网友评论：作为供职于国外生产商的中国员工，我们也坚决赞同抵制家乐福，从理性及民族气节2方面来说都是如此。理性方面：

  　　1）全国112家家乐福仅仅是中国2000家大卖场60000家超市的0.5%至万分之一，不在家乐福卖，所有的生产和供货商还有其他卖场超市卖，并不影响任何厂家和供应商的生产及销售，还能支持中国民族商业的发展，抵御外资恶性扩张甚至垄断。

  　　2）家乐福的所谓几十万营业员促销员就业问题根本不存在，那几十万营业员促销员全部由厂派或供货商委派，所有费用（工资奖金福利）全部厂家或供货商承担，同时他们还强制厂家支付巨额所谓人员管理费（1500到5000每人，而一般厂商促销员工资才1000到2000！），变成家乐福的额外利润来源。除此之外，家乐福还逼迫厂派促销员长时间无偿加班，逼迫他们帮家乐福理货，装卸货，不从则强制厂家换人。事实上所有厂家促销员最不愿意工作的就是家乐福。

  　　3）家乐福对供应商恶意收取商务部早已明令禁止的各类强制性费用，如节庆费，新店开业费，上架费，陈列费等等。 尤其特别针对中国本土供应商，生产商，更采取歧视性的恶性收费。店大欺人尤其是对中国本土供应商已是行业尽知！

  　　所以家乐福抛出的所谓“抵制损伤的不仅是家乐福还有本土供应商”的说法纯属威胁式的子虚乌有！

  　　民族方面，这是中国遗失近千年的民族主义重新萌芽发展的过程，我们不仅是这个时代的见证者更是成就者，作为在外资企业供职中国人，即便个人利益会有一定损失我们也衷心愿意做一个成就者。我们需要告诉法国及西方列强，中国在崛起，中国人的团结力量不容忽视，没有人可以把他们的价值观强加在我们身上，更何况初衷并不是他们标榜的救世主式的善良，更不能用从中国赚的钱去资助各类达赖喇嘛们（**，**和台独）。5/1期间抵制家乐福是中国人最针对、最集中、最迅速能达成的，是让各种力量制衡而西方世界正视尊重中国的机会！



2.jpg


1.jpg


3.jpg


4.jpg

　今天keso分享了《中国经营报》记者李媛、李立、蔡放的深度报道《抵制家乐福中的新意见领袖传播路线》。诚如keso所言，“记者的这种调查，有价值。。。，是因为每个互联网上的群体事件，一定有它自己的引爆路径，确实值得仔细分析”。我仔细阅读了这篇报道，发现记者在分析家乐福事件的传播过程，确实提出了真问题：1，抵制事件是如何产生的；2，抵制事件是如何传播的。但记者的答案显然错了——远远高估所谓“网络社区意见领袖”和mop网站在这两个阶段的作用。（这里，“网络社区”特指BBS论坛）。

　　一、家乐福事件的传播过程

　　先概述一下“家乐福事件”的传播。它非常清晰地呈现五个阶段：一，酝酿，4月9日前后，法国站火炬传递结束当天，国内所有形式的媒体广泛、持续、高密度报道，尤其是对金晶的报道；二，网络传播，这大约是从4月10号开始，国内主要论坛出现第一版“动员令”（第一版“动员令”的特点是只号召北京地区抵制家乐福）；随后十来天，在QQ群、MSN红心和BBS论坛持续传播；三，个人行动，4月13日，北京女艺人张萱在白石桥家乐福举牌抗议（即网上流传的白石桥mm）；四，手机传播，基本上从13号之后，很多人的手机上都收到朋友传的相关抵制信息；五，群体事件，从18号开始，合肥、武汉、西安各地都有不同规模的到家乐福店抗议活动

　　这里有一个值得注意的地方：在上述五个阶段全过程，自始至终都有传统媒体在进行持续、高强度、深度报道——传统媒体和网络媒体整合互动报道，才使得“家乐福事件”成为最近半个月社会热点事件。

　　二、家乐福事件的产生原因

　　关于家乐福事件的产生，在《抵》文中，记者按图索骥，追到“抵制贴”最开始发表论坛（mop）和发贴人（水婴）。这给人一个感觉，似乎家乐福事件能够产生，在于这些“意见领袖”在关键时刻做出关键作用。

　　记者的调查功夫值得敬佩。但是，网络热点事件其实有两类。第一类网络热点事件是基于“人”的。比如芙蓉姐姐、艳照门——在基于“人”的热点事件中，确实存在key man，存在记者所言“意见领袖”。比如芙蓉姐姐事件中的芙蓉姐姐；艳照门中的陈冠希和奇拿。第二类网络热点事件是基于“事”的。比如轰炸大使馆事件，911事件，以及这次的家乐福事件。

　　具体以家乐福事件来说。它的产生，绝非因为“水婴”的一个帖子。事实上，没有“水婴”，还会有火婴、土婴。。。家乐福产生的真正原因，在于国内几乎所有媒体形式，在传播几乎同样的一条信息：以法国，美国为代表的西方媒体，在纵容zd，抵制圣火。这里，我说的是所有媒体：电视，电台，报纸，网络门户，网络论坛，QQ和msn。。。。。。我们处于一个媒体的时代，当所有媒体，高强度、高密度说着同一个声音；那么对群众来说——这就是“真理”。

　　群众是朴素的。当大家感到民族和国家受到侮辱时，每个人都本能地希望为民族和国家贡献一己之力。于是就有了行动。至于这个行动到底是“家乐福”，还是“lv”，只是一个或然事件；而行动本身，是一个必然事件。所以，从本质上来说，家乐福事件之所以能产生，真正的始作俑者是所有媒体发出了“同一个声音”。

