服务器操作培训手册|江阴雨辰互联

2023年6月24日发(作者：)

运营中心操作培训手册

第一章应用服务器的安装配置

1.应用服务器操作系统的安装

A）安装操作系统（略）

所有设置按照默认，安装完成后仅安装需要的工具，不要乱装其他软件。

B）安装驱动程序（略）

C）分区:C:50g D:100g E:80g F:20g

D）安装关键系统补丁（安全狗）（瑞星卡卡）

E）安装反病毒软件（安全狗）（瑞星卡卡）

F）将服务器连接到网络

G）在线升级操作系统补丁，所有的安全补丁都打上，保持最新。

H）在线升级反病毒软件病毒库。

I）做GHOST

J）重启后,安装SQL SERVER 2008 安装路径为D盘

K） D盘为SQL数据库文件夹 E盘为数据备份文件夹 F盘为程序,GHOST文件存储文件夹

SQL 2008自动备份部分

1、 SQL 代理服务选择启动

2、创建数据库维护计划,下一步

3、选择要维护的数据库

4、修改调度时间

5、设置作业时间

6、设置备份路径

7、设置备份事物日志 8、完成

9、

9、选择备份的数据库，故障还原模型为“完全”。

4、 IIS部分

a) IIS匿名用户问题

Windows Server 2003系统下装完GS3.2或以前版本，然后登录时，提示HTTP错误401.1未经授权：由于凭据无效被拒绝。这是由于老版本的程序在安装后对IIS匿名用户口令置空造成的，GS3.5已经进行了修正，处理此问题的步骤如下：

打开Internet信息服务（IIS）管理器，找到cwbase。

右键点击cwbase，打开其属性，先拷贝出当前虚拟目录的路径，将焦点移到下图所示路径位置，Ctrl+Home到行首，Shift+End到行尾，Ctrl+C拷贝路径，打开记事本，粘贴，用作下一步重新创建虚拟目录用。

删除cwbase虚拟目录：右键点击cwbase，选择删除。

重新创建虚拟目录：右键点击【默认网站】，选择【新建】，选择【虚拟目录】，出现新建虚拟目录的向导，选择【下一步】，别名输入cwbase，然后选择【下一步】，然后选择虚拟目录的路径，如果刚才已经拷贝出来了原来的目录，则直接粘贴到输入框中即可，也可以通过浏览的方式手工选择路径，如下图：

进入虚拟目录权限设置部分，选中【读取】和【运行脚本】，其他不用选，如下图：

虚拟目录创建完毕。

b) IIS其他安全选项

最初安装 IIS 时，该服务在高度安全和“锁定”的模式下安装。在默认情况下，IIS 只为静态内容提供服务－即，ASP、、在服务器端的包含文件、WebDAV 发布和 FrontPage Server Extensions 等功能只有在启用时才工作。如果您在安装 IIS 之后未启用该功能，则 IIS 返回一个 404 错误。您可以为动态内容提供服务，并通过 IIS 管理器中的 Web 服务扩展节点启用这些功能。

启用父路径、启用缓冲：

启用匿名用户访问：

文件夹权限：

选择属性【安全】(Permissions)

【添加】(Add…)-〉【高级】(Advanced…)，添加IUSR_XXXX的用户权限。

)

Web服务扩展：

登录时提示HTTP错误404 ，如下图

这是因为IIS6默认是禁用ASP扩展的，因此不能访问，需要开启。

从IIS管理器中点击的【Web服务扩展】，然后选择Active Server Pages，然后点击，允许，同时 v1.1.4322也要允许如下图：

C) IIS工作进程

IIS 6.0 使用新的请求处理结构和应用程序隔离环境来使单个 Web 应用程序在独立的工作进程中工作。该环境防止一个应用程序或网站停止另一个应用程序或网站，并减少了管理员在重新启动服务以纠正与应用程序有关的问题时所花的时间。新环境还包括主动型应用程序池运行状况监视，这是一个非常有用的功能，但是设置不当会带来一些麻烦。

打开IIS管理器，选中cwbase所在的应用程序池如果自己没有改动会在DefaultAppPool。

打开其属性，类似下图的设置可能导致问题：

这个设置的意思是IIS的监视进程会不断监视系统资源中CPU使用率的百分比，每5分钟检查一次，如果检查时的值超过了60%，那么将关闭IIS的工作进程。这是客户端访问会出现下面的“服务不可用的”提示：

此设置默认是未开启的，如果有需要开启，请权衡阀值，如果刷新时间较短，CPU阀值较低，那么出现这种情况可能比较频繁。其他几个关于工作进程的设置也会导致类似问题，但是几率低一些，如果遇到类似问题，请从此出着手。

