Windows2003服务器安装设置全教程

村长小麦

75. 服务名称： UPS
显示名称： Uninterruptible Power Supply
服务描述：管理连接到计算机的不间断电源(UPS)。
可执行文件路径：C:\WINDOWS\System32\ups.exe
其他补充：
操作建议：停止并禁用
76. 服务名称： uploadmgr
显示名称： Upload Manager
服务描述：管理网络上客户端和服务器之间的同步和异步文件传输。驱动程序数据会以匿名方式从这些传输中加载，Microsoft 使用这些数据帮助用户查找所需的驱动程序。驱动程序反馈服务器会请求客户端允许加载计算机的硬件配置文件，然后搜索 Internet，获取有关如何取得合适的驱动程序的详细信息或取得帮助。如果该服务停止，Microsoft 将无法访问驱动程序的数据。
可执行文件路径：C:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充：
操作建议：手动
77. 服务名称： vds
显示名称： Virtual Disk Service
服务描述：提供软件卷和硬件卷管理服务。
可执行文件路径：C:\WINDOWS\System32\vds.exe
其他补充：
操作建议：手动
78. 服务名称： VSS
显示名称： Volume Shadow Copy
服务描述：管理并执行用于备份和其它目的的卷影副本。如果此服务被终止，备份将没有卷影复制，并且备份会失败。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:\WINDOWS\System32\vssvc.exe
其他补充：
操作建议：手动
79. 服务名称： WebClient
显示名称： WebClient
服务描述：使基于 Windows 的程序能创建、访问和修改基于 Internet 的文件。如果此服务被停止，这些功能将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:\WINDOWS\system32\svchost.exe -k LocalService
其他补充：
操作建议：停止并禁用
80. 服务名称： AudioSrv
显示名称： Windows Audio
服务描述：管理基于 Windows 的程序的音频设备。如果此服务被终止，音频设备及其音效将不能正常工作。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用
81. 服务名称： SharedAccess
显示名称： Windows Firewall/Internet Connection Sharing (ICS)
服务描述：为家庭或小型办公网络提供网络地址转换，定址以及名称解析和/或防止入侵服务。
可执行文件路径：C:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充：
操作建议：自动
82. 服务名称： stisvc
显示名称： Windows Image Acquisition (WIA)
服务描述：为扫描仪和照相机提供图像捕获服务。
可执行文件路径：C:\WINDOWS\system32\svchost.exe -k imgsvc
其他补充：
操作建议：停止并禁用
83. 服务名称： MSIServer
显示名称： Windows Installer
服务描述：添加、修改和删除由 Windows Installer (*.msi) 程序包提供的应用程序。如果禁用了此服务，其他依赖此服务的服务将无法启动。
可执行文件路径：C:\WINDOWS\system32\msiexec.exe /V
其他补充：
操作建议：手动
84. 服务名称： winmgmt
显示名称： Windows Management Instrumentation
服务描述：提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。如果此服务被终止，多数基于 Windows 的软件将无法正常运行。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径：C:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充：
操作建议：自动
85. 服务名称： Wmi
显示名称： Windows Management Instrumentation Driver Extensions
服务描述：监视配置成用于发布 Windows Management Instrumentation (WMI) 或事件跟踪信息的所有驱动程序和事件跟踪提供程序。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径：C:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充：
操作建议：手动
86. 服务名称： W32Time
显示名称： Windows Time
服务描述：维护在网络上的所有客户端和服务器的时间和日期同步。如果此服务被停止，时间和日期的同步将不可用。如果此服务被禁用，任何明确依赖它的服务都将不能启动。
可执行文件路径：C:\WINDOWS\system32\svchost.exe -k LocalService
其他补充：
操作建议：手动
87. 服务名称： UMWdf
显示名称： Windows User Mode Driver Framework
服务描述：启用 Windows 用户模式驱动程序。
可执行文件路径：C:\WINDOWS\system32\wdfmgr.exe
其他补充：
操作建议：手动
88. 服务名称： WinHttpAtuoPRoxySvc
显示名称： WinHTTP Web PRoxy Auto-Discovery Service
服务描述：实现 Windows HTTP 服务(WinHTTP)的 Web 代理自动发现服务(WPAD)。WPAD 是用于启用 HTTP 客户端自动发现代理配置的协议。如果此服务被停用或禁用，WPAD 协议将在 HTTP 客户端的进程中执行，而不是在外部服务进程；因此不会造成功能损失。
可执行文件路径：C:\WINDOWS\system32\svchost.exe -k LocalService
其他补充：
操作建议：手动
89. 服务名称： WZCSVC
显示名称： Wireless Configuration
服务描述：启用 IEEE 802.11 适配器的自动配置。如果此服务停止，自动配置将不可用。如果此服务被禁用，所有明确依赖它的服务都将不能启动。
可执行文件路径：C:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用
90. 服务名称： WmiApSrv
显示名称： WMI Performance Adapter
服务描述：从 Windows Management Instrumentation (WMI) 提供程序向网络上的客户端提供性能库信息。此服务只有在性能数据助手被激活时才运行。
可执行文件路径：C:\WINDOWS\system32\wbem\wmiapsrv.exe
其他补充：
操作建议：停止并禁用
91. 服务名称： lanmanworkstation
显示名称： Workstation
服务描述：创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接将不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
可执行文件路径：C:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充：
操作建议：停止并禁用
92. 服务名称： W3SVC
显示名称： World Wide Web Publishing Service
服务描述：通过 Internet 信息服务管理器提供 Web 连接和管理
可执行文件路径：C:\WINDOWS\System32\svchost.exe -k iissvcs
其他补充：
操作建议：自动
系统服务篇第一部分列出了服务显示名称首字母为U到Z的所有服务，并给出了服务名、服务描述、可执行文件路径等相应的信息，并针对每一个服务提出了计算机作为服务器使用的时候对这些服务的操作建议，让管理员既可以知道怎么设置服务，又可以知道服务的用途，防止了在特殊应用下有的服务需要开启而关闭的情况。
本系统文章系统服务篇结束

村长小麦

• 安全策略自动更新命令：GPUpdate /force（应用组策略自动生效不需要重新启动）
• 禁用GUEST用户
• 本地安全策略-->审核策略
  审核策略更改　　　成功　失败
  审核登陆事件　　　成功　失败
  审核对象访问　　　　　　失败
  审核过程跟踪　　　无审核
  审核目录服务访问　　　　失败
  审核特权使用　　　　　　失败
  审核系统事件　　　成功　失败
  审核帐户登陆事件　成功　失败
  审核帐户管理　　　成功　失败
• 本地策略-->用户权限分配
  关闭系统：只有Administrators组、其它全部删除。
  通过终端服务拒绝登陆：加入Guests组（网上很多教程说要加入Users组，实践证明加入Users组后远程桌面就无法运行）
  通过终端服务允许登陆：只加入Administrators组，其他全部删除
• 本地策略-->安全选项
  交互式登陆：不显示上次的用户名　　　　　　　启用
  网络访问：不允许SAM帐户和共享的匿名枚举　　启用
  网络访问：不允许为网络身份验证储存凭证　　　启用
  网络访问：可匿名访问的共享　　　　　　　　　全部删除
  网络访问：可匿名访问的命　　　　　　　　　　全部删除
  网络访问：可远程访问的注册表路径　　　　　　全部删除
  网络访问：可远程访问的注册表路径和子路径　　全部删除
  帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户
  帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户
• 帐户策略-->帐户锁定策略
  复位用户锁定计数器时间为20分钟
  用户锁定时间为20分钟
  用户锁定阈值为3次
• 帐户策略-->密码策略
  密码必须符合复杂性要求　　启用
  密码长度最小值　　　　　　6位
  强制密码历史　　　　　　　5次
  密码最长使用期限　　　　　42天
• IP安全策略
  

