快捷導(dǎo)航

Windows服務(wù)器安全配置

更新時(shí)間：2006年10月19日 00:00:00 作者：

服務(wù)器安全配置（只針對(duì)WIN系統(tǒng)）

一、

原則關(guān)掉所有不使用的服務(wù),不安裝所有與服務(wù)器無(wú)關(guān)的軟件,打好所有補(bǔ)丁

修改3389

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那個(gè)PortNumber沒(méi)有?0xd3d，這個(gè)是16進(jìn)制，就是3389啦，我改XXXX這個(gè)值是RDP(遠(yuǎn)程桌面協(xié)議)的默認(rèn)值，也就是說(shuō)用來(lái)配置以后新建的RDP服務(wù)的，要改已經(jīng)建立的RDP服務(wù)，我們?nèi)ハ乱粋€(gè)鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations這里應(yīng)該有一個(gè)或多個(gè)類(lèi)似RDP-TCP的子?。ㄈQ于你建立了多少個(gè)RDP服務(wù)），一樣改掉PortNumber。

修改系統(tǒng)日志保存地址

默認(rèn)位置為

應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置：%systemroot%\system32\config，默認(rèn)文件大小512KB，管理員都會(huì)改變這個(gè)默認(rèn)大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT
系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT
應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT
Internet信息服務(wù)FTP日志默認(rèn)位置：%systemroot%\system32\logfiles\msftpsvc1\，默認(rèn)每天一個(gè)日志

Internet信息服務(wù)WWW日志默認(rèn)位置：%systemroot%\system32\logfiles\w3svc1\，默認(rèn)每天一個(gè)日志
Scheduler(任務(wù)計(jì)劃)服務(wù)日志默認(rèn)位置：%systemroot%\schedlgu.txt

應(yīng)用程序日志，安全日志，系統(tǒng)日志，DNS服務(wù)器日志，它們這些LOG文件在注冊(cè)表中的：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

Schedluler(任務(wù)計(jì)劃)服務(wù)日志在注冊(cè)表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

SQL
刪掉或改名xplog70.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 對(duì)pro版本

// AutoShareServer 對(duì)server版本

// 0 禁止管理共享admin$,c$,d$之類(lèi)默認(rèn)共享

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用戶(hù)無(wú)法列舉本機(jī)用戶(hù)列表

//0x2 匿名用戶(hù)無(wú)法連接本機(jī)IPC$共享(可能sql server不能夠啟動(dòng))

本地安全策略

封TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導(dǎo))
封UDP端口:1434(這個(gè)就不用說(shuō)了吧)
封所有ICMP,即封PING
以上是最常被掃的端口,有別的同樣也封,當(dāng)然因?yàn)?0是做WEB用的

審核策略為

審核策略更改:成功,失敗

審核登錄事件:成功,失敗

審核對(duì)象訪問(wèn):失敗

審核對(duì)象追蹤:成功,失敗

審核目錄服務(wù)訪問(wèn):失敗

審核特權(quán)使用:失敗

審核系統(tǒng)事件:成功,失敗

審核賬戶(hù)登錄事件:成功,失敗

審核賬戶(hù)管理:成功,失敗

密碼策略:啟用“密碼必須符合復(fù)雜性要求","密碼長(zhǎng)度最小值"為6個(gè)字符,"強(qiáng)制密碼歷史"為5次,"密碼最長(zhǎng)存留期"為30天.

在賬戶(hù)鎖定策略中設(shè)置:"復(fù)位賬戶(hù)鎖定計(jì)數(shù)器"為30分鐘之后,"賬戶(hù)鎖定時(shí)間"為30分鐘,"賬戶(hù)鎖定值"為30分鐘.

安全選項(xiàng)設(shè)置:本地安全策略==本地策略==安全選項(xiàng)==對(duì)匿名連接的額外限制,雙擊對(duì)其中有效策略進(jìn)行設(shè)置,選擇"不允許枚舉SAM賬號(hào)和共享",因?yàn)檫@個(gè)值是只允許非NULL用戶(hù)存取SAM賬號(hào)信息和共享信息,一般選擇此項(xiàng).

禁止登錄屏幕上顯示上次登錄的用戶(hù)名

控制面板==管理工具==本地安全策略==本地策略==安全選項(xiàng)

或改注冊(cè)表

HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn項(xiàng)中的Don't Display Last User Name串，將其數(shù)據(jù)修改為1

禁TCP/IP中的禁用TCP/IP上的NetBIOS

修改默認(rèn)管理用戶(hù)名(這就不用說(shuō)了吧),禁用Guest帳號(hào),除了ADMIN組的用戶(hù)可以遠(yuǎn)程登陸本機(jī)完,別的用戶(hù)的遠(yuǎn)程登陸都去掉

WEB目錄用戶(hù)權(quán)限設(shè)定...
依次做下面的工作:
選取整個(gè)硬盤(pán)：
system：完全控制
administrator：完全控制(允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
b.\program files\common files：
everyone：讀取及運(yùn)行
列出文件目錄
讀取(允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
c.\inetpub\wwwroot：
iusr_machine：讀取及運(yùn)行
列出文件目錄
讀取 (允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
e.\winnt\system32：
選擇除inetsrv和centsrv以外的所有目錄，
去除“允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象”選框，復(fù)制。
f.\winnt：
選擇除了downloaded program files、help、iis temporary compressed files、
offline web pages、system32、tasks、temp、web以外的所有目錄
去除“允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象”選框，復(fù)制。
g.\winnt：
everyone：讀取及運(yùn)行

列出文件目錄
讀取(允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
h.\winnt\temp：（允許訪問(wèn)數(shù)據(jù)庫(kù)并顯示在asp頁(yè)面上）
everyone：修改 (允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
(還是WIN2K3好一點(diǎn),默認(rèn)就設(shè)好了設(shè)限)
刪除默認(rèn)IIS目錄

刪除IIS中除ASA和ASP的所有解析,除非你要用到別的CGI程序(WIN2K3中去不掉的)
定期查看服務(wù)器中的日志logs文件

檢查ASP程序是否有SQL注入漏洞

解決方法:
在ASP程序中加入

dim listname
if not isnumeric(request("id")) then
response.write "參數(shù)錯(cuò)誤"
response.end
end if
//作用是檢查ID是否為INT數(shù)字型

如何讓asp腳本以system權(quán)限運(yùn)行?
修改你asp腳本所對(duì)應(yīng)的虛擬目錄，把"應(yīng)用程序保護(hù)"修改為"低"....

如何防止asp木馬?
基于FileSystemObject組件的asp木馬

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //刪除

還原:
cacls %systemroot%\system32\scrrun.dll /e /p guests:r
regsvr32 scrrun.dll

基于shell.application組件的asp木馬

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //刪除

還原:
cacls %systemroot%\system32\shell32.dll /e /p guests:r
regsvr32 shell32.dll

可以看一下caclsr語(yǔ)法,f是完全控制,c是寫(xiě)入

把ip2K.jpg另存為,改后綴名為RAR,2K和2K3下的安全策略,借用了REISTLIN的東西,3Q,上面有些東西太簡(jiǎn)單了就沒(méi)寫(xiě)全.如果你是用固定IP的話,可以在安全策略中加上允許訪問(wèn)和你自己的IP

二、關(guān)閉Messenger,Remote Registry Service,Task Scheduler 服務(wù)及不需要的服務(wù)..

三、安裝過(guò)程

有選擇性地安裝組件

不要按Windows 2000的默認(rèn)安裝組件，本著“最少的服務(wù)+最小的權(quán)限=最大的安全”原則，只選擇安裝需要的服務(wù)即可。例如：不作為Web服務(wù)器或FTP服務(wù)器就不安裝IIS。常用Web服務(wù)器需要的最小組件是： Internet 服務(wù)管理器、WWW服務(wù)器和與其有關(guān)的輔助服務(wù)。

安裝完畢后加入網(wǎng)絡(luò)

在安裝完成Windows 2000操作系統(tǒng)后，不要立即把服務(wù)器加入網(wǎng)絡(luò)，因?yàn)檫@時(shí)的服務(wù)器上的各種程序還沒(méi)有打上補(bǔ)丁，存在各種漏洞，非常容易感染病毒和被入侵。
應(yīng)該在所有應(yīng)用程序安裝完之后依次打上各種補(bǔ)丁，因?yàn)檠a(bǔ)丁程序是針對(duì)不同應(yīng)用程序而安裝的，往往要替換或修改某些系統(tǒng)文件，如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果。例如IIS的HotFix要求每次更改IIS的配置時(shí)都需要重新安裝。

還有，如果怕IIS負(fù)荷過(guò)高導(dǎo)致服務(wù)器死機(jī)，也可以在性能中打開(kāi)CPU限制，如將IIS的最大CPU使用率限制在70%。

正確設(shè)置和管理賬戶(hù)

1、停止使用用Guest賬戶(hù)，并給Guest 加一個(gè)復(fù)雜的密碼。

2、賬戶(hù)要盡可能少，并且要經(jīng)常用一些掃描工具查看一下系統(tǒng)賬戶(hù)、賬戶(hù)權(quán)限及密碼。刪除停用的賬戶(hù)，常用的掃描軟件有：流光、HSCAN、X－SCAN、STAT　SCANNER等。正確配置賬戶(hù)的權(quán)限，密碼至少應(yīng)不少于8位，且要數(shù)字、大小寫(xiě)字母，以及數(shù)字的上檔鍵混用，這樣就較難破譯。

3、增加登錄的難度，在“賬戶(hù)策略→密碼策略”中設(shè)定：“密碼復(fù)雜性要求啟用”，“密碼長(zhǎng)度最小值8位”，“強(qiáng)制密碼歷史5次”，“最長(zhǎng)存留期 30天”；在“賬戶(hù)策略→賬戶(hù)鎖定策略”設(shè)定：“賬戶(hù)鎖定3次錯(cuò)誤登錄”，“鎖定時(shí)間20分鐘”，“復(fù)位鎖定計(jì)數(shù)20分鐘”等，增加了登錄的難度對(duì)系統(tǒng)的安全大有好處。

4、把系統(tǒng)Administrator賬號(hào)改名，名稱(chēng)不要帶有Admin等字樣; 創(chuàng)建一個(gè)陷阱帳號(hào)，如創(chuàng)建一個(gè)名為“Administrator”的本地帳戶(hù)，把權(quán)限設(shè)置成最低，什么事也干不了，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Scripts忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)他們的入侵企圖。

5、不讓系統(tǒng)顯示上次登錄的用戶(hù)名，具體操作如下：
將注冊(cè)表中“Hkey\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的鍵值改為1。

正確地設(shè)置目錄和文件權(quán)限

為了控制好服務(wù)器上用戶(hù)的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，還必須非常小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限。Windows 2000的訪問(wèn)權(quán)限分為：讀取、寫(xiě)入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對(duì)所有用戶(hù)（Everyone這個(gè)組）是完全控制的（Full Control），您需要根據(jù)應(yīng)用的需要重新設(shè)置權(quán)限。在進(jìn)行權(quán)限控制時(shí)，請(qǐng)記住以下幾個(gè)原則：

