如何更好地配置windows2003“大家看法”.doc

Windows2003服务器的安全配置教程一网上流传的很多关于windows server 2003系统的安全配置，但是仔细分析下发现很多都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端BT的2003服务器的安全配置，让更多的网管朋友高枕无忧。 我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重复了，现在我们着重主要阐述下关于安全方面的配置。 关于常规的如安全的安装系统，设置和管理帐户，关闭多余的服务，审核策略，修改终端管理端口， 以及配置MS-SQL，删除危险的存储过程，用最低权限的public帐户连接等等，都不说了 先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。 C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。 Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。 另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：只要给我一个webshell，我就能拿到system，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。 另外，还将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。Windows2003服务器的安全配置教程二把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。 在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用Internet连接防火墙，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。 这里我们按照所需要的服务开放响应的端口。在2003系统里，不推荐用TCP/IP筛选里的端口过滤功能，譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。 SERV-U FTP 服务器的设置： 一般来说，不推荐使用srev-u做ftp服务器，主要是漏洞出现的太频繁了，但是也正是因为其操作简单，功能强大，过于流行，关注的人也多，才被发掘出bug来，换做其他的ftp服务器软件也一样不见得安全到哪儿去。 当然，这里也有款功能跟serv-u同样强大，比较安全的ftp软件：Ability FTP Server 下载地址： 设置也很简单，不过我们这里还是要迎合大众胃口，说说关于serv-u的安全设置。 首先，6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的密码功能，其实在5.x版本里可以用ultraedit-32等编辑器修改serv-u程序体进行修改密码端口，6.0修补了这个隐患，单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的，两个月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit，正在网上火卖着，不过这种sniff的方法，同样是在获得webshell的条件后还得有个能在目录里有执行的权限，并且需要管理员再次登陆运行serv-u administrator的时候才能成功。所以我们的管理员要尽量避上以上几点因素，也是可以防护的。Windows2003服务器的安全配置教程三选中Block FTP_bounceattack and FXP。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个PORT命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。 另外在Block anti time-out schemes也可以选中。其次，在Advanced选项卡中，检查 Enable security是否被选中，如果没有，选择它们。 IIS的安全： 首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为 ，权限为guest的。 在IIS里的站点属性里目录安全性-身份验证和访问控制里设置匿名访问使用下列Windows 用户帐户的用户名密码都使用 这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限（后面有更BT的设置要介绍）。 