  协议	IP协议端口	源地址	目标地址	描述	方式
  ICMP	--	--	--	ICMP	阻止
  UDP	135	任何IP地址	我的IP地址	135-UDP	阻止
  UDP	136	任何IP地址	我的IP地址	136-UDP	阻止
  UDP	137	任何IP地址	我的IP地址	137-UDP	阻止
  UDP	138	任何IP地址	我的IP地址	138-UDP	阻止
  UDP	139	任何IP地址	我的IP地址	139-UDP	阻止
  TCP	445	任何IP地址-从任意端口	我的IP地址-445	445-TCP	阻止
  UDP	445	任何IP地址-从任意端口	我的IP地址-445	445-UDP	阻止
  UDP	69	任何IP地址-从任意端口	我的IP地址-69	69-入	阻止
  UDP	69	我的IP地址-69	任何IP地址-任意端口	69-出	阻止
  TCP	4444	任何IP地址-从任意端口	我的IP地址-4444	4444-TCP	阻止
  TCP	1026	我的IP地址-1026	任何IP地址-任意端口	灰鸽子-1026	阻止
  TCP	1027	我的IP地址-1027	任何IP地址-任意端口	灰鸽子-1027	阻止
  TCP	1028	我的IP地址-1028	任何IP地址-任意端口	灰鸽子-1028	阻止
  UDP	1026	我的IP地址-1026	任何IP地址-任意端口	灰鸽子-1026	阻止
  UDP	1027	我的IP地址-1027	任何IP地址-任意端口	灰鸽子-1027	阻止
  UDP	1028	我的IP地址-1028	任何IP地址-任意端口	灰鸽子-1028	阻止
  TCP	21	我的IP地址-从任意端口	任何IP地址-到21端口	阻止tftp出站	阻止
  TCP	99	我的IP地址-99	任何IP地址-任意端口	阻止99shell	阻止
  TCP	4899	任何IP地址-4899	我的IP地址	影子Radmin默认端口	阻止
  UDP	4899	任何IP地址-4899	我的IP地址	影子Radmin默认端口	阻止
  UDP	123	任何IP地址-123	我的IP地址	容易被提权工具利用	阻止
  TCP	1720	任何IP地址-1720	我的IP地址	NetMeeting	阻止
  TCP	636	任何IP地址-636	我的IP地址	安全轻型目录访问协议（SSL 上的 LDAP）通信	阻止
  TCP	593	任何IP地址-593	我的IP地址	DCOM	阻止

UI 中的设置名称	企业客户端台式计算机	企业客户端便携式计算机	高安全级台式计算机	高安全级便携式计算机
帐户: 使用空白密码的本地帐户只允许进行控制台登录	已启用	已启用	已启用	已启用
帐户: 重命名系统管理员帐户	推荐	推荐	推荐	推荐
帐户: 重命名来宾帐户	推荐	推荐	推荐	推荐
设备: 允许不登录移除	已禁用	已启用	已禁用	已禁用
设备: 允许格式化和弹出可移动媒体	Administrators, Interactive Users	Administrators, Interactive Users	Administrators	Administrators
设备: 防止用户安装打印机驱动程序	已启用	已禁用	已启用	已禁用
设备: 只有本地登录的用户才能访问 CD-ROM	已禁用	已禁用	已启用	已启用
设备: 只有本地登录的用户才能访问软盘	已启用	已启用	已启用	已启用
设备: 未签名驱动程序的安装操作	允许安装但发出警告	允许安装但发出警告	禁止安装	禁止安装
域成员: 需要强 (Windows 2000 或以上版本) 会话密钥	已启用	已启用	已启用	已启用
交互式登录: 不显示上次的用户名	已启用	已启用	已启用	已启用
交互式登录: 不需要按 CTRL+ALT+DEL	已禁用	已禁用	已禁用	已禁用
交互式登录: 用户试图登录时消息文字	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
交互式登录: 用户试图登录时消息标题	继续在没有适当授权的情况下使用是违法行为。	继续在没有适当授权的情况下使用是违法行为。	继续在没有适当授权的情况下使用是违法行为。	继续在没有适当授权的情况下使用是违法行为。
交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)	2	2	0	1
交互式登录: 在密码到期前提示用户更改密码	14 天	14 天	14 天	14 天
交互式登录: 要求域控制器身份验证以解锁工作站	已禁用	已禁用	已启用	已禁用
交互式登录: 智能卡移除操作	锁定工作站	锁定工作站	锁定工作站	锁定工作站
Microsoft 网络客户: 数字签名的通信（若服务器同意）	已启用	已启用	已启用	已启用
Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。	已禁用	已禁用	已禁用	已禁用
Microsoft 网络服务器: 在挂起会话之前所需的空闲时间	15 分钟	15 分钟	15 分钟	15 分钟
Microsoft 网络服务器: 数字签名的通信（总是）	已启用	已启用	已启用	已启用
Microsoft 网络服务器: 数字签名的通信（若客户同意）	已启用	已启用	已启用	已启用
Microsoft 网络服务器: 当登录时间用完时自动注销用户	已启用	已禁用	已启用	已禁用
网络访问: 允许匿名 SID/名称 转换	已禁用	已禁用	已禁用	已禁用
网络访问: 不允许 SAM 帐户和共享的匿名枚举	已启用	已启用	已启用	已启用
网络访问: 不允许 SAM 帐户和共享的匿名枚举	已启用	已启用	已启用	已启用
网络访问: 不允许为网络身份验证储存凭据或 .NET Passports	已启用	已启用	已启用	已启用
网络访问: 限制匿名访问命名管道和共享	已启用	已启用	已启用	已启用
网络访问: 本地帐户的共享和安全模式	经典 - 本地用户以自己的身份验证	经典 - 本地用户以自己的身份验证	经典 - 本地用户以自己的身份验证	经典 - 本地用户以自己的身份验证
网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值	已启用	已启用	已启用	已启用
网络安全: 在超过登录时间后强制注销	已启用	已禁用	已启用	已禁用
网络安全: LAN Manager 身份验证级别	仅发送 NTLMv2 响应	仅发送 NTLMv2 响应	仅发送 NTLMv2 响应\拒绝 LM & NTLM	仅发送 NTLMv2 响应\拒绝 LM & NTLM
网络安全: 基于 NTLM SSP（包括安全 RPC）客户的最小会话安全	没有最小	没有最小	要求 NTLMv2 会话安全 要求 128-位加密	要求 NTLMv2 会话安全 要求 128-位加密
网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全	没有最小	没有最小	要求 NTLMv2 会话安全 要求 128-位加密	要求 NTLMv2 会话安全 要求 128-位加密
故障恢复控制台: 允许自动系统管理级登录	已禁用	已禁用	已禁用	已禁用
故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问	已启用	已启用	已禁用	已禁用
关机: 允许在未登录前关机	已禁用	已禁用	已禁用	已禁用
关机: 清理虚拟内存页面文件	已禁用	已禁用	已启用	已启用
系统加密: 使用 FIPS 兼容的算法来加密，哈希和签名	已禁用	已禁用	已禁用	已禁用
系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者	对象创建者	对象创建者	对象创建者	对象创建者
系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则	已禁用	已禁用	已禁用	已禁用

