服務(wù)器上的ie安全設(shè)置 服務(wù)器上的ie安全設(shè)置怎么關(guān)閉

我打開“用戶賬戶”時(shí)只顯示：Automation服務(wù)器不能創(chuàng)建對(duì)象。

開始－－運(yùn)行 輸入 regsvr32 scrrun.dll 就可以了。

主要從事網(wǎng)頁設(shè)計(jì)、PC網(wǎng)站建設(shè)（電腦版網(wǎng)站建設(shè)）、wap網(wǎng)站建設(shè)（手機(jī)版網(wǎng)站建設(shè)）、響應(yīng)式網(wǎng)站開發(fā)、程序開發(fā)、微網(wǎng)站、小程序設(shè)計(jì)等，憑借多年來在互聯(lián)網(wǎng)的打拼，我們?cè)诨ヂ?lián)網(wǎng)網(wǎng)站建設(shè)行業(yè)積累了豐富的網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、網(wǎng)絡(luò)營(yíng)銷經(jīng)驗(yàn)，集策劃、開發(fā)、設(shè)計(jì)、營(yíng)銷、管理等多方位專業(yè)化運(yùn)作于一體，具備承接不同規(guī)模與類型的建設(shè)項(xiàng)目的能力。

另外

1。有些腳本需要微軟的 MSXML 控件才能進(jìn)入。當(dāng)使用 IE 5 以上版本的缺省安全模式時(shí)，會(huì)提示是否接受 MSXML 控件，如果接受，MSXML 將自動(dòng)安裝到您的機(jī)器上(得等上幾分鐘)。如果自動(dòng)安裝不成功，可以自行下載和安裝 MSXML 3.0。

2。如果安裝 MSXML 3 后仍然出現(xiàn) 'Automation 服務(wù)器不能創(chuàng)建對(duì)象' 錯(cuò)誤，是因?yàn)槟臋C(jī)器禁止了所有的 ActiveX, 一般將 IE 的安全模式設(shè)為“中”即可。

請(qǐng)問一下方法一中，怎么才能安裝MSXML，方法2，我本身安全模式設(shè)置的就是“中”啊

實(shí)例：在控制面板中打開“用戶帳戶”，選擇其中的“更改用戶登錄或注銷的方式”時(shí)出現(xiàn)“automation服務(wù)器不能創(chuàng)建對(duì)象”的錯(cuò)誤提示。（如果在執(zhí)行其他操作時(shí)，出現(xiàn)這個(gè)錯(cuò)誤提示，亦可按下面的方法解決，原因是一樣的。）

解決：主要是Scripting.FileSystemObject (FSO 文本文件讀寫)被關(guān)閉了，開啟FSO功能即可，在“運(yùn)行”中執(zhí)行regsvr32 scrrun.dll

附：如果javascript腳本中報(bào)這個(gè)錯(cuò)誤是因?yàn)镮E的安全設(shè)置不允許運(yùn)行未標(biāo)記為安全的activeX控件 更改IE的安全設(shè)置，把相應(yīng)的選項(xiàng)打開即可。

有時(shí)用上面“解決”中所提的方法不是100%成功的，因?yàn)楫吘箤?dǎo)致同樣現(xiàn)象的原因并不是只會(huì)有一個(gè)，這個(gè)亦是一個(gè)思路。如果是在安裝某個(gè)軟件后出現(xiàn)這種問題，可卸載該軟件或重裝一下！

農(nóng)行網(wǎng)銀如何設(shè)置ie

1、登錄農(nóng)行網(wǎng)站，點(diǎn)擊左側(cè)的"證書向?qū)?