1、權(quán)限是累計(jì)的，如果一個(gè)用戶(hù)同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限。

2、拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會(huì)先執(zhí)行）。如果一個(gè)用戶(hù)屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限，他也一定不能訪問(wèn)這個(gè)資源。

3、文件權(quán)限比文件夾權(quán)限高。

4、利用用戶(hù)組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣。

5、只給用戶(hù)真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障。

6、預(yù)防ICMP攻擊。ICMP的風(fēng)暴攻擊和碎片攻擊是NT主機(jī)比較頭疼的攻擊方法，而Windows 2000應(yīng)付的方法很簡(jiǎn)單。Windows 2000自帶一個(gè)Routing & Remote Access工具，這個(gè)工具初具路由器的雛形。在這個(gè)工具中，我們可以輕易地定義輸入輸出包過(guò)濾器。如設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來(lái)ICMP報(bào)文。

網(wǎng)絡(luò)服務(wù)安全管理

1、關(guān)閉不需要的服務(wù)

只留必需的服務(wù)，多一些服務(wù)可能會(huì)給系統(tǒng)帶來(lái)更多的安全因素。如Windows 2000的Terminal Services（終端服務(wù)）、IIS（web服務(wù)）、RAS（遠(yuǎn)程訪問(wèn)服務(wù)）等，這些都有產(chǎn)生漏洞的可能。

2、關(guān)閉不用的端口

只開(kāi)放服務(wù)需要的端口與協(xié)議。
具體方法為：按順序打開(kāi)“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級(jí)→選項(xiàng)→TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務(wù)開(kāi)設(shè)口，常用的TCP口有：80口用于Web服務(wù)；21用于FTP服務(wù)；25口用于SMTP；23口用于Telnet服務(wù)；110口用于POP3。常用的UDP端口有：53口－DNS域名解析服務(wù)；161口－snmp簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議。8000、4000用于OICQ，服務(wù)器用8000來(lái)接收信息，客戶(hù)端用4000發(fā)送信息。

3、禁止建立空連接

默認(rèn)情況下，任何用戶(hù)可通過(guò)空連接連上服務(wù)器，枚舉賬號(hào)并猜測(cè)密碼。空連接用的端口是139，通過(guò)空連接，可以復(fù)制文件到遠(yuǎn)端服務(wù)器，計(jì)劃執(zhí)行一個(gè)任務(wù)，這就是一個(gè)漏洞?？梢酝ㄟ^(guò)以下兩種方法禁止建立空連接：
（1）修改注冊(cè)表中　Local_Machine\System\
CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。

（2）修改Windows 2000的本地安全策略。設(shè)置“本地安全策略→本地策略→選項(xiàng)”中的RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號(hào)和共享”。
首先，Windows 2000的默認(rèn)安裝允許任何用戶(hù)通過(guò)空連接得到系統(tǒng)所有賬號(hào)和共享列表，這本來(lái)是為了方便局域網(wǎng)用戶(hù)共享資源和文件的，但是，同時(shí)任何一個(gè)遠(yuǎn)程用戶(hù)也可以通過(guò)同樣的方法得到您的用戶(hù)列表，并可能使用暴力法破解用戶(hù)密碼給整個(gè)網(wǎng)絡(luò)帶來(lái)破壞。很多人都只知道更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止空用戶(hù)連接，實(shí)際上Windows 2000的本地安全策略里（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里）就有RestrictAnonymous選項(xiàng)，其中有三個(gè)值：“0”這個(gè)值是系統(tǒng)默認(rèn)的，沒(méi)有任何限制，遠(yuǎn)程用戶(hù)可以知道您機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等；“1”這個(gè)值是只允許非NULL用戶(hù)存取SAM賬號(hào)信息和共享信息；“2”這個(gè)值只有Windows 2000才支持，需要注意的是，如果使用了這個(gè)值，就不能再共享資源了，所以還是推薦把數(shù)值設(shè)為“1”比較好。

網(wǎng)絡(luò)服務(wù)安全配置

1、修改默認(rèn)端口。終端服務(wù)的默認(rèn)端口為3389，可考慮修改為別的端口。修改方法為：

服務(wù)器端：打開(kāi)注冊(cè)表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”處找到類(lèi)似RDP-TCP的子鍵，修改PortNumber值。

客戶(hù)端：按正常步驟建一個(gè)客戶(hù)端連接，選中這個(gè)連接，在“文件”菜單中選擇導(dǎo)出，在指定位置會(huì)生成一個(gè)后綴為.cns的文件。打開(kāi)該文件，修改“Server Port”值為與服務(wù)器端的PortNumber對(duì)應(yīng)的值。然后再導(dǎo)入該文件（方法：菜單→文件→導(dǎo)入），這樣客戶(hù)端就修改了端口。
2、安全配置Internet 服務(wù)管理器。對(duì)IIS服務(wù)安全配置如下：

(1)停止默認(rèn)的Web服務(wù)，建立新的Web服務(wù)，將其主目錄設(shè)為其他（非inetpub）目錄，最好不和主系統(tǒng)點(diǎn)用一個(gè)分區(qū)。如果使用系統(tǒng)默認(rèn)的Web服務(wù)，那么通過(guò)較簡(jiǎn)單的攻擊，就可以黑掉服務(wù)器。

(2) 刪除原默認(rèn)安裝的Inetpub目錄（在安裝系統(tǒng)的盤(pán)上）。

(3) 刪除系統(tǒng)盤(pán)下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

3、不要設(shè)置Frontpage服務(wù)器擴(kuò)展服務(wù)，如果開(kāi)設(shè)，那么就可以遠(yuǎn)程在Frontpage下打開(kāi)您的主頁(yè)文件進(jìn)行修改。

4、刪除不必要的IIS擴(kuò)展名映射。方法是：右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”，打開(kāi)應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。如不用到其他映射，只保留.asp、.asa兩映射即可。

安全的管理數(shù)據(jù)文件

1、常備份，要經(jīng)常把要數(shù)據(jù)備份到專(zhuān)用的備份服務(wù)器，備份完畢后，可將備份服務(wù)器與網(wǎng)絡(luò)隔離。

2、關(guān)閉默認(rèn)共享。Windows 2000安裝好以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享（如C$、D$等），在命令態(tài)下可用net share命令查看它們，這些共享要?jiǎng)h除。不過(guò)當(dāng)機(jī)器重新啟動(dòng)后，這些共享又會(huì)重新開(kāi)啟，需每次啟動(dòng)后都刪除。

3、正確設(shè)置文件的共享權(quán)限，設(shè)置共享文件時(shí)，要注意把共享文件的權(quán)限從“everyone”組改成“授權(quán)用戶(hù)”，包括打印共享，這樣即使連接上去看到也無(wú)法查閱。

4、防止文件名欺騙，用顯示所有文件名和文件夾以及顯示文件類(lèi)型擴(kuò)展名來(lái)有效地防止文件名欺騙。如防止以.txt或.exe為擴(kuò)展名的惡意文件被顯示為.txt文件，大意打開(kāi)該文件被攻，雙擊“我的電腦→工具→文件夾選項(xiàng)→查看”，選擇“顯示所有文件和文件夾”屬性設(shè)置，去掉“隱藏已知文件類(lèi)型擴(kuò)展名”屬性設(shè)置。

5、啟用Terminal Service的安全日志，系統(tǒng)默認(rèn)是不啟用的?？梢酝ㄟ^(guò)“Terminal Service Configration→權(quán)限→高級(jí)”中配置安全審核，記錄登錄、注銷(xiāo)事件就可以了。

啟用日志，利用軟件隨時(shí)檢測(cè)網(wǎng)絡(luò)流量
發(fā)現(xiàn)有異常隨時(shí)查看日志文件，是不是有人在攻擊。

四、Windows 服務(wù)的最佳化說(shuō)明

Alerter
微軟：通知選取的使用者及計(jì)算機(jī)系統(tǒng)管理警示。如果停止這個(gè)服務(wù)，使用系統(tǒng)管理警示的程序?qū)⒉粫?huì)收到通知。如果停用這個(gè)服務(wù)，所有依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：一般家用計(jì)算機(jī)根本不需要傳送或接收計(jì)算機(jī)系統(tǒng)管理來(lái)的警示(Administrative Alerts)，除非你的計(jì)算機(jī)用在局域網(wǎng)絡(luò)上
依存： Workstation
建議：已停用

Application Layer Gateway Service
微軟：提供因特網(wǎng)聯(lián)機(jī)共享和因特網(wǎng)聯(lián)機(jī)防火墻的第三方通訊協(xié)議插件的支持
補(bǔ)充：如果你不使用因特網(wǎng)聯(lián)機(jī)共享 (ICS) 提供多臺(tái)計(jì)算機(jī)的因特網(wǎng)存取和因特網(wǎng)聯(lián)機(jī)防火墻 (ICF) 軟件你可以關(guān)掉
依存： Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議：已停用

Application Management (應(yīng)用程序管理)
微軟：提供指派、發(fā)行、以及移除的軟件安裝服務(wù)。
補(bǔ)充：如上說(shuō)的軟件安裝變更的服務(wù)
建議：手動(dòng)

Automatic Updates
微軟：啟用重要 Windows 更新的下載及安裝。如果停用此服務(wù)，可以手動(dòng)的從 Windows Update 網(wǎng)站上更新操作系統(tǒng)。
補(bǔ)充：允許 Windows 于背景自動(dòng)聯(lián)機(jī)之下，到 Microsoft Servers 自動(dòng)檢查和下載更新修補(bǔ)程序
建議：已停用

Background Intelligent Transfer Service
微軟：使用閑置的網(wǎng)絡(luò)頻寬來(lái)傳輸數(shù)據(jù)。
補(bǔ)充：經(jīng)由 Via HTTP1.1 在背景傳輸資料的?#124;西，例如 Windows Update 就是以此為工作之一
依存： Remote Procedure Call (RPC) 和 Workstation
建議：已停用

ClipBook (剪貼簿)
微軟：啟用剪貼簿檢視器以?xún)?chǔ)存信息并與遠(yuǎn)程計(jì)算機(jī)共享。如果這個(gè)服務(wù)被停止，剪貼簿檢視器將無(wú)法與遠(yuǎn)程計(jì)算機(jī)共享信息。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：把剪貼簿內(nèi)的信息和其它臺(tái)計(jì)算機(jī)分享，一般家用計(jì)算機(jī)根本用不到
依存： Network DDE
建議：已停用

COM+ Event System (COM+ 事件系統(tǒng))
微軟：支持「系統(tǒng)事件通知服務(wù) (SENS)」，它可讓事件自動(dòng)分散到訂閱的 COM 組件。如果服務(wù)被停止，SENS 會(huì)關(guān)閉，并無(wú)法提供登入及注銷(xiāo)通知。如果此服務(wù)被停用，任何明顯依存它的服務(wù)都無(wú)法啟動(dòng)。
補(bǔ)充：有些程序可能用到 COM+ 組件，像 BootVis 的 optimize system 應(yīng)用，如事件檢視器內(nèi)顯示的 DCOM 沒(méi)有啟用
依存： Remote Procedure Call (RPC) 和 System Event Notification
建議：手動(dòng)