村长小麦

• 卸载并删除WScript组件
  WScript.Ｓhell可以调用系统内核运行DOS基本命令，对系统安全造成危害。我们要卸载并删除该组件，来防止此类木马的危害。
  命令行模式下执行“regsvr32 /u wshom.ocx”
  命令行模式下执行“regsvr32 /u wshext.dll”
  搜索wshom.ocx，删除所有搜索到的内容。如果弹出Winodws系统文件保护对话框，则确认删除
  搜索wshext.dll，删除所有搜索到的内容。如果弹出Winodws系统文件保护对话框，则确认删除
  打开注册表编辑器，搜索项“WScript.Ｎｅｔｗｏｒｋ”，将搜索到的内容删除
  打开注册表编辑器，搜索项“WScript.Ｎｅｔｗｏｒｋ.1”，将搜索到的内容删除
  打开注册表编辑器，搜索项“{０９３FF999-1EA0-4079-9525-9614C3504B74}”，将搜索到的内容删除
  打开注册表编辑器，搜索项“WScripｔ.Shell”，将搜索到的内容删除
  打开注册表编辑器，搜索项“WScripｔ.Shell.1”，将搜索到的内容删除
  打开注册表编辑器，搜索项“{７３Ｃ24DD5-D70A-438B-8A42-98424B88AFB8}”，将搜索到的内容删除
• 卸载并删除Shell组件
  命令行模式下执行“regsvr32 /u shell32.dll”
  打开注册表编辑器，搜索项“Shell.Ａｐｐlication”，将搜索到的内容删除
  打开注册表编辑器，搜索项“Shell.Ａｐｐlication.1”，将搜索到的内容删除
  打开注册表编辑器，搜索项“{１３７09620-C279-11CE-A49E-444553540000}”，将搜索到的内容删除

村长小麦

• 防DDOS洪水攻击处理
  reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsMenu /t REG_BINARY /d "01 00 00 00" /f
  reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsHistory /t REG_BINARY /d "01 00 00 00" /f
  reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DontDisplayLastUserName /t REG_SZ /d 1 /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v restrictanonymous /t REG_DWORD /d "00000001" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters" /v AutoShareServer /t REG_DWORD /d "00000000" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters" /v AutoShareWks /t REG_DWORD /d "00000000" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v EnableICMPRedirect /t REG_DWORD /d "00000000" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v KeepAliveTime /t REG_DWORD /d "0x000927c0" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v SynAttackPRotect /t REG_DWORD /d "00000002" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpMaxHalfOpen /t REG_DWORD /d "0x000001f4" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpMaxHalfOpenRetried /t REG_DWORD /d "00000190" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpMaxConnectResponseRetransmissions /t REG_DWORD /d "00000001" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpMaxDataRetransmissions /t REG_DWORD /d "00000003" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TCPMaxPortsExhausted /t REG_DWORD /d "00000005" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v DisableIPSourceRouting /t REG_DWORD /d "00000002" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpTimedWaitDelay /t REG_DWORD /d "0x0000001e" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpNumConnections /t REG_DWORD /d "0x00004e20" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v EnablePMTUDiscovery /t REG_DWORD /d "00000000" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v NoNameReleaSEOnDemand /t REG_DWORD /d "00000001" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v EnableDeadGWDetect /t REG_DWORD /d "00000000" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v PerformRouterDiscovery /t REG_DWORD /d "00000000" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v EnableICMPRedirects /t REG_DWORD /d "00000000" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" /v BacklogIncrement /t REG_DWORD /d "00000005" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" /v MaxConnBackLog /t REG_DWORD /d "0x000007d0" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters" /v EnableDynamicBacklog /t REG_DWORD /d "00000001" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters" /v MinimumDynamicBacklog /t REG_DWORD /d "00000014" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters" /v MaximumDynamicBacklog /t REG_DWORD /d "00007530" /f
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters" /v DynamicBacklogGrowthDelta /t REG_DWORD /d "0x0000000a" /f
• 防止 Windows 运行您在这个设置中指定的程序
  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v DisallowRun /t REG_DWORD /d "00000001" /f
  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v login.scr /t REG_SZ /d login.scr /f
  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v xsiff.exe /t REG_SZ /d xsiff.exe /f
  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v xsniff.exe /t REG_SZ /d xsniff.exe /f
  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v sethc.exe /t REG_SZ /d sethc.exe /f
  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v WinPcap.exe /t REG_SZ /d WinPcap.exe /f
  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v nc.exe /t REG_SZ /d nc.exe /f
  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v sql.exe /t REG_SZ /d sql.exe /f
  REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v su.exe /t REG_SZ /d su.exe /f
• 关闭445端口
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" /v SMBDeviceEnabled /t REG_DWORD /d "00000000" /f
• 关闭135端口
  reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole" /v EnableDCOM /t REG_SZ /d "N" /f
  reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc" /v "DCOM PRotocols" /t REG_MULTI_SZ /d "" /f
• 禁止dump file的产生和删除现有MEMORY.DMP文件(dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。)
  reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl" /v CrashDumpEnabled /t REG_DWORD  /d 00000000 /f
  attrib %SystemRoot%\MEMORY.DMP -s -r -h
  del %SystemRoot%\MEMORY.DMP /s /q /f
• 去除HappyTime(欢乐时光)威胁
  reg delete HKCR\CLSID\{06290BD5-48AA-11D2-8432-006008C3FBFC} /f
  reg delete HKCR\Scriptlet.TypeLib /f
• 禁用通过重启重命名方式加载启动项
  重启重命名的执行优先级比传统的自启动（一般指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run）要高, 启动完成后又将自己删除或改名回去. 这种方式自启动极为隐蔽,现有的安全工具都无法检测的出来。病毒通过重启重命名方式加载，位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ BackuPRestore\KeysNotToRestore下的Pending Rename Operations字串。
  reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /f
• 关闭事件跟踪程序
  REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability" /v ShutdownReasonOn /t REG_DWORD /d "00000000" /f

村长小麦

Windows2003服务器安装及设置教程好久没有更新了，正好最近上了一台服务器，正好把剩下的几篇补全，今天先说的是MSSQL安全篇第一篇——将MS SQL SERVER运行于普通用户下。
为什么要将MS SQL SERVER数据库必须运行在“普通用户”的状态下呢？因为如果使用了“超级管理员”或者“本地系统用户”来运行“SQL2000数据库”，就会被黑客利用，利用SYSTEM用户权限入侵服务器。因此，为了服务器安全，务必将MS SQL SERVER运行在“普通用户”的状态下。同时，要对硬盘的权限做好对应的权限设置MS SQL SERVER才能正常运行。
将MS SQL SERVER运行于普通用户下（如需引用或者转载此文，请注明作者：聚友，出处：http://www.juyo.org）
建立普通用户；
单击“开始”—“管理工具”—“计算机管理”，进入计算机管理界面。