2、點(diǎn)擊"個(gè)人證書下載"，選擇"瀏覽器證書"

3、點(diǎn)擊頁面最下方的"瀏覽器證書下載"

4、輸入?yún)⒖继?hào)和授權(quán)碼（密碼信封內(nèi)），點(diǎn)提交

5、點(diǎn)擊"下一步"進(jìn)入確認(rèn)證書介質(zhì)頁面

6、點(diǎn)擊"下一步"進(jìn)入安全級(jí)別設(shè)置窗口。默認(rèn)證書安全級(jí)別為中級(jí)即以后使用時(shí)沒有密碼保護(hù)。如果需要使用密碼進(jìn)入，需要把安全級(jí)別設(shè)為"高級(jí)"，選擇"設(shè)置安全級(jí)別"。

7、在彈出的選擇框中選擇"高"

8、點(diǎn)擊"下一步"，彈出設(shè)置密碼頁，在此設(shè)置今后使用網(wǎng)銀進(jìn)行操作時(shí)的證書密碼

9、點(diǎn)擊"完成"，IE瀏覽器證書下載成功，系統(tǒng)成功提示

10、上述步驟完成之后，證書下載成功，可以正常使用網(wǎng)上銀行

組策略如何限制IE訪問網(wǎng)站

在本篇技術(shù)指南中，將概要介紹你如何修改最重要的組策略安全設(shè)置。

在本篇技術(shù)指南中，將概要介紹你如何修改最重要的組策略安全設(shè)置。

你可以在采用Windows XP、2000和Server 2003操作系統(tǒng)的本地計(jì)算機(jī)上使用這些方法，或者在Server 2003和2000中的OU域名級(jí)上使用這些方法。為了簡(jiǎn)明扼要和提供最新的信息，我準(zhǔn)備介紹一下如何設(shè)置基于Windows Server 2003的域名。請(qǐng)記住，這些只是你在你的域名中能夠設(shè)置的組策略對(duì)象中最有可能出現(xiàn)問題的。按照我的觀點(diǎn)，這些設(shè)置可以保持或者破壞Windows的安全。而且由于設(shè)置的不同，你的進(jìn)展也不同。因此，我鼓勵(lì)你在使用每一個(gè)設(shè)置之前都進(jìn)行深入的研究，以確保這些設(shè)置能夠兼容你的網(wǎng)絡(luò)。如果有可能的話，對(duì)這些設(shè)置進(jìn)行試驗(yàn)(如果你很幸運(yùn)有一個(gè)測(cè)試環(huán)境的話)。

如果你沒有進(jìn)行測(cè)試，我建議你下載和安裝微軟的組策略管理控制臺(tái)(GPMC)來做這些改變。這個(gè)程序能夠把組策略管理任務(wù)集中到一個(gè)單一的界面讓你更全面地查看你的域名。要開始這個(gè)編輯流程，你就上載GPMC，擴(kuò)展你的域名，用鼠標(biāo)右鍵點(diǎn)擊“缺省域名策略”，然后選擇“編輯”。這樣就裝載了組策略對(duì)象編輯器。如果你要以更快的速度或者“次企業(yè)級(jí)”的方式編輯你的域名組策略對(duì)象，你可以在“開始”菜單中運(yùn)行“gpedit.msc”。

1.確定一個(gè)缺省的口令策略，使你的機(jī)構(gòu)設(shè)置位于“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/賬號(hào)策略/口令策略”之下。

2.為了防止自動(dòng)口令破解，在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/賬號(hào)策略/賬號(hào)關(guān)閉策略”中進(jìn)行如下設(shè)置:

·賬號(hào)關(guān)閉持續(xù)時(shí)間(確定至少5-10分鐘)

·賬號(hào)關(guān)閉極限(確定最多允許5至10次非法登錄)

·隨后重新啟動(dòng)關(guān)閉的賬號(hào)(確定至少10-15分鐘以后)

3.在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/本地策略/檢查策略”中啟用如下功能:

·檢查賬號(hào)管理

·檢查登錄事件

·檢查策略改變

·檢查權(quán)限使用

·檢查系統(tǒng)事件

理想的情況是，你要啟用記錄成功和失敗的登錄。但是，這取決于你要保留什么類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設(shè)置。要記住，啟用每一種類型的記錄都需要你的系統(tǒng)處理器和硬盤提供更多的資源。

