win2k的网络安全.doc

Windows系统尽管是在有些方面不尽人意,然而依旧是操作系统的主流,同时,在中小型网络中,使用WIN2K SERVER或WIN2K Advanced server 的依然很多. 在此开一贴,希望大家能在这一贴中把WIN2K的应用与安全设置做个了结( ),希望大家献策献宝,共同提高. 请大家把自己手中的资料,以及使用过程的经验奉献出来,以问答的形式整理出来.正如有位LUSER的签名一样网络,网聚人的力 量,HOHO希望在这儿能把大家网住,把WIN2K SERVER或ADVANCED SERVER的精华网住. 当然及时打好官方补丁是首要的.而打好之后,我们应做些什么呢 注册表的标准命名为你的电脑免疫 相信每个上网者都有过被恶意代码修改过注册表的经历吧,恢复好了以后你会采取措施来保护你的注册表不再被修改吗? 1.备份注册表文件 2.用软件免疫 3.禁用js 显然这些方法都不怎么理想,其实有一招简单的方法是可以永远免疫的,就是在注册表中删除 恶意代码会用到的一个id就可以了,那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B,只要把它删了, 那你以后碰到恶意代码,就再也不用担心注册表会再被修改了,它再注册表里面的路径 是HKEY_CLASSES_ROOTCLSIDF935DC22-1CF0-11D0-ADB9-00C04FD58A0B,找到后把整个项删掉就可以了 ,这个项删掉不会对系统有任何影响,请放心删除. 这里再介绍几个对系统安全有隐患的ID HKEY_CLASSES_ROOTCLSID0D43FE01-F093-11CF-8940-00A0C9054228,网页代码可以利用 他在硬盘里面生成文件 HKEY_CLASSES_ROOTCLSIDF935DC22-1CF0-11D0-ADB9-00C04FD58A0B,可以生成命令格式, 比如格式化硬盘,执行任何程序. HKEY_CLASSES_ROOTCLSIDB83FC273-3522-4CC6-92EC-75CC86678DA4,这个好像是3721中 文网址的,我发现很多朋友都觉得3721很霸道,删了就不用管它了. 呵呵,这是从网上来找来的文章,也试过没发现问题,假若大家在用的过程发现什么问题,可以接着讨论. - Win2000下修改注册表加强安全 - 1)设置生存时间 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) 说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在 网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用 此数值来探测远程主机操作系统.。 2)防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它 的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文. 3)禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInter facesinterface PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2) 说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用 于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此 建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用. 4)防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAttackProtect REG_DWORD 0x2(默认值为0x0) 说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时间.路由缓 存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,则AFD的连接指示一直延 迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范 围时,保护机制才会采取措施. 5)关于共享的问题,用net share 虽然可删除,但重启后又加载了. 禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareServer、REG_DWORD、0x0 6) 禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareWks、REG_DWORD、0x0 7) 限制IPC$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC$共享 说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server 8)不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters IGMPLevel REG_DWORD 0x0(默认值为0x2) 说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正 这个bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改 成0后用route print将看不到那个讨厌的项了. 9)设置arp缓存老化时间设置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) 说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓 存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,未引用 项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站 数据包发送到项的IP地址时,就会引用ARP缓存中的项。 10)禁止死网关监测技术 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) 说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网 关.有时候这并不是一项好主意,建议禁止死网关监测. 