切記“最小化”原則，只要在列表框中選擇要必須開放的端口選項即可，最后確認端口配置，這里要注意：其它不需要使用的端口，建議大家不要開放，以免給Windows Server 2003服務器造成安全隱患。

4．注冊表設置

Windows Server 2003服務器在網絡中為用戶提供各種服務，但用戶與服務器的通信中很有可能包含“不懷好意”的訪問，如黑客和病毒攻擊。如何保證服務器的安全，最大限度地限制非法用戶訪問，通過“注冊表設置”向導就能輕松實現。

利用注冊表設置向導，修改Windows Server 2003服務器注冊表中某些特殊的鍵值，來嚴格限制用戶的訪問權限。用戶只要根據設置向導提示，以及服務器的服務需要，分別對“要求SMB安全簽名”、“出站身份驗證方法”、“入站身份驗證方法”進行嚴格設置，就能最大限度保證Windows Server 2003服務器的安全運行，并且免去手工修改注冊表的麻煩。

5．啟用“審核策略”

聰明的網管會利用日志功能來分析服務器的運行狀況，因此適當的啟用審核策略是非常重要的。SCW功能也充分的考慮到這些，利用向導化的操作就能輕松啟用審核策略。

在“系統審核策略”配置對話框中要合理選擇審核目標，畢竟日志記錄過多的事件會影響服務器的性能，因此建議用戶選擇“審核成功的操作”選項。當然如果有特殊需要，也可以選擇其它選項。如“不審核”或“審核成功或不成功的操作”選項。

6．增強IIS安全

IIS服務器是網絡中最為廣泛應用的一種服務，也是Windows系統中最易受攻擊的服務。如何來保證IIS服務器的安全運行，最大限度免受黑客和病毒的攻擊，這也是SCW功能要解決的一個問題。利用“安全配置向導”可以輕松的增強IIS服務器的安全，保證其穩定、安全運行。

在“Internet信息服務”配置對話框中，通過配置向導，來選擇你要啟用的Web服務擴展、要保持的虛擬目錄，以及設置匿名用戶對內容文件的寫權限。這樣IIS服務器的安全性就大大增強。

小提示：如果你的Windows Server 2003服務器沒有安裝、運行IIS服務，則在SCW配置過程中不會出現IIS安全配置部分。

完成以上幾步配置后，進入到保存安全策略對話框，首先在“安全策略文件名”對話框中為你配置的安全策略起個名字，最后在“應用安全策略”對話框中選擇“現在應用”選項，使配置的安全策略立即生效。

利用SCW增強Windows Server 2003服務器的安全性能就這么簡單，所有的參數配置都是通過向導化對話框完成的，免去了手工繁瑣的配置過程，SCW功能的確是安全性和易用性有效的結合點。如果你的Windows Server 2003系統已經安裝了SP1補丁包，不妨試試SCW吧！

總結六大條 Windows Server 2003 Web 服務器安全策略

上個工作是做網站服務器維護，在網上搜索了好多教程，感覺亂的很。干脆自己總結了一套Windows Server 2003服務器安全策略。絕非是網上轉載的。都是經過測試的。自己感覺還行吧!歡迎大家測試，也希望與我一起交流服務器的安全問題。希望對大家有幫助！q+ k& W _“ X& V

策略一：關閉windows2003不必要的服務 0 N+ ?2 W3 T(u% A

·Computer Browser 維護網絡上計算機的最新列表以及提供這個列表 * `9 h' q2 `' [& _6 T!Q, t

·Task scheduler 允許程序在指定時間運行* L-i: p3 J2 T9 X& k6 O” b* L4 {

·Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務 / b% d2 e* “ r!Y _

·Removable storage 管理可移動媒體、驅動程序和庫6 t& b;n)|)]8 K' l0 e8 r 0 K2 @/ x” y: b)}

·Remote Registry Service 允許遠程注冊表操作

·Print Spooler 將文件加載到內存中以便以后打印。

·IPSEC Policy Agent 管理IP安全策略及啟動ISAKMP/OakleyIKE)和IP安全驅動程序2 s2 @+ r' q2 ^5 b

·Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知$ x2 * y5 s)T(g

·Com+ Event System 提供事件的自動發布到訂閱COM組件* ~7 m!Q/ r& K: E* U p)u3 e' W;{9 r# G: Y5 m% O, a