单击“系统工具”—“本地用户和组”—“用户” ，进入用户管理；

在“用户”上右击，选中“新用户”，添加新用户；

进入新用户建立界面；

输入MS SQL SERVER运行用户“mssqlrun” ，并设置密码，单击“创建”建立该用户；

打开MSSQL SERVER安装盘根目录的安全属性（在安装盘盘符上右键单击，选择“属性”，在弹出的属性框中单击“安全”标签）。

单击“添加”，在“选择用户或组”里输入刚刚添加的MSSQL运行用户“mssqlrun”，单击确定给MSSQLSERVER安装盘根目录添加用户；

设置“Mssqlrun”用户的权限，将默认的“读取和运行”权限取消，保留“读取”和“列出文件夹目录”权限，单击“确定”，保存该设置并退出；


进入MSSQL SERVER安装目录，同样在文件夹内右键选择“属性”；

打开MSSQL SERVER安装目录属性的“安全”属性，删除“SYSTEM”用户，添加“mssqlrun”用户，权限为完全控制；

设置完目录的权限后，就需要将MS SQL SERVER的运行用户设置为mssqlrun；

单击“此帐户”，设置帐户；

单击“浏览”，在输入框中输入MSSQL SERVER的用户“mssqlrun”；

在密码和确认密码中输入mssqlrun用户的密码，单击“应用”，系统弹出服务警告窗口“新的登录名只有在您停止并重启服务时才可生效。”，单击确定即可。

此时重启一下服务，MSSQL SERVER就运行在mssqlrun这个普通权限的用户之下了，服务器安全将大大增强。

村长小麦

Windows2003服务器安装及设置教程好久没有更新了，正好最近上了一台服务器，正好把剩下的几篇补全，今天先说的是MSSQL安全篇第二篇——删除MSSQL危险存储过程的代码。
以管理员省份登陆ＳＱＬ　ＳＥＲＶＥＲ，使用查询分析器执行下面的代码（注：因服务器监控系统的原因，请把第一个全角的ｄ改成半角的d后执行）
ｄrop PROCEDURE sp_makewebtask
exec master..sp_dropextendedPRoc xp_cmdshell
exec master..sp_dropextendedPRoc xp_dirtree
exec master..sp_dropextendedPRoc xp_fileexist
exec master..sp_dropextendedPRoc xp_terminate_PRocess
exec master..sp_dropextendedPRoc sp_oamethod
exec master..sp_dropextendedPRoc sp_oacreate
exec master..sp_dropextendedPRoc xp_regaddmultistring
exec master..sp_dropextendedPRoc xp_regdeletekey
exec master..sp_dropextendedPRoc xp_regdeletevalue
exec master..sp_dropextendedPRoc xp_regenumkeys
exec master..sp_dropextendedPRoc xp_regenumvalues
exec master..sp_dropextendedPRoc xp_regread
exec master..sp_dropextendedPRoc xp_regwrite
exec master..sp_dropextendedPRoc xp_readwebtask
exec master..sp_dropextendedPRoc xp_makewebtask
exec master..sp_dropextendedPRoc xp_regremovemultistring
执行完毕退出查询分析器，现在这些危险的存储过程就不能使用了

村长小麦

Windows2003服务器安装及设置教程好久没有更新了，正好最近上了一台服务器，正好把剩下的几篇补全，今天先说的是MySQL安全篇——将MySQL运行于普通用户下。
为什么要将MySQL数据库必须运行在“普通用户”的状态下呢？与MSSQL SERVER一样，因为如果使用了“超级管理员”或者“本地系统用户”来运行“MySQL数据库”，就会被黑客利用，利用SYSTEM用户权限入侵服务器。因此，为了服务器安全，务必将MySQL运行在“普通用户”的状态下。同时，要对硬盘的权限做好对应的权限设置MySQL才能正常运行。
将MySQL运行于普通用户下
建立普通用户；
单击“开始”—“管理工具”—“计算机管理”，进入计算机管理界面。

单击“系统工具”—“本地用户和组”—“用户” ，进入用户管理；

在“用户”上右击，选中“新用户”，添加新用户；

进入新用户建立界面；

输入MySQL运行用户“mysqlrun” ，并设置密码，单击“创建”建立该用户；

打开mySQL安装盘根目录的安全属性（在安装盘盘符上右键单击，选择“属性”，在弹出的属性框中单击“安全”标签）。

单击“添加”，在“选择用户或组”里输入刚刚添加的mySQL运行用户“mysqlrun”，单击确定给MySQL安装盘根目录添加用户；

设置“mysqlrun”用户的权限，将默认的“读取和运行”权限取消，保留“读取”和“列出文件夹目录”权限，单击“确定”，保存该设置并退出；


进入MySQL安装目录，同样在文件夹内右键选择“属性”；

打开MySQL安装目录属性的“安全”属性，删除“SYSTEM”用户，添加“mysqlrun”用户，权限为完全控制；

设置完目录的权限后，就需要将MySQL的运行用户设置为mysqlrun；

单击“此帐户”，设置帐户；

单击“浏览”，在输入框中输入MySQL的用户“mysqlrun”；

在密码和确认密码中输入mysqlrun用户的密码，单击“应用”，系统弹出服务警告窗口“新的登录名只有在您停止并重启服务时才可生效。”，单击确定即可。

此时重启一下服务，MySQL就运行在mysqlrun这个普通权限的用户之下了，服务器安全将大大增强。

村长小麦

Windows2003服务器安装及设置教程——IIS优化篇一：启用Gzip 压缩
启用Gzip压缩是在Web服务器和浏览器间传输压缩文本内容的方法。Gzip压缩采用通用的压缩算法压缩HTML、JavaScript、CSS等静态文件和asp、aspx、php、jsp等动态文件。压缩的最大好处就是降低了网络传输的数据量，从而提高客户端浏览器的访问速度。当然，同时也会增加一点点服务器的负担。通过Windows2003系统设置的方式启用Gzip的突出优点就是效率较高，所以我们直接设置IIS让其支持Gzip压缩。
启用Gzip 压缩步骤（如需引用或者转载此文，请注明作者：聚友，出处：http://www.juyo.org）
单击“开始”—“管理工具”—“Internet 信息服务(IIS)管理器”，打开IIS管理器；

在IIS管理器中双击本地计算机，右侧显示计算机中IIS列表，在“网站”上右键选择属性；

打开网站属性界面；

单击“服务”标签，选中“压缩应用程序文件”和“压缩静态文件”，同时根据情况设置临时目录的最大容量，初期可以限制为1G左右；

返回Internet信息服务(IIS)管理器，右击“Web服务扩展”，弹出Web服务扩展菜单；

选择“增加一个新的Web服务扩展(A)”；

在“新建Web服务扩展”框中输入扩展名“HTTPComPRession”，添加“要求的文件”为C:\WINDOWS\system32\inetsrv\gzip.dll，其中 Windows系统目录根据您的安装可能有所不同，选中“设置扩展状态为允许”；

使用文本编辑器打开C:\Windows\System32\inetsrv\MetaBase.xml(建议先备份)，在该文件中搜索HcScriptFileExtensions，设置进行压缩的文件后缀名，系统默认的是asp、dll和exe，根据格式增加aspx、php、jsp等，再搜索HcFileExtensions，增加shtm、shtml、js、css、swf、mid、xml、mp3等静态文件格式；

在运行中输入“net stop iisadmin /y”停止IIS服务，运行完成后保存Metabase.xml；

在运行中输入“iisreset”重启IIS服务；

设置完成后，可以打开最知名的验证网站来验证，网址是http://www.pipeboost.com，找到如下图所示验证窗口Real-Time Acceleration Report，输入网址，单击“Analyze Url”按钮进行验证；

执行验证完成，显示如下图所示界面。如果Document Status的状态为ComPRessed，就说明压缩成功了，下面还有一些具体的数据，可以作为参考；

至此，

Windows2003服务器安装及设置教程——IIS优化篇一：启用Gzip 压缩完成.

村长小麦

一、开启和设置Windows防火墙

1．开启前要先看看3389端口有没有加到例外里去，尤其是托管的服务器，没有的话勾上“远程桌面”，然后再开启。
2．在例外中加入80、1433、21端口，如用pcanywhere则把pcanywhere程序添加进去，总之，要什么端口才添加什么端口，不要的端口一律不加。（也可以：windows防火墙—高级—本地连接—设置—服务，勾上所要服务，如：远程桌面、http、ftp、smtp）。
3．允许ping服务器：windows防火墙—高级—本地连接—设置—ICMP，勾上第一个：允许传入响应请求。

二、windows系统帐号

1．将administrator改名,如改为FomDxBC
2．将guest改名为administrator作为陷阱帐户，并且设置一个高强度的密码，或直接禁用
3．除了管理员帐户、以及服务必须要用到的用户外，禁用或删除其他一切用户

三、本地策略

本地策略——>安全选项

　　交互式登陆：不显示上次的用户名　　　　　　　启用
　　网络访问：不允许SAM帐户和共享的匿名枚举　 启用
　　网络访问：不允许为网络身份验证储存凭证　　  启用
　　网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　网络访问：可匿名访问的命名管道　　　　　　　全部删除
　　网络访问：可远程访问的注册表路径　　　　　　全部删除
网络访问：可远程访问的注册表路径和子路径　　全部删除

本地策略——>审核策略
　　审核策略更改　　　成功　失败　　
　　审核登录事件　　　成功　失败
　　审核对象访问　　　　　　失败
　　审核过程跟踪　　　无审核
　　审核目录服务访问　　　　失败
　　审核特权使用　　　　　　失败
　　审核系统事件　　　成功　失败
　　审核账户登录事件　成功　失败
　　审核账户管理　　　成功　失败

本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

四、关闭无用的服务

1．我们一般关闭如下服务：

Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Workstation
Telnet

把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

2．在"网络连接"里，把不需要的协议和服务都删掉，只保留基本的Internet协议（TCP/IP），在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

3．禁用空会话
检查是否禁用了空会话，避免与服务器创建匿名（不进行身份验证的）会话。要进行检查，请运行 Regedt32.exe，确认“RestrictAnonymous”项已设置为 1，如下所示。
HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

4．要审查共享和相关的权限，运行“计算机管理”MMC 管理单元，然后选择“共享文件夹”下的“共享”。检查所有共享是否是需要的共享。删除所有不必要的共享。

5．不要在服务器上安装像VS一样的软件开发包（SDK）



五、更改远程桌面端口

依次展开

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为想用的端口号.使用十进制(例 50228 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 50228 )
    注意：在WINDOWS2003自带的防火墙给+上50228端口


修改完毕.重新启动服务器.设置生效.