独立的数据库服务器和应用服务器

数据库是SQL Server的情况-数据库服务器：

协议

TCP

作用

连接监听

RPC

设置方法

默认

端口

1433

135

动态分配 RPC动态端口分配错误!未找到引用源。第二章服务器的安全配置

一：关于TCP/IP筛选

TCP/IP的筛选，如你只开发80端口，则外网可以访问你的WEB服务器，但是，你不能访问别人的WEB服务。因为访问别人的WEB服务的时候，你本地不是从80出去，而是WINDOWS随机创建了一个端口。

不能访问外网的WEB服务，导致的直接后果是有些软件，如360、杀毒软件、个人防火墙、WINDOWS系统漏洞等不能升级。这些升级全部是使用WEB服务的。

二：防火墙

1：使用瑞星个人防火墙，在端口筛选中，开放题头中的端口。

2：同时，开放WINDOWS防火墙，在例外和高级中，都要对端口进行开发。尤其注意，服务器一般放置在机房，一定要开放远程桌面的端口。

三：用户管理

1：改名guest，设置超复杂密码，然后停用。；

2：改名administrator，可带中文，设置超复杂密码；然后建立一个名为administrator的诱饵账户，属于user组。设立超复杂密码。

四：IP安全策略

IP安全策略，个人认为很重要，无论是个人防火墙还是WINDOWS，都不能做出、入限制，在安全策略中却可以。

协议

ICMP

UDP

TCP

UDP

TCP

IP协议端口

135

136

137

138

139

445

4444

1026

源地址

任何IP地址

目标地址

我的IP地址

描述

ICMP

135-UDP

136-UDP

137-UDP

138-UDP

139-UDP

445-TCP

445-UDP

69-入

69-出

4444-TCP

灰鸽子-1026

方式

阻止

任何IP地址-从任意端口我的IP地址-445

任何IP地址-从任意端口我的IP地址-69

我的IP地址-69 任何IP地址-任意端口

任何IP地址-从任意端口我的IP地址-4444

我的IP地址-1026 任何IP地址-任意端口 TCP

TCP

UDP

TCP

1027

1028

1026

1027

1028

3306

我的IP地址-1027

我的IP地址-1028

我的IP地址-1026

我的IP地址-1027

我的IP地址-1028

任何IP地址-任意端口

灰鸽子-1027

灰鸽子-1028

灰鸽子-1026

灰鸽子-1027

灰鸽子-1028

阻止

我的IP地址-从任意端口任何IP地址-到21端口阻止tftp出站

我的IP地址-99

任何IP地址-任意端口

我的IP地址-3306

阻止99shell

阻止外部访问MYSQL

阻止外部访问SQLSERVER

TCP 1433

任何IP地址-任意端口我的IP地址-1433 阻止

TCP 1434

任何IP地址-任意端口我的IP地址-1434 阻止

五：IIS安全设置

1：删除默认网站对应的interpub；

2：停掉默认网站；

3：WEB日志更改到别处；

这里举例4个不同类型脚本的虚拟主机权限设置例子

主机头

主机脚本

硬盘目录 IIS用户名硬盘权限

Administrators(完全控 HTM D:// IUSR_ 制)

IUSR_ (读)

Administrators(完全控 ASP D:// IUSR_ 制)

IUSR_ (读/写)

Administrators(完全控 NET

制)

D:// IUSR_

IWAM_ (读/写)

IUSR_ (读/写)

Administrators(完全控 PHP

制)

D:// IUSR_

IWAM_ (读/写)

IUSR_ (读/写)

其中 IWAM_ 和 IWAM_ 分别是各自独立应用程序池标识中的启动帐户

主机脚本类型应用程序扩展名（就是文件后缀名）对应主机脚本，只需要加载以下的应用程序扩展

独立池

读取/纯启用父路脚本径

独立池

读取/纯启用父路脚本径

可共用

应用程序池

主目录

应用程序配置

读取/纯启用父路脚本径

读取/纯启用父路脚本径 HTM

ASP

NET

PHP

STM | SHTM | SHTML | MDB

ASP | ASA | MDB

PHP | PHP3 | PHP4

MDB是共用映射，下面用红色表示

应用程序扩展

STM=.stm

SHTM=.shtm

SHTML=.shtml

ASP=.asp

ASA=.asa

ASPX=.aspx

ASAX=.asax

ASCX=.ascx

ASHX=.ashx

ASMX=.asmx

AXD=.axd

VSDISCO=.vsdisco

REM=.rem

SOAP=.soap

CONFIG=.config

CS=.cs

CSPROJ=.csproj

VB=.vb

VBPROJ=.vbproj

WEBINFO=.webinfo

LICX=.licx

RESX=.resx

映射文件

C:/WINDOWS/system32/inetsrv/

执行动作

GET,POST

GET,HEAD,POST,TRACE

C:/WINDOWS//Framework/v1.1.4322/aspnet_ GET,HEAD,POST,DEBUG

RESOURCES=.resources C:/WINDOWS//Framework/v1.1.4322/aspnet_ GET,HEAD,POST,DEBUG

PHP=.php

PHP3=.php3

PHP4=.php4

MDB=.mdb

C:/php5/

C:/WINDOWS/system32/inetsrv/

GET,HEAD,POST

GET,POST

进程帐户所需的 NTFS 权限

目录所需权限 Temporary

进程帐户和模拟标识：

Files%windir%//Framework/{版本}Temporary

看下面详细权限

Files

临时目录 (%temp%)

