2003server简单优化与安全设置

　　1. 启用声卡
　　安装后，声卡是禁止状态，所以要在 控制面板 -> 声音 -> 启用，重启之后再设置它在任务栏显示。 　
　　如果你使用的是Windos server 2003标准版请从第二步xx作，因为标准版已允许声音服务。
　　▲打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“Windos Audio”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”ˋutomatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）
　　▲打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“Sound”（Display）页面，把“声音的硬件加速级别”（Hardare Sound Aeleration Level）滚动条拉到“完全加速”（ Full Aeleration）。

　　2. 如何启用 ASP 支持
　　Windos Server 2003 默认安装，是不安装 IIS 6 的，需要安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。方法是 控制面板 -> 管理工具 -> Web服务扩展 -> Active Server Pages -> 允许。

　　3.启用硬件和DirectX加速
　　▲硬件加速桌面点击右键－－属性（Properties） -> 设置（Settings ）－－高级（ Advanced ）－－ 疑难解答（Troubleshoot）。把该页面的硬件加速滚动条拉到“完全”（ Full），最好点击“确定”（OK）保存退出。这期间可能出现一瞬的黑屏是完全正常。
　　▲DirectX加速打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“显示”（Display）页面，点击DirectDra, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”（Hardare Sound Aeleration Level）滚动条拉到“完全加速”（ Full Aeleration）。

 
         4.禁用配置服务器向导:
　　禁止“配置你的服务器”（Manage Your Server）向导的出现在控制面板（Control Panel） -> 管理员工具
（Administrative Tools ）-> 管理你的服务器（Manage Your Server）运行它，然后在窗口的左下角复选“登录时不要显示该页”（Don't display this page at logon）。

　　5. 如何启用 XP 的桌面主题
　　▲打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，选themes“主题”（默认是禁止的），然后改为“自动”，按“应用”，选“开启”。
　　▲接着点“桌面”的属性，在“主题”里选“indos xp”
　　▲我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影

　　6. 禁止关机时出现的关机理由选择项
　　关机事件跟踪（Shutdon Event Tracker）也是Windos server 2003区别于其他工作站系统的一个设置，对于服务器来说这是一个必要的选择，对于工作站系统却没什么用，我们同样可以禁止它。
　　打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates ）-> ”系统“（System）,在右边窗口双击“Shutdon Event Tracker” 在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出，这样，你将看到类似于indos 2000的关机窗口

　　7.禁用Inter Explorer Enhanced Security 和禁止安全询问框的出现
在IE工具选项中自定义设置IE的安全级别。在”安全“（Security）选项卡上拉动滚动条把Inter区域安全设置为”中“（Medium）或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。

　　8. 如何使用USB硬盘、U盘，添加已经有分区的硬盘
　　我的电脑（单击右键）----管理----磁盘管理-----在相应的硬盘上执行导入和分配盘符操作        
　　9. 禁用开机 CTRL+ALT+DEL和实现自动登陆
　　▲方法1打开注册表(运行->“Regedit”)，再打开:
HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windos NT|CurrentVersion |Winlogon段，在此段中按右键，新建二个字符串段，AutoAdminLogon=“1”，DefaultPassord=“为超级用户Administrator所设置的Passord”。
　　注意，一定要为Administrator设置一个密码，否则不能实现自启动。 然后，重新启动Windos即可实现自动登录。
　　▲方法2管理工具 -> Local Security Settings（本地安全策略） -> 本地策略 -> 安全选项 -> interactive logon: Do not require CTRL+ALT+DEL，启用之。
　　▲方法3（自动登陆）使用Windos XP的Teak UI来实现Server 2003自动登陆。
　　下载Teak UI http://.ssite./uppic/sun_pic/...003/teakui.EⅩE
　　下载后直接执行teakui.EⅩE 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名（如果没有就不写），点击下面的Set Passord，输入用户名的密码，然后点击OK。

　　10.允许内置的IMAPI CD-Burning服务和支持Windos影像设备服务
　　允许内置的IMAPI CD-Burning服务和支持Windos影像设备服务
　　▲假如你电脑维修网希望启用Windos内置的IMAPI CD-Burning服务。做如下xx作
打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到 “IMAPI CD-Burning COM Service ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）
　　▲假如你有如数码相机和扫描仪之类的影像设备，你应该打开Windos Image Acquisition 服务。
　　打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到 “Windos Image Acquisition (WIA) ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

　　11.隐藏文件
　　Windos Server 2003默认情况下是显示所有的文件夹的，如果你不想这样，可以通过一下方法来隐藏打开任意一个文件夹，选择工具（Tools） -> 文件夹选项（Folder Options） -> 查看（Vie），调整显示系统文件夹的内容、隐藏受保护的操作系统文件、隐藏文件和文件夹 三项

