快捷導(dǎo)航

Windows服務(wù)器安全配置

更新時間：2006年10月19日 00:00:00 作者：

服務(wù)器安全配置（只針對WIN系統(tǒng)）

一、

原則關(guān)掉所有不使用的服務(wù),不安裝所有與服務(wù)器無關(guān)的軟件,打好所有補丁

修改3389

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那個PortNumber沒有?0xd3d，這個是16進制，就是3389啦，我改XXXX這個值是RDP(遠程桌面協(xié)議)的默認值，也就是說用來配置以后新建的RDP服務(wù)的，要改已經(jīng)建立的RDP服務(wù)，我們?nèi)ハ乱粋€鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations這里應(yīng)該有一個或多個類似RDP-TCP的子?。ㄈQ于你建立了多少個RDP服務(wù)），一樣改掉PortNumber。

修改系統(tǒng)日志保存地址

默認位置為

應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認位置：%systemroot%\system32\config，默認文件大小512KB，管理員都會改變這個默認大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT
系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT
應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT
Internet信息服務(wù)FTP日志默認位置：%systemroot%\system32\logfiles\msftpsvc1\，默認每天一個日志

Internet信息服務(wù)WWW日志默認位置：%systemroot%\system32\logfiles\w3svc1\，默認每天一個日志
Scheduler(任務(wù)計劃)服務(wù)日志默認位置：%systemroot%\schedlgu.txt

應(yīng)用程序日志，安全日志，系統(tǒng)日志，DNS服務(wù)器日志，它們這些LOG文件在注冊表中的：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

Schedluler(任務(wù)計劃)服務(wù)日志在注冊表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

SQL
刪掉或改名xplog70.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 對pro版本

// AutoShareServer 對server版本

// 0 禁止管理共享admin$,c$,d$之類默認共享

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用戶無法列舉本機用戶列表

//0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動)

本地安全策略

封TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導(dǎo))
封UDP端口:1434(這個就不用說了吧)
封所有ICMP,即封PING
以上是最常被掃的端口,有別的同樣也封,當然因為80是做WEB用的

審核策略為

審核策略更改:成功,失敗

審核登錄事件:成功,失敗

審核對象訪問:失敗

審核對象追蹤:成功,失敗

審核目錄服務(wù)訪問:失敗

審核特權(quán)使用:失敗

審核系統(tǒng)事件:成功,失敗

審核賬戶登錄事件:成功,失敗

審核賬戶管理:成功,失敗

密碼策略:啟用“密碼必須符合復(fù)雜性要求","密碼長度最小值"為6個字符,"強制密碼歷史"為5次,"密碼最長存留期"為30天.

在賬戶鎖定策略中設(shè)置:"復(fù)位賬戶鎖定計數(shù)器"為30分鐘之后,"賬戶鎖定時間"為30分鐘,"賬戶鎖定值"為30分鐘.

安全選項設(shè)置:本地安全策略==本地策略==安全選項==對匿名連接的額外限制,雙擊對其中有效策略進行設(shè)置,選擇"不允許枚舉SAM賬號和共享",因為這個值是只允許非NULL用戶存取SAM賬號信息和共享信息,一般選擇此項.

禁止登錄屏幕上顯示上次登錄的用戶名

控制面板==管理工具==本地安全策略==本地策略==安全選項

或改注冊表

HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn項中的Don't Display Last User Name串，將其數(shù)據(jù)修改為1

禁TCP/IP中的禁用TCP/IP上的NetBIOS

修改默認管理用戶名(這就不用說了吧),禁用Guest帳號,除了ADMIN組的用戶可以遠程登陸本機完,別的用戶的遠程登陸都去掉

WEB目錄用戶權(quán)限設(shè)定...
依次做下面的工作:
選取整個硬盤：
system：完全控制
administrator：完全控制(允許將來自父系的可繼承性權(quán)限傳播給對象)
b.\program files\common files：
everyone：讀取及運行
列出文件目錄
讀取(允許將來自父系的可繼承性權(quán)限傳播給對象)
c.\inetpub\wwwroot：
iusr_machine：讀取及運行
列出文件目錄
讀取 (允許將來自父系的可繼承性權(quán)限傳播給對象)
e.\winnt\system32：
選擇除inetsrv和centsrv以外的所有目錄，
去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框，復(fù)制。
f.\winnt：
選擇除了downloaded program files、help、iis temporary compressed files、
offline web pages、system32、tasks、temp、web以外的所有目錄
去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框，復(fù)制。
g.\winnt：
everyone：讀取及運行

列出文件目錄
讀取(允許將來自父系的可繼承性權(quán)限傳播給對象)
h.\winnt\temp：（允許訪問數(shù)據(jù)庫并顯示在asp頁面上）
everyone：修改 (允許將來自父系的可繼承性權(quán)限傳播給對象)
(還是WIN2K3好一點,默認就設(shè)好了設(shè)限)
刪除默認IIS目錄

刪除IIS中除ASA和ASP的所有解析,除非你要用到別的CGI程序(WIN2K3中去不掉的)
定期查看服務(wù)器中的日志logs文件

檢查ASP程序是否有SQL注入漏洞

解決方法:
在ASP程序中加入

dim listname
if not isnumeric(request("id")) then
response.write "參數(shù)錯誤"
response.end
end if
//作用是檢查ID是否為INT數(shù)字型

如何讓asp腳本以system權(quán)限運行?
修改你asp腳本所對應(yīng)的虛擬目錄，把"應(yīng)用程序保護"修改為"低"....

如何防止asp木馬?
基于FileSystemObject組件的asp木馬

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //刪除

還原:
cacls %systemroot%\system32\scrrun.dll /e /p guests:r
regsvr32 scrrun.dll

基于shell.application組件的asp木馬

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //刪除

還原:
cacls %systemroot%\system32\shell32.dll /e /p guests:r
regsvr32 shell32.dll

可以看一下caclsr語法,f是完全控制,c是寫入

把ip2K.jpg另存為,改后綴名為RAR,2K和2K3下的安全策略,借用了REISTLIN的東西,3Q,上面有些東西太簡單了就沒寫全.如果你是用固定IP的話,可以在安全策略中加上允許訪問和你自己的IP

二、關(guān)閉Messenger,Remote Registry Service,Task Scheduler 服務(wù)及不需要的服務(wù)..

三、安裝過程

有選擇性地安裝組件

不要按Windows 2000的默認安裝組件，本著“最少的服務(wù)+最小的權(quán)限=最大的安全”原則，只選擇安裝需要的服務(wù)即可。例如：不作為Web服務(wù)器或FTP服務(wù)器就不安裝IIS。常用Web服務(wù)器需要的最小組件是： Internet 服務(wù)管理器、WWW服務(wù)器和與其有關(guān)的輔助服務(wù)。

安裝完畢后加入網(wǎng)絡(luò)

在安裝完成Windows 2000操作系統(tǒng)后，不要立即把服務(wù)器加入網(wǎng)絡(luò)，因為這時的服務(wù)器上的各種程序還沒有打上補丁，存在各種漏洞，非常容易感染病毒和被入侵。
應(yīng)該在所有應(yīng)用程序安裝完之后依次打上各種補丁，因為補丁程序是針對不同應(yīng)用程序而安裝的，往往要替換或修改某些系統(tǒng)文件，如果先安裝補丁再安裝應(yīng)用程序有可能導(dǎo)致補丁不能起到應(yīng)有的效果。例如IIS的HotFix要求每次更改IIS的配置時都需要重新安裝。

還有，如果怕IIS負荷過高導(dǎo)致服務(wù)器死機，也可以在性能中打開CPU限制，如將IIS的最大CPU使用率限制在70%。

正確設(shè)置和管理賬戶

1、停止使用用Guest賬戶，并給Guest 加一個復(fù)雜的密碼。

2、賬戶要盡可能少，并且要經(jīng)常用一些掃描工具查看一下系統(tǒng)賬戶、賬戶權(quán)限及密碼。刪除停用的賬戶，常用的掃描軟件有：流光、HSCAN、X－SCAN、STAT　SCANNER等。正確配置賬戶的權(quán)限，密碼至少應(yīng)不少于8位，且要數(shù)字、大小寫字母，以及數(shù)字的上檔鍵混用，這樣就較難破譯。

3、增加登錄的難度，在“賬戶策略→密碼策略”中設(shè)定：“密碼復(fù)雜性要求啟用”，“密碼長度最小值8位”，“強制密碼歷史5次”，“最長存留期 30天”；在“賬戶策略→賬戶鎖定策略”設(shè)定：“賬戶鎖定3次錯誤登錄”，“鎖定時間20分鐘”，“復(fù)位鎖定計數(shù)20分鐘”等，增加了登錄的難度對系統(tǒng)的安全大有好處。