在应用程序配置里，我们给必要的几种脚本执行权限：ASP.ASPX,PHP， ASP，ASPX默认都提供映射支持了的，对于PHP，需要新添加响应的映射脚本，然后在web服务扩展将ASP，ASPX都设置为允许，对于php以及CGI的支持，需要新建web服务扩展，在扩展名(X)：下输入 php ，再在要求的文件(E)：里添加地址 C:/php/sapi/php4isapi.dll ，并勾选设置状态为允许(S)。然后点击确定，这样IIS就支持PHP了。支持CGI同样也是如此。 要支持ASPX，需要给web根目录给上users用户的默认权限，才能使ASPX能执行。 另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。 在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。 IIS6.0由于运行机制的不同，出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置， 可以在每天凌晨的时候回收一下工作进程。 新建立一个站，采用默认向导，在设置中注意以下在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为：315safe的程序池。 名为315safe的应用程序池可以适当设置下内存回收：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。 在应用程序池里有个标识选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小些。在一个站点的某些目录个uploadfile目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在应用程序设置的执行权限这里，默认的是纯脚本，我们改成无，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对漏洞有扼制的作用。 在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入，如图： 但是我们现在为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节性的策略设置。 1 给web根目录的IIS用户只给读权限。如图： 然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现漏洞，入侵者也无法将asp木马写进目录里去，呵呵， 不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就OK了，但是Access的数据库的话，其数据库所在的目录，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木马，够可怕的。其实完全还是规矩点只用mdb后缀，这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律，如图： 这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。相对于Microsoft前一个服务器操作系统平台Windows 2000 Server Family，Windows 2003 Server Family提供了更为优良的系统性能，突出表现在服务器系统相对敏感的三个环节速度、稳定性和安全性。 相对于2000 Server，2003 Server对系统的硬件配置要求并没有大的提升，足够的物理内存是保证其稳定快速运行的前提，256M应该是个基本的要求。在相同的硬件配置下，2003 Server的开机速度更快，应用程序的执行速度也有不错的表现。2003 Server平台秉承了2000 Server良好的稳定性，同时将2000 Server在使用中暴露的大量安全漏洞进行了修正，系统采用了更为严格的安全机制和默认配置，进一步提高了系统的安全性。在界面方面与传统模式下的XP系统界面极为类似：一、禁用开机 CTRL+ALT+DEL“开始->运行”在弹出的窗口中输入gpedit.msc，点击确定即打开了组策略编辑器。在组策略编辑器的左框内依次序展开（点前面的“+”号）->计算机配置->Windows设置->安全设置->本地策略，这时在本地策略下面可见到有“安全选项”，点击“安全选项”在右侧的框内找到“交互式登录:不要按CTRL+ALT+DEL”右键点击“交互式登录:不要按CTRL+ALT+DEL”，在弹出的菜单中点“属性”，在属性选项卡中点击“已启用”前的圆圈以选取它。