linux安全常做

源代码网整理以下目录 1、 本地安全策略设置 2、 服务优化 3、 注册表优化 4、 目录权限 5、 文件权限 6、 网络优化 7、其它安全优化 声明：本加固文档中所有设置以经过部分应用环境（web、dns、dhcp、数据库）的测试，适合大多数服务器加固的实施指导，但不排除有与某些特殊应用冲突，请根据自己的应用，适当增减加固方案，以更加符合您所在应用的加固。切记，对服务器的操作皆有风险，故加固操作前请确认您系统的可用性，并备份您的系统，以规避风险，方便回退。 1、本地安全策略设置本地安全策略是一个很不错的系统安全管理工具，利用它可以直接修改本地计算机的帐户和本地策略、公钥策略和 IP 安全策略,使我们的系统更安全。 开始菜单—>控制面板—>管理工具—>本地安全策略本地策略——>审核策略审核策略更改 成功　失败审核登录事件 成功　失败审核对象访问 失败审核过程跟踪 无审核审核目录服务访问 失败审核特权使用 失败审核系统事件 成功　失败审核账户登录事件 成功　失败审核账户管理 成功　失败 本地策略——>用户权限分配关闭系统 只保留Administrators组、其它全部删除。通过终端服务拒绝登陆 加入Guests、User组通过终端服务允许登陆 只加入Administrators组，其他全部删除 本地策略——>安全选项交互式登陆：不显示上次的用户名 启用网络访问：不允许为网络身份验证储存凭证 启用网络访问：不允许SAM帐户和共享的匿名枚举 启用网络访问：可匿名访问的共享 全部删除网络访问：可匿名访问的命名管道 全部删除网络访问：可远程访问的注册表路径 全部删除网络访问：可远程访问的注册表路径和子路径 全部删除帐户：重命名来宾帐户 重命名guest 帐户：重命名系统管理员帐户 重命名administrator 账户策略——>密码策略密码必须符合复杂性要求 启用密码长度最小值 8个字符密码最长存留期 30天强制密码历史 5个记住的密码 账户策略——>账户锁定策略帐户锁定阀值 6次无效登陆帐户锁定时间 10分钟复位帐户锁定计数器 10分钟之后 2、服务优化 Windows服务也称为Windows Service，它是Windows操作系统和Windows网络的基础，属于系统核心的一部分，它支持着整个Windows的各种操作，是一种系统自动的、无人参与的程序，它能够在系统启动时开始运行，合理的设置服务的启动方式，能更好的利用系统资源，减少安全隐患，提高系统性能，最少的服务等于最大的安全。 开始菜单—>控制面板—>管理工具—>服务服务名称 服务说名 依存关系 默认 建议 Alerter 微软描述： 通知选取的使用者及计算机系统管理警示。如果停止这个服务，使用系统管理警示的程序将不会收到通知。如果停用这个服务，所有依存于它的服务将无法启动。补充描述： 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts)，除非你的计算机用在局域网络上 Workstation 禁用 停用 Application Layer Gateway Service 微软描述： 提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持补充描述： 如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉 Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS) 手动 停用 Application Management (应用程序管理) 微软描述： 提供指派、发行、以及移除的软件安装服务。补充描述： 如上说的软件安装变更的服务 无依存 手动 手动 Automatic Updates 微软描述： 启用重要 Windows 更新的下载及安装。如果停用此服务，可以手动的从 Windows Update 网站上更新操作系统。补充描述： 允许 Windows 于背景自动联机之下，到 Microsoft Servers 自动检查和下载更新修补程序 无依存 自动 停用 Background Intelligent Transfer Service 微软描述： 使用闲置的网络频宽来传输数据。补充描述： 经由 Via HTTP1.1 在背景传输资料的东西，例如 Windows Update 就是以此为工作之一 Remote Procedure Call (RPC) 和 Workstation 手动 停用 ClipBook (剪贴簿) 微软描述： 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止，剪贴簿检视器将无法与远程计算机共享信息。如果这个服务被停用，任何明确依存于它的服务将无法启动。补充描述： 把剪贴簿内的信息和其它台计算机分享，一般家用计算机根本用不到 Network DDE 禁用 停用 COM+ Event System (COM+ 事件系统) 微软描述： 支持「系统事件通知服务 (SENS)」，它可让事件自动分散到订阅的 COM 组件。如果服务被停止，SENS 会关闭，并无法提供登入及注销通知。如果此服务被停用，任何明显依存它的服务都无法启动。补充描述： 有些程序可能用到 COM+ 组件，像 BootVis 的 optimize system 应用，如事件检视器内显示的 DCOM 没有启用 Remote Procedure Call (RPC) 和 System Event Notification 自动 手动 COM+ System Application 微软描述： 管理 COM+ 组件的设定及追踪。如果停止此服务，大部分的 COM+ 组件将无法适当操作。如果此服务被停用，任何明确依存它的服务将无法启动。补充描述： 如果 COM+ Event System 是一台车，那么 COM+ System Application 就是司机，如事件检视器内显示的 DCOM 没有启用 Remote Procedure Call (RPC) 手动 手动 Computer Browser (计算机浏览器) 微软描述： 维护网络上更新的计算机清单，并将这个清单提供给做为浏览器的计算机。