4.作為增強(qiáng)Windows安全的最佳做法和為攻擊者設(shè)置更多的障礙以減少對(duì)Windows的攻擊，你可以在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)”中進(jìn)行如下設(shè)置:

·賬號(hào):重新命名管理員賬號(hào)--不是要求更有效而是增加一個(gè)安全層(確定一個(gè)新名字)

·賬號(hào):重新命名客戶賬號(hào)(確定一個(gè)新名字)

·交互式登錄:不要顯示最后一個(gè)用戶的名字(設(shè)置為啟用)

·交互式登錄:不需要最后一個(gè)用戶的名字(設(shè)置為關(guān)閉)

·交互式登錄: 為企圖登錄的用戶提供一個(gè)消息文本(確定為讓用戶閱讀banner text(旗幟文本)，內(nèi)容大致為“這是專用和受控的系統(tǒng)。

如果你濫用本系統(tǒng)，你將受到制裁。--首先讓你的律師運(yùn)行這個(gè)程序)

·交互式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!后面寫的東西

·網(wǎng)絡(luò)接入:不允許SAM賬號(hào)和共享目錄(設(shè)置為“啟用”)

·網(wǎng)絡(luò)接入:將“允許每一個(gè)人申請(qǐng)匿名用戶”設(shè)置為關(guān)閉

·網(wǎng)絡(luò)安全:“不得存儲(chǔ)局域網(wǎng)管理員關(guān)于下一個(gè)口令變化的散列值”設(shè)置為“啟用”

·關(guān)機(jī):“允許系統(tǒng)在沒有登錄的情況下關(guān)閉”設(shè)置為“關(guān)閉”

·關(guān)機(jī):“清除虛擬內(nèi)存的頁面文件”設(shè)置為“啟用”

如果你沒有Windows Server 2003域名控制器，你在這里可以找到有哪些Windows XP本地安全設(shè)置的細(xì)節(jié)，以及這里有哪些詳細(xì)的Windows 2000 Server組策略的設(shè)置。要了解更多的有關(guān)Windows Server 2003組策略的信息，請(qǐng)查看微軟的專門網(wǎng)頁。

十一、如何設(shè)置IE中的安全設(shè)置選項(xiàng)按鈕？

問:我在Windows 2000桌面右擊IE圖標(biāo)并選擇“屬性”，選擇了“安全”標(biāo)簽后，發(fā)現(xiàn)“自定義級(jí)別”和“默認(rèn)級(jí)別”按鈕變成灰色不可選狀態(tài)，無法改變IE的安全等級(jí)。請(qǐng)問該如何解決？

答:出現(xiàn)這個(gè)問題的原因是系統(tǒng)在注冊(cè)表中添加了一個(gè)“SecChangeSettings”鍵進(jìn)行了限制。請(qǐng)打開注冊(cè)表編輯器，找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]，將右側(cè)窗口中的“SecChangeSettings”鍵刪除后，重啟IE即可解決問題。

十二、FAT32轉(zhuǎn)換為NTFS

如果要使用文件訪問權(quán)限，文件還必須位于NTFS文件系統(tǒng)的分區(qū)上。跟FAT和FAT32文件系統(tǒng)相比，NTFS文件系統(tǒng)可以在保持簇大小不變的情況下支持更大的分區(qū)，還有一系列的安全特性，建議使用。不過DOS和Windows 9x操作系統(tǒng)并不能支持這種文件系統(tǒng)。有兩種方法獲得NTFS文件系統(tǒng)的分區(qū)：創(chuàng)建一個(gè)分區(qū)，然后格式化為NTFS文件系統(tǒng)；或者把現(xiàn)有的FAT或者FAT32文件系統(tǒng)的分區(qū)在保留數(shù)據(jù)的前提下轉(zhuǎn)化為NTFS文件系統(tǒng)。這個(gè)轉(zhuǎn)化可以使用Windows自帶的convert.exe程序，在命令行狀態(tài)下輸入“convert c:/fs:ntfs”并回車就可以把C盤轉(zhuǎn)換，其他盤需要替換C為相應(yīng)的盤符。另外要注意，轉(zhuǎn)換系統(tǒng)盤可能需要你重啟動(dòng)系統(tǒng)才能完成。