确认“已启用”前面的圆圈中在一黑色小点后，点击“确定”，然后关闭窗口。这样以后启动计算机时就不必按“CTRL+ALT+DEL”组合键登陆了。二、关闭Windows Server 2003的关机提示点桌面任务栏的“开始->运行”在弹出的窗口中输入gpedit.msc，点击确定即打开了组策略编辑器。在组策略编辑器的左框内依次序展开（点前面的“+”号）->计算机配置->管理模板，这时在“管理模板”下面可见到有“系统”（如果“管理模板”下面只有“网络”和“打印机”没有“系统”项目，请右键点击“管理模板”在弹出的菜单中点击“添加/删除模板”打开添加/删除模板窗口，再点击“添加”在弹出的对话框中选中“system.adm”后点“打开”，关闭添加/删除模板窗口，这时在“管理模板”下面可见到有“系统”），点击“系统”，在右侧的框内找到项目；右键点击“”，在弹出的菜单中点“属性”，在属性选项卡中点击“已禁用”前的圆圈以选取它。再点击确定，这样以后关闭计算机就不会再出现关机事件跟踪对话框。三、禁用限制可保留带宽开始菜单运行键入 gpedit.msc ，出现“组策略”窗口， 展开“计算机管理”-> 管理模板”“网络” ， 点击 QoS 数据包调度程序， 在右边窗右键单击“限制可保留带宽 ，在属性中的“设置”中有“限制可保留带宽 ，选择“已禁用”，确定即可。四、启用声音驱动安装完成后，在Windows 2003标准版中就可以正常使用声卡了，而在企业版中，系统还是不能发声。解决步骤是：进入“控制面板声音和音频控制设备”，勾选“音频服务”选项，点“确定”后重启计算机即可。再次打开“控制面板声音和音频控制设备”，这时你会发现这里多了很多选项。在“音量”选项卡中，把“将音量图标放入任务栏”前面的空格打上勾,然后点“应用”,任务栏就多了一个音量图标.接着点击“声音”选项卡中选择声音方案为“Windows 默认”,然后点“应用”即可.五、解决播放画面图象差及声卡不工作或者打游戏时声音严重滞后1、安装DirectX 9.0b在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前先在系统管现-服务中启用DirectX and Graphics Acceleration服务。 下载：DirectX 9.0a Websetup地址/downloa . p;displaylang=zh-cn2、硬件加速：右键点击桌面->属性 -> 设置>高级疑难解答。把该页面的硬件加速滚动条拉到“完全”，最好点击“确定”保存退出。这期间可能出现一瞬的黑屏是完全正常。3、DirectX加速：打开“开始”->“所有程序”->附件->系统工具->单击“系统信息”,在系统信息窗口中点击“工具”,在弹出的菜单中点击“DirectX 诊断工具”,即打开“DirectX 诊断工具”（DirectX Tools）窗口，在“显示”选项卡，分别点击“DirectDraw”、“ Direct3D ”和“ AGP Texture” 加速按钮，使三个按钮启用加速。4.启用声音后，在“DirectX诊断工具”窗口中，选择“声音”选项卡，在“加速级别”中将游标向右拖动到“完全加速”，即可。六、取消Internet Explorer增强的安全配置 新安装好Windows Server 2003操作系统后，打开浏览器来查询网上信息时，发现IE总是“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；要是不信任的话，就无法打开指定网页；倘若信任的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。不过每次访问网页，都要经过这样的步骤，显然就太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查： 1、依次点击“开始”->“设置”->“控制面板”，在打开的控制面板窗口中，用鼠标双击“添加或删除程序”图标，然后点击“添加和删除Windows组件”将界面切换到“添加和删除Windows组件”页面中； 2、用鼠标选中“Internet Explorer增强的安全配置”选项，将它前面方格内的勾去除，然后单击“下一步”按钮，就能将该选项从系统中删除了； 3、再单击一下“完成”按钮，退出组件删除提示窗口。 以后，再上网的时候，IE就不会自动去检查网站的安全性了，这样就能少了不少麻烦。 七、重命令系统管理员帐户在Windows sever 2003系统中，每次开机都要以管理员Administrator的身份才能登陆系统。这样的名称不利于各种登陆操作，那么在WINDOWS SEVER 2003系统中如何使用自定义的用户名登陆系统，方法如下1.开始运行键入 “gpedit.msc” ，然后点击“确实”打开“组策略”窗口。