六、开启密码策略

注意应用密码策略，启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。



七、开启用户策略  
使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

村长小麦

mcafee 8.5杀毒软件下载地址http://secure.nai.com/apps/downloads/my_products/login.asp
https://secure.nai.com/apps/downloads/my_products/login.asp?region=cn&segment=enterprise
在Grant Number那里输入
1359125-NAI
可下载到企业版的杀毒(VirusScan Enterprise)和防火墙(Desktop Firewall)
输入
1359155-NAI
可下载到反间谍模块(AntiSpyware).
咖啡 VirusScan Enterprise 8.5 Patch6    官方正式下载地址：https://secure.nai.com/apps/downloads/my_products/login.asp
Grant Number输入1359162-NAI
1359173-NAI
1359133-NAI即可下载!



mcafee 8.5i杀毒软件安装
双击setup.exe开始安装。
许可期类型——永久
国家或地区——中国
安装过程让你选择是否“立即更新”，如果防火墙没有挡住的话，可以自动完成更新。
选择“运行按需扫描”，在更新病毒库结束后自动扫描所有硬盘。
接下来安装反间谍软件模块。
点击VSE85MAS.exe开始安装。安装注意事项同上。
mcafee 8.5i杀毒软件规则配置基本概念：
HIPS：Host Intrusion Prevent System 主机入侵防御系统，包括以下三种防御系统：
FD：File Defend，文件防御体系
AD：Application Defend，应用程序防御体系
RD：Registry Defend，注册表防御体系
McAfee VirusScan Enterprise v8.5i通鉴
一、软件安装
一、安装流程：
1、安装McAfee VirusScan Enterprise v8.5i，安装的最后不要选择“立即更新”
2、安装反间谍模块McAfee Anti-Spyware Enterprise Module v8.5
3、设置McAfee，导入自定义规则
4、升级病毒库，第一次升级很慢，而且往往不成功，最好下载superDAT安装，或者在“AutoUpdate”中设置固定时间让McAfee在后台自动升级，至此，安装已基本完成。
5、安装附加病毒库Extra.DAT，选择C:\Program Files\Common Files\McAfee\Engine路径。需要说明的是，附加病毒库列举的病毒都是疑似病毒，可能造成误报，当McAfee确认是真正的病毒后，将在下一次的病毒库升级时自动下载并加入到最新的标准病毒库中。如果Extra.DAT是错误的，将导致McAfee无法打开“按访问扫描程序”，另外，McAfee不支持附加病毒库的按访问扫描（监控），即如果此病毒被列入附加病毒库中，当McAfee监控到此病毒时，McAfee不会报毒，只有“按需扫描”时才会报毒，综上，附加病毒库不必安装。
6、关闭“访问保护”，将帮助文件更名为Vse，复制到D:\security\mcafee\VirusScan Enterprise\Res0402中即可在控制台中调用官方帮助文件。
二、病毒库备份：
1、病毒库位置在“系统盘:\Program Files\Common Files\McAfee\Engine”目录中，备份其中的avvclean.DAT、avvnames.DAT、avvscan.DAT三个DAT文件，重装McAfee后，将这三个备份的DAT文件copy回“系统盘:\Program Files\Common Files\McAfee\Engine”目录，重启即可。
2、官方病毒库：（其中1234为DAT版本）http://www.mcafee.com/apps/downloads/security_updates/superdat.asp?region=us&segment=enterprise
http://download.nai.com/products/licensed/superdat/nai/Chinese/simplified/sdat1234.exe
3、病毒库数量:http://vil.nai.com/vil/DATReadme.aspx
三、7个进程：Frameworkservice.exe（升级），Mcshield.exe（实时监控），Mctray.exe，naPrdMgr.exe，SHSTAT.exe（任务栏图标），UdaterUI.exe（升级），Vstskmgr.exe（控制台）
二、软件设置
以下设置中没提到的均按照默认设置?br /> 一、“控制台”－“工具”－“用户界面选项”，取消“允许此系统与其他系统建立远程控制台连接”。
二、Quarantine文件夹在C盘根目录下，实在是有碍观瞻，我们可以把文件夹移至C:\Documents and Settings\Quarantine下，在设置中，凡遇到需要这个选项时，均选择该文件夹。
三、日常使用中，所有的“报告”都可以关闭。
四、“电子邮件传递扫描”
1、“高级”－“启发式分析”中将“查找带有多个扩展名的附件”选中。
2、“操作”&“有害程序”－“发现威胁时”&“发现有害附件时”，“辅助操作”均选择“删除附件”。
五、“按访问扫描程序”：
1、“常规设置”—“常规”
1.1取消“在关机过程中扫描软盘”。
1.2“扫描时间”一栏中，“存档文件最长扫描时间”可以调成5秒，这样在进入含有大型程序的文件夹时，McAfee读取这些大型文件不会读取太久。“最长扫描时间”默认45秒即可。
2、“所有进程”
在“检测项”一栏中，如果在局域网上，可以选中“在网络驱动器上”。
六、“隔离管理器策略”中，“自动删除隔离数据”选择“1天”。
七、“完全扫描”和“目标扫描”，在“检测”－“压缩文件”一栏中，这里不是实时保护，所以需要检测压缩包，两个选项均须选中，除此以外的所有设置中，这两个选项都可以不选。
八、“AutoUpdate”中，点击“计划”—“计划”，McAfee每日更新，“起始时间”一般是调成比较频繁的上网时段，“启用随机选择”为开机10分钟即可。
三、访问保护
一、特别申明：系统升级、软（硬）件安装与卸载时，要暂停“访问保护”，切记切记！?/p>
二、说明
1、McAfee的杀毒凌驾于一切规则之上！即设置规则禁止对染毒文件做任何操作，在McAfee杀毒时，该规则失效。所以不要介意将规则中的“删除”选项选中，因为即使禁止删除该文件，若该文件染毒，McAfee一样照杀不误。
2、“访问保护”支持绝对路径。通鉴中所有规则均以系统盘为C盘编写。
3、双星号(**)表示在反斜线(\)字符前后任意多个层级的目录，即文件夹可以新建，但任何文件夹中的文件均被保护。
一个星号(*)表示任意一个或部分目录名称，（*.*）表示任何文件，不包括文件夹，即只有一层文件夹内的文件被保护。
（\**）与（\**\*）均表示在当前目录下任意多个层级目录里的任何文件和文件夹。
4、在“要禁止的文件操作”里，除了“创建”外，其余四项都是对已有的文件进行操作，一般情况下，“写入”、“创建”和“删除”可以一同禁止，而且禁止“写入”有时需要禁止“创建”，否则系统会在此文件夹中创建TMP*.tmp的临时文件（垃圾文件）。
5、读取：对已有的文件进行读取操作，但不执行文件的内容；
写入：对已有的文件进行写入操作，即对文件的内容进行修改，删除等；
执行：对已有的文件进行执行操作，即执行文件的内容；
创建：在文件夹中创建一个新的文件；
删除：对已有的文件进行删除操作，包括修改文件名。
6、对注册表保护中“要保护的注册表项或注册表值”里面主键的说明：
空白项：默认状态，无任何意义。
HKLM：表示HKEY_LOCAL_MACHINE主键。
HKCU：表示HKEY_CURRENT_USER主键。
HKCR：表示HKEY_CLASSES_ROOT主键。
HKCCS：表示HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。
HKULM：表示HKCU+HKLM+HKEY_USER三大主键。
HKALL：表示所有主键。可以近似地当作自定义项来使用。
7、将“访问保护”中所有的“报告”取消，则任务栏图标中的红框就会消失。这个红框的出现是提醒用户当前“访问保护”有规则阻止，且用户尚未查看报告。
8、“阻止”与“报告”若同时选中，则既阻止又报告；若只选中“阻止”，则只阻止不报告；若只选中“报告”，则只报告不阻止。
9、“通用最大保护”中的“禁止在 Windows 文件夹中创建新的可执行文件”与“禁止在 Program Files 文件夹中创建新的可执行文件”两个规则中项名所谓的“可执行文件”包括.exe和.dll两种格式的文件。
10、“访问保护”不支持环境变量。环境变量的出现，是McAfee为了解决规则在不同的操作系统下由于路径的问题而失效的一种办法，比如windows2000的系统文件夹是WINNT，而windows XP的系统文件夹是WINDOWS，如果在2000下使用绝对路径编写的规则，在XP下就会失效，为了解决这一问题，McAfee在8.0i版时允许使用环境变量，比如%windir%无论在任何系统内都表示系统文件夹，这样就使得规则具有了通用性。但是McAfee在8.5i版时将环境变量取消了，原因是因为McAfee认为现在使用2000以下系统的用户已逐步减少，随着windows vista以及电脑高端配置的出现，使用XP以上系统的用户会越来越多，而XP系统已成为了最基本的操作系统，因此从8.5i版开始，McAfee将只认可XP以上的系统，规则的通用性自然就会以XP系统为底线来编写，所以环境变量的存在已失去意义，当然就会退出舞台咯。
11、“访问保护”不支持对文件夹的保护。即只要将规则中保护的文件夹更名，该规则失效。McAfee不支持对文件夹的保护的原因是McAfee从一开始就只是杀毒软件，而非监控软件，“访问保护”只是辅助杀毒的一种手段，通过McAfee的内置规则不难看出，McAfee只提供对系统文件夹的保护，而系统盘下的三个系统文件夹WINDOWS、Program Files、Documents and Settings都是不允许更名的，所以对McAfee来说，他的内置规则是不受文件夹更名威胁的。前面也说了，McAfee不是做监控或者保密软件的，他不支持保护个人的隐私文件和文件夹，那是否McAfee就因此也不保护一些重要的文件呢，不是，McAfee会保护全盘下的某一类文件，如**\*.exe，但是这样又会给使用带来诸多不便，从而影响实用性，可操作性也大大降低，在此种情况下，排除进程应运而生，所以编写规则时应尽量避免非系统文件夹的出现，使用通配符*，再配合排除进程才是最完美的规则。
12、规则越多，监控的负担越大。规则的编写应该具有总结性，应该是某一类行为的概括，应该以不影响日常使用为原则。McAfee以“要禁止的文件操作”为依据，将所有的规则分为“层”，例如，当“访问保护”开启时，用户“执行”的任何操作，McAfee都会将之与所有包含“执行”的规则一一比对，如果此时规则很多，可想而知，监控的负担会变大，使用会变的迟缓，当然，对于高配置计算机，这个变化也许不是很明显，但系统资源仍会被消耗。
13、HIPS：Host Intrusion Prevent System 主机入侵防御系统，包括以下三种防御系统：
FD：File Defend，文件防御体系
AD：Application Defend，应用程序防御体系
RD：Registry Defend，注册表防御体系