11)不支持路由功能 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters IPEnableRouter REG_DWORD 0x0(默认值为0x0) 说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题. 12)做NAT时放大转换的对外端口最大值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388-十进制为5000) 说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常 情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近 的有效数值(5000或65534).使用NAT时建议把值放大点. 13)修改MAC地址 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass 找到右窗口的说明为网卡的目录, 比如说是4D36E972-E325-11CE-BFC1-08002BE10318 展开之,在其下的0000,0001,0002.的分支中找到DriverDesc的键值为你网卡的说明, 比如说DriverDesc的值为Intel 82559 Fast Ethernet LAN on Motherboard然后 在右窗口新建一字符串值,名字为Networkaddress,内容为你想要的MAC值，比如说 是004040404040然后重起计算机，ipconfig /all看看. - Windows2000 真的那么不安全么？ 其实，Windows2000 含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000将会是一个很安全的操作系统。我抽空翻了一些网站，翻译加凑数的整理了一篇checklist出来，希望对win2000管理员有些帮助。 本文并没有什么高深的东西，所谓的清单，也并不完善，很多东西要等以后慢慢加了，希望能给管理员作一参考。 具体清单如下： 初级安全篇 1.物理安全 服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以 确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。 2.停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去 。 3限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都 是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个 ，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。 4创建2个管理员用帐号 虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使 用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。 5把系统administrator帐号改名 大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防 止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。 6创建一个陷阱帐号 什么是陷阱帐号? Look!创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那 些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！ 7.把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。 包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。 8.使用安全密码 一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理 员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在 IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档 ，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。 9.设置屏幕保护密码 很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序 ，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。 10使用NTFS格式分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经 是NTFS的了。 11运行防毒软件 我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病 毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库 12保障备份盘的安全 一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台 服务器上，那样的话，还不如不要备份。 中级安全篇 1利用win2000的安全配置工具来配置策略 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容 请参考微软主页： /windows2000/techinfo/ howitworks/security/sctoolset.asp 2关闭不必要的服务 windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确 认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们 。下面是C2级别安装的默认服务： Computer Browser service TCP/IP NetBIOS Helper Microsoft DNS server Spooler NTLM SSP Server RPC Locator WINS RPC service Workstation Netlogon Event log 3关闭不必要的端口 关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远 不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。system32 driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为： 网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。 