在“组策略”窗口的左框内依次序展开计算机配置->Windows设置->安全设置->本地策略->安全；点击“安全”选项后，在窗口的右框中找到“帐户重命名系统管理员帐户”，然后双击它，在出现的对话框中输入你用来取代Administrator的帐户名称，如Abc2.重新启动计算机，在第一次出现的登陆窗口中将Administrator清除改成你定义好的帐户名称Abc，使用你原来的Administrator的帐户密码，登陆系统，如果不使用新系统管理员帐号登陆会报错,因为Administrator的帐户已经没有了、。这样你以后登陆都显示这个用户名，其它的登陆方式也使用这个用户名。八、在Windows 2003系统调用Windows XP风格界面(会消耗一定的系统资源) 1、在系统的开始菜单中，依次展开“开始”->控制面板->管理工具->服务,在服务窗口中，在对应服务的右边子窗口中，用鼠标选中“Themes”选项；我们启动该服务；用鼠标双击该服务选项，然后打开常规标签页，将对应该服务的启动类型设置为“自动”，再点一下“应用”按钮；此时，“服务状态”设置项中的“启动”按钮就自动被激活了，单击该“启动”按钮，就能将系统中的Themes服务起用了；关闭窗口。 2、用鼠标右键单击桌面空白处，从快捷菜单中执行“属性”命令，再打开“外观”标签页面，在其中的“窗口和按钮”处，选中Windows XP样式。3. 右键点击“我的电脑”->“属性”->高级->性能->视觉效果->调整为最佳外观。至此，系统中的工具栏菜单、窗口等样式就会按照指定的风格来显示了。九、开启server 2003自动登录功能 每次开机运行Windows Server 2003系统时，都需要同时按住Ctrl+Alt+Delete复合键，再输入登录密码，才能进入到系统中；要是需要频繁登录系统的话，大家可能就会受不了这样罗嗦的步骤了。此时，大家不妨按照下面的步骤，来让系统自动完成登录操作： 1、在运行对话框中，输入注册表编辑命令regedit，来打开注册表编辑窗口； 2、在该窗口中，依次展开HKEY_LOCAL_MACHINESSOFTWAREMicrosoftWindowsNTCurrent VersionWinLogon键值； 3、在对应右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“AutoAdminLogon”，并将该键名的数值设置为“1”； 4、找到“DefaultDomainName”键名，并用鼠标双击之，在随后出现的窗口中，输入要登录的域名，例如Department； 5、双击“DefaultUserName”键名，在随后打开的窗口中，直接输入要登录到此域的用户名，例如“test”； 6、在WinLogon右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“DefaultPassword”，并将该键名的数值设置为用户登录系统的密码，例如用户test的登录密码为“123456”； 7、完成设置后，重新启动计算机时，我们会发现不需要再登录，就能自动进入到Windows Server 2003系统中了。以后要取消自动登录功能的话，可以将“AutoAdminLogon”键值设置为“0”就可以了。掌握了Windows2003的的基本设置以后，现在的系统已经类似于Professional，更加适合个人使用了。如果你是高级应用者或系统管理员，可以看看下面有关磁盘和内存等高级设置的方法及经验。十、跳过磁盘检修等待时间(个人认为不用改) 一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会自动运行磁盘扫描程序，检查磁盘是否有错误出现。要是你不想等待下去的。可以跳过这段检查等待时间： 1、在开始菜单中，依次执行“程序”->“附件”->“命令提示符”命令，将界面切换到DOS命令行状态下； 2、在DOS命令行状态下直接输入“CHKNTFS/T :0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了。下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。 十一、解决运行大型软件时系统反应缓慢右键点击“我的电脑”->属性->高级->性能->设置->高级，把“处理器计划”和内存使用分配给“程序”使用。然后点击“确定”十二、禁用错误报告右键点击“我的电脑”->属性->高级->点击“错误报告”按钮，在出现的窗口中把“禁用错误报告”选上并复选“但在发生严重错误时通知我”十三、调整虚拟内存正常运行Windows所需要的虚拟内存是作为物理内存的“后备力量”而存在的，虽然运行速度上硬盘不如内存，但在容量上内存是无法与硬盘相提并论的。