win2003服务器维护光盘GHOST系统封装制作过程.doc

win2003服务器维护光盘GHOST系统封装制作过程一：下载微软原装母盘进行系统安装我用的是MSDN版 win2003 r2 with sp2 简体中文企业版这个是2个ISO，先装系统盘，用到序列号为：* Hidden Message *在装第2个盘里的r2组件此时用到的序列号为：* Hidden Message *color=Red注意声卡驱动要安装好，否则封装后的系统都不在任务栏显示音量。/color二：进行系统更新和打补丁（windows update）打好所有的补丁，建议恶意删除软件不用装，还有NET2.0和NET3.0也不要装，因为没有装IIS前装是白费劲！windows update打补丁时要重新启动多次，检查多次进行更新打补丁，直到所有补丁打全！三：安装必要的软件建议过GHOST的不要装太多的软件，纯净为好，我只装了个WINRAR解压软件，其它的都没有装！四：进行必要的系统优化和安全设置改远程桌面端口：Windows 2003系统中的远程终端服务是一项功能非常强大的服务，同时也成了入侵者长驻主机的通道，入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面，我们来看看如何通过修改默认端口，防范黑客入侵。 众所周知，远程终端服务基于端口3389。入侵者一般先扫描主机开放端口，一旦发现其开放了3389端口，就会进行下一步的入侵，所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。 步骤：1、打开“开始运行”，输入“regedit”，打开注册表，进入以下路径：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如5188。 2、再打开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTenninal ServerWinStationsRDPTcp，将PortNumber的值（默认是3389）修改成端口5188。 3、修改完毕，重新启动电脑，以后远程登录的时候使用端口5188就可以了。在WIN2003中关闭事件跟踪程序：最近经常遇到一些独享服务器用户反应自己的服务器联系万网工程师重起后，重新登陆时遇到的界面不知道该如何操作问题。当您看到此界面时，只需要在“注释”下面的空白处随意输入字符即可激活“确定”按钮，点击“确定”后可以进入系统。这个界面是win2003新特性，在我们为您手工重起服务器时，系统会判定此问题属于意外关机，在您重新登陆后会出现这个让您填写原因的界面。此功能的目的是记录每次意外关机的原因，但是并不是对所有客户都有用途，如果您不需要此功能可以参考下面方法取消此功能。1.单击“运行”。2. 键入 gpedit.msc，然后单击“确定”。3. 依次展开“计算机配置”、“管理模板”和“系统”。4. 双击“显示关闭事件跟踪程序”。5. 单击“已禁用”，然后单击“确定”。关闭驱动搜索： 运行“gpedit.msc打开组策略 “计算机配置管理模板系统” 启用“关闭 Windows Update 设备驱动程序搜索” “管理模板/系统/Internet 通信管理/Internet 通信设置” 启用“关闭 Windows Update 设备驱动程序搜索” “用户配置管理模板系统” 启用“配置驱动程序搜索位置” （不搜索软盘，光驱，Windows Update） “用户配置管理模板系统” 忽略“设备驱动程序的代码签名” 检查系统属性中的驱动签名是否为忽略，update是否为从不搜索。关闭系统休眠：桌面右键选择“属性”“屏幕保护”（将屏幕保护程序选择无）“电源”“休眠”将“启用休眠”前的勾去掉。关闭远程连接：右键“我的电脑”选择“属性”“远程”关闭自动更新：右键“我的电脑”选择“属性”“更新”加快启动时间：右键“我的电脑”选择“属性”“高级”-“启动和故障恢复”里“设置”-显示的时间修改为3秒。并将下面的“发送管理警报”和“自动重新启动”前的勾去掉。运行一次windows meida player，避免以后出现向导转移虚拟内存页面文件： 右键“我的电脑”选择“属性”“高级”“性能”里面的“设置”“高级”“高级”选中当前系统分区，再选“自定义大小”，将“初始化大小”和“最大值”设为“0”，点击“设置”，然后选择需存放页面文件的分区（如D：等）然后将“初始化大小”和“最大值”设为“原先C：的参数”，点击 “设置”，再点击“确定”退出。解决w3wp.exe占用CPU和内存问题:1、在任务管理器中增加显示pid字段。就可以看到占用内存或者cpu最高的进程pid2、在命令提示符下运行iisapp -a。注意，第一次运行，会提示没有js支持，点击确定。然后再次运行就可以了。这样就可以看到pid对应的应用程序池3、到iis中察看该应用程序池对应的网站，就ok了。关闭光盘U盘自动播放：1.策略组关闭法 在前段时间熊猫烧香流行的时候，网上就流传着使用策略组关闭移动硬盘或者U盘自动关闭功能的方法。具体如：单击“开始-运行”，在“打开”框中，键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口。在左窗格的“本地计算机策略”下，展开“计算机配置-管理模板-系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”。单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”按钮，最后关闭组策略窗口。 2、关闭服务法 在“我的电脑”点击鼠标右键，选择“管理”，在打开的“计算机管理”中找到“服务和应用程序-服务”，然后在右窗格找到“Shell Hardware Detection”服务，这个服务的功能就是为自动播放硬件事件提供通知，双击它，在“状态”中点击“停止”按钮，然后将“启动类型”修改为“已禁用”或者“手动”就可以了。