　　三、家乐福事件的网络传播特点：QQ群和MSN的力量

　　对于上网多年的老网民，类似家乐福事件，我见过好几次了；而且事件产生原因如上所述。只要“同一个声音”过去存在，现在存在，将来还存在；那么过去，现在，将来也会不断出现这类事件。我毫不吃惊。都一拨拨的，就跟唱戏一样，你方唱罢我登场。60年代生人搞完了，70生人上；70生人搞完了，80生人上。现在是80后当主角而已，以后还会有90生人出场。近百年来，咱中国什么都缺，就是不缺大好的热血青年。

　　这次家乐福事件，真正有新意之处在于网络传播中，QQ群和msn成为关键工具，尤其是前者。“QQ群”完全可以说不是一个IM产品，而是“小社区”。在“QQ群”参与下，中文网络传播形态可以用这样一个比喻：门户网站和大型社区类似航空母舰，产生“主要内容”；中小型网站和博客类似护卫舰，产生“补充内容”；QQ群类似舰载飞机，他们“飞”出去，专门负责“传播内容”。

　　至于MSN，这次“红星爱中国”的行动能广泛传播，关键得益于前段时间MSN的慈善签名活动。那次活动是这次的“预演”，启蒙了多数msn用户使用签名来表达心情。否则，“红星爱中国”不可能会这么火。

　　四、“网络推手”和“意见领袖”

　　最后想借这篇博客，说说“网络推手”和“意见领袖”。很多人对网络事件不熟悉，有误解，以为真的有什么“网络推手”。但其实如上叙述，网络两类热点事件中，第一类基于“人”的热点事件中，存在策划的可能性，存在“网络推手”。但关键还是“人”本身是否具有话题。比如芙蓉姐姐，没策划也能火，有了策划火得更大而已。第二类基于“事”的热点事件，绝对没有“网络推手”，只有关键媒体。

　　至于“意见领袖”的情况差不多。当前中国存在专业领域的“意见领袖”；但不存在真正普遍范围的“意见领袖”。对于后者，除了CCTV和《人民日报》，谁又敢说自己是“意见领袖”呢？
 
来源：艾瑞网

作者：麦田

金车旗下的咖啡老牌「伯朗咖啡」，在台湾市场屹立25年，品牌历史几乎等于台湾咖啡市场发展史。即使到了竞争非常激烈的今天，「伯朗咖啡」仍是台湾即饮咖啡市场的领导品牌，拥有超过的五成市场占有率，伯朗是如何做到的？金车企划部副主任马明皓表示，「伯朗咖啡」在许多台湾人心目中，几乎等于咖啡的代名词，长久以来深耕培养了台湾人日常饮用咖啡的习惯，强化伯朗的口味就是罐装咖啡经典的印象，是伯朗最大的竞争力。
 
    　伯朗咖啡当初进入市场时，台湾人其实还不太能接受咖啡的苦味。25年前的台湾，「喝咖啡」代表昂贵及社交性质的活动，不够亲民，也不贴近大部份消费者的生活。「伯朗」尝试了三年向消费者沟通，诉求咖啡是随时随地可以喝的饮料，并营造咖啡不只是普通饮料，而是有质感和文化层次的饮品。
 
    　首先，在包装设计上，为了建立品牌的外来感，伯朗打造品牌人物「Mr. Brown」，是一个大胡子、阳光热情，像帕华洛帝的男子，从咖啡豆产地中南美洲来到台湾，跟台湾人介绍咖啡。在广告沟通上，多使用英文「Mr. Brown」，营造进口形象。而在产品的订价也高于当时罐装饮料价格，来塑造品牌的价值感。25年前，伯朗咖啡的定价就是20元，比当时的罐装饮料均价13~15元高出许多，属于高单价的饮料，强调高质感、香浓口感，并有别于当时市面上充斥的碳酸饮料。
 
   　 就马明皓的观察，当初消费者对咖啡偏好「单品咖啡」，例如，蓝山、曼特宁等，因为饮用咖啡习惯正在培养，叫得出咖啡的名字，可以增加消费者的辨识和认同。而近年，在产品上，伯朗也为配合更讲究咖啡口感的消费者，延伸「原豆鉴赏系列」，核心产品「伯朗咖啡」和蓝山风味也顺应消费者使用习惯，另外推出小宝特瓶装，便于饮用中保存。更在去年三月推出「伯朗咖啡馆Café Lounge」冷藏咖啡，较短的保存期限，更新鲜的口感。伯朗咖啡也将市场拓展到欧洲、北美及中东等地区，顺应当地口味，调合出层次更丰富，像是咖啡奶昔口感的异国风味。
 
    　而伯朗的广告诉求上，使用阳光干净的年轻人当主角，并结合了许多情境、音乐性和文化内容，例如，管弦乐、钢琴等，打造伯朗的深度形象。而伯朗蓝山风味的广告影片，就擅长营造带着一点忧郁的氛围，最经典的一支广告，是在九份竖崎路拍摄，一个年轻人在清晨的山城阶梯上，喝着伯朗蓝山咖啡。这次成功的广告，不但打响了蓝山咖啡的品牌，也紧密地将产品与氛围连结，成为适合带着忧郁心情喝的咖啡饮料。马明皓表示，他自己就看过一个业务打扮的年轻人，牵着野狼机车，在淡水码头拿着蓝山咖啡啜饮。表示抓到正确的广告主轴，塑造了产品适合饮用的时机和情境，就能将产品带入消费者生活中，培养习惯和饮用时机。
 