所以我们一直是认为虚拟内存越大越好，其实事实上并不是这样的，尤其是安装Windows server 2003用做工作站的环境下并不承担高负荷工作的情况下，我们可以试试禁用虚拟内存。前提是你必须拥有512M物理内存以上。很多朋友担心如果禁用虚拟内存会不会象在Windows 9x环境下一样造成系统无法正常待机和休眠的情况，其实不会这样的，因为从windows xp开始它的虚拟内存（即pagefile.sys）是专用于数据交换的，待机模式时数据依旧保留在物理内存中，休眠模式也有其专用的休眠文件（Hiberfil.sys），所以绝对不会出现系统无法休眠的问题。而使用Windows server 2003的一些朋友经常会对其的关机和注销缓慢感到束手无策，在此我个人的解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。我做了测试，在加载虚拟内存的情况下注销用户重登陆windows的时间是3秒，关机是23秒。但是在禁用虚拟内存的情况下注销重登陆的时间减少到2秒，而关机时间缩短到3秒。 右键点击“我的电脑”->属性->高级->性能->设置->高级，点击“虚拟内存”部分的“更改”，然后在出现的窗口选择“无分页文件”。重启系统即可。 注意：调整虚拟内存部分经过个人测试无任何问题，但是不保证在您的机器上也是这样，所以我不对此设置造成的任何后果承担责任。只是建议对Windows server 2003关机速度有怨言的朋友尝试。十四、更改系统临时文件夹位置在非系统分区新建一个文件夹TEMP（如D:TEMP）准备准系统临时文件移动到该文件夹,右键点击“我的电脑”->属性->高级->环境变量和系统变量栏目中找到TEMP和TMP项,然后单击编辑,将原来的路径前面的%systemroot%改为D:TEMP即可,共四项.右键点击桌面上的Internet Explorer图标,选择属性,在“常规”选项卡中的“Internet 临时文件”栏目中点击“设置”按钮,在弹出的设置窗口中点击“移动文件夹”按钮,然后选择你想移动到的非系统分区的文件夹（如D:TEMP）点确定即可.用同样的方法亦可移动我的文档或一些应用程序的临时文件十五.更改系统虚以内存到其它非系统分区右键点击我的电脑->属性->高级->性能栏目中点击“设置”按钮->选择高级选项卡,在虚拟内存栏目中点击“更改”按钮->在驱动器列表框内可看到当前系统分配的虚拟内存的最小值和最大值数.在驱动器列表框内点击非系统分区（如D盘）,然后点击“自定义系统虚以内存大小”,在最小值和最大值处输入相同的数值.数值的大小约为内存大小的2倍即可.内存在512M以上时倍数应减小.十六、让系统自动关闭停止回应的程序点击“开始”，选择“运行”，然后输入“regedit”回车。即可打开注册表编辑器，打开 HKEY_CURRENT_USERControl PanelDesktop 键,将 AutoEndTasks 值设为 1。 ( 原设定值：0 )十七、允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务 1,假如你希望启用Windows内置的IMAPI CD-Burning服务。请打开“开始”-> “运行”，键入“Services.msc”回东，在出现的“服务窗口”中找到“IMAPI CD-Burning COM Service”并双击它，然后在启动模式的下拉菜单选择“自动”，并点击“应用”->“开始”-> “确定”2,假如你有数码相机和扫描仪之类的影像设备，你应该打开Windows Image Acquisition 服务。打开“开始”-> “运行”，键入“Services.msc ”，在出现的窗口中找到“Windows Image Acquisition (WIA)”并双击它，然后在“启动模式”的下拉菜单选择“自动”，并点击“应用”->“开始”-> “确定”3.正常运行Windows所需要的虚拟内存是作为物理内存的“后备力量”而存在的，虽然运行速度上硬盘不如内存，但在容量上内存是无法与硬盘相提并论的。所以我们一直是认为虚拟内存越大越好，其实事实上并不是这样的，尤其是安装Windows server 2003用做工作站的环境下并不承担高负荷工作的情况下，我们可以试试禁用虚拟内存。前提是你必须拥有512M物理内存以上。很多朋友担心如果禁用虚拟内存会不会象在Windows 9x环境下一样造成系统无法正常待机和休眠的情况，其实不会这样的，因为从windows xp开始它的虚拟内存（即pagefile.sys）是专用于数据交换的，待机模式时数据依旧保留在物理内存中，休眠模式也有其专用的休眠文件（Hiberfil.sys），所以绝对不会出现系统无法休眠的问题。