麦咖啡设置指南------详细介绍访问保护的设置方法抵御未知病毒特别是自定义规则,功能强大,使用得当几乎百毒不侵
不过正常功能也会受到影响,用咖啡的人自己定义安全级别把
1、访问保护。
双击访问保护，打开访问保护。出现端口阻挡，文件保护，报告，三个选项。
（1）更改端口设置。
默认端口阻挡全部勾选。添加阻挡端口新规则。端口总共有65535个。好了，把1~65535端口全部进行设置。由于咖啡对端口的阻挡模式分为两种：阻止入站，阻止出站，这样，对1~65535端口进行设置，需要分为两组。一组阻止通过1~65535端口入站，一组阻止通过1~65535端口出站。为了方便设置和查看端口阻挡而影响的进程，可以这样进行设置。1~1000，每隔100个端口设置一个规则，并进行规则标号。1000~10000，每隔1000个端口设置一个规则，也进行规则标号。10000~65535设置成一个规则，同时进行标号。这样设置好了，可以连网进行测试，怎么样，不能上网吧？当然别人也进不来了。好了，打开咖啡日志，查看那些进程被阻止，阻止的具体规则是哪些。比如，咖啡日志标明，svchost.exe进程被新规则1阻止，好了，选中新规则1，点击“编辑”，弹出对话框，在已排除进程里，添加svchost.exe，好了。依次类推，将影响的进程添加进去。设置好了之后，可以上网了。这样进行端口设置，可以阻挡99%的端口。那些通过端口出入的木马几乎没戏了。
（2）更改访问保护设置。
勾选所有默认设置。一一打开编辑，查看每个规则设置情况，凡是能够选择“阻止并报告访问尝试”，一律选择。——默认规则里，许多都是警告模式，将它们更改（注：如果更改默认设置，请再三思量，否则出现意外情况，我不负责）。将远程对exe、ocx等文件保护规则合并。但凡远程操作，在创建文件、写入文件、执行文件、读取文件、删除文件前全部打勾。
（3）更改咖啡日志路径。放在其他盘里。
2、有害程序策略。默认规则里，都没有勾选。将他们全部勾选。
3、给咖啡杀软设置密码。咖啡控制台——工具——用户界面选项——密码选项。选择使用密码保护下面所有项目。设置8位以上超强密码。在用咖啡设置一系列规则之后，可以锁定咖啡杀软界面。这样，别人不能再更改您对咖啡的设置了。
4、共享资源的保护。打开咖啡访问保护——文件保护——共享资源，将它设置成阻止并报告访问尝试。这样，共享资源就不能被别人共享了。
5、按访问扫描程序设置。常规——扫描——将引导区，关机时扫描软盘去掉。
其他设置，自己看着办吧。
上面是咖啡本身携带的一些规则。为了安全，可以进行更加严格的设置。
1、用咖啡杀软来防止3721、网络猪、中文邮、百度搜霸、一搜。
目前，3721、网络猪、中文邮、百度搜霸、一搜经常偷偷溜进您的电脑，而且难以卸载干净。用咖啡杀软可以阻止它们进入。
打开咖啡杀软访问保护，创建如下几个规则：
1、禁止在本地创建、写入、执行、读取3721任何内容；
2、禁止在本地创建、写入、执行、读取网络猪任何内容；
3、禁止在本地创建、写入、执行、读取中文邮任何内容；
4、禁止在本地创建、写入、执行、读取百度搜霸任何内容；
5、禁止在本地创建、写入、执行、读取一搜任何内容。
好了，3721、网络猪、中文邮、百度搜霸、一搜没有理由呆在您的电脑里了。
附上部分设置方法。比如，防止3721的方法：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止在本地创建、写入、执行、读取3721任何内容
阻挡对象：*
要阻挡的文件或文件名：**\3721*\**
要阻止的文件操作：在创建文件、写入文件、执行文件、读取文件前全部打勾
响应方式：阻止并报告访问尝试
2、用咖啡杀软来防止未知木马病毒
我查了下相关资料，就目前来说，木马、病毒基本都是三种类型的，exe、dll、vxd类型。好了，只要我们创建如下三种保护机制：
1、禁止在本地任何地方创建、写入任何exe文件
2、禁止在本地任何地方创建、写入任何dll文件
3、禁止在本地任何地方创建、写入任何vxd文件
这样，现在出现的各种木马病毒是进不来的。当然，这条规则非常霸道，就是您更新咖啡病毒库，对其他软件进行升级，下载exe、dll、vxd类型文件，以及移动任何exe、dll、vxd类型文件也不可能了。所以，当您进行类似操作时，暂时取消此规则，等操作完成之后，再继续使用。
部分规则创建如下所示：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止在本地任何地方创建、写入任何exe文件
阻挡对象：*
要阻挡的文件或文件名：**\*.exe
要阻止的文件操作：在创建文件、写入文件前打勾
响应方式：阻止并报告访问尝试
其他的类似规则，参照设置即可。
3、阻挡肆意删除文件的行为
现在出现许多删除mp3格式的病毒。好了，为了杜绝此类事件发生，可以这样做。打开咖啡访问保护，创建如下规则：禁止删除本地任何mp3文件。好了，那些病毒想删除mp3是不可能的了。即便是您自己也删不掉mp3了！除非解禁！为了杜绝类似删除某些文件的病毒、木马，好了。我们再创建一条规则：禁止删除本地任何内容。好了，那些肆意删除各种文件的病毒、木马，根本起不了什么作用。当然，如果这条规则起作用，您自己也不可能删除任何东西了。当您自己需要删除某些内容，暂时取消这条规则，等删除操作完成了，再打开就是了。这条规则保护自己电脑不被别人删除任何东西非常管用哦。而且别人莫名其妙的，他根本不会想到是咖啡在阻止删除操作哦?
规则创建如下所示：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止删除本地任何mp3文件
阻挡对象：*
要阻挡的文件或文件名：**\*.mp3
要阻止的文件操作：在删除文件前打勾
响应方式：阻止并报告访问尝试
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止删除本地任何内容
阻挡对象：*
要阻挡的文件或文件名：**\*\**
要阻止的文件操作：在删除文件前打勾
响应方式：阻止并报告访问尝试
个人也可以使用类似方法保护任何一个文件不被删除。比如rm文件等。自己照猫画虎试试。
4、用咖啡杀软保护注册表。
目前许多木马、病毒都喜欢在注册表驻留。好了。我们用咖啡创建这样一条规则。禁止对本地注册表进行创建、写入活动。好了。除非您同意，否则，注册表是不会无缘无故的被修改的。包括安装软件在内，如果咖啡依然开启这条规则，哈哈，软件虽然安装完了，注册表里却没有写入什么东西。虽然不少软件需要写入注册表里才成，可注册表里没有被写入也可以用的哦——不信的可以实验下！当然，不写入注册表，软件功能上会打折扣，尤其是杀软、防火墙之类。我曾做过类似实验。不让反间谍软件写入注册表里，结果它只能查到间谍，却不能清除间谍（查到间谍数量与反间谍软件安装时是否写入注册表无关）。对比一下金山、瑞星的注册表监视功能，金山、瑞星简直差远了。他们对注册表的监视不但烦人，而且意义不是很大。比如，安装一个软件，点击阻止写入注册表，那您就一直点下去吧。十年也点不完。有什么意义？