COM+ System Application
微軟：管理 COM+ 組件的設(shè)定及追蹤。如果停止此服務(wù)，大部分的 COM+ 組件將無(wú)法適當(dāng)?#092;作。如果此服務(wù)被停用，任何明確依存它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如果 COM+ Event System 是一臺(tái)車(chē)，那么 COM+ System Application 就是司機(jī)，如事件檢視器內(nèi)顯示的 DCOM 沒(méi)有啟用
依存： Remote Procedure Call (RPC)
建議：手動(dòng)

Computer Browser (計(jì)算機(jī)瀏覽器)
微軟：維護(hù)網(wǎng)絡(luò)上更新的計(jì)算機(jī)清單，并將這個(gè)清單提供給做為瀏覽器的計(jì)算機(jī)。如果停止這個(gè)服務(wù)，這個(gè)清單將不會(huì)被更新或維護(hù)。如果停用這個(gè)服務(wù)，所有依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：一般家庭用計(jì)算機(jī)不需要，除非你的計(jì)算機(jī)應(yīng)用在區(qū)網(wǎng)之上，不過(guò)在大型的區(qū)網(wǎng)上有必要開(kāi)這個(gè)拖慢速度嗎？
依存： Server 和 Workstation
建議：已停用

Cryptographic Services
微軟：提供三個(gè)管理服務(wù): 確認(rèn) Windows 檔案簽章的 [類(lèi)別目錄數(shù)據(jù)庫(kù)服務(wù)]; 從這個(gè)計(jì)算機(jī)新增及移除受信任根憑證授權(quán)憑證的 [受保護(hù)的根目錄服務(wù)]; 以及協(xié)助注冊(cè)這個(gè)計(jì)算機(jī)以取得憑證的 [金鑰服務(wù)]。如果這個(gè)服務(wù)被停止，這些管理服務(wù)將無(wú)法正確工作。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：簡(jiǎn)單的說(shuō)就是 Windows Hardware Quality Lab (WHQL)微軟的一種認(rèn)證，如果你有使用 Automatic Updates ，那你可能需要這個(gè)
依存： Remote Procedure Call (RPC)
建議：手動(dòng)

DHCP Client (DHCP 客戶(hù)端)
微軟：透過(guò)登錄及更新 IP 地址和 DNS 名稱(chēng)來(lái)管理網(wǎng)絡(luò)設(shè)定。
補(bǔ)充：使用 DSL/Cable 、ICS 和 IPSEC 的人都需要這個(gè)來(lái)指定動(dòng)態(tài) IP
依存： AFD 網(wǎng)絡(luò)支持環(huán)境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP
建議：手動(dòng)

Distributed Link Tracking Client (分布式連結(jié)追蹤客戶(hù)端)
微軟：維護(hù)計(jì)算機(jī)中或網(wǎng)絡(luò)網(wǎng)域不同計(jì)算機(jī)中 NTFS 檔案間的連結(jié)。
補(bǔ)充：維護(hù)區(qū)網(wǎng)內(nèi)不同計(jì)算機(jī)之間的檔案連結(jié)
依存： Remote Procedure Call (RPC)
建議：已停用

Distributed Transaction Coordinator (分布式交易協(xié)調(diào)器)
微軟：協(xié)調(diào)跨越多個(gè)資源管理員的交易，比如數(shù)據(jù)庫(kù)、訊息隊(duì)列及檔案系統(tǒng)。如果此服務(wù)被停止，這些交易將不會(huì)發(fā)生。如果服務(wù)被停用，任何明顯依存它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如上所說(shuō)的，一般家庭用計(jì)算機(jī)用不太到，除非你啟用的 Message Queuing
依存： Remote Procedure Call (RPC) 和 Security Accounts Manager
建議：已停用

DNS Client (DNS 客戶(hù)端)
微軟：解析并快取這臺(tái)計(jì)算機(jī)的網(wǎng)域名稱(chēng)系統(tǒng) (DNS) 名稱(chēng)。如果停止這個(gè)服務(wù)，這臺(tái)計(jì)算機(jī)將無(wú)法解析 DNS 名稱(chēng)并尋找 Active Directory 網(wǎng)域控制站的位置。如果停用這個(gè)服務(wù)，所有依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如上所說(shuō)的，另外 IPSEC 需要用到
依存： TCP/IP Protocol Driver
建議：手動(dòng)

Error Reporting Service
微軟：允許對(duì)執(zhí)行于非標(biāo)準(zhǔn)環(huán)境中的服務(wù)和應(yīng)用程序的錯(cuò)誤報(bào)告。
補(bǔ)充：微軟的應(yīng)用程序錯(cuò)誤報(bào)告
依存： Remote Procedure Call (RPC)
建議：已停用

Event Log (事件記錄文件)
微軟：啟用 Windows 為主的程序和組件所發(fā)出的事件訊息可以在事件檢視器中檢視。這個(gè)服務(wù)不能被停止。
補(bǔ)充：允許事件訊息顯示在事件檢視器之上
依存： Windows Management Instrumentation
建議：自動(dòng)

Fast User Switching Compatibility
微軟：在多使用者環(huán)境下提供應(yīng)用程序管理。
補(bǔ)充：另外像是注銷(xiāo)畫(huà)面中的切換使用者功能
依存： Terminal Services
建議：手動(dòng)

Help and Support
微軟：讓說(shuō)明及支持中心能夠在這臺(tái)計(jì)算機(jī)上執(zhí)行。如果這個(gè)服務(wù)停止，將無(wú)法使用說(shuō)明及支持中心。如果這個(gè)服務(wù)被停用，它的所有依存服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如果不使用就關(guān)了吧
依存： Remote Procedure Call (RPC)
建議：已停用

Human Interface Device Access
微軟：啟用對(duì)人性化接口裝置 (HID) 的通用輸入存取，HID 裝置啟動(dòng)并維護(hù)對(duì)這個(gè)鍵盤(pán)、遠(yuǎn)程控制、以及其它多媒體裝置上事先定義的快捷紐的使用。如果這個(gè)服務(wù)被停止，這個(gè)服務(wù)控制的快捷紐將不再起作用。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如上所提到的
依存： Remote Procedure Call (RPC)
建議：已停用

IMAPI CD-Burning COM Service
微軟：使用 Image Mastering Applications Programming Interface (IMAPI) 來(lái)管理光盤(pán)錄制。如果這個(gè)服務(wù)被停止，這個(gè)計(jì)算機(jī)將無(wú)法錄制光盤(pán)。如果這個(gè)服務(wù)被停用，任何明確地依賴(lài)它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充： XP 整合的 CD-R 和 CD-RW 光驅(qū)上拖放的燒錄功能，可惜比不上燒錄軟件，關(guān)掉還可以加快 Nero 的開(kāi)啟速度
建議：已停用

Indexing Service (索引服務(wù))
微軟：本機(jī)和遠(yuǎn)程計(jì)算機(jī)的索引內(nèi)容和檔案屬性; 透過(guò)彈性的查詢(xún)語(yǔ)言提供快速檔案存取。
補(bǔ)充：簡(jiǎn)單的說(shuō)可以讓你加快搜查速度，不過(guò)我想應(yīng)該很少人和遠(yuǎn)程計(jì)算機(jī)作搜尋吧
依存： Remote Procedure Call (RPC)
建議：已停用

Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
微軟：為您的家用網(wǎng)絡(luò)或小型辦公室網(wǎng)絡(luò)提供網(wǎng)絡(luò)地址轉(zhuǎn)譯、尋址及名稱(chēng)解析服務(wù)和/或防止干擾的服務(wù)。
補(bǔ)充：如果你不使用因特網(wǎng)聯(lián)機(jī)共享(ICS)或是 XP 內(nèi)含的因特網(wǎng)聯(lián)機(jī)防火墻(ICF)你可以關(guān)掉
依存： Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建議：已停用

IPSEC Services (IP 安全性服務(wù))
微軟：管理 IP 安全性原則并啟動(dòng) ISAKMP/Oakley (IKE) 及 IP 安全性驅(qū)動(dòng)程序。
補(bǔ)充：協(xié)助保護(hù)經(jīng)由網(wǎng)絡(luò)傳送的數(shù)據(jù)。IPSec 為一重要環(huán)節(jié)，為虛擬私人網(wǎng)絡(luò) (VPN) 中提供安全性，而 VPN 允許組織經(jīng)由因特網(wǎng)安全地傳輸數(shù)據(jù)。在某些網(wǎng)域上也許需要，但是一般使用者大部分是不太需要的
依存： IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建議：手動(dòng)

Logical Disk Manager (邏輯磁盤(pán)管理員)
微軟：偵測(cè)及監(jiān)視新硬盤(pán)磁盤(pán)，以及傳送磁盤(pán)區(qū)信息到邏輯磁盤(pán)管理系統(tǒng)管理服務(wù)以供設(shè)定。如果這個(gè)服務(wù)被停止，動(dòng)態(tài)磁盤(pán)狀態(tài)和設(shè)定信息可能會(huì)過(guò)時(shí)。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：磁盤(pán)管理員用來(lái)動(dòng)態(tài)管理磁盤(pán)，如顯示磁盤(pán)可用空間等和使用 Microsoft Management Console(MMC)主控臺(tái)的功能
依存： Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
建議：自動(dòng)

Logical Disk Manager Administrative Service (邏輯磁盤(pán)管理員系統(tǒng)管理服務(wù))
微軟：設(shè)定硬盤(pán)磁盤(pán)及磁盤(pán)區(qū)，服務(wù)只執(zhí)行設(shè)定程序然后就停止。
補(bǔ)充：使用 Microsoft Management Console(MMC)主控臺(tái)的功能時(shí)才用到
依存： Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
建議：手動(dòng)

Messenger (信差)
微軟：在客戶(hù)端及服務(wù)器之間傳輸網(wǎng)絡(luò)傳送及 [Alerter] 服務(wù)訊息。這個(gè)服務(wù)與 Windows Messenger 無(wú)關(guān)。如果停止這個(gè)服務(wù)，Alerter 訊息將不會(huì)被傳輸。如果停用這個(gè)服務(wù)，所有依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：允許網(wǎng)絡(luò)之間互相傳送提示訊息的功能，如 net send 功能，如不想被騷擾話可關(guān)了
依存： NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建議：已停用

MS Software Shadow Copy Provider
微軟：管理磁盤(pán)區(qū)陰影復(fù)制服務(wù)所取得的以軟件為主的磁盤(pán)區(qū)陰影復(fù)制。如果停止這個(gè)服務(wù)，就無(wú)法管理以軟件為主的磁盤(pán)區(qū)陰影復(fù)制。如果停用這個(gè)服務(wù)，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如上所說(shuō)的，用來(lái)備份的?#124;西，如 MS Backup 程序就需要這個(gè)服務(wù)
依存： Remote Procedure Call (RPC)
建議：已停用