        12.高级设置

　　▲我们可以修改一些indos server 2003的高级设置以适合工作站的应用环境。
右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）
－－设置（Setting）－－高级（Advanced），把“处理器计划”（Processor scheduling ）和内存使用
（Memory usage）分配给“程序”（Programs）使用。然后点击“确定”（OK.）
　　▲禁用错误报告右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－点击“错误报告”
（Error Reporting ）按钮，在出现的窗口中把“禁用错误报告”（Disable Error Reporting）选上并复选“但在发生严重错误时通知我”（But, notify me hen critical errors our.）
　　▲调整虚拟内存 一些朋友经常会对关机和注销缓慢感到束手无策，解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能
（Performance）－－设置（Setting）－－高级（Advanced），点击“虚拟内存”（Virtual memory）部分的“更改”（Change），然后在出现的窗口选择“无分页文件”。重启系统即可。
　　14.加快启动和运行速度
　　▲修改注册表，减少预读取，减少进度条等待时间 　
　　开始→运行→regedit启动注册表编辑器，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\Memory Management\PrefetchParameters， 有一个键值名为EnablePrefetcher，它的值是3,把它改为“1”或“5”。找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control，
将 WaitToKillServiceTimeout 设为1000或更小。 ( 原设定值20000 )
找到 HKEY_CURRENT_USER\Control Panel\Desk 键，将右边视窗的
WaitToKillAppTimeout 改为 1000， ( 原设定值20000 )即关闭程序时仅等待1秒。
将 HungAppTimeout 值改为200( 原设定值5000 )， 表示程序出错时等待0.5秒。
　　▲让系统自动关闭停止回应的程式。
　　打开注册表 HKEY_CURRENT_USER\Control Panel\Desk 键，将 AutoEndTasks 值设为 1。 ( 原设定值0 )
　　▲禁用系统服务Qos
　　开始菜单→运行→键入 gpedit.msc ，出现“组策略”窗口， 展开 "管理模板”→“” ， 展开 "QoS 包调度程序"， 在右边窗右键单击“可保留带宽" ，在属性中的“设置”中有“可保留带宽" ，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败。
　　▲改变窗口弹出的速度
　　找到HKEY_CURRENT_USER＼Control Panel＼Desk＼WindoMetrics子键分支，在右边的窗口中找到MinAniMate键值，其类型为REG_SZ，默认情况下此健值的值为1，表示打开窗口显示的动画，把它改为0，则禁止动画显示，接下来从开始菜单中选择“注销”命令，激活刚才所作的修改。
　　▲禁止Windos XP的压缩功能
　　点击“开始”下的“运行”，在“运行”输入框中输入“regsvr32/u zipfldr.dll”，然后按回车键即可。
　　▲设置个性的启动信息或警告信息
个性化的Windos XP启动打开注册表编辑器，找到HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windos NT＼CurrentVersion＼Winlogon子键分支，双击LegalNoticeCaption健值，打开“编辑字符串”对话框，在“数值数据”下的文本框中输入自己想要的信息标题，如“哥们儿，你好！”，然后点击“确定”，重新启动。
如果想要改变警告信息的话可以双击LegalNoticeText健值名称，在出现的“编辑字符串”窗口中输入想要显示的警告信息，单击“确定”，重新启动。
　　15.安装Java VM
　　Windosserver 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。                                          2003server优化
　　16.安装DirectX 9a
　　在Windos Server 2003上安装DirectX 9a和在其他版本的Windos上安装DirectX 9a的方法是一样的。安装之前必须先启用DirectX and Graphics Aeleration。
　　17.可用的杀毒软件和防火墙
　　Symantec Norton Antivirus Corporate 8.01
　　Zone Alarm 3.7.159
　　Norton Personal Fireall 2003
　　五、如何防范ipc$入侵
　　1、禁止空连接进行枚举(此操作并不能阻止空连接的建立) 运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把
RestrictAnonymous = DWORD的键值改为00000001。restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server
　　2、禁止默认共享
　　1）察看本地共享资源
　　运行-cmd-输入 share
　　2）删除共享(每次输入一个）
　　 share ipc$ /delete
　　 share admin$ /delete
　　 share c$ /delete
　　 share d$ /delete（如果有e,f,……可以继续删除）
　　3）修改注册表删除共享
　　运行-regedit
　　找到如下主键　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
把AutoShareServer（DWORD）的键值改为0000000。
如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。
　　3、停止server服务
　　1）暂时停止server服务 s server /y （重新启动后server服务会重新开启）
　　2）永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用
　　4、安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等)
　　1).解开文件和共享绑定
　　鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。
　　2).利用TCP/IP筛选
　　鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，打开“本地连接属性”对话框。选择[Inter协议(TCP/IP)]→[属性]→[高级]→[选项]，在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮(如图2)，填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时，将不会有任何回应。
　　3).使用IPSec安全策略阻止对端口139和445的访问
　　选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地机器]，在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描器扫描时，本机的139和445两个端口也不会给予任何回应。
　　4).使用防火墙防范攻击
　　在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，单击[确定]按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。
