文章內容

2003server的一些優化設置 (2)

發布時間: 2012/9/10 18:17:25

啟動。
如果想要改變警告信息的話可以雙擊LegalNoticeText健值名稱，在出現的“編輯字符串”窗口中輸入想要顯示的警告信息，單擊“確定”，重新啟動。
　　15.安裝Java VM
　　Windowsserver 2003沒有集成MS Java VM或Sun Java VM,你可以自行下載并安裝它。
　　16.安裝DirectX 9a
　　在Windows Server 2003上安裝DirectX 9a和在其他版本的Windows上安裝DirectX 9a的方法是一樣的。安裝之前必須先啟用DirectX and Graphics Acceleration。
　　17.可用的殺毒軟件和防火墻：
　　Symantec Norton Antivirus Corporate 8.01
　　Zone Alarm 3.7.159
　　Norton Personal Firewall 2003
　　五、如何防范ipc$入侵
　　1、禁止空連接進行枚舉(此操作并不能阻止空連接的建立) 首先運行regedit，找到如下組建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把
RestrictAnonymous = DWORD的鍵值改為：00000001。restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server
　　2、禁止默認共享
　　1）察看本地共享資源
　　運行-cmd-輸入net share
　　2）刪除共享(每次輸入一個）
　　net share ipc$ /delete
　　net share admin$ /delete
　　net share c$ /delete
　　net share d$ /delete（如果有e,f,……可以繼續刪除）
　　3）修改注冊表刪除共享
　　運行-regedit
　　找到如下主鍵　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
把AutoShareServer（DWORD）的鍵值改為0000000。
如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節值）一個主健再改鍵值。
　　3、停止server服務
　　1）暫時停止server服務net stop server /y （重新啟動后server服務會重新開啟）
　　2）永久關閉ipc$和默認共享依賴的服務:lanmanserver即server服務
控制面板-管理工具-服務-找到server服務（右擊）-屬性-常規-啟動類型-已禁用
　　4、安裝防火墻(選中相關設置)，或者端口過濾(濾掉139,445等)
　　1).解開文件和打印機共享綁定
　　鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性]，去掉“Microsoft網絡的文件和打印機共享”前面的勾，解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來的請求，別人也就看不到本機的共享了。
　　2).利用TCP/IP篩選
　　鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性]，打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項]，在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕，選擇“只允許”，再單擊[添加]按鈕(如圖2)，填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進行掃描時，將不會有任何回應。
　　3).使用IPSec安全策略阻止對端口139和445的訪問
　　選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地機器]，在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規則，這樣別人使用掃描器掃描時，本機的139和445兩個端口也不會給予任何回應。
　　4).使用防火墻防范攻擊
　　在防火墻中也可以設置阻止其他機器使用本機共享。如在“天網個人防火墻”中，選擇一條空規則，設置數據包方向為“接收”，對方IP地址選“任何地址”，協議設定為“TCP”，本地端口設置為“139到139”，對方端口設置為“0到0”，設置標志位為“SYN”，動作設置為“攔截”，最后單擊[確定]按鈕，并在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了。
　　5、給所有賬戶設置復雜密碼，防止通過ipc$窮舉密碼。
13.高級設置
　　★我們可以修改一些windows server 2003的高級設置以適合工作站的應用環境。
右鍵點擊“我的電腦”（My Computer）－－屬性（Properties）－－高級（Advanced）－－性能（Performance）
－－設置（Setting）－－高級（Advanced），把“處理器計劃”（Processor scheduling ）和內存使用
（Memory usage）分配給“程序”（Programs）使用。然后點擊“確定”（OK.）
　　★禁用錯誤報告右鍵點擊“我的電腦”（My Computer）－－屬性（Properties）－－高級（Advanced）－－點擊“錯誤報告”
（Error Reporting ）按鈕，在出現的窗口中把“禁用錯誤報告”（Disable Error Reporting）選上并復選“但在發生嚴重錯誤時通知我”（But, notify me when critical errors occur.）
　　★調整虛擬內存一些朋友經常會對關機和注銷緩慢感到束手無策，解決辦法就是禁用虛擬內存，這樣你的注銷和關機時間可能會加快很多。右鍵點擊“我的電腦”（My Computer）－－屬性（Properties）－－高級（Advanced）－－性能
（Performance）－－設置（Setting）－－高級（Advanced），點擊“虛擬內存”（Virtual memory）部分的“更改”（Change），然后在出現的窗口選擇“無分頁文件”。重啟系統即可。
　　14.加快啟動和運行速度
　　★修改注冊表，減少預讀取，減少進度條等待時間：
　
　
　
　
　
　
　　開始→運行→regedit啟動注冊表編輯器，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\Memory Management\PrefetchParameters，有一個鍵值名為EnablePrefetcher，它的值是3,把它改為“1”或“5”。找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control，