如果停止这个服务，这个清单将不会被更新或维护。如果停用这个服务，所有依存于它的服务将无法启动。补充描述： 一般家庭用计算机不需要，除非你的计算机应用在区网之上，不过在大型的区网上有必要开这个拖慢速度吗？ Server 和 Workstation 自动 停用 Cryptographic Services 微软描述： 提供三个管理服务: 确认 Windows 档案签章的 [类别目录数据库服务]; 从这个计算机新增及移除受信任根凭证授权凭证的 [受保护的根目录服务]; 以及协助注册这个计算机以取得凭证的 [金钥服务]。如果这个服务被停止，这些管理服务将无法正确工作。如果这个服务被停用，任何明确依存于它的服务将无法启动。补充描述： 简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证，如果你有使用 Automatic Updates ，那你可能需要这个 Remote Procedure Call (RPC) 自动 手动 DHCP Client (DHCP 客户端) 微软描述： 透过登录及更新 IP 地址和 DNS 名称来管理网络设定。补充描述： 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP 自动 手动 Distributed Link Tracking Client (分布式连结追踪客户端) 微软描述： 维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。补充描述： 维护区网内不同计算机之间的档案连结 Remote Procedure Call (RPC) 自动 停用 Distributed Transaction Coordinator (分布式交易协调器) 微软描述： 协调跨越多个资源管理员的交易，比如数据库、讯息队列及档案系统。如果此服务被停止，这些交易将不会发生。如果服务被停用，任何明显依存它的服务将无法启动。补充描述： 如上所说的，一般家庭用计算机用不太到，除非你启用的 Message Queuing Remote Procedure Call (RPC) 和 Security Accounts Manager 自动 停用 DNS Client (DNS 客户端) 微软描述： 解析并快取这台计算机的网域名称系统 (DNS) 名称。如果停止这个服务，这台计算机将无法解析 DNS 名称并寻找 Active Directory网域控制站的位置。如果停用这个服务，所有依存于它的服务将无法启动。补充描述： 如上所说的，另外 IPSEC 需要用到 TCP/IP Protocol Driver 自动 手动 Error Reporting Service 微软描述： 允许对执行于非标准环境中的服务和应用程序的错误报告。补充描述： 微软的应用程序错误报告 Remote Procedure Call (RPC) 自动 停用 Event Log (事件记录文件) 微软描述： 启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。补充描述： 允许事件讯息显示在事件检视器之上 Windows Management Instrumentation 自动 自动 Fast User Switching Compatibility 微软描述： 在多使用者环境下提供应用程序管理。补充描述： 另外像是注销画面中的切换使用者功能 Terminal Services 手动 手动 Help and Support 微软: 让说明及支持中心能够在这台计算机上执行。如果这个服务停止，将无法使用说明及支持中心。如果这个服务被停用，它的所有依存服务 将无法启动。补充: 如果不使用就关了吧 Remote Procedure Call (RPC) 自动 停用 Human Interface Device Access 微软: 启用对人性化接口装置 (HID) 的通用输入存取，HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止，这个服务控制的快捷纽将不再起作用。如果这个服务被停用，任何明确依存于它的服务将无法启动。补充: 如上所提到的 Remote Procedure Call (RPC) 禁用 停用 IMAPI CD-Burning COM Service 微软: 使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘录制。如果这个服务被停止，这个计算机将无法录制光盘。如果这个服务被停用，任何明确地依赖它的服务将无法启动。补充: XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能，可惜比不上烧录软件，关掉还可以加快 Nero 的开启速度 无依存 禁用 停用 Indexing Service (索引服务) 微软: 本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。补充: 简单的说可以让你加快搜查速度，不过我想应该很少人和远程计算机作搜寻吧 Remote Procedure Call (RPC) 禁用 停用 Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 微软: 为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。补充: 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉 Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager 手动 停用 IPSEC Services (IP 安全性服务) 描述：管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。