4、把系統(tǒng)Administrator賬號改名，名稱不要帶有Admin等字樣; 創(chuàng)建一個陷阱帳號，如創(chuàng)建一個名為“Administrator”的本地帳戶，把權(quán)限設(shè)置成最低，什么事也干不了，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Scripts忙上一段時間了，并且可以借此發(fā)現(xiàn)他們的入侵企圖。

5、不讓系統(tǒng)顯示上次登錄的用戶名，具體操作如下：
將注冊表中“Hkey\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的鍵值改為1。

正確地設(shè)置目錄和文件權(quán)限

為了控制好服務(wù)器上用戶的權(quán)限，同時也為了預(yù)防以后可能的入侵和溢出，還必須非常小心地設(shè)置目錄和文件的訪問權(quán)限。Windows 2000的訪問權(quán)限分為：讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認的情況下，大多數(shù)的文件夾對所有用戶（Everyone這個組）是完全控制的（Full Control），您需要根據(jù)應(yīng)用的需要重新設(shè)置權(quán)限。在進行權(quán)限控制時，請記住以下幾個原則：

1、權(quán)限是累計的，如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權(quán)限。

2、拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會先執(zhí)行）。如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個資源。

3、文件權(quán)限比文件夾權(quán)限高。

4、利用用戶組來進行權(quán)限控制是一個成熟的系統(tǒng)管理員必須具有的優(yōu)良習慣。

5、只給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障。

6、預(yù)防ICMP攻擊。ICMP的風暴攻擊和碎片攻擊是NT主機比較頭疼的攻擊方法，而Windows 2000應(yīng)付的方法很簡單。Windows 2000自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形。在這個工具中，我們可以輕易地定義輸入輸出包過濾器。如設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文。

網(wǎng)絡(luò)服務(wù)安全管理

1、關(guān)閉不需要的服務(wù)

只留必需的服務(wù)，多一些服務(wù)可能會給系統(tǒng)帶來更多的安全因素。如Windows 2000的Terminal Services（終端服務(wù)）、IIS（web服務(wù)）、RAS（遠程訪問服務(wù)）等，這些都有產(chǎn)生漏洞的可能。

2、關(guān)閉不用的端口

只開放服務(wù)需要的端口與協(xié)議。
具體方法為：按順序打開“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級→選項→TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務(wù)開設(shè)口，常用的TCP口有：80口用于Web服務(wù)；21用于FTP服務(wù)；25口用于SMTP；23口用于Telnet服務(wù)；110口用于POP3。常用的UDP端口有：53口－DNS域名解析服務(wù)；161口－snmp簡單的網(wǎng)絡(luò)管理協(xié)議。8000、4000用于OICQ，服務(wù)器用8000來接收信息，客戶端用4000發(fā)送信息。

3、禁止建立空連接

默認情況下，任何用戶可通過空連接連上服務(wù)器，枚舉賬號并猜測密碼?？者B接用的端口是139，通過空連接，可以復(fù)制文件到遠端服務(wù)器，計劃執(zhí)行一個任務(wù)，這就是一個漏洞?？梢酝ㄟ^以下兩種方法禁止建立空連接：
（1）修改注冊表中　Local_Machine\System\
CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。

（2）修改Windows 2000的本地安全策略。設(shè)置“本地安全策略→本地策略→選項”中的RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。
首先，Windows 2000的默認安裝允許任何用戶通過空連接得到系統(tǒng)所有賬號和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時任何一個遠程用戶也可以通過同樣的方法得到您的用戶列表，并可能使用暴力法破解用戶密碼給整個網(wǎng)絡(luò)帶來破壞。很多人都只知道更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接，實際上Windows 2000的本地安全策略里（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里）就有RestrictAnonymous選項，其中有三個值：“0”這個值是系統(tǒng)默認的，沒有任何限制，遠程用戶可以知道您機器上所有的賬號、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等；“1”這個值是只允許非NULL用戶存取SAM賬號信息和共享信息；“2”這個值只有Windows 2000才支持，需要注意的是，如果使用了這個值，就不能再共享資源了，所以還是推薦把數(shù)值設(shè)為“1”比較好。

網(wǎng)絡(luò)服務(wù)安全配置

1、修改默認端口。終端服務(wù)的默認端口為3389，可考慮修改為別的端口。修改方法為：

服務(wù)器端：打開注冊表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”處找到類似RDP-TCP的子鍵，修改PortNumber值。

客戶端：按正常步驟建一個客戶端連接，選中這個連接，在“文件”菜單中選擇導(dǎo)出，在指定位置會生成一個后綴為.cns的文件。打開該文件，修改“Server Port”值為與服務(wù)器端的PortNumber對應(yīng)的值。然后再導(dǎo)入該文件（方法：菜單→文件→導(dǎo)入），這樣客戶端就修改了端口。
2、安全配置Internet 服務(wù)管理器。對IIS服務(wù)安全配置如下：

(1)停止默認的Web服務(wù)，建立新的Web服務(wù)，將其主目錄設(shè)為其他（非inetpub）目錄，最好不和主系統(tǒng)點用一個分區(qū)。如果使用系統(tǒng)默認的Web服務(wù)，那么通過較簡單的攻擊，就可以黑掉服務(wù)器。

(2) 刪除原默認安裝的Inetpub目錄（在安裝系統(tǒng)的盤上）。

(3) 刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

3、不要設(shè)置Frontpage服務(wù)器擴展服務(wù)，如果開設(shè)，那么就可以遠程在Frontpage下打開您的主頁文件進行修改。

4、刪除不必要的IIS擴展名映射。方法是：右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。如不用到其他映射，只保留.asp、.asa兩映射即可。

安全的管理數(shù)據(jù)文件

1、常備份，要經(jīng)常把要數(shù)據(jù)備份到專用的備份服務(wù)器，備份完畢后，可將備份服務(wù)器與網(wǎng)絡(luò)隔離。

2、關(guān)閉默認共享。Windows 2000安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享（如C$、D$等），在命令態(tài)下可用net share命令查看它們，這些共享要刪除。不過當機器重新啟動后，這些共享又會重新開啟，需每次啟動后都刪除。

3、正確設(shè)置文件的共享權(quán)限，設(shè)置共享文件時，要注意把共享文件的權(quán)限從“everyone”組改成“授權(quán)用戶”，包括打印共享，這樣即使連接上去看到也無法查閱。

4、防止文件名欺騙，用顯示所有文件名和文件夾以及顯示文件類型擴展名來有效地防止文件名欺騙。如防止以.txt或.exe為擴展名的惡意文件被顯示為.txt文件，大意打開該文件被攻，雙擊“我的電腦→工具→文件夾選項→查看”，選擇“顯示所有文件和文件夾”屬性設(shè)置，去掉“隱藏已知文件類型擴展名”屬性設(shè)置。

5、啟用Terminal Service的安全日志，系統(tǒng)默認是不啟用的。可以通過“Terminal Service Configration→權(quán)限→高級”中配置安全審核，記錄登錄、注銷事件就可以了。

啟用日志，利用軟件隨時檢測網(wǎng)絡(luò)流量
發(fā)現(xiàn)有異常隨時查看日志文件，是不是有人在攻擊。

四、Windows 服務(wù)的最佳化說明

Alerter
微軟：通知選取的使用者及計算機系統(tǒng)管理警示。如果停止這個服務(wù)，使用系統(tǒng)管理警示的程序?qū)⒉粫盏酵ㄖ?。如果停用這個服務(wù)，所有依存于它的服務(wù)將無法啟動。
補充：一般家用計算機根本不需要傳送或接收計算機系統(tǒng)管理來的警示(Administrative Alerts)，除非你的計算機用在局域網(wǎng)絡(luò)上
依存： Workstation
建議：已停用

Application Layer Gateway Service
微軟：提供因特網(wǎng)聯(lián)機共享和因特網(wǎng)聯(lián)機防火墻的第三方通訊協(xié)議插件的支持
補充：如果你不使用因特網(wǎng)聯(lián)機共享 (ICS) 提供多臺計算機的因特網(wǎng)存取和因特網(wǎng)聯(lián)機防火墻 (ICF) 軟件你可以關(guān)掉
依存： Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議：已停用

Application Management (應(yīng)用程序管理)
微軟：提供指派、發(fā)行、以及移除的軟件安裝服務(wù)。
補充：如上說的軟件安裝變更的服務(wù)
建議：手動

Automatic Updates
微軟：啟用重要 Windows 更新的下載及安裝。如果停用此服務(wù)，可以手動的從 Windows Update 網(wǎng)站上更新操作系統(tǒng)。
補充：允許 Windows 于背景自動聯(lián)機之下，到 Microsoft Servers 自動檢查和下載更新修補程序
建議：已停用

Background Intelligent Transfer Service
微軟：使用閑置的網(wǎng)絡(luò)頻寬來傳輸數(shù)據(jù)。
補充：經(jīng)由 Via HTTP1.1 在背景傳輸資料的?#124;西，例如 Windows Update 就是以此為工作之一
依存： Remote Procedure Call (RPC) 和 Workstation
建議：已停用