    　随着时间，现在大部分的人都有在生活中饮用咖啡的习惯，但是竞争也更激烈了。像是现煮咖啡通路的蓬勃，飘着香气的热咖啡，吸引了不少对咖啡越来越挑剔的重度饮用者。马明皓表示，罐装即饮咖啡的优势就是便利性和价格，消费者饮用咖啡专卖店的高价现煮咖啡，强调是饮用时的悠闲心情和环境，而便利商店提供的中价现煮咖啡，提供了便利性和现煮口感，但价格偏高，每天饮用也是一笔开销。
 
   　然而，面对越来越挑剔的消费者，也为了让旗下的产品更完整，伯朗咖啡也将品牌延伸到与全家、莱尔富及OK等便利商店合作，抢占中价位的现煮咖啡市场。另外，拓展「伯朗咖啡馆」专卖通路，也是伯朗拓展品牌和市场的策略之一。从1988年开始，目前已经展店30家，将二十年来咖啡制造业的经验，延伸到通路服务，即使在M型化消费趋势中，也能站稳高价现煮咖啡的市场，增加品牌竞争优势。不过这几年，市场竞争品牌却不断加入市场，大量曝光，会不会稀释掉伯朗的品牌印象？加上消费者对品牌和产品忠诚越来越低，伯朗的优势会不会减弱，让消费者移情别恋？市场变化，正考验着伯朗的营销团队。

 作者 : Brain.com
记者 庄守禾

 

昨天参加了由新浪和“第三种人论坛”（Asiaicc）联合主办的“2008新

浪·第三种人高峰论坛”，感觉还是比较有收获。这个会议主要是广告业

界人士，尤其是4A公司的老总级人员与新媒体（主要是互联网企业）的对

话。Asiaicc的CEO贺欣浩很年轻，但资源很不错，再加上联合新浪，所以

来了一些4A公司和网站的高层，使得这个会议比较有含金量。
 
会议的具体情况不说了，有兴趣可以点击上面给出的链接，新浪有很详细

的报道。就说说我参与的那场讨论中的一个体会细节：

安吉斯大中国区CEO 李桂芬女士的PPT给出一个有趣的数据：根据她们统

计，目前消费者花费在互联网的时间是36%，花费在电脑上的时间是37%，

两者只相差1个百分比；但是广告投放方面，投放在互联网上的只有不到

6%，而投放在电视上的有70%（这个数据可能记忆有点误差，但大致差别

不大）——互联网媒体与电视媒体比较，时段上只有1个百分比的差异，

但广告投放量上有10倍的差异！这反过来就能证明，互联网确实“处处是

蓝海”，可发展的空间，可预期的空间实在太大了。

但现状是，以4A公司为代表的广告公司，以及广告主还是非常谨慎地在新

媒体上投放广告。主要原因是——没法监测广告效果。所以贺欣浩的

Asiaicc他们大力推进“标准”，他们的思路是：如果能形成一个客观，

可测量的、广告公司和广告主都能认可的新媒体广告投放标准，那新媒体

广告的投放量会爆炸性增加。

在昨天的会议中还有一个有趣的PPT，是由阳狮大中国区董事长郑以萍演

讲的。她的整个PPT主要都只说了一个理念：“co-creation”，联合创意

。她的观点是，目前消费者在新媒体帮助下，具有了“传播”能力，这是

和所有以前的广告受众不同的。因此广告要变革，要让消费者参与传播。

而要做到这点，从广告公司来说，“创意”将更具有挑战性，不只是创意

总监的灵感，需要新媒体参与进来，一起完成“创意过程”；随后，消费

者参与进来，一起完成“传播过程”。我很认同这个观点，不过这里存在

一个问题：在整个创意到执行的流程过程中，谁来lead？我认为这主要依

靠广告公司，即他们是枢纽，联络一头是广告主，一头是新媒体。而当前

尤其重要的是形成这样一种工作流程！先建立“流程”，然后才能建立“

标准”。

在随后的对话中，安瑞索思CEO 应宜伦提出一个观点：最好不要用“新媒

体广告”，而用“互动广告”来定义目前的新形态广告。这个观点言简意

赅，基本上也是我参加会议最大的收获，或者说一个顿悟：其实现在变化

的不是“媒体”形态，变化的是“广告”形态。与其说“新媒体广告”，

不如说“新广告”模式下，广告主、广告公司、媒体如何适应这种变化。

而这，对三方都是挑战，也是机遇。

最后义务打一个广告：2008新浪·第三种人高峰论坛在上海和广州还有两

场，有兴趣的可以去听听，可能会有收获的。

来源：麦田的读书生活

 

    学过广告学或者市场营销学的人都会对AIDMA理论有印象——一个消费者行为模式定论：
     Attention（注意）→Interest（兴趣）→Desire（欲望）→Memory（记忆）→Action（行动）

      这个模式存在了很多年，也是很多年不变的消费者行为模式的真理，但是在WEB2.0时代，AIDMA落伍了，新的消费者行为模式主导了传播领域对于消费者的研究——AISAS
      Attention（注意）→Interest（兴趣）→Search（搜索）→Action（行动）→Share（分享）

      “先上泡泡看测评，再去中关村买东西，回来拿到网上晒晒”已经成了北京人消费IT类产品习惯。现在的人们在消费许多东西之前都会习惯性的去搜索相关产品的网络口碑如何，会去专业的BBS或者垂直型网站看看网友的评论及测评文章。电视广告、户外广告甚至是网络广告，已经不再是人们了解和认知产品的主要途径，消费者似乎更愿意相信网民的评论而不是商家的自我吹嘘。