进程帐户

完全控制

进程帐户和模拟标识：

.NET Framework 目录%windir%//Framework/{版读取和执行

本} 列出文件夹内容

读取

进程帐户和模拟标识：

.NET Framework 配置目录%windir%//Framework/{版本}/CONFIG

读取和执行

列出文件夹内容

读取

网站根目录

C:/inetpub/wwwroot

或默认网站指向的路径

系统根目录

%windir%/system32

全局程序集高速缓存

%windir%/assembly

进程帐户：

读取

进程帐户：

读取

进程帐户和模拟标识：

读取

进程帐户：

读取

列出文件夹内容

内容目录

C:/inetpub/wwwroot/YourWebApp

(一般来说不用默认目录，管理员可根据实际情况调整比如D:/wwwroot)

读取

注意对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括：

C:/

C:/inetpub/

C:/inetpub/wwwroot/

硬盘或文件夹: C:/WINDOWS//Framework/版本/Temporary Files

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

完全控制

该文件夹，子文件夹及文件

<继承于E:/>

完全控制

只有子文件夹及文件

<继承于E:/>

完全控制

该文件夹，子文件夹及文件

IIS_WPG

其他权限部分：

读取和运行

计算机帐户该文件夹，子文件夹及文件

<继承于C:/windows>

写入/删除

计算机帐户该文件夹，子文件夹及文件

<不是继承的>

读取和运行

该文件夹，子文件夹及文件

IUSR_XXX

或某个虚拟主机用户组

<继承于E:/>

列出文件夹/读取数据：拒绝

该文件夹，子文件夹及文件

<不是继承的>

列出文件夹/读取数据：拒绝

<继承于C:/windows>

写入/删除

IIS_WPG

该文件夹，子文件夹及文件

<不是继承的>

读取和运行

Guests 该文件夹，子文件夹及文件

<不是继承的>

读取和运行

LOCAL SERVICE 该文件夹，子文件夹及文件

<继承于C:/windows>

写入/删除

USERS 该文件夹，子文件夹及文件

<继承于C:/windows>

LOCAL SERVICE 该文件夹，子文件夹及文件

<不是继承的>

读取和运行

NETWORK SERVICE

NETWORK SERVICE 该文件夹，子文件夹及文件

<继承于C:/windows>

写入/删除

该文件夹，子文件夹及文件

<不是继承的>

六：SQLServer2008 R2安全设置

1：停掉CMDSHELL，使用如下语句：

-- To allow advanced options to be changed

EXEC sp_configure 'show advanced options', 1;

-- To update the currently configured value for -- advanced options

RECONFIGURE;

-- To disable xp_cmdshell

EXEC sp_configure 'xp_cmdshell', 0;

-- To update the currently configured value for this -- feature

RECONFIGURE;

2：更改SA名，设置超复杂密码；

3：删除不必要用户，但是要保留系统自己创建的用户。如果你不想让使用windows身份验证登录，则也可以删除sqlserver登录中的xxx/administrator这个用户。

4：更改1433这个默认的端口号，这里是5687。七：组件设置

A、卸载和 ation 组件，将下面的代码保存为一个.BAT文件执行（分2000和2003系统）

regsvr32/u C:/WINNT/System32/ del C:/WINNT/System32/

C:/WINNT/system32/ del C:/WINNT/system32/

regsvr32/u

regsvr32/u C:/WINDOWS/System32/ del C:/WINDOWS/System32/ regsvr32/u

C:/WINDOWS/system32/ del C:/WINDOWS/system32/

B、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改

【开始→运行→regedit →回车】打开注册表编辑器

然后【编辑→查找→填写ation →查找下一个】

用这个方法能找到两个注册表项：

{13709620-C279-11CE-A49E-444553540000} 和 ation 。

第一步：为了确保万无一失，把这两个注册表项导出来，保存为文件。

第二步：比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

ation 改名为 ation_nohack

第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

其实，只要把对应注册表项导出来备份，然后直接改键名就可以了，

Windows Registry Editor Version

@="Shell

5.00

Automation [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}]

@="C://WINNT//system32//"

改好的例子

建议自己改

@="ation_nohack.1"

Service" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/InProcServer32]

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/ProgID]

[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/TypeLib]

[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/Version]

@="ation_nohack"