ClipBook (剪貼簿)
微軟：啟用剪貼簿檢視器以儲存信息并與遠程計算機共享。如果這個服務(wù)被停止，剪貼簿檢視器將無法與遠程計算機共享信息。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：把剪貼簿內(nèi)的信息和其它臺計算機分享，一般家用計算機根本用不到
依存： Network DDE
建議：已停用

COM+ Event System (COM+ 事件系統(tǒng))
微軟：支持「系統(tǒng)事件通知服務(wù) (SENS)」，它可讓事件自動分散到訂閱的 COM 組件。如果服務(wù)被停止，SENS 會關(guān)閉，并無法提供登入及注銷通知。如果此服務(wù)被停用，任何明顯依存它的服務(wù)都無法啟動。
補充：有些程序可能用到 COM+ 組件，像 BootVis 的 optimize system 應(yīng)用，如事件檢視器內(nèi)顯示的 DCOM 沒有啟用
依存： Remote Procedure Call (RPC) 和 System Event Notification
建議：手動

COM+ System Application
微軟：管理 COM+ 組件的設(shè)定及追蹤。如果停止此服務(wù)，大部分的 COM+ 組件將無法適當?#092;作。如果此服務(wù)被停用，任何明確依存它的服務(wù)將無法啟動。
補充：如果 COM+ Event System 是一臺車，那么 COM+ System Application 就是司機，如事件檢視器內(nèi)顯示的 DCOM 沒有啟用
依存： Remote Procedure Call (RPC)
建議：手動

Computer Browser (計算機瀏覽器)
微軟：維護網(wǎng)絡(luò)上更新的計算機清單，并將這個清單提供給做為瀏覽器的計算機。如果停止這個服務(wù)，這個清單將不會被更新或維護。如果停用這個服務(wù)，所有依存于它的服務(wù)將無法啟動。
補充：一般家庭用計算機不需要，除非你的計算機應(yīng)用在區(qū)網(wǎng)之上，不過在大型的區(qū)網(wǎng)上有必要開這個拖慢速度嗎？
依存： Server 和 Workstation
建議：已停用

Cryptographic Services
微軟：提供三個管理服務(wù): 確認 Windows 檔案簽章的 [類別目錄數(shù)據(jù)庫服務(wù)]; 從這個計算機新增及移除受信任根憑證授權(quán)憑證的 [受保護的根目錄服務(wù)]; 以及協(xié)助注冊這個計算機以取得憑證的 [金鑰服務(wù)]。如果這個服務(wù)被停止，這些管理服務(wù)將無法正確工作。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：簡單的說就是 Windows Hardware Quality Lab (WHQL)微軟的一種認證，如果你有使用 Automatic Updates ，那你可能需要這個
依存： Remote Procedure Call (RPC)
建議：手動

DHCP Client (DHCP 客戶端)
微軟：透過登錄及更新 IP 地址和 DNS 名稱來管理網(wǎng)絡(luò)設(shè)定。
補充：使用 DSL/Cable 、ICS 和 IPSEC 的人都需要這個來指定動態(tài) IP
依存： AFD 網(wǎng)絡(luò)支持環(huán)境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP
建議：手動

Distributed Link Tracking Client (分布式連結(jié)追蹤客戶端)
微軟：維護計算機中或網(wǎng)絡(luò)網(wǎng)域不同計算機中 NTFS 檔案間的連結(jié)。
補充：維護區(qū)網(wǎng)內(nèi)不同計算機之間的檔案連結(jié)
依存： Remote Procedure Call (RPC)
建議：已停用

Distributed Transaction Coordinator (分布式交易協(xié)調(diào)器)
微軟：協(xié)調(diào)跨越多個資源管理員的交易，比如數(shù)據(jù)庫、訊息隊列及檔案系統(tǒng)。如果此服務(wù)被停止，這些交易將不會發(fā)生。如果服務(wù)被停用，任何明顯依存它的服務(wù)將無法啟動。
補充：如上所說的，一般家庭用計算機用不太到，除非你啟用的 Message Queuing
依存： Remote Procedure Call (RPC) 和 Security Accounts Manager
建議：已停用

DNS Client (DNS 客戶端)
微軟：解析并快取這臺計算機的網(wǎng)域名稱系統(tǒng) (DNS) 名稱。如果停止這個服務(wù)，這臺計算機將無法解析 DNS 名稱并尋找 Active Directory 網(wǎng)域控制站的位置。如果停用這個服務(wù)，所有依存于它的服務(wù)將無法啟動。
補充：如上所說的，另外 IPSEC 需要用到
依存： TCP/IP Protocol Driver
建議：手動

Error Reporting Service
微軟：允許對執(zhí)行于非標準環(huán)境中的服務(wù)和應(yīng)用程序的錯誤報告。
補充：微軟的應(yīng)用程序錯誤報告
依存： Remote Procedure Call (RPC)
建議：已停用

Event Log (事件記錄文件)
微軟：啟用 Windows 為主的程序和組件所發(fā)出的事件訊息可以在事件檢視器中檢視。這個服務(wù)不能被停止。
補充：允許事件訊息顯示在事件檢視器之上
依存： Windows Management Instrumentation
建議：自動

Fast User Switching Compatibility
微軟：在多使用者環(huán)境下提供應(yīng)用程序管理。
補充：另外像是注銷畫面中的切換使用者功能
依存： Terminal Services
建議：手動

Help and Support
微軟：讓說明及支持中心能夠在這臺計算機上執(zhí)行。如果這個服務(wù)停止，將無法使用說明及支持中心。如果這個服務(wù)被停用，它的所有依存服務(wù)將無法啟動。
補充：如果不使用就關(guān)了吧
依存： Remote Procedure Call (RPC)
建議：已停用

Human Interface Device Access
微軟：啟用對人性化接口裝置 (HID) 的通用輸入存取，HID 裝置啟動并維護對這個鍵盤、遠程控制、以及其它多媒體裝置上事先定義的快捷紐的使用。如果這個服務(wù)被停止，這個服務(wù)控制的快捷紐將不再起作用。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：如上所提到的
依存： Remote Procedure Call (RPC)
建議：已停用

IMAPI CD-Burning COM Service
微軟：使用 Image Mastering Applications Programming Interface (IMAPI) 來管理光盤錄制。如果這個服務(wù)被停止，這個計算機將無法錄制光盤。如果這個服務(wù)被停用，任何明確地依賴它的服務(wù)將無法啟動。
補充： XP 整合的 CD-R 和 CD-RW 光驅(qū)上拖放的燒錄功能，可惜比不上燒錄軟件，關(guān)掉還可以加快 Nero 的開啟速度
建議：已停用

Indexing Service (索引服務(wù))
微軟：本機和遠程計算機的索引內(nèi)容和檔案屬性; 透過彈性的查詢語言提供快速檔案存取。
補充：簡單的說可以讓你加快搜查速度，不過我想應(yīng)該很少人和遠程計算機作搜尋吧
依存： Remote Procedure Call (RPC)
建議：已停用

Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
微軟：為您的家用網(wǎng)絡(luò)或小型辦公室網(wǎng)絡(luò)提供網(wǎng)絡(luò)地址轉(zhuǎn)譯、尋址及名稱解析服務(wù)和/或防止干擾的服務(wù)。
補充：如果你不使用因特網(wǎng)聯(lián)機共享(ICS)或是 XP 內(nèi)含的因特網(wǎng)聯(lián)機防火墻(ICF)你可以關(guān)掉
依存： Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建議：已停用

IPSEC Services (IP 安全性服務(wù))
微軟：管理 IP 安全性原則并啟動 ISAKMP/Oakley (IKE) 及 IP 安全性驅(qū)動程序。
補充：協(xié)助保護經(jīng)由網(wǎng)絡(luò)傳送的數(shù)據(jù)。IPSec 為一重要環(huán)節(jié)，為虛擬私人網(wǎng)絡(luò) (VPN) 中提供安全性，而 VPN 允許組織經(jīng)由因特網(wǎng)安全地傳輸數(shù)據(jù)。在某些網(wǎng)域上也許需要，但是一般使用者大部分是不太需要的
依存： IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建議：手動

Logical Disk Manager (邏輯磁盤管理員)
微軟：偵測及監(jiān)視新硬盤磁盤，以及傳送磁盤區(qū)信息到邏輯磁盤管理系統(tǒng)管理服務(wù)以供設(shè)定。如果這個服務(wù)被停止，動態(tài)磁盤狀態(tài)和設(shè)定信息可能會過時。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：磁盤管理員用來動態(tài)管理磁盤，如顯示磁盤可用空間等和使用 Microsoft Management Console(MMC)主控臺的功能
依存： Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
建議：自動