十三、用組策略從十大方面保護(hù)Windows安全

Windows操作系統(tǒng)中組策略的應(yīng)用無處不在，如何讓系統(tǒng)更安全，也是一個(gè)常論不休的話題，下面就讓我們一起來看看通過組策略如何給Windows系統(tǒng)練就一身金鐘罩。

一、給我們的IP添加安全策略

在“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“IP 安全策略，在本地計(jì)算機(jī)”下與有與網(wǎng)絡(luò)有關(guān)的幾個(gè)設(shè)置項(xiàng)目(如圖1)。如果大家對(duì)Internet較為熟悉，那也可以通過它來添加或修改更多的網(wǎng)絡(luò)安全設(shè)置，這樣在Windows上運(yùn)行網(wǎng)絡(luò)程序或者暢游Internet時(shí)將會(huì)更加安全。

小提示 :由于此項(xiàng)較為專業(yè)，其間會(huì)涉及到很多的專業(yè)概念，一般用戶用不到，在這里只是給網(wǎng)絡(luò)管理員們提個(gè)醒，因此在此略過。

二、隱藏驅(qū)動(dòng)器

平時(shí)我們隱藏文件夾后，別人只需在文件夾選項(xiàng)里顯示所有文件，就可以看見了，我們可以在組策略里刪除這個(gè)選項(xiàng)：選擇“用戶配置→管理模板→Windows組件→Windows資源管理器”。

三、禁用指定的文件類型

在“組策略”中，我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型，而且不影響系統(tǒng)的正常運(yùn)行。這里假設(shè)我們要禁用注冊(cè)表的REG文件，不讓系統(tǒng)運(yùn)行REG文件，具體操作方法如下：

1. 打開組策略，點(diǎn)擊“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略”，在彈出的右鍵菜單上選擇“創(chuàng)建軟件限制策略”，即生成“安全級(jí)別”、“其他規(guī)則”及“強(qiáng)制”、“指派的文件類型”、“受信任的出版商”項(xiàng)。

2. 雙擊“指派的文件類型”打開“指派的文件類型屬性”窗口，只留下REG文件類型，將其他的文件全部刪除，如果還有其他的文件類型要禁用，可以再次打開這個(gè)窗口，在“文件擴(kuò)展名”空白欄里輸入要禁用的文件類型，將它添加上去。

3. 雙擊“安全級(jí)別→不允許的”項(xiàng)，點(diǎn)擊“設(shè)為默認(rèn)”按鈕。然后注銷系統(tǒng)或者重新啟動(dòng)系統(tǒng)，此策略即生效，運(yùn)行REG文件時(shí)，會(huì)提示“由于一個(gè)軟件限制策略的阻止，Windows無法打開此程序”。

4.要取消此軟件限制策略的話，雙擊“安全級(jí)別→不受限的”，打開“不受限的屬性”窗口，按“設(shè)為默認(rèn)值”即可。

如果你鼠標(biāo)右鍵點(diǎn)擊“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略→其他規(guī)則”，你會(huì)看到它可以建立哈希規(guī)則、Internet 區(qū)域規(guī)則、路徑規(guī)則等策略，利用這些規(guī)則我們可以讓系統(tǒng)更加安全，比如利用“路徑規(guī)則”可以為電子郵件程序用來運(yùn)行附件的文件夾創(chuàng)建路徑規(guī)則，并將安全級(jí)別設(shè)置為“不允許的”，以防止電子郵件病毒。

提示：為了避免“軟件限制策略”將系統(tǒng)管理員也限制，我們可以雙擊“強(qiáng)制”，選擇“除本地管理員以外的所有用戶”。如果用你的是文件類型限制策略，此選項(xiàng)可以確保管理員有權(quán)運(yùn)行被限制的文件類型，而其他用戶無權(quán)運(yùn)行。