而使用Windows server 2003的一些朋友经常会对其的关机和注销缓慢感到束手无策，在此我个人的解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。我做了测试，在加载虚拟内存的情况下注销用户重登陆windows的时间是3秒，关机是23秒。但是在禁用虚拟内存的情况下注销重登陆的时间减少到2秒，而关机时间缩短到3秒。 右键点击“我的电脑”->属性->高级->性能->设置->高级，点击“虚拟内存”部分的“更改”，然后在出现的窗口选择“无分页文件”。重启系统即可。 注意：调整虚拟内存部分经过个人测试无任何问题，但是不保证在您的机器上也是这样，所以我不对此设置造成的任何后果承担责任。只是建议对Windows server 2003关机速度有怨言的朋友尝试。十八、Windows2003中不常见的安全隐患的防堵方法 尽管Windows 2003的功能在不断增强，但是由于先天性的原因，它还存在不少安全隐患，要是不将这些隐患“堵住”，可能会给整个系统带来不必要的麻烦；下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法，希望能对各位带来帮助！1.堵住自动保存隐患Windows 2003操作系统在调用应用程序出错时，系统中的Dr. Watson会自动将一些重要的调试信息保存起来，以便日后维护系统时查看，不过这些信息很有可能被黑客“瞄上”，一旦瞄上的话，各种重要的调试信息就会暴露无疑，为了堵住Dr. Watson自动保存调试信息的隐患，我们可以按如下步骤来实现：打开开始菜单，选中“运行”命令，在随后打开的运行对话框中，输入注册表编辑命令“regedit”命令，打开一个注册表编辑窗口；在该窗口中，用鼠标依次展开HKEY_local_machinesoftwareMicrosoftWindowsNTCurrentVersionAeDebug分支，在对应AeDebug键值的右边子窗口中，用鼠标双击Auto值，在弹出的参数设置窗口中，将其数值重新设置为“0”；打开系统的Windows资源管理器窗口，并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹，最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。完成上面的设置后，重新启动一下系统，就可以堵住自动保存隐患了。2.堵住资源共享隐患 为了给局域网用户相互之间传输信息带来方便，Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能，不过我们在享受该功能带来便利的同时，共享功能也会“引狼入室”，“大度”地向黑客们敞开了不少漏洞，给服务器系统造成了很大的不安全性；所以，在用完文件或打印共享功能时，大家千万要随时将功能关闭哟，以便堵住资源共享隐患，下面就是关闭共享功能的具体步骤：执行控制面板菜单项下面的“网络连接”命令，在随后出现的窗口中，用鼠标右键单击一下“本地连接”图标；在打开的快捷菜单中，单击“属性”命令，这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框；在该界面中取消“Microsoft网络的文件和打印机共享”这个选项；如此一来，本地计算机就没有办法对外提供文件与打印共享服务了，这样黑客自然也就少了攻击系统的“通道”。 3.堵住远程访问隐患在Windows2003系统下，要进行远程网络访问连接时，该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码，通过普通明文内容方式传输给对应连接端的客户端程序；在明文帐号传输过程中，实现“安插”在网络通道上的各种嗅探工具，会自动进入“嗅探”状态，这个明文帐号就很容易被“俘虏”了；明文帐号内容一旦被黑客或其他攻击者另谋他用的话，呵呵，小心自己的系统被“疯狂”攻击吧！为了杜绝这种安全隐患，我们可以按下面的方法来为系统“加固”：点击系统桌面上的“开始”按钮，打开开始菜单；从中执行控制面板命令，从弹出的下拉菜单中，选中“系统”命令，打开一个系统属性设置界面；在该界面中，用鼠标单击“远程”标签；在随后出现的标签页面中，将“允许用户远程连接到这台计算机”选项取消掉，这样就可以将远程访问连接功能屏蔽掉，从而堵住远程访问隐患了。 4.堵住用户切换隐患 Windows 2003系统为我们提供了快速用户切换功能，利用该功能我们可以很轻松地登录到系统中；不过在享受这种轻松时，系统也存在安装隐患，例如我们要是执行系统“开始”菜单中的“注销”命令来，快速“切换用户”时，再用传统的方式来登录系统的话，系统很有可能会本次登录，错误地当作是对计算机系统的一次暴力“袭击”，这样Windows2003系统就可能将当前登录的帐号当作非法帐号，将它锁定起来，这显然不是我们所需要的；不过，我们可以按如下步骤来堵住用户切换时，产生的安全隐患：在Windows 2003系统桌面中，打开开始菜单下面的控制面板命令，找到下面的“管理工具”命令，再执行下级菜单中的“计算机管理”命令，找到“用户帐户”图标，并在随后出现的窗口中单击“更改用户登录或注销的方式”；在打开的设置窗口中，将“使用快速用户切换”选项取消掉就可以了。 