Net Logon
微軟：支持網(wǎng)域上計(jì)算機(jī)的賬戶(hù)登入事件的 pass-through 驗(yàn)證。
補(bǔ)充：一般家用計(jì)算機(jī)不太可能去用到登入網(wǎng)域?qū)彶檫@個(gè)服務(wù)
依存： Workstation
建議：已停用

NetMeeting Remote Desktop Sharing (NetMeeting 遠(yuǎn)程桌面共享)
微軟：讓經(jīng)過(guò)授權(quán)的使用者可以使用 NetMeeting 透過(guò)公司近端內(nèi)部網(wǎng)絡(luò)，由遠(yuǎn)程訪問(wèn)這部計(jì)算機(jī)。如果這項(xiàng)服務(wù)停止的話，遠(yuǎn)程桌面共享功能將無(wú)法使用。如果服務(wù)停用的話，任何依賴(lài)它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如上說(shuō)的，讓使用者可以將計(jì)算機(jī)的控制權(quán)分享予網(wǎng)絡(luò)上或因特網(wǎng)上的其它使用者，如果你重視安全性不想多開(kāi)后門(mén)，就關(guān)了吧
建議：已停用

Network Connections (網(wǎng)絡(luò)聯(lián)機(jī))
微軟：管理在網(wǎng)絡(luò)和撥號(hào)聯(lián)機(jī)數(shù)據(jù)夾中的對(duì)象，您可以在此數(shù)據(jù)夾中檢視局域網(wǎng)絡(luò)和遠(yuǎn)程聯(lián)機(jī)。
補(bǔ)充：控制你的網(wǎng)絡(luò)聯(lián)機(jī)
依存： Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議：手動(dòng)

Network DDE (網(wǎng)絡(luò) DDE)
微軟：為動(dòng)態(tài)數(shù)據(jù)交換 (DDE) 對(duì)在相同或不同計(jì)算機(jī)上執(zhí)行的程序提供網(wǎng)絡(luò)傳輸和安全性。如果這個(gè)服務(wù)被停止，DDE 傳輸和安全性將無(wú)法使用。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：一般人好像用不到
依存： Network DDE DSDM、ClipBook
建議：已停用

Network DDE DSDM (網(wǎng)絡(luò) DDE DSDM)
微軟：訊息動(dòng)態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享。如果這個(gè)服務(wù)被停止，DDE 網(wǎng)絡(luò)共享將無(wú)法使用。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：一般人好像用不到
依存： Network DDE
建議：已停用

Network Location Awareness (NLA)
微軟：收集并存放網(wǎng)絡(luò)設(shè)定和位置信息，并且在這個(gè)信息變更時(shí)通知應(yīng)用程序。
補(bǔ)充：如果不使用 ICF 和 ICS 可以關(guān)了它
依存： AFD網(wǎng)絡(luò)支持環(huán)境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議：已停用

NT LM Security Support Provider (NTLM 安全性支持提供者)
微軟：為沒(méi)有使用命名管道傳輸?shù)倪h(yuǎn)程過(guò)程調(diào)用 (RPC) 程序提供安全性。
補(bǔ)充：如果不使用 Message Queuing 或是 Telnet Server 那就關(guān)了它
依存： Telnet
建議：已停用

Performance Logs and Alerts (效能記錄文件及警示)
微軟：基于事先設(shè)定的排程參數(shù)，從本機(jī)或遠(yuǎn)程計(jì)算機(jī)收集效能數(shù)據(jù)，然后將數(shù)據(jù)寫(xiě)入記錄或?#124;發(fā)警訊。如果這個(gè)服務(wù)被停止，將不會(huì)收集效能信息。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：沒(méi)什么價(jià)值的服務(wù)
建議：已停用

Plug and Play
微軟：啟用計(jì)算機(jī)以使用者沒(méi)有或很少的輸入來(lái)識(shí)別及適應(yīng)硬件變更，停止或停用這個(gè)服務(wù)將導(dǎo)致系統(tǒng)不穩(wěn)定。
補(bǔ)充：顧名思義就是 PNP 環(huán)境
依存： Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
建議：自動(dòng)

Portable Media Serial Number
微軟： Retrieves the serial number of any portable music player connected to your computer
補(bǔ)充：透過(guò)聯(lián)機(jī)計(jì)算機(jī)重新取得任何音樂(lè)撥放序號(hào)？沒(méi)什么價(jià)值的服務(wù)
建議：已停用

Print Spooler (打印多任務(wù)緩沖處理器)
微軟：將檔案加載內(nèi)存中以待稍后打印。
補(bǔ)充：如果沒(méi)有打印機(jī)，可以關(guān)了
依存： Remote Procedure Call (RPC)
建議：已停用

Protected Storage (受保護(hù)的存放裝置)
微軟：提供受保護(hù)的存放區(qū)，來(lái)儲(chǔ)存私密金鑰這類(lèi)敏感數(shù)據(jù)，防止未授權(quán)的服務(wù)、處理、或使用者進(jìn)行存取。
補(bǔ)充：用來(lái)儲(chǔ)存你計(jì)算機(jī)上密碼的服務(wù)，像 Outlook、撥號(hào)程序、其它應(yīng)用程序、主從架構(gòu)等等
依存： Remote Procedure Call (RPC)
建議：自動(dòng)

QoS RSVP (QoS 許可控制，RSVP)
微軟：提供網(wǎng)絡(luò)訊號(hào)及區(qū)域流量控制安裝功能給可識(shí)別 QoS 的程序和控制小程序項(xiàng)。
補(bǔ)充：用來(lái)保留 20% 頻寬的服務(wù)，如果你的網(wǎng)絡(luò)卡不支持 802.1p 或在你計(jì)算機(jī)的網(wǎng)域上沒(méi)有 ACS server ，那么不用多說(shuō)，關(guān)了它
依存： AFD網(wǎng)絡(luò)支持環(huán)境、TCP/IP Procotol Driver、Remote Procedure Call (RPC)
建議：已停用

Remote Access Auto Connection Manager (遠(yuǎn)程訪問(wèn)自動(dòng)聯(lián)機(jī)管理員)
微軟：當(dāng)程序參照到遠(yuǎn)程 DNS 或 NetBIOS 名稱(chēng)或地址時(shí)，建立遠(yuǎn)程網(wǎng)絡(luò)的聯(lián)機(jī)。
補(bǔ)充：有些 DSL/Cable 提供者，可能需要用此來(lái)處理登入程序
依存： Remote Access Connection Manager、Telephony
建議：手動(dòng)

Remote Access Connection Manager (遠(yuǎn)程訪問(wèn)聯(lián)機(jī)管理員)
微軟：建立網(wǎng)絡(luò)聯(lián)機(jī)。
補(bǔ)充：網(wǎng)絡(luò)聯(lián)機(jī)用
依存： Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager
建議：手動(dòng)

Remote Desktop Help Session Manager
微軟：管理并控制遠(yuǎn)程協(xié)助。如果此服務(wù)停止的話，遠(yuǎn)程協(xié)助將無(wú)法使用。停止此服務(wù)之前，請(qǐng)先參閱內(nèi)容對(duì)話框中的 [依存性]標(biāo)簽。
補(bǔ)充：如上說(shuō)的管理和控制遠(yuǎn)程協(xié)助，如果不使用可以關(guān)了
依存： Remote Procedure Call (RPC)
建議： Disable

Remote Procedure Call (RPC) (遠(yuǎn)程過(guò)程調(diào)用，RPC)
微軟：提供結(jié)束點(diǎn)對(duì)應(yīng)程序以及其它 RPC 服務(wù)。
補(bǔ)充：一些裝置都依存它，別去動(dòng)它
依存：太多了，自己去看看
建議：自動(dòng)

Remote Procedure Call (RPC) Locator (遠(yuǎn)程過(guò)程調(diào)用定位程序)
微軟：管理 RPC 名稱(chēng)服務(wù)數(shù)據(jù)庫(kù)。
補(bǔ)充：如上說(shuō)的，一般計(jì)算機(jī)上很少用到，可以嘗試關(guān)了
依存： Workstation
建議： Disable

Remote Registry (遠(yuǎn)程登錄服務(wù))
微軟：啟用遠(yuǎn)程使用者修改這個(gè)計(jì)算機(jī)上的登錄設(shè)定。如果這個(gè)服務(wù)被停止，登錄只能由這個(gè)計(jì)算機(jī)上的使用者修改。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：基于安全性的理由，如果沒(méi)有特別的需求，建議最好關(guān)了它，除非你需要遠(yuǎn)程協(xié)助修改你的登錄設(shè)定
依存： Remote Procedure Call (RPC)
建議：已停用

Removable Storage (卸除式存放裝置)
微軟： None
補(bǔ)充：除非你有 Zip 磁盤(pán)驅(qū)動(dòng)器或是 USB 之類(lèi)可攜式的硬件或是 Tape 備份裝置，不然可以嘗試關(guān)了
依存： Remote Procedure Call (RPC)
建議： Disable

Routing and Remote Access (路由和遠(yuǎn)程訪問(wèn))
微軟：提供連到局域網(wǎng)絡(luò)及廣域網(wǎng)絡(luò)的公司的路由服務(wù)。
補(bǔ)充：如上說(shuō)的，提供撥號(hào)聯(lián)機(jī)到區(qū)網(wǎng)或是 VPN 服務(wù)，一般用戶(hù)用不到
依存： Remote Procedure Call (RPC)、NetBIOSGroup
建議：已停用

Secondary Logon
微軟：啟用在其它認(rèn)證下的起始程序。如果這個(gè)服務(wù)被停止，這類(lèi)的登入存取將無(wú)法使用。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：允許多個(gè)使用者處理程序，執(zhí)行分身等
建議：自動(dòng)

Security Accounts Manager (安全性賬戶(hù)管理員)
微軟：儲(chǔ)存本機(jī)賬戶(hù)的安全性信息。
補(bǔ)充：管理賬號(hào)和群組原則(gpedit.msc)應(yīng)用
依存： Remote Procedure Call (RPC)、Distributed Transaction Coordinator
建議：自動(dòng)

Server (服務(wù)器)
微軟：透過(guò)網(wǎng)絡(luò)為這臺(tái)計(jì)算機(jī)提供檔案、打印、及命名管道的共享。如果停止這個(gè)服務(wù)，將無(wú)法使用這些功能。如果停用這個(gè)服務(wù)，所有依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：簡(jiǎn)單的說(shuō)就是檔案和打印的分享，除非你有和其它計(jì)算機(jī)分享，不然就關(guān)了
依存： Computer Browser
建議：已停用

Shell Hardware Detection
微軟：為自動(dòng)播放硬件事件提供通知。
補(bǔ)充：一般使用在記憶卡或是CD裝置、DVD裝置上
依存： Remote Procedure Call (RPC)
建議：自動(dòng)

Smart Card (智慧卡)
微軟：管理這個(gè)計(jì)算機(jī)所讀取智能卡的存取。如果這個(gè)服務(wù)被停止，這個(gè)計(jì)算機(jī)將無(wú)法讀取智能卡。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如果你不使用 Smart Card ，那就可以關(guān)了
依存： Plug and Play
建議：已停用