关闭“被替换成无法识别的版本”的提示2种方法： 1Windows文件保护并非时时刻刻都对那些受保护的文件进行扫描，如果你使用的是公用计算机，那么还是安全为好，在“开始运行”对话框中键入“gpedit.msc”，打开“本地计算机策略计算机配置管理模板系统”窗口，找到“Windows文件保护”组，在右侧窗格中双击“设置Windows文件保护扫描”项 你可以去选择启动还是关闭 2可以在“运行”中输入“regedit”，打开“注册表编辑器”，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon右侧窗格中的SFCDisable值，其默认设置是0，即重新启动后不扫描受保护的文件关闭computer browser服务：“开始”-“管理工具”-“服务”找到“computer browser”双击它，在“状态”中点击“停止”按钮，然后将“启动类型”修改为“已禁用”本地安全策略的设置：“开始”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项”找到“交互式登录：不显示上次的用户名”双击改为“已启用”找到“交互式登录：不需要按CTRL+ALT+DEL”双击改为“已启用”找到“交互式登录：可被缓存的前次登陆次数”双击修改为“0”找到“帐户：重新命名系统管理员帐户”双击修改为你想要的，我们这里修改为“admin”不缓存缩略图图标：打开“我的电脑”-“工具”-“文件夹选项”-“查看”勾上“不缓存缩略图”，去掉“自动搜索网络文件夹和打印机”前的勾。用鼠标点任务栏中显示的时间(桌面右下方),点Internet时间,把自动与Internet时间保持同步前面的勾去掉打开组件服务，查看方式为详细信息，找到DCOM 配置里的netman，选中按鼠标右建选属性。在netman属性里的安全 - “启动和激活权限” - 自定义编辑，在启动权限里加入NETWORK SERVICE用户，允许本地启动和本地激活删除多余的启动项：hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun我是用优化大师绿色版，在非C盘运行讲日文输入法、繁体输入法、韩文输入法启动项删除的！修改注册表永久删除共享： 在运行对话框中输入“regedit”并回车，打开注册表编辑器，在左侧面板中定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer Parameters”,在该位置下新建一个名为“AutoShareWks”的DWORD值，并将其数值设置为“0”重启系统后所有的默认共享都将被自动删除，并且不会继续创建。删除微软拼音输入法的方法：把HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionMSSCIPY这一主键删除，完成限制不必要的用户：去掉所有的Duplicate User用户、测试用户、共享用户等等。禁用Guest账号。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。在“计算机管理”-“本地用户和组”里进行修改。把系统Administrator账号改名：在“本地安全策略”里进行修改，“本地策略”-“安全选项”开启用户策略：在“本地安全策略”里进行修改，“账户策略”-“账户锁定策略”使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 （该项为可选）本地策略用户权限分配关闭系统：只有Administrators组、其它全部删除。 通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除本地策略安全选项 网络访问：不允许SAM帐户和共享的匿名枚举 启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除禁用不必要的服务开始-运行-services.mscAlerterApplication Layer Gateway ServiceBackground Intelligent Transfer ServiceHelp and Support NetMeeting Remote Desktop SharingTCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络Server支持此计算机通过网络的文件、打印、和命名管道共享Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 (color=Red使用户能在此计算机上配置和计划自动任务/color可以不关闭)Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件，不需要可禁用 Distributed linktracking client：用于局域网更新连接信息，不需要可禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要可禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 Workstation 关闭的话远程NET命令列不出用户组以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。修改注册表，让系统更强壮1、隐藏重要文件/目录可以修改注册表实现完全隐藏HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为02、防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为SynAttackProtect，值为2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 03. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0 4. 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0 5. 