4打开审核策略 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可 的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审 核是必须开启的，其他的可以根据需要增加： 策略设置 审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败 5.开启密码密码策略 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 6开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 7设定安全记录的访问权限 安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。 8把敏感文件存放在另外的文件服务器中 虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另 外一个安全的服务器中，并且经常备份它们。 9.不让系统显示上次登陆的用户名 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容 易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是： HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName把 REG_SZ 的键值改成 1 . 10禁止建立空连接 默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接： Local_MachineSystemCurrentControlSetControl LSA-RestrictAnonymous 的值改成”1”即可。 11.到微软网站下载最新的补丁程序 很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保 证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。 高级篇 1. 关闭 DirectDraw 这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星 际争霸？我晕.$%$%&?），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)为 0 即可。 2.关闭默认共享 win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具计算机管理共享文件夹共 享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator和Backup Operators组成员才可连接，Win2000 Server版本Server Operatros组也可以连接到这些共享目录。 ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径，比如 c:winntFAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。 IPC$ 空连接。IPC$共享提供了登录到系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到 PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机 3.禁止dump file的产生 dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑 客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板系统属性高级启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。 4.使用文件加密系统EFS Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住 要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查/windows2000/techinfo /howitworks/security/encrypt.asp 5.加密temp文件夹 一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除 temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。 6.锁住注册表 在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考： /support/kb/ar.s/Q153/1/83.asp 7.关机时清除掉页面文件 页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有 的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management把ClearPageFileAtShutdown的值设置成1。 8.禁止从软盘和CD Rom启动系统 一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。 把机箱锁起来扔不失为一个好方法。 9.考虑使用智能卡来代替密码 对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的 解决方法。 10.考虑使用IPSec 正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可 以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考： /china/technet/security/ipsecloc.asp 读这篇文章,有什么不明白的地方,大家可以相互切磋一下. 这儿有一篇WIN2K PRO的优化,写得明白实用.也贴上了. 一、控制面板设置篇 控制面板一直都是Windows操作系统设置和调整的中枢，在Win2K中控制面板进一步得到了发扬光大，很多原来在Win9X中需要通 过修改注册有才能达到的效果，现在可以直接在控制面板中进行。既然要优化Win2K的性能，那么我们理所当然要先对控制面板下刀。 1Internet属性 不要将Internet临时文件（脱机浏览文件）放在与操作系统相同的分区中，因为脱机的网页文件具有数量多、文件小、随机性强的 特点，它会使您的磁盘系统在短期内产生大量的碎片从而影响Win2K文件系统性能。Win2K是一个多用户操作系统，因此其默认脱机文件存放的 路径是与Win9X不相同的，它存放在与Win2K相同磁盘根目录下的Documents and SettingsAdministrator（这是系统管理员目录，如果您是以其他身份登录系统的话，该文件夹名就是您登录时的用户名）Local SettingsTemporary Internet Files。