描述：IP 安全性服务。协助保护经由网络传送的数据。IPSec 为一重要环节，为虚拟私人网络 (VPN) 中提供安全性，而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要，但是一般使用者大部分是不太需要的，可停止。大众用户连边都沾不上。 无依存 自动 手动 Plug and Play 微软: 启用计算机以使用者没有或很少的输入来识别及适应硬件变更，停止或停用这个服务将导致系统不稳定。补充: 顾名思义就是 PNP 环境 Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio 自动 自动 Portable Media Serial Number 微软: Retrieves the serial number of any portable music player connected to your computer 补充: 透过联机计算机重新取得任何音乐拨放序号?没什么价值的服务 无依存 手动 停用 Print Spooler (打印多任务缓冲处理器) 微软: 将档案加载内存中以待稍后打印。补充: 如果没有打印机，可以关了 Remote Procedure Call (RPC) 自动 停用 Protected Storage (受保护的存放装置) 微软: 提供受保护的存放区，来储存私密金钥这类敏感数据，防止未授权的服务、处理、或使用者进行存取。补充: 用来储存你计算机上密码的服务，像 Outlook、拨号程序、其它应用程序、主从架构等等 Remote Procedure Call (RPC) 自动 自动 QoS RSVP (QoS 许可控制，RSVP) 微软: 提供网络讯号及区域流量控制安装功能给可识别 QoS 的程序和控制小程序项。补充: 用来保留 20% 频宽的服务，如果你的网络卡不支持 802.1p 或在你计算机的网域上没有 ACS server ，那么不用多说，关了它 AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call (RPC) 手动 停用 Messenger (信差) 微软: 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。如果停止这个服务，Alerter讯息将不会被传输。如果停用这个服务，所有依存于它的服务将无法启动。补充: 允许网络之间互相传送提示讯息的功能，如 net send 功能，如不想被骚扰话可关了 NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation 禁用 停用 MS Software Shadow Copy Provider 微软: 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务，就无法管理以软件为主的磁盘区阴影复制。如果停 用这个服务，任何明确依存于它的服务将无法启动。补充: 如上所说的，用来备份的?#124;西，如 MS Backup 程序就需要这个服务 Remote Procedure Call (RPC) 手动 停用 Net Logon 微软: 支持网域上计算机的账户登入事件的 pass-through 验证。补充: 一般家用计算机不太可能去用到登入网域审查这个服务 Workstation 手动 停用 NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享) 微软: 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络，由远程访问这部计算机。如果这项服务停止的话，远程桌面共享功能将无法使用。如果服务停用的话，任何依赖 它的服务将无法启动。补充: 如上说的，让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者，如果你重视安全性不想多开后门，就关了吧 无依存 手动 停用 Network Connections (网络联机) 微软: 管理在网络和拨号联机数据夹中的对象，您可以在此数据夹中检视局域网络和远程联机。补充: 控制你的网络联机 Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 手动 手动 Network DDE (网络 DDE) 微软: 为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止，DDE 传输和安全性将无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。补充: 一般人好像用不到 Network DDE DSDM、ClipBook 禁用 停用 Network DDE DSDM (网络 DDE DSDM) 微软: 讯息动态数据交换 (DDE) 网络共享。如果这个服务被停止，DDE 网络共享将无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。补充: 一般人好像用不到 Network DDE 禁用 停用 Network Location Awareness (NLA) 微软: 收集并存放网络设定和位置信息，并且在这个信息变更时通知应用程序。补充: 如果不使用 ICF 和 ICS 可以关了它 AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 手动 停用 Remote Access Connection Manager (远程访问联机管理员) 微软描述： 建立网络联机。