不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为IGMPLevel 值为06、禁止IPC空连接：cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。7 禁止建立空连接 默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接： Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。卸载最不安全的组件：最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，( 以下均以 WIN2000 为例，如果使用2003，则系统文件夹应该是 C:WINDOWS )rregsvr32/u C:WINNTSystem32wshom.ocxdel C:WINNTSystem32wshom.ocxregsvr32/u C:WINNTsystem32shell32.dlldel C:WINNTsystem32shell32.dll然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它!禁止Guest用户使用scrrun.dll来防止调用FileSystemObject组件？使用这个命令：cacls C:WINNTsystem32scrrun.dll /e /d guests2003使用命令：cacls C:WINDOWSsystem32scrrun.dll /e /d guests禁止Guest用户使用shell32.dll来防止调用Shell.Application组件。2000使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests2003使用命令：cacls C:WINDOWSsystem32shell32.dll /e /d guests禁用Guests组用户调用cmd.exe2000使用命令：cacls C:WINNTsystem32Cmd.exe /e /d guests2003使用命令：cacls C:WINDOWSsystem32Cmd.exe /e /d guests命令行下进入当前目录的技巧使用Windows 系统自带的“命令提示符”有两个不便，一是每次进入的都是同一个目录，还需要用CD 命令进行切换，如果遇到很长的目录名，输入起来非常麻烦。另外，如果目录名包含中文，输入起来就是一件比较痛苦的事情了。如果能在运行“命令提示符”的同时进入指定目录,岂不是省事了许多？下面的这个方法就可以。步骤如下:1.双击桌面上的“我的电脑”图标，点击“工具文件夹选项”。2.在弹出的对话框中，点击“文件类型”选项卡。拖动“已注册的文件类型”列表边的滚动条，选中文件类型为“资料夹”的条目，点击窗口下面的“高级”按钮。3.在弹出的“编辑文件类型”窗口中，点击“新建”。在“新窗口”窗口中的“操作”栏输入“我的命令行”，点击“用于执行操作的应用程序”栏旁边的“浏览”按钮，在系统目录下面的System32文件夹中找到CMD.EXE，双击选中，然后在“用于执行操作的应用程序”栏中的命令行后面加上参数 /k cd %L 老杨 发表于 2008-6-26 03:06 清理磁盘、删除系统垃圾和IE临时文件清理IE临时文件：右键桌面IE图标选“属性”-点浏览历史记录里“删除”删除C:Documents and SettingsadministratorLocal Settingstemp下的所有文件删除C:Program FilesInstallShield Installation Information*.*删除C:Documents and SettingsadministratorLocal SettingsApplication Data下的图标缓存IconCache.db，约5-10M 删除C:Program FilesWindowsUpdate*.*删除c:windowstemp*.*删除c:windows所有以$ntuninstall*$为命名格式的隐藏目录删除c:windows所有以KB8打头和以Q打头的.log文件删除C:WINDOWSSoftwareDistributionDownload*.*删除C:WINDOWSInstaller*.* 老杨 发表于 2008-6-26 03:24 对C盘进行碎片整理和重新启动电脑右键C盘选“属性”-“工具”-“开始整理”整理后重新启动电脑，在重新启动电脑后，讲事件查看器理的事件都删除掉！ 老杨 发表于 2008-6-26 03:25 封装准备（此步骤可以省去）提取检测电源需要的相关文件 WIN2000在SP4.CABWINDOWS XP SP2在SP2.CABWINDOWS 2003在SP1.CAB中 halacpi.dll halapic.dll halmps.dll halaacpi.dll halmacpi.dll hal.dll并更名为halstnd.dll ntkrnlmp.exe ntkrnlpa.exe ntkrpamp.exe ntoskrnl.exe 并更名为ntkrnlup.exe 将上述文件拷贝到系统SYSTEM32目录 添加inf文件 将以下代码保存为dtecthal.inf并拷贝到WINDOWSINF，2000为WINNTINF Version signature=$Windows NT$ DriverVer=07/01/2001 hal MPS_MP = halmps.dll MPS_UP = halapic.dll E_ISA_UP = halstnd.dll ACPIPIC_UP = halacpi.dll ACPIAPIC_UP = halaacpi.dll ACPIAPIC_MP = halmacpi.dll ACPIOptions ACPIEnable = 2 ACPIBiosDate = 01,01,1999修改boot.ini，加上 /DETECTHAL参数，使系统启动时检测电源 注意将原boot.ini备份，并在部署后还原 老杨 发表于 2008-6-26 03:43 更改 计算机的Advanced Configuration Power Interface(ACPI)属性为Standard PC， 点 Advanced Configuration Power Interface(ACPI)右键，点更新驱动程序，弹出更新向导-，点从列表或指定位置安装（高级）-点，不要搜索，我要自己选择要安装的程序，并更改成color=RedStandard PC/color，点确定之后，电脑也会提示你重新启动，按否，不启动！