要改变脱机文件的存放路径，请先点击Internet常规选项页下的Internet临时文件设置按钮，在弹出的设置对话框中 点移动文件夹（M）.按钮进行更改。 2鼠标属性 在鼠标指针中取消启用指针阴影特性。虽然指针阴影美化了鼠标指针，但这是以消耗系统资源为代价的。 3添加删除程序 在添加删除Windows组件中看起来似乎什么都删除不了，其实这只不过是微软做的小手脚罢了。现在让我们来解决它：用记事 本打开winntinfsysoc.inf文件，用编辑菜单的替换命令，在查找内容中填入,hide，按全部替换后存盘。再回到添加删除 Windows组件中看看。怎么样，还满意吧！虽然可定制删除安装的名堂还不是很多，但终究可以删除掉一些不喜欢的程序了。 4系统 它包括常规、网络标识、硬件、用户配置文件、高级五个页面，我们需要对硬件和高级两个页面进行设置。 A、硬件页：按设备管理器按钮进入设备管理器： 1）展开IDE ATAATAPI控制器，分别进入Primary（以及Secondary）IDE Channel属性，选择高级设置页。如果您的所有驱动器都支持DMA（即通常所说的硬盘或光驱对UDMA3366的支持），而Win2K又没有 自动检测出来的话，在相应设备的传送模式中选DMA。这样可以加强所在驱动器的数据传输速度。另外如果确信在某一IDE口上没有连接任 何设备时，应将相应设备的设备类型改为无，这样Win2K在启动系统时将不会去检测这个端口的设备以加快启动速度。 2）展开磁盘驱动器，分别进入连接于系统上的所有硬盘的属性选项，在磁盘属性页中选中启用了写入缓存，该设置为硬盘 的写入操作提供高速缓存，这样可以提高磁盘的写入性能。但需要特别加以注意的是：在启用写缓存后如果系统非正常关机则会增大磁盘物理 损坏与丢失数据的可能性。 （3）将你的外置MODEM接在COM2通讯端口吧！因为COM2优先级高于COM1。首先展开端口（COM和LPT），进入通讯端口（COM2） 属性，选择端口设置页，将每秒位数设为最高128000，经决定您的计算机通过此端口传输数据的最大速率。将流控制设为硬件，硬件流 （RTSCTS）控制有利于二进制传输，而软件流（XONXOFF）控制只适于传输文本且比硬件流慢。有时将流控制设为无，可能会得到更好的 效果，这要视您的设备而定。然后按高级按钮，进入COM2的高级设置，像Win98优化端口一样，启用FIFO缓冲区并将接收与传输缓冲区设到 最高。一般情况下如果不出现丢失数据等问题，FIFO（先入先出）缓冲区能提高MODEM的性能。 （4）展开调制解调器，进入MODEM属性对话框，选择调制解调器页，其中最大端口速度代表允许程序将数据传输到调制解调 器的最大速度，通常比调制解调器的速度更快。确认将其设置为115,200bps。选择高级页面，在额外的初始化命令中加入MODEM说明书中提 供的初始化参数。不管有没有由MODEM提供的初始化命令。我们都应该加入s11=40这个命令，它能加快MODEM的拨号速度。 （5）如果您没有任何USB设备与系统连接的话，请展开通用串行总线控制器，进入Intel 82371AB/EB PCI To USB Universal Host Controller属性（视主板的不同，其名称亦不相同）在高级页面中选中停用USB错误检测，这样会释放一些系统资源。USB错误检测 能起到解决USB设备在电源、带宽等方面问题的作用。 (6）在Win2K中是不是觉得鼠标的灵活性不如Win98？那么展开鼠标和其他指针设备，进入鼠标属性，选择高级设备页，在这里 将采样速率调整为最大值100，它能够提高您鼠标的分辨率。再看看，是不是准确灵敏多了。如果您的鼠标属于没有滚轮的那一种，就将鼠 标轮检测改为检测被停用，否则就选假设鼠标轮已经存在。如果您的鼠标在使用过程中没有任何问题，就不要取消对快速初始化的选择 ，为什么不让Win2K启动得快些呢！ 5显示 不要设置桌面背景与屏幕保护程序，并取消Web页面中的在活动桌面上显示Web内容选框，取消掉效果页面中的动画显示菜单 和工具提示。虽然这些能使您的桌面个性化十足，但它们会大口吞掉您系统的宝贵资源。 6电源选项 厌烦了Win2K漫长的启动过程吧！如果您的系统支持ACPI（高级配置和电源接口）管理规范，不妨试用一下这个功能：进入电源选 项属性对话框后选择休眠页面，选中其中的启用休眠支持并按右下方的应用按钮。此时在高级页面的在按下计算机电源按钮时下拉 列表中多出了一个休眠项，选中它并按确定，此后您可以在任何时候不退出任何程序直接关闭计算机（您还可以在开始中的关机对话框 中启动休眠），在下次重新启动计算机时系统会略过启动过程直接恢复您上次关机之前的状态。不过如果您不启用在计算机退出等待状态时， 提示输入密码，任何打开您计算机的人都可以直接进入您的系统，Win2K略过了口令验证，为了安全起见还是启用为好。 7管理工具 想要Win2K在仅有64MB内存的机器上跑得更快吗？Win2K中还有许多默认的系统服务，它们在系统启动时就已加载并常驻内存。有些 服务对我们普通单机用户而言作用不大，因此我们可以将这些服务关闭或禁止，从而加快系统启动、释放更多的系统内存，达到我们在Win2K中 跑得更快的目的。打开服务配置程序后，右边列出了所有可用服务的列表，每种服务都有三种状态：自动（随系统启动运行）；手动（当被 其他服务访问或是相应程序调用时再启动）；已禁用（将其禁止，不再起作用）。需要注意的是：为稳定起见，在没有弄清楚每种服务的确切 作用前，不要随意更改服务状态。下面给出已通过测试的服务及其状态设置： Alerter（警报器服务）：局域网中当系统发生问题时向系统管理员发出警报，对普通用户可设置为已禁用或手动。 Application Management（应用程序管理）：Win2K引入了一种基于msi文件格式（应用程序安装信息程序包文件）的全新、有效软件管理方案应 用程序管理组件服务，它不仅管理软件的安装、删除，而且可以使用此项服务修改、修复现有应用程序，监视文件复原并通过复原排除基本故 障等。虽然如此，当设置为已禁用时似乎并不影响单机上软件的安装与卸载，而且基于msi格式安装、修复与删除的行为亦正常。 ClipBook（剪贴簿）：通过Network DDE和Network DDE DSDM提供的网络动态数据交换服务，查阅远程机器中的剪贴簿。对普通用户可设置为已禁用。 Computer Browser（计算机浏览器）：维护网上邻居中计算机的最新列表，并将这个列表通知给请求的程序。普通用户设置为：已禁用，局域网 用户设为：自动。 DHCP Client（动态主机配置协议客户端）：DHCP是一种提供动态IP地址分配、管理的TCPIP服务协议，作为网络启动过程的一部分，DHCP客 户端系统就可以向DHCP服务器请求和租用IP地址。作为普通用户，如果已通过拨号方式连入Internet，那么还是保持自动状态为好，因为我们 在Internet上的IP地址是由ISP动态分配的。如果系统不应用于任何网络，那么您可以将其设为已禁用。 Distributed Link Tracking Client（分布式连接跟踪客户端）：DLTC能跟踪文件在网络域的NTFS卷中移动状况，并发出通知。