      SONIA敬佩提出AISAS理论的人，痴迷与WEB2.0带给我的海量信息和无所不能，但是我更感兴趣网络口碑悄然兴起的趋势。当人们都在为传统广告哀号和悲观的时候，必将会有一种新的传播形势来补充甚至是取代传统广告。WEB2.O为这种新的传播形式提供了土壤，“自媒体”时代的到来彻底颠覆的传统媒体的传播形式——人人皆媒体，每个人都是言论的中心，都可以发布信息。

      “口碑传播”是人类最古老的传播方式，在还没有大众媒体出现之前，人们就是用口口相传的方式来传递信息的。而“口碑传播”也恰恰是所有品牌追求的终极目标，当一个人乐意且主动的去向另外一个人谈论某个品牌甚至是推荐某个品牌的时候，说明这个品牌在这个人心中已经取得了完全的认同。

      我们都有类似的经验，我们会相信朋友的推荐，会相信同事的建议，远远大过于对广告的信任度。“网络口碑——IWOM”所探寻的也正是WEB2.0时里网络中最有效的传播模式。IWOM网络口碑在国际上已经盛行了很久，美国甚至有WOMMA协会来对此领域进行专门的权威的探讨。不过目前位置，网络口碑还只是传统广告媒体传播的有效补充，其模式和传播信息形势的特定性，还不足以使其成为完成品牌塑造的主导传播方式，但是不可置疑的，IWOM网络口碑有着传统广告不可比拟的优势，他对于一个品牌知名度和美誉度的改变是潜移默化的，也是深入人心的。

 

0.jpg

【色，戒（真正无删减版）】.最新超清晰TC-RMVB.rar
(2007-12-03 18:00:29, Size: 43.8 KB, Downloads: 0)

事件 ID ( 487 )的描述(在资源( Zend Optimizer )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远程计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述；查看帮助和支持以了解详细信息。下列信息是事件的一部分: Unable to view file mapping, 试图访问无效的地址。

目前使用了网上出现的任何一种方法，都以失败而告终！

想给PHP提提速，就装了eAccelerator5.2.4和zend 3.30a版本

PHP的速度确有提升，但是和PHP也有冲突然 ，运行时间不长就down掉了

于是就偿试测试，装了卸 卸了装 N次，最终还是要把eAccelerator卸掉！

一切又恢复了正常！

解决办法

第一种可能：

去掉 php中 eaccelerator 的扩展
这样做能够解决您的问题，不过可能会加重系统负担
因为eaccelerator主要是为了节省系统资源的东西

具体做法是找到php.ini
如果是我帮您配置的，一般在c:/php/php.ini或者 c:/winnt/php.ini 或者c:/windows/php.ini

去掉

zend_extension_ts="c:\php\extensions\eaccelerator_win_xxx.dll"
eaccelerator.shm_size="16"
eaccelerator.cache_dir="c:\temp"
eaccelerator.enable="1"
eaccelerator.optimizer="1"
eaccelerator.check_mtime="1"
eaccelerator.debug="0"
eaccelerator.filter=""
eaccelerator.shm_max="0"
eaccelerator.shm_ttl="0"
eaccelerator.shm_prune_period="0"
eaccelerator.shm_only="0"
eaccelerator.compress="1"
eaccelerator.compress_level="9"

ea主要是在unix环境下开发的，但是作者忽略到windows实际上不像u主机那样，是没有u主机的那种内存共享机制的
这个bug已经提交给他们了，希望0.9.5能够解决

当然，如果您的机器这个问题不严重，建议还是保留，ea是一块非常优秀的php缓存+加速软件
配合zo使用，将会降低系统负担 50%-80%左右，提高负载能力、速度和效率 200%左右



第二种可能

session_save_path 需要设定一个实际的物理路径，并且该目录需要everyone的所有权限，类似u主机的0777



第三种可能
c:/winnt/temp 或者 c:/windows/temp
也需要everyone的所有权限，类似u主机的0777



第四种可能
您的内存严重不足，查看一下，如果有问题，请加内存，最好是一次加两条
比如加1g内存，最好是加2条一模一样的512m。否则没有启用双通道，效果也很一般



第五种可能
zendoptimizer和php的搭配不是很好
换个版本试试看
目前比较稳定的搭配是
php4.3.11+zo 2.5.10a
或者php4.4.1+zo 3.0 beta2



第六种可能

这种多属于用win2003的用户
他们在应用池中设定了限制
比如多长时间回收，最大使用内存多少等等
这些设置势必造成这个经典的php错误
木头经过数以百计的测试，敢担保问题会出现在这里。

 

 

Apache服务器配置好并运行一段时间后，你可能在事件日志中看到如下信息：（以Windows服务器而言）

 解决办法:

1. 修改C:\WINDOWS\Temp\目录的访问权限，使Zend可以对目录进行修改，一般添加IIS_WPG和Network Service的写入权限就够了。
2. 有可能在C:\WINDOWS\temp\目录下找不到指定文件，查找该文件夹下是否有文件名ZendOptimizer.MemoryBase@SYSTEM和ZendOptimizer.MemoryBase@NETWORK SERVICE，如果没有，新建这两个文件，空文件即可。
3. php.ini文件中设置upload_tmp_dir = "c:\windows\temp\"（注意=两边的空格）。
4. 还有可能就是没有读取ZEND目录的权限，为C:\Program Files\ZendOptimizer-2.6.2\lib\目录添加IIS_WPG和Network Service的读取权限（注意版本和安装目录不同时前面的路径也有所不同）
5. 注意：前面提到的“C:\WINDOWS\Temp\”上当并非绝对，关键看php.ini文件中“upload_tmp_dir”等于什么路径。