Automation Service"

[HKEY_CLASSES_ROOT/ation_nohack]

@="1.1"

@="Shell

应该可一次成功 @="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/VersionIndependentProgID]

[HKEY_CLASSES_ROOT/ation_nohack/CLSID]

@="{13709620-C279-11CE-A49E-444553540001}" [HKEY_CLASSES_ROOT/ation_nohack/CurVer] @="ation_nohack.1"

和 ation 组件是脚本入侵过程中，提升权限的重要环节，这两个组件的卸载和修改对应注册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般来说，ASP和php老杜评论：

类脚本提升权限的功能是无法实现了，再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有非常大的提高，黑客入侵的可能性是非常低了。注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。下面是另外一种设置，大同小异。

一、禁止使用FileSystemObject组件

FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT/stemObject/

改名为其它的名字，如：改为 FileSystemObject_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT/stemObject/CLSID/ 项目的值

也可以将其删除，来防止此类木马的危害。

2000注销此组件命令：RegSrv32 /u C:/WINNT/SYSTEM/

2003注销此组件命令：RegSrv32 /u C:/WINDOWS/SYSTEM/

如何禁止Guest用户使用来防止调用此组件？

使用这个命令：cacls C:/WINNT/system32/ /e /d guests

二、禁止使用组件

可以调用系统内核运行DOS基本命令

可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT//及HKEY_CLASSES_ROOT/.1/

改名为其它的名字，如：改为_ChangeName 或 .1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT//CLSID/ 项目的值

HKEY_CLASSES_ROOT/.1/CLSID/ 项目的值

也可以将其删除，来防止此类木马的危害。

三、禁止使用ation组件

ation可以调用系统内核运行DOS基本命令

可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT/ation/

及

HKEY_CLASSES_ROOT/ation.1/

改名为其它的名字，如：改为ation_ChangeName 或ation.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下 HKEY_CLASSES_ROOT/ation/CLSID/项目的值

HKEY_CLASSES_ROOT/ation/CLSID/项目的值

也可以将其删除，来防止此类木马的危害。

禁止Guest用户使用来防止调用此组件。

2000使用命令：cacls C:/WINNT/system32/ /e /d guests

2003使用命令：cacls C:/WINDOWS/system32/ /e /d guests

注：操作均需要重新启动WEB服务后才会生效。

四、调用

禁用Guests组用户调用

2000使用命令：cacls C:/WINNT/system32/ /e /d guests

2003使用命令：cacls C:/WINDOWS/system32/ /e /d guests

通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。

C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本，之后可以直接设置密码)

先停掉Serv-U服务

用Ultraedit 打开

查找 Ascii：LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等长度的其它字符就可以了，也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

阿江ASP探针/products/aspcheck/ (可以测试组件安全性)

八：部分安全设置

把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]

"NoRecentDocsMenu"=hex:01,00,00,00

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows

"DontDisplayLastUserName"="1"

"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Parameters]

"AutoShareServer"=dword:00000000

"EnableICMPRedirect"=dword:00000000

"SynAttackProtect"=dword:00000002

"TcpMaxHalfOpenRetried"=dword:00000190

"AutoShareWks"=dword:00000000

"KeepAliveTime"=dword:000927c0

"TcpMaxHalfOpen"=dword:000001f4

"TcpMaxConnectResponseRetransmissions"=dword:00000001

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]

"NoRecentDocsHistory"=hex:01,00,00,00

NT/CurrentVersion/Winlogon]

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa] "TcpMaxDataRetransmissions"=dword:00000003

"DisableIPSourceRouting"=dword:00000002

"TcpNumConnections"=dword:00004e20

"NoNameReleaseOnDemand"=dword:00000001

"PerformRouterDiscovery"=dword:00000000

"BacklogIncrement"=dword:00000005

"EnableDynamicBacklog"=dword:00000001

"TCPMaxPortsExhausted"=dword:00000005

"TcpTimedWaitDelay"=dword:0000001e

"EnablePMTUDiscovery"=dword:00000000

"EnableDeadGWDetect"=dword:00000000

"EnableICMPRedirects"=dword:00000000

"MaxConnBackLog"=dword:000007d0

"MinimumDynamicBacklog"=dword:00000014

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters]

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters]

"MaximumDynamicBacklog"=dword:00007530 "DynamicBacklogGrowthDelta"=dword:0000000a