规则创建如下所示：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止对本地注册表进行创建、写入活动
阻挡对象：*
要阻挡的文件或文件名：**\*.reg
要阻止的文件操作：在创建文件、写入文件前打勾
响应方式：阻止并报告访问尝试
5、用咖啡来保护主页。
通过咖啡杀软来防护浏览器主页被修改完全可以。这样不用在安装其他软件进行防护了。其他浏览器防护软件不但占用一定资源，而且效果不一定好。而咖啡防护效果相当理想。具体方法如下：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止在本地创建/修改hosts文件
阻挡对象：IEXPLORE.EXE，或者*
要阻挡的文件或文件名：**\etc*\**
要阻止的文件操作：在创建文件、写入文件、删除文件前打勾
响应方式：阻止并报告访问尝试
好了。恶意网站不能在更改您的主页了。
6、阻止恶意脚本入侵。
打开咖啡杀软访问保护中文件保护规则，创建这样一些规则：
1、禁止在本地任何地方读取、执行、创建、写入任何js文件
2、禁止在本地任何地方读取、执行、创建、写入任何vbs文件
3、禁止在本地任何地方读取、执行、创建、写入任何htm文件
4、禁止在本地任何地方读取、执行、创建、写入任何html文件
好了，恶意网站通过脚本而入侵本机的恶意代码、木马基本滚蛋了。
部分规则创建如下所示：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止在本地任何地方读取、执行、创建、写入任何js文件
阻挡对象：*
要阻挡的文件或文件名：**\*.js
要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件前打勾
响应方式：阻止并报告访问尝试
其他的类似规则，参照设置即可。
当然，这样有些严厉，可能防碍上网，可以将这些规则修改为阻止创建、写入即可。
7、用咖啡来防止插件入侵。
现在上网越来越不安全。恶意插件越来越多了。好了。我们用咖啡来对付他们。由于那些插件是绑架到Internet Explorer文件里的，好了，我们用咖啡把Internet Explorer文件保护起来。
规则创建如下所示：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止在Internet Explorer文件夹中进行创建写入活动
阻挡对象：*
要阻挡的文件或文件名：**\Internet Explorer*\**
要阻止的文件操作：在创建文件、写入文件前打勾
响应方式：阻止并报告访问尝试
好了，那些插件不能进来了。
8、防止黑客破坏活动。
目前，黑客越来越多，也越来越喜欢入侵个人主机。黑客入侵个人主机不外乎两个原因：
1、炼手。学习怎么入侵别人。
2、种植后门。控制他人。
好了。废话少说。黑客入侵，很难阻挡。那对于入侵的黑客破坏行为如何进行阻挡呢？看咖啡的手段。我们用咖啡建立这样的规则：禁止远程行为对本地任何文件/文件夹进行任何操作。这样，黑客即便入侵了您的主机，他所能做的还有什么呢？
具体规则设置如下：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止远程行为对本地任何文件/文件夹进行任何操作
阻挡对象：System:Remote
要阻挡的文件或文件名：**\*\**
要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式：阻止并报告访问尝试
如果还不放心，可以将系统盘里每个根目录文件夹都创建一个规则。禁止黑客对他们进行任何操作。具体就不一一列举里。这样设置，除非黑客能破坏咖啡，或者黑客知道咖啡密码，更改咖啡设置，才能进行进一步破坏活动。如果黑客想破坏咖啡，决非易事。用过咖啡的人知道，咖啡不能被退出进程，只会持续工作。当然黑客可以通过卸载咖啡来破坏，问题是，黑客进行远程卸载，必定调用exe之类文件，而咖啡是不允许黑客远程对exe之类文件进行任何操作的。偶使用咖啡不久，曾被一个黑客入侵，那时还不懂得设置如此严厉的规则，只是打开咖啡默认的对exe、dll文件保护规则，那个黑客都没有干成什么。如果能建立这样严厉的规则，黑客所能做的事情将会非常非常少哦。
9、防止程序运行。
咖啡具有强大的阻止功能，几乎可以阻止任何一个程序运行。比如，tftp.exe这个程序，一般用户是用不上的。可以用咖啡来阻止他运行。注：咖啡默认规则里已经设置，就不列举了。这个功能非常有用。如果某天，不想运行某个程序，可以参照这个规则，将那个程序终止。或者，某天中了木马、病毒，又清除不掉，怎么办呢？这时咖啡这个功能就突显出来了。将那个木马、病毒程序用咖啡阻止起来即可。这样，那个木马不能运行也等于死悄悄了。
10、建立最严厉的规则。
在到黑客网站、破解基地、黄色网站去，往往难免中木马。虽然我不去那些网站，但为了那些常去黑客网站、破解基地、黄色网站的人的安全，特意为其创建如下规则。禁止在本地进行任何创建、写入、删除活动。这样，中招的几率将会是0。
具体规则设置如下：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止在本地进行任何创建、写入、删除活动
阻挡对象：*
要阻挡的文件或文件名：**\*\**
要阻止的文件操作：在创建文件、写入文件、删除文件前打勾
响应方式：阻止并报告访问尝试
由于这条规则非常严厉，建议只在黑客网站、破解基地、黄色网站浏览时开启。这条规则会产生大量日志，一分钟往往就有几百条详细日志，非常占用空间。所以，移动咖啡日志到其他盘非常重要。当然，这条规则，也适合那些对安全性非常高的人使用。
此上许多规则，会影响到许多进程，所以，当您出现不解问题时，请及时查看咖啡日志，会找到相关答案的。具体解决办法，请斟酌行事。
mcafee杀毒软件编写规则时通配符使用方法我们都知道，咖啡可以应用通配符 * 和 ? ：
（喜欢咖啡的友情帮顶下啊）
1.问号 (?) ： 用于排除单个字符） ，比如， 排除项 w?? 排除 www，但不排除 ww 或wwww
2.星号 (*) ： 用于排除多个字符
双星号 (**) ： 表示零个或多个含有反斜杠的字符，这样允许多层次排除。