Smart Card Helper (智能卡協(xié)助程序)
微軟：啟用對(duì)這個(gè)計(jì)算機(jī)使用的舊版非隨插即用智能卡讀取頭的支持。如果這個(gè)服務(wù)被停止，這個(gè)計(jì)算機(jī)將不支持舊版讀取頭。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如果你不使用 Smart Card ，那就可以關(guān)了
建議：已停用

SSDP Discovery Service
微軟：在您的家用網(wǎng)絡(luò)上啟用通用隨插即用裝置的搜索。
補(bǔ)充：如上說(shuō)的，通用隨插即用服務(wù) (Universal Plug and Play, UPnP) 讓計(jì)算機(jī)可以找到并使用網(wǎng)絡(luò)上的裝置，經(jīng)由網(wǎng)絡(luò)聯(lián)機(jī)透過(guò) TCP/IP 來(lái)搜索裝置，像網(wǎng)絡(luò)上的掃瞄器、數(shù)字相機(jī)或是打印機(jī)，亦即使用 UPnP 的功能，基于安全性沒(méi)用到的大可關(guān)了
依存： Universal Plug and Play Device Host
建議：已停用

System Event Notification (系統(tǒng)事件通知)
微軟：追蹤諸如 Windows 登入、網(wǎng)絡(luò)、和電源事件的系統(tǒng)事件。通知這些事件的 COM+ 事件系統(tǒng)訂閱者。
補(bǔ)充：如上所說(shuō)的
依存： COM+ Event System
建議：自動(dòng)

System Restore Service
微軟：執(zhí)行系統(tǒng)還原功能。若要停止服務(wù)，從我的計(jì)算機(jī)->內(nèi)容，[系統(tǒng)還原] 中關(guān)閉系統(tǒng)還原
補(bǔ)充：將計(jì)算機(jī)回復(fù)至先前的狀態(tài)，不使用就關(guān)了
依存： Remote Procedure Call (RPC)
建議：已停用

Task Scheduler (工作排程器)
微軟：讓使用者能夠在這個(gè)計(jì)算機(jī)上設(shè)定和排定自動(dòng)的工作。如果停止這個(gè)服務(wù)，這些工作在它們排定的時(shí)間時(shí)將不會(huì)執(zhí)行。如果停用這個(gè)服務(wù)，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：設(shè)定排定自動(dòng)的工作，像一些定時(shí)磁盤(pán)掃瞄、病毒定時(shí)掃瞄、更新等等
依存： Remote Procedure Call (RPC)
建議：自動(dòng)

TCP/IP NetBIOS Helper (TCP/IP NetBIOS 協(xié)助程序)
微軟：啟用 [NetBIOS over TCP/IP (NetBT)] 服務(wù)及 NetBIOS 名稱(chēng)解析的支持。
補(bǔ)充：如果你的網(wǎng)絡(luò)不使用 NetBios 或是 WINS ，你大可關(guān)閉
依存： AFD 網(wǎng)絡(luò)支持環(huán)境、NetBt
建議：已停用

Telephony (電話語(yǔ)音)
微軟：為本機(jī)計(jì)算機(jī)上及經(jīng)由局域網(wǎng)絡(luò)連接到正在執(zhí)行此服務(wù)的服務(wù)器上，控制電話語(yǔ)音裝置和 IP 為主語(yǔ)音聯(lián)機(jī)的程序，提供電話語(yǔ)音 API (TAPI) 支持。
補(bǔ)充：一般的撥號(hào)調(diào)制解調(diào)器或是一些 DSL/Cable 可能用到
依存： Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager
建議：手動(dòng)

Telnet
微軟：啟用一個(gè)遠(yuǎn)程使用者來(lái)登入到這臺(tái)計(jì)算機(jī)和執(zhí)行應(yīng)用程序，以及支持各種 TCP/IP Telnet 客戶(hù)端，包含以 UNIX 為基本和以 Windows 為基本的計(jì)算機(jī)。如果服務(wù)停止了，遠(yuǎn)程使用者可能無(wú)法存取應(yīng)用程序。如果服務(wù)停用了，任何明確地依存于這項(xiàng)服務(wù)的其它服務(wù)將會(huì)啟動(dòng)失敗。
補(bǔ)充：允許遠(yuǎn)程使用者用 Telnet 登入本計(jì)算機(jī)，一般人會(huì)誤解關(guān)了就無(wú)法使用BBS，這其實(shí)和BBS無(wú)關(guān)，基于安全性的理由，如果沒(méi)有特別的需求，建議最好關(guān)了
依存： NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建議：已停用

Terminal Services (終端機(jī)服務(wù))
微軟：允許多位使用者互動(dòng)連接到同一部計(jì)算機(jī)、桌面的顯示器及到遠(yuǎn)程計(jì)算機(jī)的應(yīng)用程序。遠(yuǎn)程桌面的加強(qiáng) (包含系統(tǒng)管理員的 RD)、快速切換使用者、遠(yuǎn)程協(xié)助和終端機(jī)服務(wù)器。
補(bǔ)充：遠(yuǎn)程桌面或是遠(yuǎn)程協(xié)助的功能，不需要就關(guān)了
依存： Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
建議：已停用

Themes
微軟：提供使用者經(jīng)驗(yàn)主題管理。
補(bǔ)充：很多人使用布景主題，不過(guò)如果沒(méi)有使用的人，那就可以關(guān)閉
建議：自動(dòng)

Uninterruptible Power Supply (不斷電供電系統(tǒng))
微軟：管理連接到這臺(tái)計(jì)算機(jī)的不斷電電源供應(yīng) (UPS)。
補(bǔ)充：不斷電電源供應(yīng) (UPS)一般人有用到嗎？除非你的電源供應(yīng)器有具備此功能，不然就關(guān)了
建議：已停用

Universal Plug and Play Device Host
微軟：提供主機(jī)通用隨插即用裝置的支持。
補(bǔ)充：用來(lái)偵測(cè)安裝通用隨插即用服務(wù) (Universal Plug and Play, UPnP)裝置，像是數(shù)字相機(jī)或打印機(jī)
依存： SSDP Discovery Service
建議：已停用

Volume Shadow Copy
微軟：管理及執(zhí)行用于備份和其它目的的磁盤(pán)區(qū)卷影復(fù)制。如果這個(gè)服務(wù)被停止，卷影復(fù)制將無(wú)法用于備份，備份可能會(huì)失敗。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如上所說(shuō)的，用來(lái)備份的?#124;西，如 MS Backup 程序就需要這個(gè)服務(wù)
依存： Remote Procedure Call (RPC)
建議：已停用

WebClient
微軟：啟用 Windows 為主的程序來(lái)建立、存取，以及修改因特網(wǎng)為主的檔案。如果停止這個(gè)服務(wù)，這些功能將無(wú)法使用。如果停用這個(gè)服務(wù)，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：使用 WebDAV 將檔案或數(shù)據(jù)夾上載到所有的 Web 服務(wù)，基于安全性的理由，你可以嘗試關(guān)閉
依存： WebDav Client Redirector

Windows Audio
微軟：管理用于 Windows 為主程序的音訊裝置。如果這個(gè)服務(wù)被停止，音訊裝置和效果將無(wú)法正常?#092;作。如果這個(gè)服務(wù)被停用，任何明確依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：如果你沒(méi)有聲卡可以關(guān)了他
依存： Plug and Play、Remote Procedure Call (RPC)
建議：自動(dòng)

Windows Image Acquisition (WIA) (Windows影像取得程序)
微軟：為掃描儀和數(shù)字相機(jī)提供影像擷取服務(wù)。
補(bǔ)充：如果掃描儀和數(shù)字相機(jī)內(nèi)部具有支持WIA功能的話，那就可以直接看到圖檔，不需要其它的驅(qū)動(dòng)程序，所以沒(méi)有掃描儀和數(shù)字相機(jī)的使用者大可關(guān)了
依存： Remote Procedure Call (RPC)
建議：已停用

Windows Installer (Windows 安裝程序)
微軟：根據(jù)包含在 .MSI 檔案內(nèi)的指示來(lái)安裝，修復(fù)以及移除軟件。
補(bǔ)充：是一個(gè)系統(tǒng)服務(wù)，協(xié)助使用者正確地安裝、設(shè)定、追蹤、升級(jí)和移除軟件程序，可管理應(yīng)用程序建立和安裝的標(biāo)準(zhǔn)格式，并且追蹤例如檔案群組、登錄項(xiàng)目及快捷方式等組件
依存： Remote Procedure Call (RPC)
建議：手動(dòng)

Windows Management Instrumentation (WMI)
微軟：提供公用接口及對(duì)象模型，以存取有關(guān)操作系統(tǒng)、裝置、應(yīng)用程序及服務(wù)的管理信息。如果這個(gè)服務(wù)已停止，大多數(shù)的 Windows 軟件將無(wú)法正常?#092;作。如果這個(gè)服務(wù)已停用，所有依存于它的服務(wù)都將無(wú)法啟動(dòng)。
補(bǔ)充：如上說(shuō)的，是一種提供一個(gè)標(biāo)準(zhǔn)的基礎(chǔ)結(jié)構(gòu)來(lái)監(jiān)視和管理系統(tǒng)資源的服務(wù)，由不得你動(dòng)他
依存： Event Log、Remote Procedure Call (RPC)
建議：自動(dòng)

Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驅(qū)動(dòng)程序延伸)
微軟：提供系統(tǒng)管理信息給予/取自驅(qū)動(dòng)程序。
補(bǔ)充： Windows Management Instrumentation 的延伸，提供信息用的
建議：手動(dòng)

Windows Time (Windows 時(shí)間設(shè)定)
微軟：維護(hù)在網(wǎng)絡(luò)上所有客戶(hù)端及服務(wù)器的數(shù)據(jù)及時(shí)間同步處理。如果這個(gè)服務(wù)停止，將無(wú)法進(jìn)行日期及時(shí)間同步處理。如果這個(gè)服務(wù)被停用，所有依存的服務(wù)都會(huì)停止。
補(bǔ)充：網(wǎng)絡(luò)對(duì)時(shí)校準(zhǔn)用的，沒(méi)必要就關(guān)了
建議：已停用

Wireless Zero Configuration
微軟：為 802.11 適配卡提供自動(dòng)設(shè)定
補(bǔ)充：自動(dòng)配置無(wú)線網(wǎng)絡(luò)裝置，言下之意就是說(shuō)，除非你有在使用無(wú)線網(wǎng)絡(luò)適配卡裝置，那么你才有必要使用這個(gè)網(wǎng)絡(luò)零管理服務(wù)
依存： NDIS Usermode I/O Protocol、Remote Procedure Call (RPC)
建議：已停用

WMI Performance Adapter
微軟：提供來(lái)自 WMIHiPerf 提供者的效能鏈接庫(kù)信息。
補(bǔ)充：如上所提
依存： Remote Procedure Call (RPC)
建議：已停用l