·Alerter 通知選定的用戶和計算機管理警報

·Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序 % k;j“ q% j;l)e$ ~4 L5 _# S

·Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息

·Telnet 允許遠程用戶登錄到此計算機并運行程序

策略二：磁盤權限設置6 g4 ?: u(d6 G% L!@(r 6 F% z' t2 m, V, ~

C盤只給administrators和system權限，其他的權限不給，其他的盤也可以這樣設置，這里給的system權限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。1 V(K)r$ F+ k# E0 g1 S0 ^

Windows目錄要加上給users的默認權限，否則ASP和ASPX等應用程序就無法運行。

# b, k+ O4 o!{.W5 n, ~

策略三：禁止 Windows 系統進行空連接7 S7 V% M” R.S x, n1 F7 q1 V: Y5 n

在注冊表中找到相應的鍵HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，將DWORDRestrictAnonymous的鍵值改為1 “ ^: E* ~, R0 N, N& W4 [)?

策略四：關閉不需要的端口

本地連接--屬性--Internet協議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)([3 ^& {& c.{+ Q$ Z

更改遠程連接端口方法+ L* Z4 k% j0 E9 @!P* T6 h

開始-->運行-->輸入regedit' G+.T;N9 m: q0 a8 q `

查找3389：0 B, _8 L0 {5 R% d4 f

請按以下步驟查找:7 v' {5 {7 a& N 6 j: E(p!_& l

1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

值

值

ServerWdsrdpwdTdstcp下的PortNumber=3389改為自寶義的端口號

;w1 v8 j2 J4 H+ Y!N

2、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumber=3389改為自寶義的端口號# t3 s% E.x, T5 C

修改3389為你想要的數字(在十進制下)----再點16進制(系統會自動轉換)----最后確定!這樣就ok了。

M1 W0 M# @* R0 M” n, `

這樣3389端口已經修改了，但還要重新啟動主機，這樣3389端口才算修改成功!如果不重新啟動3389還是修改不了的!重起后下次就可以用新端口進入了!% S3 G(a4 ].E3 i7 P2 q3 w0 M: Y

禁用TCP/IP上的NETBIOS4 H;q: T5 2 e1 n

本地連接--屬性--Internet協議(TCP/IP)--高級—WINS--禁用TCP/IP上的NETBIOS!}2 J!{ k-a4 i8 y

策略五：關閉默認共享的空連接$ C, P$ W.A3 ^;c* S

首先編寫如下內容的批處理文件：

@echo off

net share C$ /delete% }9 ^$ l/ E/ N-z;Y

net share D$ /delete

net share E$ /delete “ N# ^!R, k, p0 @' }

net share F$ /delete+ y-M)W {){

net share admin$ /delete6 ]-k3 ]5 X8 s)Z1 m4 B & }% j/ B* d& J4 A5 i J

以上文件的內容用戶可以根據自己需要進行修改。保存為delshare.bat，存放到系統所在文件夾下的system32GroupPolicyUserScriptsLogon目錄下。然后在開始菜單→運行中輸入gpedit.msc，回車即可打開組策略編輯器。點擊用戶配置→Windows設置→腳本(登錄/注銷)→登錄..w6 X6 a6 X& W

在出現的“登錄 屬性”窗口中單擊“添加”，會出現“添加腳本”對話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可。

重新啟動計算機系統，就可以自動將系統所有的隱藏共享文件夾全部取消了，這樣就能將系統安全隱患降低到最低限度。3 |1 Y/ ]3 j# X3 J

策略五：IIS安全設置(y' D* T2 I(y: h)d

1、不使用默認的Web站點，如果使用也要將IIS目錄與系統磁盤分開。# D* Q1 X([4 P4 L-Q# : m7 B: o' R

2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。, v/ n8 _+ x' W/ P% n/ a

3、刪除系統盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。B” B8 G% I4 c.@0 y“ f” |

4、刪除不必要的IIS擴展名映射。6 w9 k% T# M“ s/ j

右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映射。主要為.shtml、shtm、stm。7 t!$ X!x0 p!R# [0 m4 b & x.`8 N” r-f5 z* W* b6 K$ @.X