功能：可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源）

九：服务

在我的系统中，停掉或禁用的服务有：

Aleter

Application Management

状态服务

Automatic Upadates

Background intelligent transfer servervice

clipbook

com+ system application

computer brower

cryptographic services

distributed file system

distributed link tracking client

distributed link tracking server

distributed transaction coordinator

file replication

help and support

IMAPI CD-BURNING com service

indexing service

intersite messaging

kerberos key distribution center

license logging

logical disk manager administrative service

messenger

microsoft software shadow copy provider

net logon

netmeeting remote desktop sharing

network dde

network dde dsdm

Network Provisioning Service

Office Source Engine

Performance Logs and Alerts

Portable Media Serial Number Service

Print Spooler

Remote Access Auto Connection Manager

Remote Desktop Help Session Manager

Remote Procedure Call (RPC) Locator

Remote Registry

Removable Storage

Resultant Set of Policy Provider

Routing and Remote Access

Server

Smart Card

Special Administration Console Helper

SQL Server Active Directory Helper

SQL Server Browser

SQL Server VSS Writer

Task Scheduler

TCP/IP NetBIOS Helper

Telnet

Terminal Services Session Directory

Themes

Uninterruptible Power Supply

Virtual Disk Service

Volume Shadow Copy

WebClient

Windows Audio

Windows Image Acquisition (WIA)

Windows Installer

Windows Management Instrumentation Driver Extensions

Windows Time

Windows User Mode Driver Framework

WinHTTP Web Proxy Auto-Discovery Service

Wireless Configuration

WMI Performance Adapter

Workstation

十：系统文件权限设置

这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了。

硬盘或文件夹: C:/ D:/ E:/ F:/ 类推

主要权限部分：

Administrators 完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

其他权限部分：

无

如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:/php 的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行

SYSTEM

权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，用一个独立用户运行MYSQL会更安全，下面会有介绍。如果是winwebmail，则最好建立独立的应用程序池和独立IIS用户，然后整个安装目录有winwebmail进程用户的读/运行/写/权限，IIS用户则相 <不是继承的>

同，这个IIS用户就只用在 winwebmail的WEB访问中，其他IIS站点切勿使用，安装了winwebmail的服务器硬盘权限设置后面举例

硬盘或文件夹: C:/Inetpub/

主要权限部分：

Administrators

CREATOR OWNER

完全控制

该文件夹，子文件夹及文件

<继承于c:/>

完全控制

只有子文件夹及文件

无

其他权限部分：

CREATOR OWNER

SYSTEM

<继承于c:/>

完全控制

该文件夹，子文件夹及文件

<继承于c:/>

硬盘或文件夹: C:/Inetpub/ AdminScripts

主要权限部分：

Administrators

SYSTEM

硬盘或文件夹: C:/Inetpub/wwwroot

主要权限部分：

Administrators

SYSTEM

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

其他权限部分：

IIS_WPG

Users

读取运行/列出文件夹目录/读取

该文件夹，子文件夹及文件

<不是继承的>

读取运行/列出文件夹目录/读取

该文件夹，子文件夹及文件

<不是继承的>

创建文件/写入数据/:拒绝

创建文件夹/附加数据/:拒绝

这里可以把虚拟主机用户组加上

同Internet 来宾帐户一样的权限

拒绝权限

硬盘或文件夹: C:/Inetpub/wwwroot/aspnet_client

主要权限部分：

Administrators

完全控制

该文件夹，子文件夹及文件

其他权限部分：

Users

读取

该文件夹，子文件夹及文件

Internet 来宾帐户

写入属性/:拒绝

写入扩展属性/:拒绝

删除子文件夹及文件/:拒绝

删除/:拒绝

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

SYSTEM

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

硬盘或文件夹: C:/Documents and Settings

主要权限部分：

Administrators

SYSTEM

硬盘或文件夹: C:/Documents and Settings/All Users

主要权限部分：

Administrators

SYSTEM

硬盘或文件夹: C:/Documents and Settings/All Users/「开始」菜单

主要权限部分：

Administrators

SYSTEM

硬盘或文件夹: C:/Documents and Settings/All Users/Application Data

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

完全控制

该文件夹，子文件夹及文件

<不是继承的>

其他权限部分：

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

USERS组的权限仅仅限制于读取和运行，

绝对不能加上写入权限

其他权限部分：

Users

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

其他权限部分：

Users

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

写入

该文件夹，子文件夹

<不是继承的>

两个并列权限同用户组需要分开列权限

硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft

主要权限部分：

Administrators

SYSTEM

硬

主要权限部分：其他权限部分：

列出文件夹、读取属性、读取扩展Administrators 完全控制 Everyone 属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