补充描述： 网络联机用 Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager 手动 手动 Remote Desktop Help Session Manager 微软描述： 管理并控制远程协助。如果此服务停止的话，远程协助将无法使用。停止此服务之前，请先参阅内容对话框中的 [依存性]标签。补充描述： 如上说的管理和控制远程协助，如果不使用可以关了 Remote Procedure Call (RPC) 手动 停用 Remote Procedure Call (RPC) (远程过程调用，RPC) 微软描述： 提供结束点对应程序以及其它 RPC 服务。补充描述： 一些装置都依存它，别去动它 无依存 自动 自动 Remote Procedure Call (RPC) Locator (远程过程调用定位程序) 微软描述： 管理 RPC 名称服务数据库。补充描述： 如上说的，一般计算机上很少用到，可以尝试关了 Workstation 手动 停用 Remote Registry (远程登录服务) 微软描述： 启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止，登录只能由这个计算机上的使用者修改。如果这个服务被停用，任何明确依存于它的服务将无法启动。补充描述： 基于安全性的理由，如果没有特别的需求，建议最好关了它，除非你需要远程协助修改你的登录设定 Remote Procedure Call (RPC) 自动 停用 Removable Storage (卸除式存放装置) 微软描述： 无补充描述： 除非你有 Zip 磁盘驱动器或是 USB 之类可携式的硬件或是 Tape 备份装置，不然可以尝试关了 Remote Procedure Call (RPC) 手动 停用 Routing and Remote Access (路由和远程访问) 微软描述： 提供连到局域网络及广域网络的公司的路由服务。补充描述： 如上说的，提供拨号联机到区网或是 VPN 服务，一般用户用不到 Remote Procedure Call (RPC)、NetBIOSGroup 禁用 停用 Secondary Logon 微软描述： 启用在其它认证下的起始程序。如果这个服务被停止，这类的登入存取将无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。补充描述： 允许多个使用者处理程序，执行分身等 无依存 自动 自动 Security Accounts Manager (安全性账户管理员) 微软描述： 储存本机账户的安全性信息。 补充描述： 管理账号和群组原则(gpedit.msc)应用 Remote Procedure Call (RPC)、Distributed Transaction Coordinator 自动 自动 Server (服务器) 微软描述： 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务，将无法使用这些功能。如果停用这个服务，所有依存于它的服务将无法启动。 补充描述： 简单的说就是档案和打印的分享，除非你有和其它计算机分享，不然就关 Computer Browser 自动 停用 Shell Hardware Detection 微软描述： 为自动播放硬件事件提供通知。 补充描述： 一般使用在记忆卡或是CD装置、DVD装置上 Remote Procedure Call (RPC) 自动 禁用 Smart Card (智慧卡) 微软描述： 管理这个计算机所读取智能卡的存取。如果这个服务被停止，这个计算机将无法读取智能卡。如果这个服务被停用，任何明确依存于它的服务将无法启动。 补充描述：智能卡。使得Windows 可以支持智能卡设备，并管理PC与智能卡之间的存取。如果自己的计算机没有连接智能读卡器之类的外设，那就可以关了，占1.4兆内存。 Plug and Play 手动 停用 Smart Card Helper (智能卡协助程序) 微软描述： 启用对这个计算机使用的旧版非随插即用智能卡读取头的支持。如果这个服务被停止，这个计算机将不支持旧版读取头。如果这个服务被停用，任何明确依存于它的服务将无法启动。 补充描述： 如果你不使用 Smart Card ，那就可以关了 无依存 手动 停用 SSDP Discovery Service 微软描述： 在您的家用网络上启用通用随插即用装置的搜索。 补充描述： 如上说的，通用随插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置，经由网络联机透过 TCP/IP 来搜索装置，像网络上的扫瞄器、数字相机或是打印机，亦即使用 UPnP 的功能，基于安全性没用到的大可关了 Universal Plug and Play Device Host 手动 停用 System Event Notification (系统事件通知) 微软描述： 追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。 补充描述： 如上所说的 COM+ Event System 自动 自动 System Restore Service 微软描述： 执行系统还原功能。若要停止服务，从我的计算机->内容，[系统还原] 中关闭系统还原 补充描述：系统还原，将计算机回复至先前的状态，不使用就关了 Remote Procedure Call (RPC) 自动 停用 Task Scheduler (工作排程器) 微软描述： 让使用者能够在这个计算机上设定和排定自动的工作。如果停止这个服务，这些工作在它们排定的时间时将不会执行。如果停用这个服务，任何明确依存于它的服务将无法启动。 补充描述： 设定排定自动的工作，像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等，但是一般都很少用，可以关闭。 