因为IIS（Internet Information Server）的方便性和易用性，所以成为最受欢迎的Web服务器软件之一。但是，IIS从诞生起，其安全性就一直受到人们的置疑，原因在于其经常被发现有新的安全漏洞。虽然IIS的安全性与其他的Web服务软件相比有差距，不过，只要我们精心对IIS进行安全配置，仍然能建立一个安全性的Web服务器的。

构造一个安全的Windows  2000 操作系统

要创建一个安全可靠的Web服务器，必须要实现Windows 2000操作系统和IIS的双重安全，因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全。实际上，Web服务器安全的根本就是保障操作系统的安全。

使用NTFS文件系统

在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。而在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。

关闭默认共享

在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。

共享权限的修改

在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此，在建立新的共享后应该立即修改Everyone的缺省权限，不能让Web服务器访问者得到不必要的权限，给服务器带来被攻击的危险。

为系统管理员账号改名

对于一般用户，我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数，但对系统管理员账号（adminstrator）却无法限制，这就可能给非法用户攻击管理员账号口令带来机会，所以我们需要将管理员账号更名。具体设置方法如下：

鼠标右击“我的电脑”　“管理”，启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号（administrator）”,选择“重命名”，将管理员帐号修改为一个很普通的用户名即可。

禁用TCP/IP 上的NetBIOS

NetBIOS是许多安全缺陷的源泉，所以我们需要禁用它。鼠标右击桌面上“网络邻居”　“属性” 　“本地连接” 　“属性”，打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)”　“属性”　“高级”　“WINS”，选中“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS，如图1。

　

TCP/IP上对进站连接进行控制

方法一 利用TCP/IP筛选

鼠标右击桌面上“网络邻居”　“属性”　“本地连接”　“属性”，打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)”　“属性”　“高级”　“选项”， 在列表中单击选中“TCP/IP筛选”选项。单击“属性”按钮，选择“只允许”，再单击“添加”按钮，如图2，只填入80端口即可。

　

方法二 利用IP安全策略

IPSec Policy Filters（IP安全策略过滤器）弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。它是一个基于通讯分析的策略，将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后据此允许或拒绝通讯的传输。我们同样可以设置只允许80端口的数据通过，其它端口来的数据一律拦截。

防范拒绝服务攻击

DDoS攻击现在很流行，例如SYN使用巨量畸形TCP信息包向服务器发出请求，最终导致服务器不能正常工作。改写注册表信息虽然不能完全阻止这类攻击，但是可以降低其风险。打开注册表：将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2。这样可以使TCP/IP调整SYN-ACKS的重传，当出现SYN-ATTACK迹象时，使连接对超时的响应更快。

保证IIS自身的安全性

IIS安全安装

在保证系统具有较高安全性的情况下，还要保证IIS的安全性。要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。

不要将IIS安装在系统分区上

默认情况下，IIS与操作系统安装在同一个分区中，这是一个潜在的安全隐患。因为一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理，入侵者就有可能篡改、删除系统的重要文件，或者利用一些其他的方式获得权限的进一步提升。将IIS安装到其他分区，即使入侵者能绕过IIS的安全机制，也很难访问到系统分区。

修改IIS的安装默认路径

IIS的默认安装的路径是\inetpub，Web服务的页面路径是\inetpub\wwwroot，这是任何一个熟悉IIS的人都知道的，入侵者也不例外，使用默认的安装路径无疑是告诉了入侵者系统的重要资料，所以需要更改。

打上Windows和IIS的补丁

只要提高安全意识，经常注意系统和IIS的设置情况，并打上最新的补丁，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。

IIS的安全配置

删除不必要的虚拟目录

IIS安装完成后在wwwroot下默认生成了一些目录，并默认设置了几个虚拟目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，它们的实际位置有的是在系统安装目录下，有的是在重要的Program files下，从安全的角度来看很不安全，而且这些设置实际也没有太大的作用，所以我们可以删除这些不必要的虚拟目录。

删除危险的IIS组件

默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，以下是一些“黑名单”，大家可以根据自己的需要决定是否需要删除。

● Internet服务管理器（HTML）：这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。

● SMTP Service和NNTP Service：如果不打算使用服务器转发邮件和提供新闻组服务，就可以删除这两项，否则，可能因为它们的漏洞带来新的不安全。

● 样本页面和脚本：这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，建议删除。

为IIS中的文件分类设置权限

除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：

● 静态文件文件夹：包括所有静态文件，如HTM 或HTML，给予允许读取、拒绝写的权限。

● ASP脚本文件夹：包含站点的所有脚本文件，如cgi、vbs、asp等等，给予允许执行、拒绝写和读取的权限。

● EXE等可执行程序：包含站点上的二进制执行文件，给予允许执行、拒绝写和拒绝读取的权限。

删除不必要的应用程序映射

IIS中默认存在很多种应用程序映射，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是，在这些程序映射中，除了.asp的这个程序映射，其它的文件在网站上都很少用到。而且在这些程序映射中，.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题，入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序，仍然没法保证安全。

所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击“配置”按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射，如图3。如果需要这一类文件时，必须安装最新的系统修补程序以解决程序映射存在的问题，并且选中相应的程序映射，再点击“编辑”按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项，如图4。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。

　

 

　

保护日志安全

日志是系统安全策略的一个重要坏节，IIS带有日志功能，能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。

方法一: 修改IIS日志的存放路径

IIS的日志默认保存在一个众所周知的位置（%WinDir%\System32\LogFil-es），这对Web日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的“属性”按钮，在“常规属性”页面，点击“浏览”按钮或者直接在输入框中输入日志存放路径即可，如图5。