只有该文件夹

Everyone这里只有读写权限，不能加运行和 <不是继承的>

删除权限，仅限该文件夹

硬

主要权限部分：

Administrators 完全控制

其他权限部分：

Everyone 列出文件夹、读取属性、读取扩展盘或文件夹: C:/Documents and Settings/All Users/Application

Data/Microsoft/Crypto/DSS/MachineKeys

<不是继承的>

只有该文件夹

盘或文件夹: C:/Documents and Settings/All Users/Application

Data/Microsoft/Crypto/RSA/MachineKeys

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

此文件夹包含 Microsoft 应用程序状态数据

其他权限部分：

Users

读取和运行

该文件夹，子文件夹及文件

<不是继承的> 属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

只有该文件夹

Everyone这里只有读写权限，不能加运行和 <不是继承的>

删除权限，仅限该文件夹

硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft/HTML Help

主要权限部分：

Administrators

SYSTEM

硬

主要权限部分：

Administrators

SYSTEM

硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Downloader

主要权限部分：

Administrators

SYSTEM

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

完全控制

该文件夹，子文件夹及文件

<不是继承的>

其他权限部分：

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

Everyone这里只有读和运行权限

其他权限部分：

Everyone

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

盘或文件夹: C:/Documents and Settings/All Users/Application

Data/Microsoft/Network/Connections/Cm

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

其他权限部分：

Users

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

只有该文件夹

硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index

主要权限部分：

Administrators

完全控制

该文件夹，子文件夹及文件

<不是继承的>

其他权限部分：

Users

读取和运行

该文件夹，子文件夹及文件

<继承于上一级文件夹>

创建文件/写入数据

创建文件夹/附加数据

SYSTEM 完全控制 Users 写入属性

写入扩展属性

读取权限

该文件夹，子文件夹及文件

<不是继承的>

只有该文件夹

<不是继承的>

创建文件/写入数据

Users

硬盘或文件夹: C:/Documents and Settings/All Users/DRM

主要权限部分：其他权限部分：

Users

Guests

这里需要把GUEST用户组和IIS访问用户组全部禁止

Everyone的权限比较特殊，默认安装后已经带了

主要是要把IIS访问的用户组加上所有权限都禁止

Guest

IUSR_XXX

或某个虚拟主机用户组

<不是继承的>

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

拒绝所有

该文件夹，子文件夹及文件

<不是继承的>

拒绝所有

该文件夹，子文件夹及文件

<不是继承的>

拒绝所有

该文件夹，子文件夹及文件

创建文件夹/附加数据

写入属性

写入扩展属性

只有该子文件夹和文件

<不是继承的> 硬盘或文件夹: C:/Documents and Settings/All Users/Documents (共享文档)

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/Program Files

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/Program Files/Common Files

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

Users

其他权限部分：

IIS_WPG

读取和运行

该文件夹，子文件夹及文件

<继承于上级目录>

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

复合权限，为IIS提供快速安全的运行环境

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

IIS虚拟主机用户组禁止列目录，可有效防止FSO类木马

如果安装了aspjepg和aspupload

其他权限部分：

IIS_WPG

IUSR_XXX

组

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

列出文件夹/读取数据：拒绝

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

或某个虚拟主机用户该文件夹，子文件夹及文件

<不是继承的>

该文件夹，子文件夹及文件

<不是继承的>

硬盘或文件夹: C:/Program Files/Common Files/Microsoft Shared/web server extensions

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/Program Files/Microsoft SQL Server/MSSQL (程序部分默认装在C：盘)

主要权限部分：

Administrators

硬盘或文件夹: E:/Program Files/Microsoft SQL Server (数据库部分装在E：盘的情况)

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

硬盘或文件夹: E:/Program Files/Microsoft SQL Server/MSSQL (数据库部分装在E：盘的情况)

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

主要权限部分：

Administrators

硬盘或文件夹: C:/Program Files/Internet Explorer/

主要权限部分：

Administrators

硬盘或文件夹: C:/Program Files/Outlook Express

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/Program Files/PowerEasy5 (如果装了动易组件的话)

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

无

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

其他权限部分：

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

<不是继承的>

硬盘或文件夹: C:/Program Files/Radmin (如果装了Radmin远程控制的话)

主要权限部分：

Administrators 完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/Program Files/Serv-U (如果装了Serv-U服务器的话)

主要权限部分：

Administrators 完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/Program Files/Windows Media Player

主要权限部分：

Administrators

CREATOR OWNER

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

完全控制

只有子文件夹及文件

<不是继承的>

其他权限部分：

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

这里常是提权入侵的一个比较大的漏洞点

一定要按这个方法设置

目录名字根据Serv-U版本也可能是

C:/Program Files//Serv-U

其他权限部分：

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

对应的c:/windows/system32里面有两个文件

r_和

要把Users读取运行权限去掉

默认权限只要administrators和system全部权限

其他权限部分：

SYSTEM

完全控制

该文件夹，子文件夹及文件

<不是继承的>

硬盘或文件夹: C:/Program Files/Windows NT/Accessories

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/Program Files/WindowsUpdate