Remote Procedure Call (RPC) 自动 停用 TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序) 微软描述： 启用 NetBIOS over TCP/IP (NetBT) 服务及 NetBIOS 名称解析的支持。 补充描述： 如果你的网络不使用 NetBios 或是 WINS ，你大可关闭。 AFD 网络支持环境、NetBt 自动 停用 Telephony (电话语音) 微软描述： 为本机计算机上及经由局域网络连接到正在执行此服务的服务器上，控制电话语音装置和 IP 为主语音联机的程序，提供电话语音 API (TAPI) 支持。 补充描述：一般的拨号调制解调器或是一些DSL/Cable 可能用到，如果你的宽带不用拨号，那么关了它。 Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager 手动 停用 Telnet 微软描述： 启用一个远程使用者来登入到这台计算机和执行应用程序，以及支持各种 TCP/IP Telnet 客户端，包含以 UNIX 为基本和以 Windows 为基本的计算机。如果服务停止了，远程使用者可能无法存取应用程序。如果服务停用了，任何明确地依存于这项服务的其它服务将会启动失败。 补充描述： 允许远程使用者用 Telnet 登入本计算机，一般人会误解关了就无法使用BBS，这其实和BBS无关，基于安全性的理由，如果没有特别的需求，建议最好关了 NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver 禁用 停用 Terminal Services (终端机服务) 微软描述： 允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。 补充描述： 3389远程桌面或是远程协助的功能，行内大多管理连接都用它。 Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon 手动 手动 Themes 微软描述： 提供使用者经验主题管理。 补充描述： 很多人使用布景主题，不过如果没有使用的人，那就可以关闭 无依存 自动 停用 Uninterruptible Power Supply (不断电供电系统) 微软描述： 管理连接到这台计算机的不断电电源供应 (UPS)。 补充描述： 不断电电源供应 (UPS)一般人有用到吗？除非你的电源供应器有具备此功能，不然就关了 无依存 手动 停用 Universal Plug and Play Device Host 微软描述： 提供主机通用随插即用装置的支持。 补充描述： 用来侦测安装通用随插即用服务 (Universal Plug and Play, UPnP)装置，像是数字相机或打印机，现在很多设备都需要这个。如果确定没有需要添加的外设，可以关闭。 SSDP Discovery Service 手动 停用 Volume Shadow Copy 微软描述： 管理及执行用于备份和其它目的的磁盘区卷影复制。如果这个服务被停止，卷影复制将无法用于备份，备份可能会失败。如果这个服务被停用，任何明确依存于它的服务将无法启动。 补充描述： 如上所说的，用来备份的东西，如 MS Backup 程序就需要这个服务 Remote Procedure Call (RPC) 手动 停用 WebClient 微软描述： 启用 Windows 为主的程序来建立、存取，以及修改因特网为主的档案。如果停止这个服务，这些功能将无法使用。如果停用这个服务，任何明确依存于它的服务将无法启动。 补充描述： 使用 WebDAV 将档案或数据夹上载到所有的 Web 服务，基于安全性的理由，你可以尝试关闭 WebDav Client Redirector 自动 停用 Windows Audio 微软描述： 管理用于 Windows 为主程序的音讯装置。如果这个服务被停止，音讯装置和效果将无法正常操作。如果这个服务被停用，任何明确依存于它的服务将无法启动。 补充描述： 如果你没有声卡可以关了它。 Plug and Play、Remote Procedure Call (RPC) 自动 停用 Windows Firewall/Internet Connection Sharing (ICS) 微软描述：为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。补充描述：这个就是SP2版本（包括SP2）以前的Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)，如果你不使用因特网联机共享(ICS)和防火墙，可以关掉。不过管理“网络和拨号连接”文件夹的服务（Network Connections）需要这个，如果关了，查看网络连接的时候需要手动开启。 Network Connections Windows Management Instrumentation 自动 手动 Windows Image Acquisition (WIA) (Windows影像取得程序) 微软描述： 为扫描仪和数字相机提供影像撷取服务。 补充描述： 如果扫描仪和数字相机内部具有支持WIA功能的话，那就可以直接看到图档，不需要其它的驱动程序，所以没有扫描仪和数字相机的使用者大可关了。 Remote Procedure Call (RPC) 手动 停用 Windows Installer (Windows 安装程序) 微软描述： 根据包含在 .MSI 档案内的指示来安装，修复以及移除软件。 补充描述： 是一个系统服务，协助使用者正确地安装、设定、追踪、升级和移除软件程序，可管理应用程序建立和安装的标准格式，并且追踪例如档案群组、登录项目及快捷方式等组件，很多软件的安装都需要用到这个服务，所以建议保留，否则会遇到很多麻烦的。 Remote Procedure Call (RPC) 手动 手动 Windows Management Instrumentation (WMI) 微软描述： 提供公用接口及对象模型，以存取有关操作系统、装置、应用程序及服务的管理信息。