方法二: 修改日志访问权限

日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，设置为只有管理员才能访问。

当然，如果条件许可，还可单独设置一个分区用于保存系统日志，分区格式是NTFS，这样除了便于管理外，也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中，入侵者使用软件让IIS产生大量的日志，可能会导致日志填满硬盘空间，整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃，为日志设置单独的分区则可以避免这种情况的出现。

通过以上的一些安全设置，相信你的WEB服务器会安全许多。不过，需要提醒大家注意的是：不要认为进行了安全配置的主机就一定是安全的，我们只能说一台主机在某些情况下一定的时间内是安全的，随着网络结构变化、新漏洞的发现、用户操作，主机的安全状况是随时随地变化的，只有让安全意识贯穿整个过程才能做到真正的安全。

我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、 3389终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重复了，现在我们着重主要阐述下关于安全方面的配置。
    关于常规的如安全的安装系统，设置和管理帐户，关闭多余的服务，审核策略，修改终端管理端口， 以及配置MS-SQL，删除危险的存储过程，用最低权限的public帐户连接等等，都不说了

    先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。

    C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

    Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

     另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到 system"，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。

    另外，还将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。

    把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

    在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了 Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用 "Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

    这里我们按照所需要的服务开放响应的端口。在2003系统里，不推荐用TCP/IP筛选里的端口过滤功能，譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。 

  一般来说，不推荐使用srev-u做ftp服务器，主要是漏洞出现的太频繁了，但是也正是因为其操作简单，功能强大，过于流行，关注的人也多，才被发掘出bug来，换做其他的ftp服务器软件也一样不见得安全到哪儿去。

    当然，这里也有款功能跟serv-u同样强大，比较安全的ftp软件：Ability FTP Server

    设置也很简单，不过我们这里还是要迎合大众胃口，说说关于serv-u的安全设置。

     首先，6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的密码功能，其实在5.x版本里可以用ultraedit-32等编辑器修改serv-u程序体进行修改密码端口，6.0修补了这个隐患，单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的，两个月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit，正在网上火卖着，不过这种sniff的方法，同样是在获得 webshell的条件后还得有个能在目录里有"执行"的权限，并且需要管理员再次登陆运行serv-u administrator的时候才能成功。所以我们的管理员要尽量避上以上几点因素，也是可以防护的。 

 

另外serv-u的几点常规安全需要设置下：

     选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

     另外在"Block anti time-out schemes"也可以选中。其次，在"Advanced"选项卡中，检查 "Enable security"是否被选中，如果没有，选择它们。

IIS的安全：

    删掉c:/inetpub目录，删除iis不必要的映射

   首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为www.315safe.com ，权限为guest的。

    在IIS里的站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows 用户帐户"的用户名密码都使用www.315safe.com 这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限（后面有更BT的设置要介绍）。 

在"应用程序配置"里，我们给必要的几种脚本执行权限：ASP.ASPX,PHP，ASP，ASPX默认都提供映射支持了的，对于PHP，需要新添加响应的映射脚本，然后在web服务扩展将ASP，ASPX都设置为允许，对于 php以及CGI的支持，需要新建web服务扩展，在扩展名(X)：下输入 php ，再在要求的文件(E)：里添加地址 C:/php/sapi/php4isapi.dll ，并勾选设置状态为允许(S)。然后点击确定，这样IIS就支持PHP了。支持CGI同样也是如此。

要支持ASPX，还需要给web根目录给上users用户的默认权限，才能使ASPX能执行。

    另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。

    在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。

IIS6.0由于运行机制的不同，出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置， 可以在每天凌晨的时候回收一下工作进程。      新建立一个站，采用默认向导，在设置中注意以下在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为：315safe的程序池。     名为315safe的应用程序池可以适当设置下"内存回收"：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。     在应用程序池里有个"标识"选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小些。在一个站点的某些目录里，譬如这个"uploadfile"目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在"应用程序设置"的"执行权限"这里，默认的是"纯脚本"，我们改成"无"，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对漏洞有扼制的作用。   在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入，如图： 但是我们现在为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节性的策略设置。 1． 给web根目录的IIS用户只给读权限。如图：     然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现漏洞，入侵者也无法将asp木马写进目录里去，呵呵，不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就OK了，但是Access的数据库的话，其数据库所在的目录，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木马，够可怕的。其实完全还是规矩点只用mdb后缀，这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律，如图：      这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。

由于Web服务器被越来越多的骇客和蠕虫制造者作为首要攻击目标，IIS便也成为了Microsoft可信赖计算计划中首要关注的内容。因此，IIS 6.0被完全的重新设计，以实现默认安全和设计安全。本文主要讲述了IIS 6.0在默认设置和设计上安全性的改变是如何使其成为关键web应用的平台。　　

　　默认安全　　

　　过去，包括像微软这样的企业，都在他们的web服务器上安装一系列的默认示例脚本，文件处理和最小文件授权，以提高管理员管理的灵活性和可用性。但是，这些默认设置都增加了IIS的被攻击面，或者成为了攻击IIS的基础。因此，IIS 6.0被设计成了一个比早期产品更安全的平台。最显而易见的变化是IIS 6.0并没有被Windows  Server 2003默认安装，而是需要管理员显式的安装这个组件。其他的变化包括：　　

　　·默认只安装静态HTTP服务器　　

　　IIS 6.0的默认安装被设置为仅安装静态HTML页面显示所需的组件，而不允许动态内容。下表比较了IIS 5.0和IIS 6.0的默认安装设置：

　　·默认不安装应用范例 　　

　　IIS 6.0中不再包括任何类似showcode.asp或codebrws.asp等的范例脚本或应用。这些程序原被设计来方便程序员快速察看和调试数据库的连接代码，但是由于showcode.asp和codebrws.asp没有正确的进行输入检查，以确定所访问的文件是否位于站点根目录下。这就允许攻击者绕过它去读取系统中的任何一个文件（包括敏感信息和本应不可见的配置文件），参考以下链接以获取该漏洞的更多的细节：http://www.microsoft.com/technet/treeview/default.asp?