Workstation (工作站)
微軟：建立并維護(hù)到遠(yuǎn)程服務(wù)器的客戶(hù)端網(wǎng)絡(luò)聯(lián)機(jī)。如果停止這個(gè)服務(wù)，這些聯(lián)機(jī)將無(wú)法使用。如果停用這個(gè)服務(wù)，所有依存于它的服務(wù)將無(wú)法啟動(dòng)。
補(bǔ)充：因特網(wǎng)聯(lián)機(jī)中所必要的一些功能
依存： Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
建議：自動(dòng)

“Clipbook Server”(文件夾服務(wù)器)：這個(gè)服務(wù)允許你們網(wǎng)絡(luò)上的其他用戶(hù)看到你的文件夾。在這里我要強(qiáng)烈建議你把它改為手動(dòng)啟動(dòng)，然后再使用其他程序在你的網(wǎng)絡(luò)上發(fā)布信息。

“Messenger”(消息)：在網(wǎng)絡(luò)上發(fā)送和接收信息。如果你關(guān)閉了Alerter，你可以安全地把它改為手動(dòng)啟動(dòng)。

“Printer Spooler”(打印后臺(tái)處理程序)：如果你沒(méi)有配置打印機(jī)，建議改為手動(dòng)啟動(dòng)或干脆關(guān)閉它。

“Error Reporting Service”(錯(cuò)誤報(bào)告)：服務(wù)和應(yīng)用程序在非標(biāo)準(zhǔn)環(huán)境下運(yùn)行時(shí)提供錯(cuò)誤報(bào)告。建議改為手動(dòng)啟動(dòng)。

“Fast User Switching Compatibility”(快速用戶(hù)切換兼容性)：建議改為手動(dòng)啟動(dòng)。

“Automatic Updates”(自動(dòng)更新)：這個(gè)功能前面已經(jīng)講過(guò)了，在這里可以改為手動(dòng)啟動(dòng)。

“Net Logon”（網(wǎng)絡(luò)注冊(cè)）：處理象注冊(cè)信息那樣的網(wǎng)絡(luò)安全功能。你可以把它設(shè)改為手動(dòng)啟動(dòng)。

“Network DDE和Network DDE DSDM”(動(dòng)態(tài)數(shù)據(jù)交換)：除非你準(zhǔn)備在網(wǎng)上共享你的Office，否則你應(yīng)該把它改為手動(dòng)啟動(dòng)。注：這和在通常的商務(wù)設(shè)定中使用Office不同(如果你需要DDE，你就會(huì)知道)。

“NT LM Security Support”(NT LM安全支持提供商)：在網(wǎng)絡(luò)應(yīng)用中提供安全保護(hù)。建議你把它改為手動(dòng)啟動(dòng)。

“Remote Desktop Help Session Manager”(遠(yuǎn)程桌面幫助會(huì)話管理器)：建議改為手動(dòng)啟動(dòng)。

“Remote Registry”(遠(yuǎn)程注冊(cè)表)：使遠(yuǎn)程用戶(hù)能修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置。建議改為手動(dòng)啟動(dòng)。

“Task Scheduler”(任務(wù)調(diào)度程序)：使用戶(hù)能在此計(jì)算機(jī)上配置和制定自動(dòng)任務(wù)的日程，它計(jì)劃每星期的碎片整理等。除非你實(shí)在太懶了，連在電腦上開(kāi)一下都不想，建議改為手動(dòng)啟動(dòng)。

“Uninterruptible Power Supply”(不間斷電源)：它管理你的UPS。如果你沒(méi)有的話，把它改為手動(dòng)啟動(dòng)或干脆關(guān)閉它。

“Windows Image Acquisition (WIA)”(Windows 圖像獲取 (WIA))：為掃描儀和照相機(jī)提供圖像捕獲，如果你沒(méi)有這些設(shè)備，建議改為手動(dòng)啟動(dòng)或干脆關(guān)閉它。

五、安裝好一臺(tái)服務(wù)器后,推薦使用掃描工具先掃描本機(jī)有哪些漏洞,然后按照需要開(kāi)啟或者關(guān)閉某些端口, win2000安裝SP4以上補(bǔ)丁,winXP安裝sp2補(bǔ)丁

掃描工具推薦是用X-SCAN

經(jīng)常開(kāi)始--運(yùn)行--Windows Update 是個(gè)良好的習(xí)慣

六、win2000下關(guān)閉無(wú)用端口

每一項(xiàng)服務(wù)都對(duì)應(yīng)相應(yīng)的端口，比如眾如周知的WWW服務(wù)的端口是80，smtp是25，ftp是21，win2000安裝中默認(rèn)的都是這些服務(wù)開(kāi)啟的。對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)確實(shí)沒(méi)有必要，關(guān)掉端口也就是關(guān)閉無(wú)用的服務(wù)。
“控制面板”的“管理工具”中的“服務(wù)”中來(lái)配置。
1、關(guān)閉7.9等等端口：關(guān)閉Simple TCP/IP Service,支持以下 TCP/IP 服務(wù)：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關(guān)閉80口：關(guān)掉WWW服務(wù)。在“服務(wù)”中顯示名稱(chēng)為"World Wide Web Publishing Service"，通過(guò) Internet 信息服務(wù)的管理單元提供 Web 連接和管理。
3、關(guān)掉25端口：關(guān)閉Simple Mail Transport Protocol (SMTP)服務(wù)，它提供的功能是跨網(wǎng)傳送電子郵件。
4、關(guān)掉21端口：關(guān)閉FTP Publishing Service,它提供的服務(wù)是通過(guò) Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。
5、關(guān)掉23端口：關(guān)閉Telnet服務(wù)，它允許遠(yuǎn)程用戶(hù)登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。
6、還有一個(gè)很重要的就是關(guān)閉server服務(wù)，此服務(wù)提供 RPC 支持、文件、打印以及命名管道共享。關(guān)掉它就關(guān)掉了win2k的默認(rèn)共享，比如ipc$、c$、admin$等等，此服務(wù)關(guān)閉不影響您的共他操作。
7、還有一個(gè)就是139端口，139端口是NetBIOS　Session端口，用來(lái)文件和打印共享，注意的是運(yùn)行samba的unix機(jī)器也開(kāi)放了139端口，功能一樣。以前流光2000用來(lái)判斷對(duì)方主機(jī)類(lèi)型不太準(zhǔn)確，估計(jì)就是139端口開(kāi)放既認(rèn)為是NT機(jī)，現(xiàn)在好了。
關(guān)閉139口聽(tīng)方法是在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí)TCP/IP設(shè)置”“WINS設(shè)置”里面有一項(xiàng)“禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口。
對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)，可以在各項(xiàng)服務(wù)屬性設(shè)置中設(shè)為“禁用”，以免下次重啟服務(wù)也重新啟動(dòng)，端口也開(kāi)放了。

七、Win2000 Server的安全配置，經(jīng)過(guò)精心配置的Win2000服務(wù)器可以防御90%以上的入侵和滲透，但是，就象上一章結(jié)束時(shí)我所提到的：系統(tǒng)安全是一個(gè)連續(xù)的過(guò)程，隨著新漏洞的出現(xiàn)和服務(wù)器應(yīng)用的變化，系統(tǒng)的安全狀況也在不斷變化著；同時(shí)由于攻防是矛盾的統(tǒng)一體，道消魔長(zhǎng)和魔消道長(zhǎng)也在不斷的轉(zhuǎn)換中，因此，再高明的系統(tǒng)管理員也不能保證一臺(tái)正在提供服務(wù)的服務(wù)器長(zhǎng)時(shí)間絕對(duì)不被入侵。

　　所以，安全配置服務(wù)器并不是安全工作的結(jié)束，相反卻是漫長(zhǎng)乏味的安全工作的開(kāi)始，本文我們將初步探討Win2000服務(wù)器入侵檢測(cè)的初步技巧，希望能幫助您長(zhǎng)期維護(hù)服務(wù)器的安全。

　　本文中所說(shuō)的入侵檢測(cè)指的是利用Win2000 Server自身的功能及系統(tǒng)管理員自己編寫(xiě)的軟件/腳本進(jìn)行的檢測(cè)，使用防火墻（Firewall）或入侵監(jiān)測(cè)系統(tǒng)（IDS）的技巧并不在本文的討論范圍之內(nèi)。

　　現(xiàn)在假定：我們有一臺(tái)Win2000 Server的服務(wù)器，并且經(jīng)過(guò)了初步的安全配置（關(guān)于安全配置的詳情可以參閱Win2000 Server安全配置入門(mén)<一>），在這種情況下，大部分的入侵者將被拒之門(mén)外。（哈哈，我管理員可以回家睡大覺(jué)去了）慢著，我說(shuō)的是大部分，不是全部，經(jīng)過(guò)初步安全配置的服務(wù)器雖然可以防御絕大多數(shù)的Script kid（腳本族-只會(huì)用別人寫(xiě)的程序入侵服務(wù)器的人），遇到了真正的高手，還是不堪一擊的。雖然說(shuō)真正的高手不會(huì)隨便進(jìn)入別人的服務(wù)器，但是也難保有幾個(gè)品行不端的邪派高手看上了你的服務(wù)器。（我真的這么衰么？）而且，在漏洞的發(fā)現(xiàn)與補(bǔ)丁的發(fā)布之間往往有一段時(shí)間的真空，任何知道漏洞資料的人都可以乘虛而入，這時(shí)，入侵檢測(cè)技術(shù)就顯得非常的重要。

　　入侵的檢測(cè)主要還是根據(jù)應(yīng)用來(lái)進(jìn)行，提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測(cè)分析系統(tǒng)來(lái)進(jìn)行保護(hù)，對(duì)于一般的主機(jī)來(lái)說(shuō)，主要應(yīng)該注意以下幾個(gè)方面：

1、基于80端口入侵的檢測(cè)

　　WWW服務(wù)大概是最常見(jiàn)的服務(wù)之一了，而且由于這個(gè)服務(wù)面對(duì)廣大用戶(hù)，服務(wù)的流量和復(fù)雜度都很高，所以針對(duì)這個(gè)服務(wù)的漏洞和入侵技巧也最多。對(duì)于NT來(lái)說(shuō)，IIS一直是系統(tǒng)管理員比較頭疼的一部分（恨不得關(guān)了80端口），不過(guò)好在IIS自帶的日志功能從某種程度上可以成為入侵檢測(cè)的得力幫手。IIS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下，一般是按24小時(shí)滾動(dòng)的，在IIS管理器中可以對(duì)它進(jìn)行詳細(xì)的配置。（具體怎么配我不管你，不過(guò)你要是不詳細(xì)記錄，回頭查不到入侵者的IP可不要哭）