5.堵住页面交换隐患Windows 2003操作系统即使在正常工作的情况下，也有可能会向黑客或者其他访问者泄漏重要的机密信息，特别是一些重要的帐号信息。也许我们永远不会想到要查看一下，那些可能会泄漏隐私信息的文件，不过黑客对它们倒是很关心的哟！Windows 2003操作系统中的页面交换文件中，其实就隐藏了不少重要隐私信息，这些信息都是在动态中产生的，要是不及时将它们清除，就很有可能成为黑客的入侵突破口；为此，我们必须按照下面的方法，来让Windows 2003操作系统在关闭系统时，自动将系统工作时产生的页面文件全部删除掉：在Windows 2003的“开始”菜单中，执行“运行”命令，打开运行对话框，并在其中输入“Regedit”命令，来打开注册表窗口；在该窗口的左边区域中，用鼠标依次单击HKEY_local_machinesystemcurrentcontrolsetcontrolsessionmanagermemory management键值，找到右边区域中的ClearPageFileAtShutdown键值，并用鼠标双击之，在随后打开的数值设置窗口中，将该DWORD值重新修改为“1”；完成设置后，退出注册表编辑窗口，并重新启动计算机系统，就能让上面的设置生效了。十九、自己定制系统对话框在Windows XP/2003中单击“开始运行”，在弹出的运行对话框中输入“gpedit.msc”，回车后打开“组策略”编辑器。在“组策略”编辑器窗口中，依次单击“用户配置管理模板Windows组件Windows资源管理器通用打开文件对话框”，此时在右边的窗口中可以看到一个“位置栏中显示的项目”选项，双击该选项，弹出属性对话框，在“设置”选项卡下，选择“已启用”项前面的单选按钮，可以看到“显示的位置”下的“项目1”、“项目2”等后面的文本框已经激活了，这5个项目分别代表“位置栏”中从上到下显示的项目列表。在这五个项目后面的文本框中输入自己经常访问的文件夹或者是盘符路径，就可以DIY公用对话框上的按钮了。注意：在这里输入的内容必须符合一定的规则，否则快速定位按钮将成为一个空链接，不能让你快速定位。输入的内容可以是：（1） 指向本地文件夹的快捷方式（如，C:Windows）；（2） 指向远程文件夹的快捷方式（如servershare，这对那些经常通过局域网共享文件的用户来说非常方便）；（3）公共外壳文件夹，如Common Documents，Common Music，Common Pictures，Desktop，My Computer，My Documents，My Favorites，My Music, My NetworkPlaces，My Pictures，Printers，Program Files，Recent。二十、启用 ASP 支持：Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。方法是： 控制面板 -> 管理工具 -> Web服务扩展 -> Active Server Pages -> 允许。二十一、如何使用USB硬盘、U盘，添加已经有分区的硬盘右键单击“我的电脑”->“管理”->“磁盘管理”，在相应的硬盘上执行分配盘符操作和导入。可立即生效,下次再接入时它会自动分配盘符.二十二.怎样自动登录到中文Windows 2000/2003中用户必须在登录界面中输入用户名和密码之后才能够登录到中文Windows 2000/2003中。其实,Win2000/2003也提供了在启动时自动以某组用户名和密码进行登录的功能，实现自动登录系统的操作方法如下：选择“开始”->“运行”，然后输入“regedit”，打开注册表编辑器。定位到“HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsNT CurrentVersionWinLogon”。 双击“DefaultDominName”，并在出现的“编辑字符串”窗口中的“数据数值”栏中输入要登录的域名， 如果该机器不在域中，则该值项的值为该计算机的名称.随后单击“确定”按钮。 双击“DefaultUserName”数值名称，并在出现的“编辑字符串”窗口中的“数据数值”栏中输入要登录到此域的用户名(例如“mnbvcxz”)，随后单击“确定”按钮。 在右边窗口中，单击鼠标右键，依次选择“新建”->“字串值”，将新建的字串值命名为“AutoAdminLogon”的数值名称。