　　url=/technet/security/bulletin/MS99-013.asp 　　

　　·增强的文件访问控制

　　匿名帐号不再具有web服务器根目录的写权限。另外，FTP用户也被相互隔离在他们自己的根目录中。这些限制有效的避免了用户向服务器文件系统的其他部分上传一些有害程序。例如攻击者可以向/scripts目录上传一些有害的可执行代码，并远程执行这些代码，从而攻击web站点。

　　·虚拟目录不再具有执行权限　　

　　虚拟目录中不再允许执行可执行程序。这样避免了大量的存在于早期IIS系统中的目录遍历漏洞、上传代码漏洞以及MDAC漏洞。　　

　　·去除了子验证模块　　

　　IIS 6.0中去除了IISSUBA.dll。任何在早期IIS版本中，需要该DLL模块来验证的账号，现在需要具有"从网络上访问这台计算机"的权限。这个DLL模块的去除，可以强制要求所有的访问都直接去SAM或者活动目录进行身份验证，从而减少IIS可能的被攻击面。　　

　　·父目录被禁用　　

　　IIS 6.0中默认禁用了对父目录的访问。这样可以避免攻击者跨越web站点的目录结构，访问服务器上的其他敏感文件，如SAM文件等。当然也请注意，由于父目录默认被禁用，这可能导致一些从早期版本IIS上迁移过来的应用由于无法使用父目录而出错

　安全设计　　

　　IIS  6.0设计中安全性的根本改变表现在：改善的数据有效性、增强的日志功能、快速失败保护、应用程序隔离和最小权限原则。　　

　　改善的数据有效性　　

　　IIS 6.0设计上的一个主要新特性是工作在内核模式的HTTP驱动--HTTP.sys。它不仅提高了web服务器的性能和可伸缩性，而且极大程度的加强了服务器的安全性。HTTP.sys作为web服务器的门户，首先解析用户对web服务器的请求，然后指派一个合适的用户级工作进程来处理请求。工作进程被限制在用户模式以避免它访问未授权的系统核心资源。从而极大的限制了攻击者对服务器保护资源的访问。

　　IIS 6.0通过在内核模式的驱动中整合一系列的安全机制，以提升其设计上固有的安全性。这些机制包括避免潜在的缓冲溢出，改善的日志机制以辅助事件响应进程和检查用户有效性请求的先进URL解析机制。　　

　　为了第一时间的避免潜在的缓冲区和内存溢出漏洞的利用，微软通过在HTTP.sys中进行特殊的URL解析设置以实现IIS 6.0安全设计中的深度防御原则。这些设置还可以通过修改注册表中特定的键值来进一步优化。下表提供了主要注册表键值的位置（均在以下路径HKLMSystemCurrentControlSetServicesHTTPParameters）：　　

　　增强的日志机制 　　

　　一个全面的日志是检测或响应一个安全事故的基础要求。微软也意识到了在HTTP.sys中进行全面的、可靠的日志机制的重要性。HTTP.sys在将请求指派给特定的工作进程之前就进行日志记录。这样可以保证，即使工作进程中断了，也会保留一个错误日志。日志由发生错误的时间戳、来源目的IP和端口、协议版本、HTTP动作、URL地址、协议状态、站点ID和HTTP.sys的原因解释等条目构成。原因解释能够提供详细的错误产生原因的信息，如由于超时导致的错误，或由于工作进程的异常终止而引发的应用程序池强行切断连接而导致的错误。　　

　　以下连接可以看到HTTP.sys日志文件的示例：http://www.microsoft.com/technet/treeview/default.asp

　　?url=/technet/prodtechnol/iis/iis6/proddocs/resguide/iisrg_log_qlow.asp

快速失败保护　

　　除了修改注册表，IIS 6.0的管理员还可以通过服务器设置，来使那些在一段时间内反复失败的进程关闭或者重新运行。这个附加的保护措施是为了防止应用程序因为受到攻击而不断地出错。这个特性就叫做快速失败保护。　　

　　快速失败保护可以按照以下步骤在Internet信息服务管理工具中配置：　　

　　1. 在Internet信息服务（IIS）管理器中，展开本地计算机。　　

　　2. 展开应用程序池。　　

　　3. 在要设定快速失败保护的应用程序池上单击鼠标右键。　　

　　4. 选择属性。　　

　　5. 选择运行状况选项卡，勾选启用快速失败保护。　　

　　6. 在失败数中，填写可以忍受的工作进程失败次数（在结束这个进程之前）。 7. 在时间段中，填写累计工作进程失败次数统计的时间。　　

　　应用程序隔离

　　在早期版本的IIS中（5.0和以前的版本），由于将web应用程序隔离在独立的单元将会导致严重的性能下降，因此没有实现应用程序隔离。通常一个web应用程序的失败会影响同一服务器上其他应用程序。然而，IIS 6.0在处理请求时，通过将应用程序隔离成一个个叫做应用程序池的孤立单元这种设计上的改变，成倍的提高了性能。每个应用程序池中通常由一个或多个工作进程。这样就允许确定错误的位置，防止一个工作进程影响其他工作进程。这种机制也提高了服务器以及其上应用的可靠性。　