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/WINDOWS

主要权限部分：

Administrators

CREATOR OWNER

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

其他权限部分：

Users

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

其他权限部分：

SYSTEM

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

硬盘或文件夹: C:/WINDOWS/repair

主要权限部分：

Administrators

CREATOR OWNER

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

虚拟主机用户访问组拒绝读取，有助于保护系统数据

这里保护的是系统级数据SAM

其他权限部分：

IUSR_XXX

或某个虚拟主机用户组

<不是继承的>

列出文件夹/读取数据：拒绝

该文件夹，子文件夹及文件

SYSTEM

硬盘或文件夹: C:/WINDOWS/IIS Temporary Compressed Files

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

IUSR_XXX

或某个虚拟主机用户组

Guests

该文件夹，子文件夹及文件

<不是继承的>

列出文件夹/读取数据：拒绝

完全控制

该文件夹，子文件夹及文件

<继承于C:/windows>

完全控制

只有子文件夹及文件

<继承于C:/windows>

完全控制

该文件夹，子文件夹及文件

<继承于C:/windows>

列出文件夹/读取数据：拒绝

建议装了MCAFEE或NOD的用户把此文件夹，禁止写入一些文该文件夹，子文件夹及文件

件类型比如*.EXE和*.com等可执行文件或vbs类脚本

IIS_WPG

USERS

其他权限部分：

读取和写入/删除

该文件夹，子文件夹及文件

<不是继承的>

读取和写入/删除

该文件夹，子文件夹及文件

<不是继承的> <不是继承的>

硬盘或文件夹: C:/WINDOWS//Framework/版本/Temporary Files

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

IUSR_XXX

或某个虚拟主机用户组

该文件夹，子文件夹及文件

<不是继承的>

列出文件夹/读取数据：拒绝

Guests 该文件夹，子文件夹及文件

<不是继承的>

读取和运行

USERS 该文件夹，子文件夹及文件

<继承于C:/windows>

NETWORK SERVICE

LOCAL SERVICE

完全控制

该文件夹，子文件夹及文件

<继承于C:/windows>

完全控制

只有子文件夹及文件

<继承于C:/windows>

完全控制

该文件夹，子文件夹及文件

<继承于C:/windows>

列出文件夹/读取数据：拒绝

IIS_WPG

其他权限部分：

读取和运行

计算机帐户该文件夹，子文件夹及文件

<继承于C:/windows>

写入/删除

计算机帐户该文件夹，子文件夹及文件

<不是继承的>

读取和运行

该文件夹，子文件夹及文件

<继承于C:/windows>

写入(原来有删除权限要去掉 )