如果这个服务已停止，大多数的 Windows 软件将无法正常操作。如果这个服务停用，所有依存于它的服务都将无法启动。 补充描述： 如上说的，是一种提供一个标准的基础结构来监视和管理系统资源的服务，由不得你动它。 Event Log、Remote Procedure Call (RPC) 自动 自动 Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸) 微软描述： 提供系统管理信息给予/取自驱动程序。 补充描述： Windows Management Instrumentation 的延伸，提供信息用的 无依存 手动 手动 Windows Time (Windows 时间设定) 微软描述： 维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止，将无法进行日期及时间同步处理。如果这个服务被停用，所有依存的服务都会停止。 补充描述： 网络对时校准用的，一周一次的网络对时校准，没有太大的意义，而且占有不少的资源，可以关闭。 无依存 自动 停用 Wireless Zero Configuration 微软描述： 为您的802.11 适配卡提供自动配置。 补充描述： 自动配置无线网络装置，言下之意就是说，除非你有在使用无线网络适配卡装置，那么你才有必要使用这个网络零管理服务，否则这个对你一点作用也没有。 NDIS Usermode I/O Protocol Remote Procedure Call (RPC) 自动 停用 WMI Performance Adapter 微软描述： 提供来自 WMIHiPerf 提供者的效能链接库信息。 补充描述：对大多数用户没有太大作用。可以关闭，占用６兆内存。 Remote Procedure Call (RPC) 手动 停用 Workstation (工作站) 微软描述： 建立并维护到远程服务器的客户端网络联机。如果停止这个服务，这些联机将无法使用。如果停用这个服务，所有依存于它的服务将无法启动。 补充描述： 因特网联机中所必要的一些功能。 Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger Net Logon Remote Procedure Call (RPC) Locator 自动 自动 Windows Driver Foundation - User-mode Driver Framework 微软描述：Windows 用户模式驱动程序是将原本用于核心模式的驱动程序从核心态脱离出来，缓解了由于驱动程序崩溃造成的系统崩溃的现象。 无依存 手动 手动 3、注册表优化注册表是管理配置系统运行参数的一个全新的核心数据库。在这个数据库里整合集成了全部系统和应用程序的初始化信息；其中包含了硬件设备的说明、相互关联的应用程序与文档文件、窗口显示方式、网络连接参数、以及关系到计算机安全的网络设置。 开始菜单—>运行—>regedit 键值 用途 hkey_local_machinesystemcurrentcontrolsetcontrollsa Restrictanonymous reg_dword 值1 禁止139空连接 hkey_local_machinesystemcurrentcontrolsetservices cpipparametersdefaultttl reg_dword 值0-0xff(0-255 十进制,默认值128) 修改数据包的生存时间(ttl)值 hkey_local_machinesystemcurrentcontrolsetservices cpipparameterssynattackprotect reg_dword 值 0x2(默认值为0x0) 防止syn洪水攻击 hkey_local_machinesystemcurrentcontrolsetservices cpipparametersinterfacesinterfaceperformrouterdiscovery reg_dword 值 0x0(默认值为0x2) 禁止响应icmp路由通告报文 hkey_local_machinesystemcurrentcontrolsetservices cpipparametersenableicmpredirects reg_dword 值 0x0(默认值为0x1) 防止icmp重定向报文的攻击 hkey_local_machinesystemcurrentcontrolsetservices cpipparameters igmplevel reg_dword 0x0(默认值为0x2) 不支持igmp协议 HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp PortNumber 修改端口（默认00000D3D 对应10进制3389） 修改3389默认端口 hkey_local_machinesystemcurrentcontrolsetservices cpipparametersarpcachelife hkey_local_machinesystemcurrentcontrolsetservices cpipparametersarpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默认值为120秒) reg_dword 0-0xffffffff(秒数,默认值为600) 设置arp缓存老化时间设置 hkey_local_machinesystemcurrentcontrolsetservices: cpipparametersenabledeadgwdetect reg_dword 0x0(默认值为ox1) 禁止死网关监测技术 hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters ipenablerouter reg_dword 0x0(默认值为0x0) 不支持路由功能 4、目录权限 Windows目录权限只能在NTFS文件系统上设置，合理的设置目录的读写修改等权限有助于细微控制用户的访问，锁定用户的可控制范围，防止低权限用户对硬盘文件的肆意破坏或盗取，防止未授权用户利用特定文件。 