再使用鼠标左键双击刚添加的“AutoAdminLogon”数值名称，并在出现的“编辑字符串”窗口中的“数据数值”栏中将值设为1，随后单击“确定”按钮。 在右边窗口中，单击鼠标右键，依次选择“新建”->“字串值”命令项，将新建的字符值命名为“DefaultPassword”的数值名称。再使用鼠标左键双击“DefaultPassword”数值名称，并在出现的“编辑字符串”窗口中的“数据数值”栏中输入用户的登录密码，随后单击“确定”按钮。退出注册表编辑器窗口，重新启动计算机，此时系统自动以此用户名登录，而再也不需要手工输入用户名和密码了(如果在登录过程中一直按住Shift键，就会出现提示输入用户名和密码的对话框)。如果需要取消自动登录功能，只要使用鼠标选择方式将当前子键位置定位于此处，然后将AutoAdminLogon键值由1修改为0即可。 二十三.停止或完全关闭2003中的信使服务的方法1.停止2003自动启动信使服务的方法点击“开始”“运行”在“运行”窗口键入 gpedit.msc ，然后点“确实”按钮，打开“组策略”窗口。在“组策略”窗口中，依次展开->计算机配置->管理模板->Windows 组件->Windows Messengenger，用鼠标左键单击“Windows Messengenger”，这时在“组策略”窗口右侧框内，找到“初始化时不自动启动Windows Messengenger”并用鼠标右键单击它，在弹出的菜单中点“属性”，在属性窗口中选“启用”，然后单击“确定”并关闭窗口。这样，下次启动计算机时XP的信使服务将不会自动运行，但可手动启动。2.完全关闭2003中的信使服务的方法点击“开始”“运行”在“运行”窗口键入 gpedit.msc ，然后点“确实”按钮，打开“组策略”窗口。在“组策略”窗口中，依次展开->计算机配置->管理模板->Windows 组件->Windows Messengenger，用鼠标左键单击“Windows Messengenger”，这时在“组策略”窗口右侧框内，找到“不允许运行Windows Messengenger”并用鼠标右键单击它，在弹出的菜单中点“属性”，在属性窗口中选“启用”，然后单击“确定”并关闭窗口。下次启动计算机后，XP的信使服务将不可用。如果要启用该服务，只要改回去即可。注意在组策略窗口中，“计算机配置”中的设置，将覆盖“用户配置”二十四.跳过磁盘检修等待时间 一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会花10秒钟左右的时间，来运行磁盘扫描程序，检查磁盘是否有错误出现。要是你是一位惜时如金的人，肯定不会白白等待下去的。那就跟我一起来，跳过这段检查等待时间吧： 1、在开始菜单中，依次执行“程序”/“附件”/“命令提示符”命令，将界面切换到DOS命令行状态下； 2、直接输入“CHKNTFS/T :0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了； 3、下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。二十五.为指定组添加新用户 想在Windows Server 2003系统中添加新用户时，发现该系统控制面板窗口中却没有我们非常熟悉的“用户”图标，那么我们该从哪里着手，才能为系统的指定组添加新用户呢？呵呵，Windows Server 2003看来就是不一样！笔者经过几次摸索，发现为指定组添加新用户的方法，具体步骤如下： 1、用鼠标右键单击桌面上的“我的电脑”图标，从打开的快捷菜单中，执行“管理”命令，弹出一个计算机管理窗口； 2、展开该窗口中的“本地用户和组”文件夹，然后选中该文件夹下面的“用户”选项，此时在右边的子窗口中，我们就能看到当前系统中已经存在的所有用户了，其中标有红色叉号的用户表示已经创建但并没有启用； 3、用鼠标右键单击右边子窗口的空白处，从右键菜单中执行“添加新用户”命令，在随后出现的窗口中，输入需要添加的用户的相关信息，最后单击一下“创建”按钮，来结束新用户的添加工作； 4、要想让该用户添加到指定组的话，可以选择“组”选项，再从右边的子窗口中，选中需要加入的组名称，并用鼠标右击之，执行快捷菜单中的“添加到组”命令； 5、在随后出现的界面中，再单击“添加”命令，将前面创建的用户添加进来就可以了。二十六.建立一个新的用户账号 windows server 2003不支持类似于Windows XP的登录欢迎屏幕。你可以在首次进入系统后建立一个有你个性的新用户账号。打开“开始”（Start） ->“运行”（Run）-> 键入“lusrmgr.msc ”，你将看到本地用户和组（Local Users and Groups ）右键点击左