四、未經(jīng)許可，不得在本機(jī)登錄

使用電腦時(shí)，我們有時(shí)要離開座位一段時(shí)間。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等，為了避免有人動(dòng)用電腦，我們一般會(huì)把電腦鎖定。但是在局域網(wǎng)中，為了方便網(wǎng)絡(luò)登錄，我們有時(shí)候會(huì)建立一些來賓賬戶，如果對(duì)方利用這些賬戶來注銷當(dāng)前賬戶登錄到別的賬戶，那就麻煩了。既然我們不能刪除或禁用這些賬戶，那么我們可以通過“組策略”來禁止一些賬戶在本機(jī)上登錄，讓對(duì)方只能通過網(wǎng)絡(luò)登錄。

在“組策略”窗口中依次打開“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”，然后雙擊右側(cè)窗格的“拒絕本地登錄”項(xiàng)，在彈出的窗口中添加要禁止的用戶或組即可實(shí)現(xiàn)。

如果我們想反其道而行之，禁止用戶從網(wǎng)絡(luò)登錄，只能從本地登錄，可以雙擊“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”項(xiàng)將用戶加上去?！?/p>

五、給“休眠”和“待機(jī)”加個(gè)密碼

只有“屏幕保護(hù)”有密碼是遠(yuǎn)遠(yuǎn)不夠安全的，我們還要給“休眠”和“待機(jī)”加上密碼，這樣才會(huì)更安全。讓我們來給“休眠”和“待機(jī)”加上密碼吧。在“組策略”窗口中展開“用戶配置→管理模板→系統(tǒng)→電源管理”，在右邊的窗格中雙擊“從休眠/掛起恢復(fù)時(shí)提示輸入密碼”，將其設(shè)置為“已啟用”(圖5)，那么當(dāng)我們從“待機(jī)”或“休眠”狀態(tài)返回時(shí)將會(huì)要求你輸入用戶密碼。

　六、自動(dòng)給操作做個(gè)記錄

在“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→審核策略”上，我們可以看到它可以審核策略更改、登錄事件、對(duì)象訪問、過程追蹤、目錄服務(wù)訪問、特權(quán)使用等(圖6)。這些審核可以記錄下你某年某月某日某時(shí)某分某秒做過了什么操作：幾時(shí)登錄、關(guān)閉系統(tǒng)或更改過哪些策略等等。

我們應(yīng)該養(yǎng)成經(jīng)常在“控制面板→管理工具→事件查看器”里查看事件的好習(xí)慣。比如，當(dāng)你修改過“組策略”后，系統(tǒng)就發(fā)生了問題，此時(shí)“事件查看器”就會(huì)及時(shí)告訴你改了哪些策略。在“登錄事件”里，你可以查看到詳細(xì)的登錄事件，知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核，只要雙擊相應(yīng)的項(xiàng)目，選中“成功”和“失敗”兩個(gè)選項(xiàng)即可。

注意：Windows XP Home Edition沒有“組策略”，只有Windows XP Professional版本才有“組策略”，這一點(diǎn)注意。

七、限制IE瀏覽器的保存功能

當(dāng)多人共用一臺(tái)計(jì)算機(jī)時(shí)，為了保持硬盤的整潔，需要對(duì)瀏覽器的保存功能進(jìn)行限制使用，那么如何才能實(shí)現(xiàn)呢?具體方法為：選擇“用戶設(shè)置”→“管理模板”→“Windows組件”→“Internet Explorer”→“瀏覽器菜單”分支。雙擊右側(cè)窗格中的“‘文件’菜單：禁用‘另存為…’菜單項(xiàng)”，在打開的設(shè)置窗口中選中“已啟用”單選按鈕(如圖7)。

提示 : 我們還可以對(duì)“‘文件’菜單：禁用另存為網(wǎng)頁菜單項(xiàng)”、“‘查看’菜單：禁用‘源文件’菜單項(xiàng)”和“禁用上下文菜單”等策略項(xiàng)目進(jìn)行修改，這樣我們的IE將會(huì)安全一些。