普通用户设置为：已禁用，局域网 用户（硬盘已格式为NTFS）设为：自动。 DNS Client（域名系统客户端）：将域名解析为IP地址。除非您没有连入任何网络，否则应设为自动。 Event Log（事件日志）：该服务能记录程序和系统发送的出错消息。虽然日志包含了对诊断问题有所帮助的信息，但对普通用户可能起不了什 么作用，那就设为手动吧！还记得前面提到的Dr. Watson工具吗？在那里我们无法决定是否取消掉记录日志文件，在默认情况下它总是自动执行，现在您可以取舍了。不过，在测试中我 禁用了这个服务重启系统后，却导致了几个关于网络的服务无法启动的现象，使我们无法拨号上网。因此如果您存在Internet或局域网连接， 我们建议还是不要禁用为妥。 Fax Service（传真服务）：在Win95中支持的传真功能现在在Win2K中重新被予以支持，而且与系统集成得更好。如果用不上它，就设为已 禁用吧！ Indexing Service（索引服务）：索引服务能针对本地硬盘或共享网络驱动器上的文档内容和属性建立索引，并通过Win2K特有的文档过滤器快速 定位到您所需要的文档上，它大大强化了Win2K的搜索能力。一方面索引搜索又消耗了大量系统资源。微软建议：仅有64MB内存，而要索引的文 档又超过十万个，就应该禁用这个服务。事实上，在我们针对64MB内存系统的测试中，即使文档数量远远低于十万个，系统资源的消耗亦非常 惊人，而在128MB的系统上情况也好不了多少，因此我们强烈建议禁用它。 Internet Connection Sharing（Internet连接共享）：为局域网计算机提供Internet共享连接。这个服务为多台联网的电脑共享一个拨号网络访问Internet提 供了捷径，以前在Win9X中要实现这一功能需借助SYGATE、WinGATE等代理软件，现在这一功能已直接被Win2K支持了。对普通用户可将其设为 已禁用。 IPSEC Policy Agent（IP安全策略代理）：该代理服务允许IP安全策略对两台计算机之间传输的数据包进行加密，从而防止在网上看到它的人对它进行 更改和破译。IPSEC是一种用来保护内部网、专用网络以及外部网（Internet、Extranet）免遭攻击的重要防御方法。使用IPSEC前必须需要首 先定义两台计算机之间相互信任和通信安全的方式。请注意：在Win2K默认情况下IP安全策略代理是自动启动的，而IP安全策略并没有启动 （我们可以在网络和拨号连接您的拨号连接属性网络页Internet协议（TCPIP）属性高级选项页下的IP安全机制属 性中看到）。既然如此，一般用户就完全可以禁用这个代理服务了。 Messenger（信使服务）：发送和接收由系统管理员或由Alerter服务所发送消息的服务。由于Alerter服务需要依找本服务，因此如 果已将Alerter禁止，那么这项可以设置为手动或已禁用。 Net Logon（网络登陆）：简单说就是在局域网上验证登录信息的选项。一般用户可以将其设为已禁用或手动。 NetMeeting Remote Desktop Sharing（NetMeeting远程桌面共享）：该服务能通过NetMeeting允许有权用户远程访问Windows桌面。这个功能对一般用处不大，可以 设为已禁用。 Network Connections（网络连接）：它管理着网络和拨号连接文件夹中的所有对象。如果您有任何网络连接（包括Internet拨号连接）就保持 手动状态。否则若您禁用它，在网络和拨号连接就保持手动状态。否则若您禁用它，在网络和拨号连接文件夹中将什么都看不到，更 不用说新建连接和拨号上网了，不信您试试看。 Network DDE（网络动态数据交换）和Network DDE DSDM：网络动态数据交换服务是一种为DDE对话提供网络传输和安全的服务。DDE（动态数据交换）是实现进程通讯的一种形式，它允许 支持DDE的两个或多个程序交换信息和命令。对一般用户可设为已禁用。 Plug and Play（即插即用）：即插即用是INTEL开发的一组规范，它赋予了计算机自动检测和配置设备并安装相应驱动程序的能力，当有设备被更 改时能自动通知使用该设备的程序当前设备的状况。将该服务状态保持自动有利于设备的管理和维护。 Print Spooler（打印后台处理）：该服务的作用是将多个请求打印的文档统一进行保存和管理，待打印机空闲后，再将数据送往打印机处理。 无任何打印设备的用户设置为已禁用，否则设为自动。请注意：如果您启用了传真服务（Fax Service）的话，就应该保持自动状态，因为传真服务依赖Print Spooler的运行。 Remote Procedure Call （RPC）（远程过程调用）：一种消息传递功能。在计算机的远程管理期间它允许分布式应用程序（即COM应用程序）呼叫网络上不同 计算机上的可用服务。看起来我们好像可以禁用它，但你可能不知道有很多服务需要依赖它的运行，如：FaxService、Network Connections、Telephony等，所以还是保持它为自动吧！ Remote Registry Service（远程注册表服务）：该服务能使您编辑另一台计算机上的注册表。普通单机用户根本没必要使用这个服 务。 Run As Service（以其他用户身份运行服务的服务）：当您以一般权限用户身份登录系统，而在使用中又需要修改只有系统管理员才能修改的系 统设置项时，该服务提供了不重启系统以管理员身份登录的捷径。您只需要在命令提示符下运行RunAs命令就可达到更改目的。对于一般用户在 未熟悉RunAs命令用法之前可以将其设为已禁用。 Smart Card和Smart Card Helper：这两个服务提供对智能卡设备的支持，将其设为已禁用。 Task Scheduler（计划任务）：还记得Win9X中的计划任务吗？在Win2K中它的作用是相同的。它能使程序在预定的时间自动运行，如定期进 行磁盘碎片整理。如果您认为它碍事，禁用它是个好主意，为什么要让不用的东西白白占用系统资源呢？ TCP/IP NetBIOS Helper Service（TCPIP NetBIOS支持服务）：该服务能在TCPIP上提供NetBIOS支持。前面我们曾提到过NetBIOS是基于局域网的，因此作为访问Internet资源 的一般用户可以禁用它，除非您的系统处在局域网中。 Telephony（电话）：简单地说这个服务能为计算机提供电话拨号的能力。如果您使用拨号方式连接到Internet或通过电话线连接其 他计算机，就应将其设为手动。Telnet：该服务允许您从远程计算机上登录以本系统并且使用命令行方式操作这台计算机。对于一般单机用 户该服务并不重要，可以设为手动或已禁用。 Uninterruptible Power Supply（不间断电源）：管理连接到计算机的不间断电源（UPS）的服务。如果您没有UPS设备就设为已禁用。 Windows Management Instrumentation（Windows管理规范）和Windows Management Instrumentation