5、更改IIS日志的路徑

右鍵單擊“默認Web站點→屬性-網站-在啟用日志記錄下點擊屬性

策略六：注冊表相關安全設置 & R$ _6 A* P“ }6 J(^* f

1、隱藏重要文件/目錄

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL” {!a: G# g;a4 K b” A-z

鼠標右擊 “CheckedValue”，選擇修改，把數值由1改為0。$ ^, V/ o0 n1 `, s(H$ R8 l$ v X+ Q3 l

2、防止SYN洪水攻擊' o9 |)q4 i# e& O!X

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名為SynAttackProtect，值為21 W0 |: K1 ?9 v0 S(x* k;i8 w

3、禁止響應ICMP路由通告報文8 q6 T$ p2 # N e1 f0 P1 k

O* i6 p: R-P i5 Q-w

HKEY_LOCAL_MACHINESYSTEM ServicesTcpipParametersInterfacesinterface % G# k/ v* Q)n(I2 e4 m!n e

新建DWORD值，名為PerformRouterDiscovery 值為0。

4、防止ICMP重定向報文的攻擊 3 S0 S1 t' e/ V& g& a

CurrentControlSet

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

將EnableICMPRedirects 值設為0 # 3 & k: ](j

5、不支持IGMP協議4 i4 {* Z& u' ^

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters ' e: _0 C-?$ C# Y

新建DWORD值，名為IGMPLevel 值為0。

策略七：組件安全設置篇

A、卸載WScript.Shell 和 Shell.application 組件，將下面的代碼保存為一個.BAT文件執行(分2000和2003系統)!G5 c!~)C;V: `$ V/ [

windows2000.bat7 y)Z, [4 o-g4 F* r4 R

regsvr32/u C:WINNTSystem32wshom.ocx0 N1 M1 ?7 p)U: y)_/ `& J

del C:WINNTSystem32wshom.ocx/ C(R-s!|(N 7 E0 e& q+ M+ h5 Q# `

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll5 a6 x7 @% T, l.r r

windows2003.bat' g9 X;?.Y: |;Z : i.], y(i7 c8 R B1 Z2 E

regsvr32/u C:WINDOWSSystem32wshom.ocx2 x9 A8 o+ U+ n# D1 t!@9 Y4 S+ v O8 I* D

del C:WINDOWSSystem32wshom.ocx : r1 _& ~;t1 R9 E$ ]8 G

regsvr32/u C:WINDOWSsystem32shell32.dll / [9 L!m# T+ F

del C:WINDOWSsystem32shell32.dll

B、改名不安全組件，需要注意的是組件的名稱和Clsid都要改，并且要改徹底了，不要照抄，要自己改

【開始→運行→regedit→回車】打開注冊表編輯器

然后【編輯→查找→填寫Shell.application→查找下一個】 $ b* _+ ~;O!e$ V“ r$ q;q

用這個方法能找到兩個注冊表項：)g4 r+ _3 C5 a# I

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application。% M, Y7 V$ P4 `2 C6 y

第一步：為了確保萬無一失，把這兩個注冊表項導出來，保存為xxxx.reg 文件。

第二步：比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 13709620-C279-11CE-A49E-444553540001$ t!w/ w6 g/ N* @

改名為

Shell.application 改名為 Shell.application_nohack)J(E!E8 P, t8 i(F$ _

第三步：那么，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然后把修改好的.reg文件導入到注冊表中(雙擊即可)，導入了改名后的注冊表項之后，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

” c6 e3 A-G u6 B6 G& E+ r

其實，只要把對應注冊表項導出來備份，然后直接改鍵名就可以了，, h8 K4 F% K.m# n$ ?% d

改好的例子

% X“ m;y' K+ h(W9 d7 T” t

建議自己改(p7 e' Y“ F5 j E# i;k 8 z9 C }6 X.p7 ~

應該可一次成功2 I3 ` x: H$ b+ n1 r& B!X+ V, q

Windows Registry Editor Version 5.004 G3 l/ c5 f0 K!m3 a& Z E” g 4 X“ r* Y6 ]' U;D2 P-Y

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]!L” I!T4 K& O-u-k.a% R# m

@=“Shell Automation Service”

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]' c9 R2 B' n: w9 e& c9 t4 ~5 k0 h

@=“C:WINNTsystem32shell32.dll” “.T1 l* N& |7 O3 k

”ThreadingModel“=”Apartment“9 m.~/ p* H8