Logical Disk Manager Administrative Service (邏輯磁盤管理員系統(tǒng)管理服務(wù))
微軟：設(shè)定硬盤磁盤及磁盤區(qū)，服務(wù)只執(zhí)行設(shè)定程序然后就停止。
補充：使用 Microsoft Management Console(MMC)主控臺的功能時才用到
依存： Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
建議：手動

Messenger (信差)
微軟：在客戶端及服務(wù)器之間傳輸網(wǎng)絡(luò)傳送及 [Alerter] 服務(wù)訊息。這個服務(wù)與 Windows Messenger 無關(guān)。如果停止這個服務(wù)，Alerter 訊息將不會被傳輸。如果停用這個服務(wù)，所有依存于它的服務(wù)將無法啟動。
補充：允許網(wǎng)絡(luò)之間互相傳送提示訊息的功能，如 net send 功能，如不想被騷擾話可關(guān)了
依存： NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建議：已停用

MS Software Shadow Copy Provider
微軟：管理磁盤區(qū)陰影復(fù)制服務(wù)所取得的以軟件為主的磁盤區(qū)陰影復(fù)制。如果停止這個服務(wù)，就無法管理以軟件為主的磁盤區(qū)陰影復(fù)制。如果停用這個服務(wù)，任何明確依存于它的服務(wù)將無法啟動。
補充：如上所說的，用來備份的?#124;西，如 MS Backup 程序就需要這個服務(wù)
依存： Remote Procedure Call (RPC)
建議：已停用

Net Logon
微軟：支持網(wǎng)域上計算機的賬戶登入事件的 pass-through 驗證。
補充：一般家用計算機不太可能去用到登入網(wǎng)域?qū)彶檫@個服務(wù)
依存： Workstation
建議：已停用

NetMeeting Remote Desktop Sharing (NetMeeting 遠程桌面共享)
微軟：讓經(jīng)過授權(quán)的使用者可以使用 NetMeeting 透過公司近端內(nèi)部網(wǎng)絡(luò)，由遠程訪問這部計算機。如果這項服務(wù)停止的話，遠程桌面共享功能將無法使用。如果服務(wù)停用的話，任何依賴它的服務(wù)將無法啟動。
補充：如上說的，讓使用者可以將計算機的控制權(quán)分享予網(wǎng)絡(luò)上或因特網(wǎng)上的其它使用者，如果你重視安全性不想多開后門，就關(guān)了吧
建議：已停用

Network Connections (網(wǎng)絡(luò)聯(lián)機)
微軟：管理在網(wǎng)絡(luò)和撥號聯(lián)機數(shù)據(jù)夾中的對象，您可以在此數(shù)據(jù)夾中檢視局域網(wǎng)絡(luò)和遠程聯(lián)機。
補充：控制你的網(wǎng)絡(luò)聯(lián)機
依存： Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議：手動

Network DDE (網(wǎng)絡(luò) DDE)
微軟：為動態(tài)數(shù)據(jù)交換 (DDE) 對在相同或不同計算機上執(zhí)行的程序提供網(wǎng)絡(luò)傳輸和安全性。如果這個服務(wù)被停止，DDE 傳輸和安全性將無法使用。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：一般人好像用不到
依存： Network DDE DSDM、ClipBook
建議：已停用

Network DDE DSDM (網(wǎng)絡(luò) DDE DSDM)
微軟：訊息動態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享。如果這個服務(wù)被停止，DDE 網(wǎng)絡(luò)共享將無法使用。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：一般人好像用不到
依存： Network DDE
建議：已停用

Network Location Awareness (NLA)
微軟：收集并存放網(wǎng)絡(luò)設(shè)定和位置信息，并且在這個信息變更時通知應(yīng)用程序。
補充：如果不使用 ICF 和 ICS 可以關(guān)了它
依存： AFD網(wǎng)絡(luò)支持環(huán)境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建議：已停用

NT LM Security Support Provider (NTLM 安全性支持提供者)
微軟：為沒有使用命名管道傳輸?shù)倪h程過程調(diào)用 (RPC) 程序提供安全性。
補充：如果不使用 Message Queuing 或是 Telnet Server 那就關(guān)了它
依存： Telnet
建議：已停用

Performance Logs and Alerts (效能記錄文件及警示)
微軟：基于事先設(shè)定的排程參數(shù)，從本機或遠程計算機收集效能數(shù)據(jù)，然后將數(shù)據(jù)寫入記錄或?#124;發(fā)警訊。如果這個服務(wù)被停止，將不會收集效能信息。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：沒什么價值的服務(wù)
建議：已停用

Plug and Play
微軟：啟用計算機以使用者沒有或很少的輸入來識別及適應(yīng)硬件變更，停止或停用這個服務(wù)將導(dǎo)致系統(tǒng)不穩(wěn)定。
補充：顧名思義就是 PNP 環(huán)境
依存： Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
建議：自動

Portable Media Serial Number
微軟： Retrieves the serial number of any portable music player connected to your computer
補充：透過聯(lián)機計算機重新取得任何音樂撥放序號？沒什么價值的服務(wù)
建議：已停用

Print Spooler (打印多任務(wù)緩沖處理器)
微軟：將檔案加載內(nèi)存中以待稍后打印。
補充：如果沒有打印機，可以關(guān)了
依存： Remote Procedure Call (RPC)
建議：已停用

Protected Storage (受保護的存放裝置)
微軟：提供受保護的存放區(qū)，來儲存私密金鑰這類敏感數(shù)據(jù)，防止未授權(quán)的服務(wù)、處理、或使用者進行存取。
補充：用來儲存你計算機上密碼的服務(wù)，像 Outlook、撥號程序、其它應(yīng)用程序、主從架構(gòu)等等
依存： Remote Procedure Call (RPC)
建議：自動

QoS RSVP (QoS 許可控制，RSVP)
微軟：提供網(wǎng)絡(luò)訊號及區(qū)域流量控制安裝功能給可識別 QoS 的程序和控制小程序項。
補充：用來保留 20% 頻寬的服務(wù)，如果你的網(wǎng)絡(luò)卡不支持 802.1p 或在你計算機的網(wǎng)域上沒有 ACS server ，那么不用多說，關(guān)了它
依存： AFD網(wǎng)絡(luò)支持環(huán)境、TCP/IP Procotol Driver、Remote Procedure Call (RPC)
建議：已停用

Remote Access Auto Connection Manager (遠程訪問自動聯(lián)機管理員)
微軟：當程序參照到遠程 DNS 或 NetBIOS 名稱或地址時，建立遠程網(wǎng)絡(luò)的聯(lián)機。
補充：有些 DSL/Cable 提供者，可能需要用此來處理登入程序
依存： Remote Access Connection Manager、Telephony
建議：手動

Remote Access Connection Manager (遠程訪問聯(lián)機管理員)
微軟：建立網(wǎng)絡(luò)聯(lián)機。
補充：網(wǎng)絡(luò)聯(lián)機用
依存： Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager
建議：手動

Remote Desktop Help Session Manager
微軟：管理并控制遠程協(xié)助。如果此服務(wù)停止的話，遠程協(xié)助將無法使用。停止此服務(wù)之前，請先參閱內(nèi)容對話框中的 [依存性]標簽。
補充：如上說的管理和控制遠程協(xié)助，如果不使用可以關(guān)了
依存： Remote Procedure Call (RPC)
建議： Disable

Remote Procedure Call (RPC) (遠程過程調(diào)用，RPC)
微軟：提供結(jié)束點對應(yīng)程序以及其它 RPC 服務(wù)。
補充：一些裝置都依存它，別去動它
依存：太多了，自己去看看
建議：自動

Remote Procedure Call (RPC) Locator (遠程過程調(diào)用定位程序)
微軟：管理 RPC 名稱服務(wù)數(shù)據(jù)庫。
補充：如上說的，一般計算機上很少用到，可以嘗試關(guān)了
依存： Workstation
建議： Disable

Remote Registry (遠程登錄服務(wù))
微軟：啟用遠程使用者修改這個計算機上的登錄設(shè)定。如果這個服務(wù)被停止，登錄只能由這個計算機上的使用者修改。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：基于安全性的理由，如果沒有特別的需求，建議最好關(guān)了它，除非你需要遠程協(xié)助修改你的登錄設(shè)定
依存： Remote Procedure Call (RPC)
建議：已停用

Removable Storage (卸除式存放裝置)
微軟： None
補充：除非你有 Zip 磁盤驅(qū)動器或是 USB 之類可攜式的硬件或是 Tape 備份裝置，不然可以嘗試關(guān)了
依存： Remote Procedure Call (RPC)
建議： Disable

Routing and Remote Access (路由和遠程訪問)
微軟：提供連到局域網(wǎng)絡(luò)及廣域網(wǎng)絡(luò)的公司的路由服務(wù)。
補充：如上說的，提供撥號聯(lián)機到區(qū)網(wǎng)或是 VPN 服務(wù)，一般用戶用不到
依存： Remote Procedure Call (RPC)、NetBIOSGroup
建議：已停用