比如， **\temp*\** ，双星号 (**) 表示在反斜线 (\) 字符前后任意多个
层级的目录，一个星号 (*) 表示任意一个或部分目录名称。
3.**\*和**有什么不同？---看完测试就知道了
4.排除规则 ： C:\quarantine\** 和 C:\quarantine\ 这2条有区别吗？没有区别吗？---前者排除C:\quarantine\目录下的所有文件，包括排除子文件夹，后者只包括C:\quarantine\下的文件，不排除子文件夹，即C:\quarantine\** 的排除范围 > C:\quarantine\ ，看下边我的测试会就明白。
以下是我自己作的测试，还望高手指教，不过我觉得应该是100%正确了的吧xixi
我在E:\110下创建了一些文件和文件夹，其中patch.rar为病毒文件，在165、265文件夹中我把patch.rar分别更名为02.rar，03.rar，以便查看测试结果。
文件夹结构为：
E:\110
---125
---265
---03.rar
---02.rar
---patch.rar
下面我把我的测试结果奉上以飨朋友们--------没兴趣看测试的，直接看最后1句我总结的一条（不过这只是测试中的其中一个结果）
在做此测试时，必须按如下图做些改动：临时禁用按访问扫描，把辅助操作改成继续扫描，以防咖啡进行隔离等动作,
规则为E:\110\ ，排除E:\110\ 下的所有文件，但不排除子文件夹。
规则为E:\110\**，细心的人会发现，**并没有出现在“设置排除项中”，但后边的“排除子文件夹”变成“是”了，其实在“添加排除设置中”输入**（仅限于最后出现的**字符），咖啡会自动把“不包括子文件夹(D)”的勾选中而不会显示**，这个地方中文咖啡似乎有歧义，大家仔细思考下就明白其真正的意思了。（另：在咖啡的访问保护中可以出现**为最后结尾的，因为那里咖啡没有这个打勾的选项， ）
规则为E:\110 ，这个规则就是“什么也没有排除” 哈哈哈哈，
规则E:\110\* 等价于 E:\110\
规则为E:\110\** \（最后2条规则其实和这条规则的作用是一样的），排除E:\110\下的文件夹，但不排除E:\110\的文件。通过这里大家可以悟出点什么吧，呵呵，我就不多说了。
规则为E:\110\**\**和E:\110\**\只是多了个显式地“排除子文件夹”（是E:\110\**\的子集而已），是但真正的作用是一样的-----排除E:\110\下的文件夹，但不排除E:\110\的文件
规则为E:\110\**\*和E:\110\**\的作用是一样的（是E:\110\**\的子集而已） ，意思是排除E:\110\下的“文件夹中的任何文件”[
看懂以上这些，大家应该什么都明白了，不用我作总结了喜喜。那么大家对咖啡的规则设置，比如“访问保护”等等都轻而易举了吧
不过还是总结1句吧：要是想排除文件夹和该文件夹下的所有文件一定要把“编辑排除项目”中的“不包括子文件夹”的勾选中(中文咖啡在这里字面意思有歧义，严重注意哦)，或者在\后边添加2个星号（**），咖啡会自动帮你打勾
另外，就咖啡规则使用情况，说点个人经验。
一、在咖啡默认规则里有这样几条规则：
1、禁止在 Windows 文件夹中创建新文件 (.dll)
2、禁止在 Windows 文件夹中创建新文件 (.exe)
3、禁止在 System32 文件夹中创建新文件 (.dll)
4、禁止在 System32 文件夹中创建新文件 (.exe)
这几条规则，一般情况下都开启没有什么问题。一般的软件，在安装时往往会在Windows 文件夹和System32 文件夹创建exe文件和dll文件。不用管它。即便没有在Windows 文件夹和System32 文件夹创建exe文件和dll文件，也可以使用的。但是惟独在给系统打补丁时例外！某些系统补丁，即便阻止了，也没有什么，可有些系统补丁如果阻止往Windows 文件夹和System32 文件夹创建exe文件和dll文件，那就意味着系统瘫痪！您不能再登陆系统了！切记！所以，在打系统补丁时，要暂停使用这些规则。
二、同样一条保护规则，不要过于频繁的打开关闭。否则很容易出现失灵。原本阻止在某地创建某个文件，咖啡可能变的创建行为也不阻止了。偶甚至碰到咖啡密码失灵的情况，密码正确都不能解禁。所以，不要经常性打开关闭某条规则。这样可以避免此类失灵事件发生。
经过以上设置，再中木马、病毒、广告、间谍、恶意代码······几率将会是0。当然，最有可能中招的就是个人下载不安全软件，而后进行安装导致中招。如果注意安全，那另当别论了。 上面，是偶使用咖啡几个月的一点心得，大家交流一下。如果有更好的技巧，请不吝赐教?
偶再补充一些内容。某些网站或\和黑客，会利用Cookies窃取用户信息。好了。为了尽量杜绝此类事件，可以这样做。用咖啡建立Cookies保护机制。
具体规则设置如下：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止对Cookies文件进行某些操作
阻挡对象：*
要阻挡的文件或文件名：**\Cookies*\**
要阻止的文件操作：在读取文件、创建文件、写入文件前打勾
响应方式：阻止并报告访问尝试
好了。通过Cookies泄密的个人隐私得到咖啡的保护了。当然，这样设置在某些网站不合适宜。需要暂时取消这条规则。至于IE浏览器对Cookies的保护机制，不太好操作。用禁止，好多网站不能去。不禁止，又有危险。与咖啡相比，显然咖啡更加人性化。希望大家喜欢。
使用咖啡来防护个人隐私文件。
这是利用咖啡具有强大的文件保护性能来实现的。许多人喜欢使用某些加密软件对个人文件进行加密，起到防护作用。如果您使用咖啡，那完全可以利用咖啡来实现这个功能。而且防护效果非常理想。他人如果对咖啡不是非常熟悉，根本不会想到是一个杀软来保护的。而且，咖啡防护文件，在他人读取、打开文件时，根本不提密码，也不提咖啡，只是提示：请确认磁盘没有写保护之类。对于一般人来说，还以为文件损毁了而打不开哈。哈哈。是否有些意思？
下面简单介绍一下，如何实现这个功能。首先，请将您所有需要保护的个人文件都放在某个根目录里，比如，起名为，流星雨。然后将这个文件保护起来即可。
具体规则设置如下：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止对流星雨文件/文件夹进行任何操作
阻挡对象：*
要阻挡的文件或文件名：**\流星雨*\**
要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式：阻止并报告访问尝试