　　5、给所有账户设置复杂密码，防止通过ipc$穷举密码。
13.高级设置
　　▲我们可以修改一些indos server 2003的高级设置以适合工作站的应用环境。
右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）
－－设置（Setting）－－高级（Advanced），把“处理器计划”（Processor scheduling ）和内存使用
（Memory usage）分配给“程序”（Programs）使用。然后点击“确定”（OK.）
　　▲禁用错误报告右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－点击“错误报告”
（Error Reporting ）按钮，在出现的窗口中把“禁用错误报告”（Disable Error Reporting）选上并复选“但在发生严重错误时通知我”（But, notify me hen critical errors our.）
　　▲调整虚拟内存 一些朋友经常会对关机和注销缓慢感到束手无策，解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能
（Performance）－－设置（Setting）－－高级（Advanced），点击“虚拟内存”（Virtual memory）部分的“更改”（Change），然后在出现的窗口选择“无分页文件”。重启系统即可。
　　14.加快启动和运行速度
　　▲修改注册表，减少预读取，减少进度条等待时间
　　开始→运行→regedit启动注册表编辑器，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\Memory Management\PrefetchParameters， 有一个键值名为EnablePrefetcher，它的值是3,把它改为“1”或“5”。找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control，
将 WaitToKillServiceTimeout 设为1000或更小。 ( 原设定值20000 )
找到 HKEY_CURRENT_USER\Control Panel\Desk 键，将右边视窗的
WaitToKillAppTimeout 改为 1000， ( 原设定值20000 )即关闭程序时仅等待1秒。
将 HungAppTimeout 值改为200( 原设定值5000 )， 表示程序出错时等待0.5秒。
　　▲让系统自动关闭停止回应的程式。
　　打开注册表 HKEY_CURRENT_USER\Control Panel\Desk 键，将 AutoEndTasks 值设为 1。 ( 原设定值0 )
　　▲禁用系统服务Qos
　　开始菜单→运行→键入 gpedit.msc ，出现“组策略”窗口， 展开 "管理模板”→“网络” ， 展开 "QoS 数据包调度程序"， 在右边窗右键单击“可保留带宽" ，在属性中的“设置”中有“可保留带宽" ，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败。
　　▲改变窗口弹出的速度
　　找到HKEY_CURRENT_USER＼Control Panel＼Desk＼WindoMetrics子键分支，在右边的窗口中找到MinAniMate键值，其类型为REG_SZ，默认情况下此健值的值为1，表示打开窗口显示的动画，把它改为0，则禁止动画显示，接下来从开始菜单中选择“注销”命令，激活刚才所作的修改。
　　▲禁止Windos XP的压缩功能
　　点击“开始”下的“运行”，在“运行”输入框中输入“regsvr32/u zipfldr.dll”，然后按回车键即可。
　　▲设置个性的启动信息或警告信息
个性化的Windos XP启动打开注册表编辑器，找到HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windos NT＼CurrentVersion＼Winlogon子键分支，双击LegalNoticeCaption健值，打开“编辑字符串”对话框，在“数值数据”下的文本框中输入自己想要的信息标题，如“哥们儿，你好！”，然后点击“确定”，重新启动。
如果想要改变警告信息的话可以双击LegalNoticeText健值名称，在出现的“编辑字符串”窗口中输入想要显示的警告信息，单击“确定”，重新启动。
　　15.安装Java VM
　　Windosserver 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。
　　16.安装DirectX 9a
　　在Windos Server 2003上安装DirectX 9a和在其他版本的Windos上安装DirectX 9a的方法是一样的。安装之前必须先启用DirectX and Graphics Aeleration。
　　17.可用的杀毒软件和防火墙
　　Symantec Norton Antivirus Corporate 8.01
　　Zone Alarm 3.7.159
　　Norton Personal Fireall 2003
　　五、如何防范ipc$入侵
　　1、禁止空连接进行枚举(此操作并不能阻止空连接的建立) 运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把
RestrictAnonymous = DWORD的键值改为00000001。restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server
　　2、禁止默认共享
　　1）察看本地共享资源
　　运行-cmd-输入 share
　　2）删除共享(每次输入一个）
　　 share ipc$ /delete
　　 share admin$ /delete
　　 share c$ /delete
　　 share d$ /delete（如果有e,f,……可以继续删除）
　　3）修改注册表删除共享
　　运行-regedit
　　找到如下主键　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
把AutoShareServer（DWORD）的键值改为0000000。
如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。
　　3、停止server服务
　　1）暂时停止server服务 s server /y （重新启动后server服务会重新开启）
　　2）永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用
　　4、安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等)
　　1).解开文件和打印机共享绑定
　　鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。
　　2).利用TCP/IP筛选
　　鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，打开“本地连接属性”对话框。选择[Inter协议(TCP/IP)]→[属性]→[高级]→[选项]，在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮(如图2)，填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时，将不会有任何回应。
　　3).使用IPSec安全策略阻止对端口139和445的访问
　　选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地机器]，在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描器扫描时，本机的139和445两个端口也不会给予任何回应。
　　4).使用防火墙防范攻击
　　在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，单击[确定]按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。
　　5、给所有账户设置复杂密码，防止通过ipc$穷举密码。