Secondary Logon
微軟：啟用在其它認證下的起始程序。如果這個服務(wù)被停止，這類的登入存取將無法使用。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：允許多個使用者處理程序，執(zhí)行分身等
建議：自動

Security Accounts Manager (安全性賬戶管理員)
微軟：儲存本機賬戶的安全性信息。
補充：管理賬號和群組原則(gpedit.msc)應(yīng)用
依存： Remote Procedure Call (RPC)、Distributed Transaction Coordinator
建議：自動

Server (服務(wù)器)
微軟：透過網(wǎng)絡(luò)為這臺計算機提供檔案、打印、及命名管道的共享。如果停止這個服務(wù)，將無法使用這些功能。如果停用這個服務(wù)，所有依存于它的服務(wù)將無法啟動。
補充：簡單的說就是檔案和打印的分享，除非你有和其它計算機分享，不然就關(guān)了
依存： Computer Browser
建議：已停用

Shell Hardware Detection
微軟：為自動播放硬件事件提供通知。
補充：一般使用在記憶卡或是CD裝置、DVD裝置上
依存： Remote Procedure Call (RPC)
建議：自動

Smart Card (智慧卡)
微軟：管理這個計算機所讀取智能卡的存取。如果這個服務(wù)被停止，這個計算機將無法讀取智能卡。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：如果你不使用 Smart Card ，那就可以關(guān)了
依存： Plug and Play
建議：已停用

Smart Card Helper (智能卡協(xié)助程序)
微軟：啟用對這個計算機使用的舊版非隨插即用智能卡讀取頭的支持。如果這個服務(wù)被停止，這個計算機將不支持舊版讀取頭。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：如果你不使用 Smart Card ，那就可以關(guān)了
建議：已停用

SSDP Discovery Service
微軟：在您的家用網(wǎng)絡(luò)上啟用通用隨插即用裝置的搜索。
補充：如上說的，通用隨插即用服務(wù) (Universal Plug and Play, UPnP) 讓計算機可以找到并使用網(wǎng)絡(luò)上的裝置，經(jīng)由網(wǎng)絡(luò)聯(lián)機透過 TCP/IP 來搜索裝置，像網(wǎng)絡(luò)上的掃瞄器、數(shù)字相機或是打印機，亦即使用 UPnP 的功能，基于安全性沒用到的大可關(guān)了
依存： Universal Plug and Play Device Host
建議：已停用

System Event Notification (系統(tǒng)事件通知)
微軟：追蹤諸如 Windows 登入、網(wǎng)絡(luò)、和電源事件的系統(tǒng)事件。通知這些事件的 COM+ 事件系統(tǒng)訂閱者。
補充：如上所說的
依存： COM+ Event System
建議：自動

System Restore Service
微軟：執(zhí)行系統(tǒng)還原功能。若要停止服務(wù)，從我的計算機->內(nèi)容，[系統(tǒng)還原] 中關(guān)閉系統(tǒng)還原
補充：將計算機回復(fù)至先前的狀態(tài)，不使用就關(guān)了
依存： Remote Procedure Call (RPC)
建議：已停用

Task Scheduler (工作排程器)
微軟：讓使用者能夠在這個計算機上設(shè)定和排定自動的工作。如果停止這個服務(wù)，這些工作在它們排定的時間時將不會執(zhí)行。如果停用這個服務(wù)，任何明確依存于它的服務(wù)將無法啟動。
補充：設(shè)定排定自動的工作，像一些定時磁盤掃瞄、病毒定時掃瞄、更新等等
依存： Remote Procedure Call (RPC)
建議：自動

TCP/IP NetBIOS Helper (TCP/IP NetBIOS 協(xié)助程序)
微軟：啟用 [NetBIOS over TCP/IP (NetBT)] 服務(wù)及 NetBIOS 名稱解析的支持。
補充：如果你的網(wǎng)絡(luò)不使用 NetBios 或是 WINS ，你大可關(guān)閉
依存： AFD 網(wǎng)絡(luò)支持環(huán)境、NetBt
建議：已停用

Telephony (電話語音)
微軟：為本機計算機上及經(jīng)由局域網(wǎng)絡(luò)連接到正在執(zhí)行此服務(wù)的服務(wù)器上，控制電話語音裝置和 IP 為主語音聯(lián)機的程序，提供電話語音 API (TAPI) 支持。
補充：一般的撥號調(diào)制解調(diào)器或是一些 DSL/Cable 可能用到
依存： Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager
建議：手動

Telnet
微軟：啟用一個遠程使用者來登入到這臺計算機和執(zhí)行應(yīng)用程序，以及支持各種 TCP/IP Telnet 客戶端，包含以 UNIX 為基本和以 Windows 為基本的計算機。如果服務(wù)停止了，遠程使用者可能無法存取應(yīng)用程序。如果服務(wù)停用了，任何明確地依存于這項服務(wù)的其它服務(wù)將會啟動失敗。
補充：允許遠程使用者用 Telnet 登入本計算機，一般人會誤解關(guān)了就無法使用BBS，這其實和BBS無關(guān)，基于安全性的理由，如果沒有特別的需求，建議最好關(guān)了
依存： NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建議：已停用

Terminal Services (終端機服務(wù))
微軟：允許多位使用者互動連接到同一部計算機、桌面的顯示器及到遠程計算機的應(yīng)用程序。遠程桌面的加強 (包含系統(tǒng)管理員的 RD)、快速切換使用者、遠程協(xié)助和終端機服務(wù)器。
補充：遠程桌面或是遠程協(xié)助的功能，不需要就關(guān)了
依存： Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
建議：已停用

Themes
微軟：提供使用者經(jīng)驗主題管理。
補充：很多人使用布景主題，不過如果沒有使用的人，那就可以關(guān)閉
建議：自動

Uninterruptible Power Supply (不斷電供電系統(tǒng))
微軟：管理連接到這臺計算機的不斷電電源供應(yīng) (UPS)。
補充：不斷電電源供應(yīng) (UPS)一般人有用到嗎？除非你的電源供應(yīng)器有具備此功能，不然就關(guān)了
建議：已停用

Universal Plug and Play Device Host
微軟：提供主機通用隨插即用裝置的支持。
補充：用來偵測安裝通用隨插即用服務(wù) (Universal Plug and Play, UPnP)裝置，像是數(shù)字相機或打印機
依存： SSDP Discovery Service
建議：已停用

Volume Shadow Copy
微軟：管理及執(zhí)行用于備份和其它目的的磁盤區(qū)卷影復(fù)制。如果這個服務(wù)被停止，卷影復(fù)制將無法用于備份，備份可能會失敗。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：如上所說的，用來備份的?#124;西，如 MS Backup 程序就需要這個服務(wù)
依存： Remote Procedure Call (RPC)
建議：已停用

WebClient
微軟：啟用 Windows 為主的程序來建立、存取，以及修改因特網(wǎng)為主的檔案。如果停止這個服務(wù)，這些功能將無法使用。如果停用這個服務(wù)，任何明確依存于它的服務(wù)將無法啟動。
補充：使用 WebDAV 將檔案或數(shù)據(jù)夾上載到所有的 Web 服務(wù)，基于安全性的理由，你可以嘗試關(guān)閉
依存： WebDav Client Redirector

Windows Audio
微軟：管理用于 Windows 為主程序的音訊裝置。如果這個服務(wù)被停止，音訊裝置和效果將無法正常?#092;作。如果這個服務(wù)被停用，任何明確依存于它的服務(wù)將無法啟動。
補充：如果你沒有聲卡可以關(guān)了他
依存： Plug and Play、Remote Procedure Call (RPC)
建議：自動

Windows Image Acquisition (WIA) (Windows影像取得程序)
微軟：為掃描儀和數(shù)字相機提供影像擷取服務(wù)。
補充：如果掃描儀和數(shù)字相機內(nèi)部具有支持WIA功能的話，那就可以直接看到圖檔，不需要其它的驅(qū)動程序，所以沒有掃描儀和數(shù)字相機的使用者大可關(guān)了
依存： Remote Procedure Call (RPC)
建議：已停用

Windows Installer (Windows 安裝程序)
微軟：根據(jù)包含在 .MSI 檔案內(nèi)的指示來安裝，修復(fù)以及移除軟件。
補充：是一個系統(tǒng)服務(wù)，協(xié)助使用者正確地安裝、設(shè)定、追蹤、升級和移除軟件程序，可管理應(yīng)用程序建立和安裝的標準格式，并且追蹤例如檔案群組、登錄項目及快捷方式等組件
依存： Remote Procedure Call (RPC)
建議：手動