更改的原因是：若新机中如果是不同类型的ACPI，则你新克隆的机上就 无法实现电脑软关机，并且可能会在第一次启动后崩溃 ！ 所以，在GHOST到新机上后，将Standard PC重新改回你相应的电源管理模式就行了，这也是目前网上流传的XP万能GHSOT都会提醒你做这一步操作的说明”。 一般比较老的电脑只有Standard PC选项，而现在大多数的电脑都是Advanced Configuration Power Interface(ACPI)，特别注意的是2003年以后新出的电脑的电源管理一般为acpi uniprocessor pc！ 有些人在改电源管理后电脑无法启动，其原因就在这里，电源管理要按本机的电脑类型更改。更改 IDE ATA/ATAPI控制器 ， 这一步就是XP系统万能GHOST的主要步骤所在！这步不做，则GHOST到别的机器里根本无法启动，电脑会不断重启！ 因此为了适应现在各种不同的主板，（如Inter 主板，VIA主板，SIS主板）则必须将你本机的IDE 控制器改成 标准的双通道 PCI IDE控制器点 ( 本机是Intel(r)82801AA Bus Master IDE Controller-各主板不同 )右键，点更新驱动程序，弹出更新向导-，点从列表或指定位置安装（高级）-点，不要搜索，我要自己选择要安装的程序，并更改成 color=Red标准的双通道 PCI IDE控制器/color 。卸载全部硬件：bcolor=Red切记 系统设置 选项里面的东西就不要去动了/color/bcolor=Redbsize=3硬件卸载过程中如果出现重新启动，切记不可选择是，否则重启之后硬件又会全部安装上/size/b/color1、卸载“网络适配器” 2、卸载“通用串行总线控制器” 3、卸载“声音、视频和游戏控制器” 4、卸载“软盘控制器” 5、卸载“键盘” 6.监视器7、卸载“端口” 8、卸载“磁盘驱动器” 9、卸载“处理器” 9、卸载“显卡”一般从下到上的顺序，依此卸载设备 老杨 发表于 2008-6-26 03:44 一：先启动PreTooler V2.11 进行系统封装启动PreTooler V2.11在“系统前运行程序”中选驱动自动判断的DrvS.exe后面的教程就懒得说了，可以参考本论坛的其它教程二；最后的检查及清理 清除windows下的lastgood （最后一次正确的配置） 清除windows下的Prefetch （程序缓存） Local SettingsApplication DataIconCache.db 看是不是又出来了，有就删除 windows及C盘，点左面的“隐藏此文件夹内容”，文件夹选项中恢复默认运行“磁盘碎片整理程序”对C盘进行碎片整理三：运行regedit，查找hal项，删除*_HAL注册表项。删除时，在要删除的项上点右键，然后选择“权限” ，为当前用户添加“完全控制”权限即可！color=Red如果用PreTooler V2.11进行封装，这一步就可以省略/color！【不懂看这里：删除HAL文件一项具体操作过程：1、点“开始” - “运行” - 输入“regedit”2、选中“HKEY_LOCAL_MACHINE”3、选择“编辑” - “查找” - “查看”选项选择上“项”就可以 - “全字匹配”钩去掉 - 选“查找”4、不断的查找，一直找到含有 “*_HAL”字样的地方，一般在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot”和“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum”中都有，大概有四个。5、项上点右键，然后选择“权限” ，为当前用户添加“完全控制”权限。6、删除有“*_HAL”字样的项，几个都删除才可以。】四、关闭系统，制作GHOSTghost -z9 老杨 发表于 2008-6-30 04:14 如果安装后在事件日志里出现如下错误时的解决方法：color=Red系统错误事件一/color:由于下列错误，HID Input Service 服务启动失败: 文件名、目录名或卷标语法不正确。color=Blue事件原因：是鼠标的驱动不支持系统造成的（这个错误和系统本身没有任何关系）/color下面是开启HID服务办法：开始运行regedit找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceshidserv下的ImagePath：原来的是SystemRootC:WINDOWSSystem32svchost.exe -k netsvcs。改成%SystemRoot%System32svchost.exe -k netsvcs重启HID Input Service服务即可color=Red事件二/color：系统错误事件:时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 ,0x1 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS 查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751)color=Blue事件的原因：Internet时间很本机没有同步，链接不上时间服务器，这个错误和系统没有任何关系/color解决:用鼠标点任务栏中显示的时间(桌面右下方)