將 WaitToKillServiceTimeout 設為：1000或更小。 ( 原設定值：20000 )
找到 HKEY_CURRENT_USER\Control Panel\Desktop 鍵，將右邊視窗的
WaitToKillAppTimeout 改為 1000， ( 原設定值：20000 )即關閉程序時僅等待1秒。
將 HungAppTimeout 值改為：200( 原設定值：5000 )，表示程序出錯時等待0.5秒。
　　★讓系統自動關閉停止回應的程式。
　　打開注冊表 HKEY_CURRENT_USER\Control Panel\Desktop 鍵，將 AutoEndTasks 值設為 1。 ( 原設定值：0 )
　　★禁用系統服務Qos
　　開始菜單→運行→鍵入 gpedit.msc ，出現“組策略”窗口，展開 "管理模板”→“網絡” ，展開 "QoS 數據包調度程序"，在右邊窗右鍵單擊“**可保留帶寬" ，在屬性中的“設置”中有“**可保留帶寬" ，選擇“已禁用”，確定即可。當上述修改完成并應用后，用戶在網絡連接的屬性對話框內的一般屬性標簽欄中如果能夠看到"QoS Packet Scheduler（QoS 數據包調度程序）"。說明修改成功，否則說明修改失敗。
　　★改變窗口彈出的速度：
　　找到HKEY_CURRENT_USER＼Control Panel＼Desktop＼WindowMetrics子鍵分支，在右邊的窗口中找到MinAniMate鍵值，其類型為REG_SZ，默認情況下此健值的值為1，表示打開窗口顯示的動畫，把它改為0，則禁止動畫顯示，接下來從開始菜單中選擇“注銷”命令，激活剛才所作的修改。
　　★禁止Windows XP的壓縮功能：
　　點擊“開始”下的“運行”，在“運行”輸入框中輸入“regsvr32/u zipfldr.dll”，然后按回車鍵即可。
　　★設置個性的啟動信息或警告信息：
個性化的Windows XP啟動：打開注冊表編輯器，找到HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon子鍵分支，雙擊LegalNoticeCaption健值，打開“編輯字符串”對話框，在“數值數據”下的文本框中輸入自己想要的信息標題，如“哥們兒，你好！”，然后點擊“確定”，重新啟動。
如果想要改變警告信息的話可以雙擊LegalNoticeText健值名稱，在出現的“編輯字符串”窗口中輸入想要顯示的警告信息，單擊“確定”，重新啟動。
　　15.安裝Java VM
　　Windowsserver 2003沒有集成MS Java VM或Sun Java VM,你可以自行下載并安裝它。
　　16.安裝DirectX 9a
　　在Windows Server 2003上安裝DirectX 9a和在其他版本的Windows上安裝DirectX 9a的方法是一樣的。安裝之前必須先啟用DirectX and Graphics Acceleration。
　　17.可用的殺毒軟件和防火墻：
　　Symantec Norton Antivirus Corporate 8.01
　　Zone Alarm 3.7.159
　　Norton Personal Firewall 2003
　　五、如何防范ipc$入侵
　　1、禁止空連接進行枚舉(此操作并不能阻止空連接的建立) 首先運行regedit，找到如下組建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把
RestrictAnonymous = DWORD的鍵值改為：00000001。restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server
　　2、禁止默認共享
　　1）察看本地共享資源
　　運行-cmd-輸入net share
　　2）刪除共享(每次輸入一個）
　　net share ipc$ /delete
　　net share admin$ /delete
　　net share c$ /delete
　　net share d$ /delete（如果有e,f,……可以繼續刪除）
　　3）修改注冊表刪除共享
　　運行-regedit
　　找到如下主鍵　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
把AutoShareServer（DWORD）的鍵值改為0000000。
如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節值）一個主健再改鍵值。
　　3、停止server服務
　　1）暫時停止server服務net stop server /y （重新啟動后server服務會重新開啟）
　　2）永久關閉ipc$和默認共享依賴的服務:lanmanserver即server服務
控制面板-管理工具-服務-找到server服務（右擊）-屬性-常規-啟動類型-已禁用
　　4、安裝防火墻(選中相關設置)，或者端口過濾(濾掉139,445等)
　　1).解開文件和打印機共享綁定
　　鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性]，去掉“Microsoft網絡的文件和打印機共享”前面的勾，解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來的請求，別人也就看不到本機的共享了。
　　2).利用TCP/IP篩選
　　鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性]，打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項]，在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕，選擇“只允許”，再單擊[添加]按鈕(如圖2)，填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進行掃描時，將不會有任何回應。
　　3).使用IPSec安全策略阻止對端口139和445的訪問
　　選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地機器]，在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規則，這樣別人使用掃描器掃描時，本機的139和445兩個端口也不會給予任何回應。
　　4).使用防火墻防范攻擊
　　在防火墻中也可以設置阻止其他機器使用本機共享。如在“天網個人防火墻”中，選擇一條空規則，設置數據包方向為“接收”，對方IP地址選“任何地址”，協議設定為“TCP”，本地端口設置為“139到139”，對方端口設置為“0到0”，設置標志位為“SYN”，動作設置為“攔截”，最后單擊[確定]按鈕，并在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了。
　　5、給所有賬戶設置復雜密碼，防止通過ipc$窮舉密碼。