八、禁止修改IE瀏覽器的主頁

如果您不希望他人或網(wǎng)絡(luò)上的一些惡意代碼對(duì)自己設(shè)定的IE瀏覽器主頁進(jìn)行隨意更改的話，我們可以選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支，然后在右側(cè)窗格中，雙擊“禁用更改主頁設(shè)置”策略啟用即可。

(1)在圖8，還提供了更改歷史記錄設(shè)置、更改顏色設(shè)置和更改Internet臨時(shí)文件設(shè)置等項(xiàng)目的禁用功能。如果啟用了這個(gè)策略，在IE瀏覽器的“Internet 選項(xiàng)”對(duì)話框中，其“常規(guī)”選項(xiàng)卡的“主頁”區(qū)域的設(shè)置將變灰。

(2)如果設(shè)置了位于“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常規(guī)頁”策略，則無需設(shè)置該策略，因?yàn)椤敖贸Ｒ?guī)頁”策略將刪除界面上的“常規(guī)”選項(xiàng)卡。

(3)逐級(jí)展開“用戶設(shè)置”→“管理模板”→“Windows組件”→“Internet Explorer”分支，我們可以在其下發(fā)現(xiàn)“Internet控制面板”、“脫機(jī)頁”、“瀏覽器菜單”、“工具欄”、“持續(xù)行為”和“管理員認(rèn)可的控件”等策略選項(xiàng)。利用它可以充分打造一個(gè)極有個(gè)性和安全的IE。

九、把Administrator藏起來

Windows系統(tǒng)默認(rèn)的系統(tǒng)管理員賬戶名是Administrator。因此，為了避免有人惡意破解系統(tǒng)管理員Administrator賬戶的密碼，我們可以將Administrator改為其他名字以加強(qiáng)安全。點(diǎn)擊“開始→運(yùn)行”，輸入gpedit.msc，打開“組策略”，如圖9所示，選擇“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右邊窗格里雙擊“賬戶：重命名系統(tǒng)管理員賬戶”項(xiàng)，在上面輸入你想要的用戶名。重新啟動(dòng)計(jì)算機(jī)后，輸入的新用戶名即刻生效。如果再新建一個(gè)Guest用戶，用戶名為Administrator，然后再加上十分復(fù)雜的密碼就更安全。

提示：為了避免讓人在Windows的登錄框中看到曾經(jīng)登錄過的用戶名，就要雙擊“交互式登錄：不顯示上次的用戶名”子項(xiàng)，選擇“已啟用”將該策略啟用。這樣上次登錄到計(jì)算機(jī)的用戶名就不會(huì)顯示在Windows的登錄畫面中。

十.禁用IE組件自動(dòng)安裝

選擇“計(jì)算機(jī)配置”→“管理模板”→“Windows組件”→“Internet Explorer”項(xiàng)目，雙擊右邊窗口中“禁用Internet Explorer組件的自動(dòng)安裝”項(xiàng)目，在打開的窗口中選擇“已啟用”單選按鈕(如圖10)，將會(huì)禁止 Internet Explorer 自動(dòng)安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個(gè)組件的網(wǎng)站時(shí)下載該組件，篡改IE的行為也會(huì)得到遏制!相對(duì)來說IE也會(huì)安全許多!

小提示

如果禁用該策略或不對(duì)其進(jìn)行配置，則用戶在訪問需要某個(gè)組件的網(wǎng)站時(shí)，將會(huì)收到一則消息，提示用戶下載并安裝該組件。有時(shí)用戶看也不看就選擇“安裝”則往往會(huì)出問題。網(wǎng)上的很多惡意代碼往往都是這樣工作的。

十四、Windows 2000 安全檢查清單

在網(wǎng)上偶爾看到這篇關(guān)于Window 2000安全的問題，雖然有點(diǎn)老了，但覺得還是挺實(shí)用的，于是就轉(zhuǎn)過來了，希望大家有所幫助。注意：很多操作請(qǐng)不要在服務(wù)器上直接嘗試，因?yàn)椴僮鞑划?dāng)可能會(huì)引起服務(wù)器很多功能出錯(cuò)或無法使用，建議您在個(gè)人的機(jī)器上操作成功后再試。 ---51windows(海娃)