该文件夹，子文件夹及文件

<不是继承的>

读取和运行

该文件夹，子文件夹及文件

<继承于C:/windows>

写入/删除

该文件夹，子文件夹及文件

<不是继承的>

读取和运行

该文件夹，子文件夹及文件

<继承于C:/windows>

写入/删除

该文件夹，子文件夹及文件

<不是继承的>

建议装了MCAFEE或NOD的用户把此文件夹，禁止写入一些文件类型，比如*.EXE和*.com等可执行文件或vbs类NETWORK SERVICE

脚本

硬盘或文件夹: C:/WINDOWS/system32

主要权限部分：

Administrators 完全控制

其他权限部分：

Users 读取和运行

CREATOR OWNER

SYSTEM

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

IUSR_XXX

或某个虚拟主机用户组

该文件夹，子文件夹及文件

<不是继承的>

列出文件夹/读取数据：拒绝

该文件夹，子文件夹及文件

<不是继承的>

虚拟主机用户访问组拒绝读取，有助于保护系统数据

硬盘或文件夹: C:/WINDOWS/system32/config

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/WINDOWS/system32/inetsrv/

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

虚拟主机用户访问组拒绝读取，有助于保护系统数据

该文件夹，子文件夹及文件

其他权限部分：

Users

IUSR_XXX

或某个虚拟主机用户组

<继承于上一级目录>

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

列出文件夹/读取数据：拒绝

只有该文件夹

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

虚拟主机用户访问组拒绝读取，有助于保护系统数据

其他权限部分：

Users

IUSR_XXX

或某个虚拟主机用户组

<继承于上一级目录>

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

列出文件夹/读取数据：拒绝

该文件夹，子文件夹及文件

<不是继承的>

硬盘或文件夹: C:/WINDOWS/system32/inetsrv/ASP Compiled Templates

主要权限部分：

Administrators

完全控制

该文件夹，子文件夹及文件

<不是继承的>

其他权限部分：

IIS_WPG

IUSR_XXX

或某个虚拟主机用户组

虚拟主机用户访问组拒绝读取，有助于保护系统数据

<继承于上一级目录>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

列出文件夹/读取数据：拒绝

该文件夹，子文件夹及文件

硬盘或文件夹: C:/WINDOWS/system32/inetsrv/iisadmpwd

主要权限部分：

Administrators

CREATOR OWNER

SYSTEM

硬盘或文件夹: C:/WINDOWS/system32/inetsrv/MetaBack

主要权限部分：

Administrators

CREATOR OWNER

完全控制

该文件夹，子文件夹及文件

<不是继承的>

完全控制

其他权限部分：

Users

IUSR_XXX

读取和运行

该文件夹，子文件夹及文件

<不是继承的>

列出文件夹/读取数据：拒绝

该文件夹，子文件夹及文件

<不是继承的>

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

无

完全控制

其他权限部分：

SYSTEM

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

或某个虚拟主机用户该文件夹，子文件夹及文件

组

<继承于上一级目录>

虚拟主机用户访问组拒绝读取，有助于保护系统数据

Winwebmail 电子邮局安装后权限举例：目录E:/

主要权限部分：

Administrators

完全控制

该文件夹，子文件夹及文件

其他权限部分：

IUSR_XXXXXX

这个用户是WINWEBMAIL访问WEB站点专用帐户

<不是继承的>

CREATOR OWNER

SYSTEM

Winwebmail 电子邮局安装后权限举例：目录E:/WinWebMail

主要权限部分：

Administrators

完全控制

该文件夹，子文件夹及文件

<继承于E:/>

其他权限部分：

IUSR_XXXXXX

WINWEBMAIL访问WEB站点专用帐户

CREATOR OWNER

SYSTEM

完全控制

只有子文件夹及文件

<继承于E:/>

完全控制

该文件夹，子文件夹及文件

<继承于E:/>

IUSR_XXXXXX

WINWEBMAIL访问WEB站点专用帐户

修改/读取运行/列出文件目录/读Users

取/写入

该文件夹，子文件夹及文件

<不是继承的>

修改/读取运行/列出文件目录/读取/写入

该文件夹，子文件夹及文件

<不是继承的>

<继承于E:/>

读取和运行

该文件夹，子文件夹及文件

完全控制

只有子文件夹及文件

<不是继承的>

完全控制

该文件夹，子文件夹及文件

<不是继承的>

读取和运行

该文件夹，子文件夹及文件

IWAM_XXXXXX

IUSR_XXXXXX 和IWAM_XXXXXX

是winwebmail专用的IIS用户和应用程序池用户

单独使用，安全性能高

池专用帐户

<不是继承的>

修改/读取运行/列出文件目录/读WINWEBMAIL应用程序取/写入

该文件夹，子文件夹及文件

十一：本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests（注意一定不能加入user组，否则不能远程桌面）

通过终端服务允许登陆：只加入Administrators组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐户

帐户：重命名系统管理员帐户重命名一个帐户

十二：其它注册表项

1、防止SYN洪水攻击

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters 新建DWORD值，名为SynAttackProtect，值为2

2、禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface

新建DWORD值，名为PerformRouterDiscovery 值为0

3. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

将EnableICMPRedirects 值设为0

4. 不支持IGMP协议

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

新建DWORD值，名为IGMPLevel 值为0

十三：如果有非法用户，要删除

如果您是一名网络管理员，请保持经常检查服务器帐户的良好习惯，如果您看到一名陌生的帐户，而且发现这名帐户不属于任何用户组的时候，那么恭喜你，你的管理员帐户可能被克隆了，该用户很可能拥有服务器的超管权限，因为那是通过克隆你的超管帐号的sam信息建立的帐户，该用户不属于任何用户组，使用用户管理器或命令行下删除该用户时将提示“用户不属于此组 ”，正确删除方法如下：

运行注册表编辑器，依次展开 HKEY_LOCAL_MACHINE/SAM/SAM，右键点击，选择权限，更改Administrators的权限为完全控制.刷新后依次展开该项下的的Domains/Account/Users/Names/ 删除该子项下的陌生帐号及与之相对应的Domains/Account/Users里的项;返回，删除administrator在

HKEY_LOCAL_MACHINE/SAM/SAM下的权限。

重启系统搞定。

补充一下，以便于大家回答，本来是可以在注册表中，将些账号删除

过程我想大家想知道了，我要么再罗嗦一下，

1.在cmd下进入regedt32下提高sam/sam文件夹的权限（在菜单的“安全”里），提高到当前用户完全控制，关掉（要不这么做regedit中HKEY_local_machine/sam/sam是没有权限查看的！）.

2. 进入regedit中HKEY_local_machine/sam/sam/domains/account/users/names/那个黑账号,删除它，删除前先看一下其对应的文件夹，在HKEY_local_machine/sam/sam/domains/account/users下，一起删除掉。

十四：端口检测

安装端口实时监测软件如ActivePorts，它的最大好处在于在监视端口的同时，能把活动端口所对应的应用程序列出来。

十五：安全扫描

对计算机进行全方位的立体检测，可用微软为我们提供的免费工具MBSA(Microsoft Baseline Security

Analyzer，微软基准安全分析器)进行检测。

发布者：admin，转转请注明出处：http://www.yc00.com/web/1687577367a21592.html