　　現(xiàn)在我們?cè)偌僭O(shè)（怎么老是假設(shè)呀，煩不煩？）別急呀，我不能為了寫(xiě)這篇文章真的去黑掉一臺(tái)主機(jī)，所以只好假設(shè)了，我們假設(shè)一臺(tái)WEB服務(wù)器，開(kāi)放了WWW服務(wù)，你是這臺(tái)服務(wù)器的系統(tǒng)管理員，已經(jīng)小心地配置了IIS，使用W3C擴(kuò)展的日志格式，并至少記錄了時(shí)間（Time）、客戶(hù)端IP（Client IP）、方法（Method）、URI資源(URI Stem)、URI查詢(xún)(URI Query)，協(xié)議狀態(tài)（Protocol Status)，我們用最近比較流行的Unicode漏洞來(lái)進(jìn)行分析：打開(kāi)IE的窗口，在地址欄輸入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默認(rèn)的情況下你可以看到目錄列表（什么？你已經(jīng)做過(guò)安全配置了，看不到？恢復(fù)默認(rèn)安裝，我們要做個(gè)實(shí)驗(yàn)），讓我們來(lái)看看IIS的日志都記錄了些什么，打開(kāi)Ex010318.log（Ex代表W3C擴(kuò)展格式，后面的一串?dāng)?shù)字代表日志的記錄日期）：07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面這行日志表示在格林威治時(shí)間07:42:58（就是北京時(shí)間23:42:58），有一個(gè)家伙（入侵者）從127.0.0.1的IP在你的機(jī)器上利用Unicode漏洞（%c1%1c被解碼為"\"，實(shí)際的情況會(huì)因?yàn)閃indows語(yǔ)言版本的不同而有略微的差別）運(yùn)行了cmd.exe，參數(shù)是/c dir，運(yùn)行結(jié)果成功（HTTP 200代表正確返回）。(哇，記錄得可真夠全的，以后不敢隨便亂玩Unicode了)

　　大多數(shù)情況下，IIS的日志會(huì)忠實(shí)地記錄它接收到的任何請(qǐng)求（也有特殊的不被IIS記錄的攻擊，這個(gè)我們以后再討論），所以，一個(gè)優(yōu)秀的系統(tǒng)管理員應(yīng)該擅長(zhǎng)利用這點(diǎn)來(lái)發(fā)現(xiàn)入侵的企圖，從而保護(hù)自己的系統(tǒng)。但是，IIS的日志動(dòng)輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G，人工檢查幾乎沒(méi)有可能，唯一的選擇就是使用日志分析軟件，用任何語(yǔ)言編寫(xiě)一個(gè)日志分析軟件（其實(shí)就是文本過(guò)濾器）都非常簡(jiǎn)單，不過(guò)考慮到一些實(shí)際情況（比如管理員不會(huì)寫(xiě)程序，或者服務(wù)器上一時(shí)找不到日志分析軟件），我可以告訴大家一個(gè)簡(jiǎn)單的方法，比方說(shuō)你想知道有沒(méi)有人從80端口上試圖取得你的Global.asa文件，可以使用以下的CMD命令：find "Global.asa" ex010318.log /i這個(gè)命令使用的是NT自帶的find.exe工具（所以不怕緊急情況找不著），可以輕松的從文本文件中找到你想過(guò)濾的字符串，"Global.asa"是需要查詢(xún)的字符串，ex010318.log是待過(guò)濾的文本文件，/i代表忽略大小寫(xiě)。因?yàn)槲覠o(wú)意把這篇文章寫(xiě)成微軟的Help文檔，所以關(guān)于這個(gè)命令的其他參數(shù)以及它的增強(qiáng)版FindStr.exe的用法請(qǐng)去查看Win2000的幫助文件。

　　無(wú)論是基于日志分析軟件或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞（比如"+.htr"）以及未來(lái)將要出現(xiàn)的漏洞可能會(huì)調(diào)用的資源（比如Global.asa或者cmd.exe），通過(guò)過(guò)濾這張不斷更新的字符串表，一定可以盡早了解入侵者的行動(dòng)。

　　需要提醒的是，使用任何日志分析軟件都會(huì)占用一定的系統(tǒng)資源，因此，對(duì)于IIS日志分析這樣低優(yōu)先級(jí)的任務(wù)，放在夜里空閑時(shí)自動(dòng)執(zhí)行會(huì)比較合適，如果再寫(xiě)一段腳本把過(guò)濾后的可疑文本發(fā)送給系統(tǒng)管理員，那就更加完美了。同時(shí)，如果敏感字符串表較大，過(guò)濾策略復(fù)雜，我建議還是用C寫(xiě)一個(gè)專(zhuān)用程序會(huì)比較合算。

2、基于安全日志的檢測(cè)

　　通過(guò)基于IIS日志的入侵監(jiān)測(cè)，我們能提前知道窺伺者的行蹤（如果你處理失當(dāng)，窺伺者隨時(shí)會(huì)變成入侵者），但是IIS日志不是萬(wàn)能的，它在某種情況下甚至不能記錄來(lái)自80端口的入侵，根據(jù)我對(duì)IIS日志系統(tǒng)的分析，IIS只有在一個(gè)請(qǐng)求完成后才會(huì)寫(xiě)入日志，換言之，如果一個(gè)請(qǐng)求中途失敗，日志文件中是不會(huì)有它的蹤影的（這里的中途失敗并不是指發(fā)生HTTP400錯(cuò)誤這樣的情況，而是從TCP層上沒(méi)有完成HTTP請(qǐng)求，例如在POST大量數(shù)據(jù)時(shí)異常中斷），對(duì)于入侵者來(lái)說(shuō)，就有可能繞過(guò)日志系統(tǒng)完成大量的活動(dòng)。

　　而且，對(duì)于非80 Only的主機(jī)，入侵者也可以從其它的服務(wù)進(jìn)入服務(wù)器，因此，建立一套完整的安全監(jiān)測(cè)系統(tǒng)是非常必要的。

　　Win2000自帶了相當(dāng)強(qiáng)大的安全日志系統(tǒng)，從用戶(hù)登錄到特權(quán)的使用都有非常詳細(xì)的記錄，可惜的是，默認(rèn)安裝下安全審核是關(guān)閉的，以至于一些主機(jī)被黑后根本沒(méi)法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開(kāi)必要的審核，一般來(lái)說(shuō)，登錄事件與賬戶(hù)管理是我們最關(guān)心的事件，同時(shí)打開(kāi)成功和失敗審核非常必要，其他的審核也要打開(kāi)失敗審核，這樣可以使得入侵者步步維艱，一不小心就會(huì)露出馬腳。僅僅打開(kāi)安全審核并沒(méi)有完全解決問(wèn)題，如果沒(méi)有很好的配置安全日志的大小及覆蓋方式，一個(gè)老練的入侵者就能夠通過(guò)洪水般的偽造入侵請(qǐng)求覆蓋掉他真正的行蹤。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現(xiàn)。

　　設(shè)置了安全日志卻不去檢查跟沒(méi)有設(shè)置安全日志幾乎一樣糟糕（唯一的優(yōu)點(diǎn)是被黑了以后可以追查入侵者），所以，制定一個(gè)安全日志的檢查機(jī)制也是非常重要的，作為安全日志，推薦的檢查時(shí)間是每天上午，這是因?yàn)椋肭终呦矚g夜間行動(dòng)（速度快呀，要不你入侵到一半的時(shí)候連不上了，那可是哭都哭不出來(lái)）上午上班第一件事正好看看日志有沒(méi)有異常，然后就可以放心去做其他的事了。如果你喜歡，也可以編寫(xiě)腳本每天把安全日志作為郵件發(fā)送給你（別太相信這個(gè)了，要是哪個(gè)高手上去改了你的腳本，每天發(fā)送"平安無(wú)事"……）

　　除了安全日志，系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測(cè)工具，一般來(lái)說(shuō)，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權(quán)限，那么他一定會(huì)去清除痕跡的），在系統(tǒng)和應(yīng)用程序日志中也會(huì)留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過(guò)任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。

3、文件訪問(wèn)日志與關(guān)鍵文件保護(hù)

　　除了系統(tǒng)默認(rèn)的安全審核外，對(duì)于關(guān)鍵的文件，我們還要加設(shè)文件訪問(wèn)日志，記錄對(duì)他們的訪問(wèn)。

　　文件訪問(wèn)有很多的選項(xiàng)：訪問(wèn)、修改、執(zhí)行、新建、屬性更改......一般來(lái)說(shuō)，關(guān)注訪問(wèn)和修改就能起到很大的監(jiān)視作用。

　　例如，如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建，甚至部分重要文件的訪問(wèn)（例如cmd.exe,net.exe，system32目錄），那么，入侵者就很難安放后門(mén)而不引起我們的注意，要注意的是，監(jiān)視的關(guān)鍵文件和項(xiàng)目不能太多，否則不僅增加系統(tǒng)負(fù)擔(dān)，還會(huì)擾亂日常的日志監(jiān)測(cè)工作
（哪個(gè)系統(tǒng)管理員有耐心每天看四、五千條垃圾日志？）

　　關(guān)鍵文件不僅僅指的是系統(tǒng)文件，還包括有可能對(duì)系統(tǒng)管理員/其他用戶(hù)構(gòu)成危害的任何文件，例如系統(tǒng)管理員的配置、桌面文件等等，這些都是有可能用來(lái)竊取系統(tǒng)管理員資料/密碼的。

4、進(jìn)程監(jiān)控

　　進(jìn)程監(jiān)控技術(shù)是追蹤木馬后門(mén)的另一個(gè)有力武器，90%以上的木馬和后門(mén)是以進(jìn)程的形式存在的（也有以其他形式存在的木馬，參見(jiàn)《揭開(kāi)木馬的神秘面紗三》），作為系統(tǒng)管理員，了解服務(wù)器上運(yùn)行的每個(gè)進(jìn)程是職責(zé)之一（否則不要說(shuō)安全，連系統(tǒng)優(yōu)化都沒(méi)有辦法做），做一份每臺(tái)服務(wù)器運(yùn)行進(jìn)程的列表非常必要，能幫助管理員一眼就發(fā)現(xiàn)入侵進(jìn)程，異常的用戶(hù)進(jìn)程或者異常的資源占用都有可能是非法進(jìn)程。除了進(jìn)程外，DLL也是危險(xiǎn)的東西，例如把原本是exe類(lèi)型的木馬改寫(xiě)為dll后，使用rundll32運(yùn)行就比較具有迷惑性。
5、注冊(cè)表校驗(yàn)

　　一般來(lái)說(shuō)，木馬或者后門(mén)都會(huì)利用注冊(cè)表來(lái)再次運(yùn)行自己，所以，校驗(yàn)注冊(cè)表來(lái)發(fā)現(xiàn)入侵也是常用的手法之一。一般來(lái)說(shuō)，如果一個(gè)入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫(xiě)入特定的幾個(gè)鍵值（比如Run、Runonce等等），查找起來(lái)是相對(duì)容易的，但是對(duì)于可以自己編寫(xiě)/改寫(xiě)木馬的人來(lái)說(shuō)，注冊(cè)表的任何地方都可以藏身，靠手工查找就沒(méi)有可能了。（注冊(cè)表藏身千變?nèi)f化，例如需要特別提出來(lái)的FakeGina技術(shù)，這種利用WINNT外嵌登錄DLL（Ginadll）來(lái)獲得用戶(hù)密碼的方法最近比較流行，一旦中招，登錄用戶(hù)的密碼就會(huì)被記錄無(wú)遺，具體的預(yù)防方法我這里就不介紹了。）應(yīng)對(duì)的方法是監(jiān)控注冊(cè)表的任何改動(dòng)，這樣改寫(xiě)注冊(cè)表的木馬就沒(méi)有辦法遁形了。監(jiān)控注冊(cè)表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能，一個(gè)監(jiān)控軟件加上定期對(duì)注冊(cè)表進(jìn)行備份，萬(wàn)一注冊(cè)表被非授權(quán)修改，系統(tǒng)管理員也能在最短的時(shí)間內(nèi)恢復(fù)。