系统分区部分（假设系统分区为C：） c: administrators 全部(该文件夹，子文件夹及文件) SYSTEM全部(该文件夹，子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) 遍历文件夹/运行文件列出文件夹/读取数据读取属性创建文件夹/附加数据读取权限 c:windows administrators 全部 SYSTEM 全部 CREATOR OWNER不是继承的 只有子文件夹及文件 完全 Power Users 修改，读取和运行，列出文件夹目录，读取，写入 Users 读取和运行，列出文件夹目录，读取 c:Documents and Settings administrators 全部(该文件夹，子文件夹及文件) SYSTEM全部(该文件夹，子文件夹及文件) Power Users (该文件夹，子文件夹及文件) 读取和运行列出文件夹目录读取 c:Program FilesCommon Files administrators 全部(该文件夹，子文件夹及文件) SYSTEM全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹，子文件夹及文件) 读取和运行列出文件夹目录读取 Power Users(该文件夹，子文件夹及文件) 修改权限 TERMINAL SERVER USER (该文件夹，子文件夹及文件) 修改权限站点分区部分（假设站点位于D:） D: Administrators全部(该文件夹，子文件夹及文件) D:wwwroot Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) service全部(该文件夹，子文件夹及文件) D:wwwrootweb1 Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) web1全部(该文件夹，子文件夹及文件) 注：web1为站点所指定匿名访问用户默认为Iuser_%hostname，建议修改此用户。数据备份分区部分（假设备份分区为E:） E: Administrators全部(该文件夹，子文件夹及文件) E:akup Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) bakup_user全部(该文件夹，子文件夹及文件) 5、文件权限同上，文件权限是针对单一文件的用户控制限制，防止因未授权用户对系统中特定文件的访问而引起的安全问题。 arp.exe 仅有 Administrators 全部权限 at.exe 仅有 Administrators 全部权限 cacls.exe 仅有 Administrators 全部权限 cmd.exe 仅有 Administrators 全部权限 cscript.exe 仅有 Administrators 全部权限 Command.com 仅有 Administrators 全部权限 debug.exe 仅有 Administrators 全部权限 edit.com 仅有 Administrators 全部权限 edlin.exe 仅有 Administrators 全部权限 ftp.exe 仅有 Administrators 全部权限 Finger.exe 仅有 Administrators 全部权限 ipconfig.exe 仅有 Administrators 全部权限 nbtstat.exe 仅有 Administrators 全部权限 net.exe 仅有 Administrators 全部权限 netstat.exe 仅有 Administrators 全部权限 Nslookup.exe 仅有 Administrators 全部权限 ping.exe 仅有 Administrators 全部权限 rcp.exe 仅有 Administrators 全部权限 regedit.exe 仅有 Administrators 全部权限 regedt32.exe 仅有 Administrators 全部权限 Rexec.exe 仅有 Administrators 全部权限 Rsh.exe 仅有 Administrators 全部权限 route.exe 仅有 Administrators 全部权限 runonce.exe 仅有 Administrators 全部权限 telnet.exe 仅有 Administrators 全部权限 Tracert.exe 仅有 Administrators 全部权限 Tftp.exe 仅有 Administrators 全部权限 wscript.exe 仅有 Administrators 全部权限 xcopy.exe 仅有 Administrators 全部权限 6、网络优化 1）解除NetBios与TCP/IP协议的绑定控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS 2）使用tcp/ip筛选在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口(如80) 7、其它安全优化 1）关闭默认共享编写如下内容的批处理文件： @echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del 保存为delshare.bat放入开始菜单的启动项（C:Documents and SettingsAdministrator「开始」菜单程序启动）中，每次开机都会删除默认共享。