前段時(shí)間，中美網(wǎng)絡(luò)大戰(zhàn)，我看了一些被黑的服務(wù)器，發(fā)現(xiàn)絕大部分被黑的服務(wù)器都是Nt/win2000的機(jī)器，真是慘不忍睹。Windows2000 真的那么不安全么？其實(shí)，Windows2000 含有很多的安全功能和選項(xiàng)，如果你合理的配置它們，那么windows 2000將會(huì)是一個(gè)很安全的操作系統(tǒng).我抽空翻了一些網(wǎng)站，翻譯加湊數(shù)的整理了一篇checklist出來。希望對(duì)win2000管理員有些幫助。本文并沒有什么高深的東西，所謂的清單，也并不完善，很多東西要等以后慢慢加了，希望能給管理員作一參考。

具體清單如下：

初級(jí)安全篇

1.物理安全

服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機(jī)箱,鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在另外的安全的地方。

2.停掉Guest 帳號(hào)

在計(jì)算機(jī)管理的用戶里面把guest帳號(hào)停用掉，任何時(shí)候都不允許guest帳號(hào)登陸系統(tǒng)。為了保險(xiǎn)起見，最好給guest 加一個(gè)復(fù)雜的密碼，你可以打開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長(zhǎng)字符串，然后把它作為guest帳號(hào)的密碼拷進(jìn)去。

3．限制不必要的用戶數(shù)量

去掉所有的duplicate user 帳戶, 測(cè)試用帳戶, 共享帳號(hào)，普通部門帳號(hào)等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不在使用的帳戶。這些帳戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。國(guó)內(nèi)的nt/2000主機(jī)，如果系統(tǒng)帳戶超過10個(gè)，一般都能找出一兩個(gè)弱口令帳戶。我曾經(jīng)發(fā)現(xiàn)一臺(tái)主機(jī)197個(gè)帳戶中竟然有180個(gè)帳號(hào)都是弱口令帳戶。

4．創(chuàng)建2個(gè)管理員用帳號(hào)

雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來收信以及處理一些日常事物，另一個(gè)擁有Administrators 權(quán)限的帳戶只在需要的時(shí)候使用?？梢宰尮芾韱T使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理。

5．把系統(tǒng)administrator帳號(hào)改名

大家都知道，windows 2000 的administrator帳號(hào)是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。當(dāng)然，請(qǐng)不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone 。

6．創(chuàng)建一個(gè)陷阱帳號(hào)

什么是陷阱帳號(hào)? Look!創(chuàng)建一個(gè)名為” Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Scripts s忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。或者在它的login scripts上面做點(diǎn)手腳。嘿嘿，夠損！

7．把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”

“everyone” 在win2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成”everyone”組。包括打印共享，默認(rèn)的屬性就是”everyone”組的，一定不要忘了改。

8．使用安全密碼

一個(gè)好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經(jīng)可以說明這一點(diǎn)了。一些公司的管理員創(chuàng)建帳號(hào)的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的東西做用戶名，然后又把這些帳戶的密碼設(shè)置得N簡(jiǎn)單，比如 “welcome” “iloveyou” “l(fā)etmein”或者和用戶名相同等等。這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。前些天在IRC和人討論這一問題的時(shí)候，我們給好密碼下了個(gè)定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長(zhǎng)的時(shí)間才能破解出來，而你的密碼策略是42天必須改密碼。

9．設(shè)置屏幕保護(hù)密碼

很簡(jiǎn)單也很有必要，設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，讓他黑屏就可以了。還有一點(diǎn)，所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。

10． 使用NTFS格式分區(qū)

把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多。這點(diǎn)不必多說，想必大家得服務(wù)器都已經(jīng)是NTFS的了。

11．運(yùn)行防毒軟件

我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的，其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級(jí)病毒庫