Windows Management Instrumentation (WMI)
微軟：提供公用接口及對象模型，以存取有關(guān)操作系統(tǒng)、裝置、應(yīng)用程序及服務(wù)的管理信息。如果這個服務(wù)已停止，大多數(shù)的 Windows 軟件將無法正常?#092;作。如果這個服務(wù)已停用，所有依存于它的服務(wù)都將無法啟動。
補充：如上說的，是一種提供一個標準的基礎(chǔ)結(jié)構(gòu)來監(jiān)視和管理系統(tǒng)資源的服務(wù)，由不得你動他
依存： Event Log、Remote Procedure Call (RPC)
建議：自動

Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驅(qū)動程序延伸)
微軟：提供系統(tǒng)管理信息給予/取自驅(qū)動程序。
補充： Windows Management Instrumentation 的延伸，提供信息用的
建議：手動

Windows Time (Windows 時間設(shè)定)
微軟：維護在網(wǎng)絡(luò)上所有客戶端及服務(wù)器的數(shù)據(jù)及時間同步處理。如果這個服務(wù)停止，將無法進行日期及時間同步處理。如果這個服務(wù)被停用，所有依存的服務(wù)都會停止。
補充：網(wǎng)絡(luò)對時校準用的，沒必要就關(guān)了
建議：已停用

Wireless Zero Configuration
微軟：為 802.11 適配卡提供自動設(shè)定
補充：自動配置無線網(wǎng)絡(luò)裝置，言下之意就是說，除非你有在使用無線網(wǎng)絡(luò)適配卡裝置，那么你才有必要使用這個網(wǎng)絡(luò)零管理服務(wù)
依存： NDIS Usermode I/O Protocol、Remote Procedure Call (RPC)
建議：已停用

WMI Performance Adapter
微軟：提供來自 WMIHiPerf 提供者的效能鏈接庫信息。
補充：如上所提
依存： Remote Procedure Call (RPC)
建議：已停用l

Workstation (工作站)
微軟：建立并維護到遠程服務(wù)器的客戶端網(wǎng)絡(luò)聯(lián)機。如果停止這個服務(wù)，這些聯(lián)機將無法使用。如果停用這個服務(wù)，所有依存于它的服務(wù)將無法啟動。
補充：因特網(wǎng)聯(lián)機中所必要的一些功能
依存： Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
建議：自動

“Clipbook Server”(文件夾服務(wù)器)：這個服務(wù)允許你們網(wǎng)絡(luò)上的其他用戶看到你的文件夾。在這里我要強烈建議你把它改為手動啟動，然后再使用其他程序在你的網(wǎng)絡(luò)上發(fā)布信息。

“Messenger”(消息)：在網(wǎng)絡(luò)上發(fā)送和接收信息。如果你關(guān)閉了Alerter，你可以安全地把它改為手動啟動。

“Printer Spooler”(打印后臺處理程序)：如果你沒有配置打印機，建議改為手動啟動或干脆關(guān)閉它。

“Error Reporting Service”(錯誤報告)：服務(wù)和應(yīng)用程序在非標準環(huán)境下運行時提供錯誤報告。建議改為手動啟動。

“Fast User Switching Compatibility”(快速用戶切換兼容性)：建議改為手動啟動。

“Automatic Updates”(自動更新)：這個功能前面已經(jīng)講過了，在這里可以改為手動啟動。

“Net Logon”（網(wǎng)絡(luò)注冊）：處理象注冊信息那樣的網(wǎng)絡(luò)安全功能。你可以把它設(shè)改為手動啟動。

“Network DDE和Network DDE DSDM”(動態(tài)數(shù)據(jù)交換)：除非你準備在網(wǎng)上共享你的Office，否則你應(yīng)該把它改為手動啟動。注：這和在通常的商務(wù)設(shè)定中使用Office不同(如果你需要DDE，你就會知道)。

“NT LM Security Support”(NT LM安全支持提供商)：在網(wǎng)絡(luò)應(yīng)用中提供安全保護。建議你把它改為手動啟動。

“Remote Desktop Help Session Manager”(遠程桌面幫助會話管理器)：建議改為手動啟動。

“Remote Registry”(遠程注冊表)：使遠程用戶能修改此計算機上的注冊表設(shè)置。建議改為手動啟動。

“Task Scheduler”(任務(wù)調(diào)度程序)：使用戶能在此計算機上配置和制定自動任務(wù)的日程，它計劃每星期的碎片整理等。除非你實在太懶了，連在電腦上開一下都不想，建議改為手動啟動。

“Uninterruptible Power Supply”(不間斷電源)：它管理你的UPS。如果你沒有的話，把它改為手動啟動或干脆關(guān)閉它。

“Windows Image Acquisition (WIA)”(Windows 圖像獲取 (WIA))：為掃描儀和照相機提供圖像捕獲，如果你沒有這些設(shè)備，建議改為手動啟動或干脆關(guān)閉它。

五、安裝好一臺服務(wù)器后,推薦使用掃描工具先掃描本機有哪些漏洞,然后按照需要開啟或者關(guān)閉某些端口, win2000安裝SP4以上補丁,winXP安裝sp2補丁

掃描工具推薦是用X-SCAN

經(jīng)常開始--運行--Windows Update 是個良好的習慣

六、win2000下關(guān)閉無用端口

每一項服務(wù)都對應(yīng)相應(yīng)的端口，比如眾如周知的WWW服務(wù)的端口是80，smtp是25，ftp是21，win2000安裝中默認的都是這些服務(wù)開啟的。對于個人用戶來說確實沒有必要，關(guān)掉端口也就是關(guān)閉無用的服務(wù)。
“控制面板”的“管理工具”中的“服務(wù)”中來配置。
1、關(guān)閉7.9等等端口：關(guān)閉Simple TCP/IP Service,支持以下 TCP/IP 服務(wù)：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關(guān)閉80口：關(guān)掉WWW服務(wù)。在“服務(wù)”中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 信息服務(wù)的管理單元提供 Web 連接和管理。
3、關(guān)掉25端口：關(guān)閉Simple Mail Transport Protocol (SMTP)服務(wù)，它提供的功能是跨網(wǎng)傳送電子郵件。
4、關(guān)掉21端口：關(guān)閉FTP Publishing Service,它提供的服務(wù)是通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。
5、關(guān)掉23端口：關(guān)閉Telnet服務(wù)，它允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。
6、還有一個很重要的就是關(guān)閉server服務(wù)，此服務(wù)提供 RPC 支持、文件、打印以及命名管道共享。關(guān)掉它就關(guān)掉了win2k的默認共享，比如ipc$、c$、admin$等等，此服務(wù)關(guān)閉不影響您的共他操作。
7、還有一個就是139端口，139端口是NetBIOS　Session端口，用來文件和打印共享，注意的是運行samba的unix機器也開放了139端口，功能一樣。以前流光2000用來判斷對方主機類型不太準確，估計就是139端口開放既認為是NT機，現(xiàn)在好了。
關(guān)閉139口聽方法是在“網(wǎng)絡(luò)和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進入“高級TCP/IP設(shè)置”“WINS設(shè)置”里面有一項“禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口。
對于個人用戶來說，可以在各項服務(wù)屬性設(shè)置中設(shè)為“禁用”，以免下次重啟服務(wù)也重新啟動，端口也開放了。

七、Win2000 Server的安全配置，經(jīng)過精心配置的Win2000服務(wù)器可以防御90%以上的入侵和滲透，但是，就象上一章結(jié)束時我所提到的：系統(tǒng)安全是一個連續(xù)的過程，隨著新漏洞的出現(xiàn)和服務(wù)器應(yīng)用的變化，系統(tǒng)的安全狀況也在不斷變化著；同時由于攻防是矛盾的統(tǒng)一體，道消魔長和魔消道長也在不斷的轉(zhuǎn)換中，因此，再高明的系統(tǒng)管理員也不能保證一臺正在提供服務(wù)的服務(wù)器長時間絕對不被入侵。

　　所以，安全配置服務(wù)器并不是安全工作的結(jié)束，相反卻是漫長乏味的安全工作的開始，本文我們將初步探討Win2000服務(wù)器入侵檢測的初步技巧，希望能幫助您長期維護服務(wù)器的安全。

　　本文中所說的入侵檢測指的是利用Win2000 Server自身的功能及系統(tǒng)管理員自己編寫的軟件/腳本進行的檢測，使用防火墻（Firewall）或入侵監(jiān)測系統(tǒng)（IDS）的技巧并不在本文的討論范圍之內(nèi)。

　　現(xiàn)在假定：我們有一臺Win2000 Server的服務(wù)器，并且經(jīng)過了初步的安全配置（關(guān)于安全配置的詳情可以參閱Win2000 Server安全配置入門<一>），在這種情況下，大部分的入侵者將被拒之門外。（哈哈，我管理員可以回家睡大覺去了）慢著，我說的是大部分，不是全部，經(jīng)過初步安全配置的服務(wù)器雖然可以防御絕大多數(shù)的Script kid（腳本族-只會用別人寫的程序入侵服務(wù)器的人），遇到了真正的高手，還是不堪一擊的。雖然說真正的高手不會隨便進入別人的服務(wù)器，但是也難保有幾個品行不端的邪派高手看上了你的服務(wù)器。（我真的這么衰么？）而且，在漏洞的發(fā)現(xiàn)與補丁的發(fā)布之間往往有一段時間的真空，任何知道漏洞資料的人都可以乘虛而入，這時，入侵檢測技術(shù)就顯得非常的重要。