6、端口監(jiān)控

　　雖然說(shuō)不使用端口的木馬已經(jīng)出現(xiàn)，但是大部分的后門(mén)和木馬還是使用TCP連接的，監(jiān)控端口的狀況對(duì)于由于種種原因不能封鎖端口的主機(jī)來(lái)說(shuō)就是非常重要的了，我們這里不談使用NDIS網(wǎng)卡高級(jí)編程的IDS系統(tǒng)，對(duì)于系統(tǒng)管理員來(lái)說(shuō)，了解自己服務(wù)器上開(kāi)放的端口甚至比對(duì)進(jìn)程的監(jiān)控更加重要，常常使用netstat查看服務(wù)器的端口狀況是一個(gè)良好的習(xí)慣，但是并不能24小時(shí)這樣做，而且NT的安全日志有一個(gè)壞習(xí)慣，喜歡記錄機(jī)器名而不是IP（不知道比爾蓋子怎么想的），如果你既沒(méi)有防火墻又沒(méi)有入侵檢測(cè)軟件，倒是可以用腳本來(lái)進(jìn)行IP日志記錄的，看著這個(gè)命令：

netstat -n -p tcp 10>>Netstat.log,這個(gè)命令每10秒鐘自動(dòng)查看一次TCP的連接狀況，基于這個(gè)命令我們做一個(gè)Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log

　　這個(gè)腳本將會(huì)自動(dòng)記錄時(shí)間和TCP連接狀態(tài)，需要注意的是：如果網(wǎng)站訪問(wèn)量比較大，這樣的操作是需要消耗一定的CPU時(shí)間的，而且日志文件將越來(lái)越大，所以請(qǐng)慎之又慎。（要是做個(gè)腳本就完美無(wú)缺，誰(shuí)去買(mǎi)防火墻？:）

　　一旦發(fā)現(xiàn)異常的端口，可以使用特殊的程序來(lái)關(guān)聯(lián)端口、可執(zhí)行文件和進(jìn)程(如inzider就有這樣的功能，它可以發(fā)現(xiàn)服務(wù)器監(jiān)聽(tīng)的端口并找出與該端口關(guān)聯(lián)的文件，inzider可以從http://www.nttoolbox.com下載到)，這樣無(wú)論是使用TCP還是UDP的木馬都無(wú)處藏身。

7、終端服務(wù)的日志監(jiān)控

　　單獨(dú)將終端服務(wù)（Terminal Service）的日志監(jiān)控分列出來(lái)是有原因的，微軟Win2000服務(wù)器版中自帶的終端服務(wù)Terminal Service是一個(gè)基于遠(yuǎn)程桌面協(xié)議（RDP）的工具，它的速度非?？欤埠芊€(wěn)定，可以成為一個(gè)很好的遠(yuǎn)程管理軟件，但是因?yàn)檫@個(gè)軟件功能強(qiáng)大而且只受到密碼的保護(hù)，所以也非常的危險(xiǎn)，一旦入侵者擁有了管理員密碼，就能夠象本機(jī)一樣操作遠(yuǎn)程服務(wù)器（不需要高深的NT命令行技巧，不需要編寫(xiě)特殊的腳本和程序，只要會(huì)用鼠標(biāo)就能進(jìn)行一切系統(tǒng)管理操作，實(shí)在是太方便、也實(shí)在是太可怕了）。雖然很多人都在使用終端服務(wù)來(lái)進(jìn)行遠(yuǎn)程管理，但是，并不是人人都知道如何對(duì)終端服務(wù)進(jìn)行審核，大多數(shù)的終端服務(wù)器上并沒(méi)有打開(kāi)終端登錄的日志，其實(shí)打開(kāi)日志審核是很容易的，在管理工具中打開(kāi)遠(yuǎn)程控制服務(wù)配置（Terminal Service Configration），點(diǎn)擊"連接"，右擊你想配置的RDP服務(wù)（比如 RDP-TCP(Microsoft RDP 5.0)，選中書(shū)簽"權(quán)限"，點(diǎn)擊左下角的"高級(jí)"，看見(jiàn)上面那個(gè)"審核"了么？我們來(lái)加入一個(gè)Everyone組，這代表所有的用戶(hù)，然后審核他的"連接"、"斷開(kāi)"、"注銷(xiāo)"的成功和"登錄"的成功和失敗就足夠了，審核太多了反而不好，這個(gè)審核是記錄在安全日志中的，可以從"管理工具"->"日志查看器"中查看?，F(xiàn)在什么人什么時(shí)候登錄我都一清二楚了，可是美中不足的是：這個(gè)破爛玩藝居然不記錄客戶(hù)端的IP（只能查看在線用戶(hù)的IP），而是華而不實(shí)的記錄什么機(jī)器名，倒！要是別人起個(gè)PIG的機(jī)器名你只好受他的嘲弄了，不知道微軟是怎么想的，看來(lái)還是不能完全依賴(lài)微軟呀，我們自己來(lái)吧？寫(xiě)個(gè)程序，一切搞定，你會(huì)C么？不會(huì)？VB呢？也不會(huì)？Delphi？……什么？你什么編程語(yǔ)言都不會(huì)？我倒，畢竟系統(tǒng)管理員不是程序員呀，別急別急，我給你想辦法，我們來(lái)建立一個(gè)bat文件，叫做TSLog.bat，這個(gè)文件用來(lái)記錄登錄者的IP，內(nèi)容如下：

time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
start Explorer
我來(lái)解釋一下這個(gè)文件的含義：

第一行是記錄用戶(hù)登錄的時(shí)間，time /t的意思是直接返回系統(tǒng)時(shí)間（如果不加/t，系統(tǒng)會(huì)等待你輸入新的時(shí)間），然后我們用追加符號(hào)">>"把這個(gè)時(shí)間記入TSLog.log作為日志的時(shí)間字段；

第二行是記錄用戶(hù)的IP地址，netstat是用來(lái)顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令，-n表示顯示IP和端口而不是域名、協(xié)議，-ptcp是只顯示tcp協(xié)議，然后我們用管道符號(hào)"|"把這個(gè)命令的結(jié)果輸出給find命令，從輸出結(jié)果中查找包含":3389"的行（這就是我們要的客戶(hù)的IP所在的行，如果你更改了終端服務(wù)的端口，這個(gè)數(shù)值也要作相應(yīng)的更改），最后我們同樣把這個(gè)結(jié)果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，記錄格式如下：

22:40
TCP　　192.168.12.28:3389　　192.168.10.123:4903　　　ESTABLISHED
22:54
TCP　　192.168.12.28:3389　　 192.168.12.29:1039　　　ESTABLISHED

也就是說(shuō)只要這個(gè)TSLog.bat文件一運(yùn)行，所有連在3389端口上的IP都會(huì)被記錄，那么如何讓這個(gè)批處理文件自動(dòng)運(yùn)行呢？我們知道，終端服務(wù)允許我們?yōu)橛脩?hù)自定義起始的程序，在終端服務(wù)配置中，我們覆蓋用戶(hù)的登錄腳本設(shè)置并指定TSLog.bat為用戶(hù)登錄時(shí)需要打開(kāi)的腳本，這樣每個(gè)用戶(hù)登錄后都必須執(zhí)行這個(gè)腳本，因?yàn)槟J(rèn)的腳本（相當(dāng)于shell環(huán)境）是Explorer（資源管理器），所以我在TSLog.bat的最后一行加上了啟動(dòng)Explorer的命令startExplorer，如果不加這一行命令，用戶(hù)是沒(méi)有辦法進(jìn)入桌面的！當(dāng)然，如果你只需要給用戶(hù)特定的Shell：

例如cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個(gè)腳本也可以有其他的寫(xiě)法，作為系統(tǒng)管理員，你完全可以自由發(fā)揮你的想象力、自由利用自己的資源，例如寫(xiě)一個(gè)腳本把每個(gè)登錄用戶(hù)的IP發(fā)送到自己的信箱對(duì)于重要的服務(wù)器也是一個(gè)很好的方法。正常情況下一般的用戶(hù)沒(méi)有查看終端服務(wù)設(shè)置的權(quán)限，所以他不會(huì)知道你對(duì)登錄進(jìn)行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了，不過(guò)需要注意的是這只是一個(gè)簡(jiǎn)單的終端服務(wù)日志策略，并沒(méi)有太多的安全保障措施和權(quán)限機(jī)制，如果服務(wù)器有更高的安全要求，那還是需要通過(guò)編程或購(gòu)買(mǎi)入侵監(jiān)測(cè)軟件來(lái)完成的。

8、陷阱技術(shù)

　　早期的陷阱技術(shù)只是一個(gè)偽裝的端口服務(wù)用來(lái)監(jiān)測(cè)掃描，隨著矛和盾的不斷升級(jí)，現(xiàn)在的陷阱服務(wù)或者陷阱主機(jī)已經(jīng)越來(lái)越完善，越來(lái)越象真正的服務(wù)，不僅能截獲半開(kāi)式掃描，還能偽裝服務(wù)的回應(yīng)并記錄入侵者的行為，從而幫助判斷入侵者的身份。

　　我本人對(duì)于陷阱技術(shù)并不是非常感興趣，一來(lái)從技術(shù)人員角度來(lái)說(shuō)，低調(diào)行事更符合安全的原則；二來(lái)陷阱主機(jī)反而成為入侵者跳板的情況并不僅僅出現(xiàn)在小說(shuō)中，在現(xiàn)實(shí)生活中也屢見(jiàn)不鮮，如果架設(shè)了陷阱反而被用來(lái)入侵，那真是偷雞不成了。

　　記得CoolFire說(shuō)過(guò)一句話，可以用來(lái)作為對(duì)陷阱技術(shù)介紹的一個(gè)結(jié)束：在不了解情況時(shí)，不要隨便進(jìn)入別人的系統(tǒng)，因?yàn)槟阌肋h(yuǎn)不能事先知道系統(tǒng)管理員是真的白癡或者偽裝成白癡的天才......

　　入侵監(jiān)測(cè)的初步介紹就到這里，在實(shí)際運(yùn)用中，系統(tǒng)管理員對(duì)基礎(chǔ)知識(shí)掌握的情況直接關(guān)系到他的安全敏感度，只有身經(jīng)百戰(zhàn)而又知識(shí)豐富、仔細(xì)小心的系統(tǒng)管理員才能從一點(diǎn)點(diǎn)的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子，未雨綢繆，扼殺入侵的行動(dòng)