12．保障備份盤的安全

一旦系統(tǒng)資料被破壞，備份盤將是你恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。千萬別把資料備份在同一臺(tái)服務(wù)器上，那樣的話，還不如不要備份。

中級(jí)安全篇：

1．利用win2000的安全配置工具來配置策略

微軟提供了一套的基于MMC(管理控制臺(tái))安全配置和分析工具，利用他們你可以很方便的配置你的服務(wù)器以滿足你的要求。具體內(nèi)容請(qǐng)參考微軟主頁：

2．關(guān)閉不必要的服務(wù)

windows 2000 的 Terminal Services（終端服務(wù)），IIS ,和RAS都可能給你的系統(tǒng)帶來安全漏洞。為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的，如果你的也開了，要確認(rèn)你已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行。要留意服務(wù)器上面開啟的所有服務(wù)，中期性(每天)的檢查他們。下面是C2級(jí)別安裝的默認(rèn)服務(wù)：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

3．關(guān)閉不必要的端口

關(guān)閉端口意味著減少功能，在安全和功能上面需要你作一點(diǎn)決策。如果服務(wù)器安裝在防火墻的后面，冒的險(xiǎn)就會(huì)少些，但是，永遠(yuǎn)不要認(rèn)為你可以高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些服務(wù)是黑客入侵你的系統(tǒng)的第一步。\system32\drivers\etc\services 文件中有知名端口和服務(wù)的對(duì)照表可供參考。具體方法為：

網(wǎng)上鄰居屬性本地連接屬性internet 協(xié)議(tcp/ip)屬性高級(jí)選項(xiàng)tcp/ip篩選屬性打開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。

4．打開審核策略

開啟安全審核是win2000最基本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)你的系統(tǒng)進(jìn)行某些方式（如嘗試用戶密碼,改變帳戶策略，未經(jīng)許可的文件訪問等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來。很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道，直到系統(tǒng)遭到破壞。下面的這些審核是必須開啟的，其他的可以根據(jù)需要增加：

策略 設(shè)置

審核系統(tǒng)登陸事件 成功，失敗

審核帳戶管理 成功，失敗

審核登陸事件 成功，失敗

審核對(duì)象訪問 成功

審核策略更改 成功，失敗

審核特權(quán)使用 成功，失敗

審核系統(tǒng)事件 成功，失敗

5．開啟密碼密碼策略

策略 設(shè)置

密碼復(fù)雜性要求 啟用

密碼長(zhǎng)度最小值 6位

強(qiáng)制密碼歷史 5 次

強(qiáng)制密碼歷史 42 天

6．開啟帳戶策略

策略 設(shè)置

復(fù)位帳戶鎖定計(jì)數(shù)器 20分鐘

帳戶鎖定時(shí)間 20分鐘

帳戶鎖定閾值 3次

7．設(shè)定安全記錄的訪問權(quán)限

安全記錄在默認(rèn)情況下是沒有保護(hù)的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問。

8．把敏感文件存放在另外的文件服務(wù)器中

雖然現(xiàn)在服務(wù)器的硬盤容量都很大，但是你還是應(yīng)該考慮是否有必要把一些重要的用戶數(shù)據(jù)(文件，數(shù)據(jù)表，項(xiàng)目文件等)存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。

9.不讓系統(tǒng)顯示上次登陸的用戶名

默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶明，本地的登陸對(duì)話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進(jìn)而作密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登陸的用戶名，具體是： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的鍵值改成 1 .

10．禁止建立空連接

默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測(cè)密碼。我們可以通過修改注冊(cè)表來禁止建立空連接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

11．到微軟網(wǎng)站下載最新的補(bǔ)丁程序

很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。誰也不敢保證數(shù)百萬行以上代碼的2000不出一點(diǎn)安全漏洞，經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的service pack和漏洞補(bǔ)丁，是保障服務(wù)器長(zhǎng)久安全的唯一方法。

分享題目：服務(wù)器上的ie安全設(shè)置 服務(wù)器上的ie安全設(shè)置怎么關(guān)閉
文章地址：http://m.jiaotiyi.com/article/ddoohds.html