　　入侵的檢測主要還是根據(jù)應(yīng)用來進行，提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測分析系統(tǒng)來進行保護，對于一般的主機來說，主要應(yīng)該注意以下幾個方面：

1、基于80端口入侵的檢測

　　WWW服務(wù)大概是最常見的服務(wù)之一了，而且由于這個服務(wù)面對廣大用戶，服務(wù)的流量和復(fù)雜度都很高，所以針對這個服務(wù)的漏洞和入侵技巧也最多。對于NT來說，IIS一直是系統(tǒng)管理員比較頭疼的一部分（恨不得關(guān)了80端口），不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認存放在System32/LogFiles目錄下，一般是按24小時滾動的，在IIS管理器中可以對它進行詳細的配置。（具體怎么配我不管你，不過你要是不詳細記錄，回頭查不到入侵者的IP可不要哭）

　　現(xiàn)在我們再假設(shè)（怎么老是假設(shè)呀，煩不煩？）別急呀，我不能為了寫這篇文章真的去黑掉一臺主機，所以只好假設(shè)了，我們假設(shè)一臺WEB服務(wù)器，開放了WWW服務(wù)，你是這臺服務(wù)器的系統(tǒng)管理員，已經(jīng)小心地配置了IIS，使用W3C擴展的日志格式，并至少記錄了時間（Time）、客戶端IP（Client IP）、方法（Method）、URI資源(URI Stem)、URI查詢(URI Query)，協(xié)議狀態(tài)（Protocol Status)，我們用最近比較流行的Unicode漏洞來進行分析：打開IE的窗口，在地址欄輸入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默認的情況下你可以看到目錄列表（什么？你已經(jīng)做過安全配置了，看不到？恢復(fù)默認安裝，我們要做個實驗），讓我們來看看IIS的日志都記錄了些什么，打開Ex010318.log（Ex代表W3C擴展格式，后面的一串數(shù)字代表日志的記錄日期）：07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面這行日志表示在格林威治時間07:42:58（就是北京時間23:42:58），有一個家伙（入侵者）從127.0.0.1的IP在你的機器上利用Unicode漏洞（%c1%1c被解碼為"\"，實際的情況會因為Windows語言版本的不同而有略微的差別）運行了cmd.exe，參數(shù)是/c dir，運行結(jié)果成功（HTTP 200代表正確返回）。(哇，記錄得可真夠全的，以后不敢隨便亂玩Unicode了)

　　大多數(shù)情況下，IIS的日志會忠實地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊，這個我們以后再討論），所以，一個優(yōu)秀的系統(tǒng)管理員應(yīng)該擅長利用這點來發(fā)現(xiàn)入侵的企圖，從而保護自己的系統(tǒng)。但是，IIS的日志動輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日志分析軟件，用任何語言編寫一個日志分析軟件（其實就是文本過濾器）都非常簡單，不過考慮到一些實際情況（比如管理員不會寫程序，或者服務(wù)器上一時找不到日志分析軟件），我可以告訴大家一個簡單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的CMD命令：find "Global.asa" ex010318.log /i這個命令使用的是NT自帶的find.exe工具（所以不怕緊急情況找不著），可以輕松的從文本文件中找到你想過濾的字符串，"Global.asa"是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔，所以關(guān)于這個命令的其他參數(shù)以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。

　　無論是基于日志分析軟件或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞（比如"+.htr"）以及未來將要出現(xiàn)的漏洞可能會調(diào)用的資源（比如Global.asa或者cmd.exe），通過過濾這張不斷更新的字符串表，一定可以盡早了解入侵者的行動。

　　需要提醒的是，使用任何日志分析軟件都會占用一定的系統(tǒng)資源，因此，對于IIS日志分析這樣低優(yōu)先級的任務(wù)，放在夜里空閑時自動執(zhí)行會比較合適，如果再寫一段腳本把過濾后的可疑文本發(fā)送給系統(tǒng)管理員，那就更加完美了。同時，如果敏感字符串表較大，過濾策略復(fù)雜，我建議還是用C寫一個專用程序會比較合算。

2、基于安全日志的檢測

　　通過基于IIS日志的入侵監(jiān)測，我們能提前知道窺伺者的行蹤（如果你處理失當，窺伺者隨時會變成入侵者），但是IIS日志不是萬能的，它在某種情況下甚至不能記錄來自80端口的入侵，根據(jù)我對IIS日志系統(tǒng)的分析，IIS只有在一個請求完成后才會寫入日志，換言之，如果一個請求中途失敗，日志文件中是不會有它的蹤影的（這里的中途失敗并不是指發(fā)生HTTP400錯誤這樣的情況，而是從TCP層上沒有完成HTTP請求，例如在POST大量數(shù)據(jù)時異常中斷），對于入侵者來說，就有可能繞過日志系統(tǒng)完成大量的活動。

　　而且，對于非80 Only的主機，入侵者也可以從其它的服務(wù)進入服務(wù)器，因此，建立一套完整的安全監(jiān)測系統(tǒng)是非常必要的。

　　Win2000自帶了相當強大的安全日志系統(tǒng)，從用戶登錄到特權(quán)的使用都有非常詳細的記錄，可惜的是，默認安裝下安全審核是關(guān)閉的，以至于一些主機被黑后根本沒法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核，一般來說，登錄事件與賬戶管理是我們最關(guān)心的事件，同時打開成功和失敗審核非常必要，其他的審核也要打開失敗審核，這樣可以使得入侵者步步維艱，一不小心就會露出馬腳。僅僅打開安全審核并沒有完全解決問題，如果沒有很好的配置安全日志的大小及覆蓋方式，一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現(xiàn)。

　　設(shè)置了安全日志卻不去檢查跟沒有設(shè)置安全日志幾乎一樣糟糕（唯一的優(yōu)點是被黑了以后可以追查入侵者），所以，制定一個安全日志的檢查機制也是非常重要的，作為安全日志，推薦的檢查時間是每天上午，這是因為，入侵者喜歡夜間行動（速度快呀，要不你入侵到一半的時候連不上了，那可是哭都哭不出來）上午上班第一件事正好看看日志有沒有異常，然后就可以放心去做其他的事了。如果你喜歡，也可以編寫腳本每天把安全日志作為郵件發(fā)送給你（別太相信這個了，要是哪個高手上去改了你的腳本，每天發(fā)送"平安無事"……）

　　除了安全日志，系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權(quán)限，那么他一定會去清除痕跡的），在系統(tǒng)和應(yīng)用程序日志中也會留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。

3、文件訪問日志與關(guān)鍵文件保護

　　除了系統(tǒng)默認的安全審核外，對于關(guān)鍵的文件，我們還要加設(shè)文件訪問日志，記錄對他們的訪問。

　　文件訪問有很多的選項：訪問、修改、執(zhí)行、新建、屬性更改......一般來說，關(guān)注訪問和修改就能起到很大的監(jiān)視作用。

　　例如，如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建，甚至部分重要文件的訪問（例如cmd.exe,net.exe，system32目錄），那么，入侵者就很難安放后門而不引起我們的注意，要注意的是，監(jiān)視的關(guān)鍵文件和項目不能太多，否則不僅增加系統(tǒng)負擔，還會擾亂日常的日志監(jiān)測工作
（哪個系統(tǒng)管理員有耐心每天看四、五千條垃圾日志？）

　　關(guān)鍵文件不僅僅指的是系統(tǒng)文件，還包括有可能對系統(tǒng)管理員/其他用戶構(gòu)成危害的任何文件，例如系統(tǒng)管理員的配置、桌面文件等等，這些都是有可能用來竊取系統(tǒng)管理員資料/密碼的。

4、進程監(jiān)控

　　進程監(jiān)控技術(shù)是追蹤木馬后門的另一個有力武器，90%以上的木馬和后門是以進程的形式存在的（也有以其他形式存在的木馬，參見《揭開木馬的神秘面紗三》），作為系統(tǒng)管理員，了解服務(wù)器上運行的每個進程是職責之一（否則不要說安全，連系統(tǒng)優(yōu)化都沒有辦法做），做一份每臺服務(wù)器運行進程的列表非常必要，能幫助管理員一眼就發(fā)現(xiàn)入侵進程，異常的用戶進程或者異常的資源占用都有可能是非法進程。除了進程外，DLL也是危險的東西，例如把原本是exe類型的木馬改寫為dll后，使用rundll32運行就比較具有迷惑性。
5、注冊表校驗

　　一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。一般來說，如果一個入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個鍵值（比如Run、Runonce等等），查找起來是相對容易的，但是對于可以自己編寫/改寫木馬的人來說，注冊表的任何地方都可以藏身，靠手工查找就沒有可能了。（注冊表藏身千變?nèi)f化，例如需要特別提出來的FakeGina技術(shù)，這種利用WINNT外嵌登錄DLL（Ginadll）來獲得用戶密碼的方法最近比較流行，一旦中招，登錄用戶的密碼就會被記錄無遺，具體的預(yù)防方法我這里就不介紹了。）應(yīng)對的方法是監(jiān)控注冊表的任何改動，這樣改寫注冊表的木馬就沒有辦法遁形了。監(jiān)控注冊表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能，一個監(jiān)控軟件加上定期對注冊表進行備份，萬一注冊表被非授權(quán)修改，系統(tǒng)管理員也能在最短的時間內(nèi)恢復(fù)。

6、端口監(jiān)控

　　雖然說不使用端口的木馬已經(jīng)出現(xiàn)，但是大部分的后門和木馬還是使用TCP連接的，監(jiān)控端口的狀況對于由于種種原因不能封鎖端口的主機來說就是非常重要的了，我們這里不談使用NDIS網(wǎng)卡高級編程的IDS系統(tǒng)，對于系統(tǒng)管理員來說，了解自己服務(wù)器上開放的端口甚至比對進程的監(jiān)控更加重要，常常使用netstat查看服務(wù)器的端口狀況是一個良好的習慣，但是并不能24小時這樣做，而且NT的安全日志有一個壞習慣，喜歡記錄機器名而不是IP（不知道比爾蓋子怎么想的），如果你既沒有防火墻又沒有入侵檢測軟件，倒是可以用腳本來進行IP日志記錄的，看著這個命令：

netstat -n -p tcp 10>>Netstat.log,這個命令每10秒鐘自動查看一次TCP的連接狀況，基于這個命令我們做一個Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log

　　這個腳本將會自動記錄時間和TCP連接狀態(tài)，需要注意的是：如果網(wǎng)站訪問量比較大，這樣的操作是需要消耗一定的CPU時間的，而且日志文件將越來越大，所以請慎之又慎。（要是做個腳本就完美無缺，誰去買防火墻？:）

　　一旦發(fā)現(xiàn)異常的端口，可以使用特殊的程序來關(guān)聯(lián)端口、可執(zhí)行文件和進程(如inzider就有這樣的功能，它可以發(fā)現(xiàn)服務(wù)器監(jiān)聽的端口并找出與該端口關(guān)聯(lián)的文件，inzider可以從http://www.nttoolbox.com下載到)，這樣無論是使用TCP還是UDP的木馬都無處藏身。

7、終端服務(wù)的日志監(jiān)控

　　單獨將終端服務(wù)（Terminal Service）的日志監(jiān)控分列出來是有原因的，微軟Win2000服務(wù)器版中自帶的終端服務(wù)Terminal Service是一個基于遠程桌面協(xié)議（RDP）的工具，它的速度非?？?，也很穩(wěn)定，可以成為一個很好的遠程管理軟件，但是因為這個軟件功能強大而且只受到密碼的保護，所以也非常的危險，一旦入侵者擁有了管理員密碼，就能夠象本機一樣操作遠程服務(wù)器（不需要高深的NT命令行技巧，不需要編寫特殊的腳本和程序，只要會用鼠標就能進行一切系統(tǒng)管理操作，實在是太方便、也實在是太可怕了）。雖然很多人都在使用終端服務(wù)來進行遠程管理，但是，并不是人人都知道如何對終端服務(wù)進行審核，大多數(shù)的終端服務(wù)器上并沒有打開終端登錄的日志，其實打開日志審核是很容易的，在管理工具中打開遠程控制服務(wù)配置（Terminal Service Configration），點擊"連接"，右擊你想配置的RDP服務(wù)（比如 RDP-TCP(Microsoft RDP 5.0)，選中書簽"權(quán)限"，點擊左下角的"高級"，看見上面那個"審核"了么？我們來加入一個Everyone組，這代表所有的用戶，然后審核他的"連接"、"斷開"、"注銷"的成功和"登錄"的成功和失敗就足夠了，審核太多了反而不好，這個審核是記錄在安全日志中的，可以從"管理工具"->"日志查看器"中查看?，F(xiàn)在什么人什么時候登錄我都一清二楚了，可是美中不足的是：這個破爛玩藝居然不記錄客戶端的IP（只能查看在線用戶的IP），而是華而不實的記錄什么機器名，倒！要是別人起個PIG的機器名你只好受他的嘲弄了，不知道微軟是怎么想的，看來還是不能完全依賴微軟呀，我們自己來吧？寫個程序，一切搞定，你會C么？不會？VB呢？也不會？Delphi？……什么？你什么編程語言都不會？我倒，畢竟系統(tǒng)管理員不是程序員呀，別急別急，我給你想辦法，我們來建立一個bat文件，叫做TSLog.bat，這個文件用來記錄登錄者的IP，內(nèi)容如下：

time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
start Explorer
我來解釋一下這個文件的含義：

第一行是記錄用戶登錄的時間，time /t的意思是直接返回系統(tǒng)時間（如果不加/t，系統(tǒng)會等待你輸入新的時間），然后我們用追加符號">>"把這個時間記入TSLog.log作為日志的時間字段；

第二行是記錄用戶的IP地址，netstat是用來顯示當前網(wǎng)絡(luò)連接狀況的命令，-n表示顯示IP和端口而不是域名、協(xié)議，-ptcp是只顯示tcp協(xié)議，然后我們用管道符號"|"把這個命令的結(jié)果輸出給find命令，從輸出結(jié)果中查找包含":3389"的行（這就是我們要的客戶的IP所在的行，如果你更改了終端服務(wù)的端口，這個數(shù)值也要作相應(yīng)的更改），最后我們同樣把這個結(jié)果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，記錄格式如下：

22:40
TCP　　192.168.12.28:3389　　192.168.10.123:4903　　　ESTABLISHED
22:54
TCP　　192.168.12.28:3389　　 192.168.12.29:1039　　　ESTABLISHED

也就是說只要這個TSLog.bat文件一運行，所有連在3389端口上的IP都會被記錄，那么如何讓這個批處理文件自動運行呢？我們知道，終端服務(wù)允許我們?yōu)橛脩糇远x起始的程序，在終端服務(wù)配置中，我們覆蓋用戶的登錄腳本設(shè)置并指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄后都必須執(zhí)行這個腳本，因為默認的腳本（相當于shell環(huán)境）是Explorer（資源管理器），所以我在TSLog.bat的最后一行加上了啟動Explorer的命令startExplorer，如果不加這一行命令，用戶是沒有辦法進入桌面的！當然，如果你只需要給用戶特定的Shell：

例如cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法，作為系統(tǒng)管理員，你完全可以自由發(fā)揮你的想象力、自由利用自己的資源，例如寫一個腳本把每個登錄用戶的IP發(fā)送到自己的信箱對于重要的服務(wù)器也是一個很好的方法。正常情況下一般的用戶沒有查看終端服務(wù)設(shè)置的權(quán)限，所以他不會知道你對登錄進行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了，不過需要注意的是這只是一個簡單的終端服務(wù)日志策略，并沒有太多的安全保障措施和權(quán)限機制，如果服務(wù)器有更高的安全要求，那還是需要通過編程或購買入侵監(jiān)測軟件來完成的。

8、陷阱技術(shù)

　　早期的陷阱技術(shù)只是一個偽裝的端口服務(wù)用來監(jiān)測掃描，隨著矛和盾的不斷升級，現(xiàn)在的陷阱服務(wù)或者陷阱主機已經(jīng)越來越完善，越來越象真正的服務(wù)，不僅能截獲半開式掃描，還能偽裝服務(wù)的回應(yīng)并記錄入侵者的行為，從而幫助判斷入侵者的身份。

　　我本人對于陷阱技術(shù)并不是非常感興趣，一來從技術(shù)人員角度來說，低調(diào)行事更符合安全的原則；二來陷阱主機反而成為入侵者跳板的情況并不僅僅出現(xiàn)在小說中，在現(xiàn)實生活中也屢見不鮮，如果架設(shè)了陷阱反而被用來入侵，那真是偷雞不成了。

　　記得CoolFire說過一句話，可以用來作為對陷阱技術(shù)介紹的一個結(jié)束：在不了解情況時，不要隨便進入別人的系統(tǒng)，因為你永遠不能事先知道系統(tǒng)管理員是真的白癡或者偽裝成白癡的天才......

　　入侵監(jiān)測的初步介紹就到這里，在實際運用中，系統(tǒng)管理員對基礎(chǔ)知識掌握的情況直接關(guān)系到他的安全敏感度，只有身經(jīng)百戰(zhàn)而又知識豐富、仔細小心的系統(tǒng)管理員才能從一點點的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子，未雨綢繆，扼殺入侵的行動