　　坚持最小特权原则　　

　　IIS 6.0坚持一个基本安全原则--最小特权原则。也就是说，HTTP.sys中所有代码都是以Local System权限执行的，而所有的工作进程，都是以Network Service的权限执行的。Network Service是Windows 2003中新内置的一个被严格限制的账号。另外，IIS 6.0只允许管理员执行命令行工具，从而避免命令行工具的恶意使用。这些设计上的改变，都降低了通过潜在的漏洞攻击服务器的可能性。部分基础设计上的改变、一些简单配置的更改（包括取消匿名用户向web服务器的根目录写入权限，和将FTP用户的访问隔离在他们各自的主目录中）都极大地提高了IIS 6.0的安全性。　　

　　IIS 6.0是微软公司在帮助客户提高安全性上迈出的正确一步。它为Web应用提供了一个可靠的安全的平台。这些安全性的提高应归功于IIS 6.0默认的安全设置，在设计过程中就对安全性的着重考虑，以及增强的监视与日志功能。但是管理员不应该认为仅通过简单的迁移到新平台就可以获得全面的安全。正确的做法是应该进行多层面的安全设置，从而获得更全面的安全性。这也与针对Code Red和Nimda病毒威胁而进行的深度安全防御原则是一致的。

　相对于2000 Server，2003 Server对系统的硬件配置要求并没有大的提升，足够的物理内存是保证其稳定快速运行的前提，256M应该是个基本的要求。在相同的硬件配置下，2003 Server的开机速度更快，应用程序的执行速度也有不错的表现。2003 Server平台秉承了2000 Server良好的稳定性，同时将2000 Server在使用中暴露的大量安全漏洞进行了修正，系统采用了更为严格的安全机制和默认配置，进一步提高了系统的安全性。在界面方面与传统模式下的XP系统界面极为类似：

一、禁用开机 CTRL+ALT+DEL
“开始-->运行”在弹出的窗口中输入gpedit.msc，点击确定即打开了组策略编辑器。在组策略编辑器的左框内依次序展开（点前面的“+”号）-->计算机配置-->Windows设置-->安全设置-->本地策略，这时在本地策略下面可见到有“安全选项”，点击“安全选项”在右侧的框内找到“交互式登录:不要按CTRL+ALT+DEL”右键点击“交互式登录:不要按CTRL+ALT+DEL”，在弹出的菜单中点“属性”，在属性选项卡中点击“已启用”前的圆圈以选取它。确认“已启用”前面的圆圈中在一黑色小点后，点击“确定”，然后关闭窗口。这样以后启动计算机时就不必按“CTRL+ALT+DEL”组合键登陆了。

二、关闭Windows Server 2003的关机提示
点桌面任务栏的“开始-->运行”在弹出的窗口中输入gpedit.msc，点击确定即打开了组策略编辑器。在组策略编辑器的左框内依次序展开（点前面的“+”号）-->计算机配置-->管理模板，这时在“管理模板”下面可见到有“系统”（如果“管理模板”下面只有“网络”和“打印机”没有“系统”项目，请右键点击“管理模板”在弹出的菜单中点击“添加/删除模板”打开添加/删除模板窗口，再点击“添加”在弹出的对话框中选中“system.adm”后点“打开”，关闭添加/删除模板窗口，这时在“管理模板”下面可见到有“系统”），点击“系统”，在右侧的框内找到<显示“关机事件跟踪程序”>项目；右键点击“<显示“关机事件跟踪程序”>”，在弹出的菜单中点“属性”，在属性选项卡中点击“已禁用”前的圆圈以选取它。再点击确定，这样以后关闭计算机就不会再出现关机事件跟踪对话框。

三、禁用限制可保留带宽
开始菜单→运行→键入 gpedit.msc ，出现“组策略”窗口， 展开“计算机管理”--> "管理模板”→“网络” ， 点击 "QoS 数据包调度程序"， 在右边窗右键单击“限制可保留带宽" ，在属性中的“设置”中有“限制可保留带宽" ，选择“已禁用”，确定即可。

四、启用声音
驱动安装完成后，在Windows 2003标准版中就可以正常使用声卡了，而在企业版中，系统还是不能发声。解决步骤是：进入“控制面板→声音和音频控制设备”，勾选“音频服务”选项，点“确定”后重启计算机即可。
再次打开“控制面板→声音和音频控制设备”，这时你会发现这里多了很多选项。在“音量”选项卡中，把“将音量图标放入任务栏”前面的空格打上勾,然后点“应用”,任务栏就多了一个音量图标.接着点击“声音”选项卡中选择声音方案为“Windows 默认”,然后点“应用”即可.

五、解决播放画面图象差及声卡不工作或者打游戏时声音严重滞后
  1、安装DirectX 9.0b
在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前先在系统管现--服务中启用DirectX and Graphics Acceleration服务。
下载：DirectX 9.0a Websetup地址∶
http://www.microsoft.com/downloads/details.aspx?familyid=141d5f9e-07c1-462a-baef-5eab5c851cf5&displaylang=zh-cn
   2、硬件加速：右键点击桌面-->属性 --> 设置－－>高级－－疑难解答。把该页面的硬件加速滚动条拉到“完全”，最好点击“确定”保存退出。这期间可能出现一瞬的黑屏是完全正常。
  3、DirectX加速：打开“开始”-->“所有程序”-->附件-->系统工具-->单击“系统信息”,在系统信息窗口中点击“工具”,在弹出的菜单中点击“DirectX 诊断工具”,即打开“DirectX 诊断工具”（DirectX Tools）窗口，在“显示”选项卡，分别点击“DirectDraw”、“ Direct3D ”和“ AGP Texture” 加速按钮，使三个按钮启用加速。
  4.启用声音后，在“DirectX诊断工具”窗口中，选择“声音”选项卡，在“加速级别”中将游标向右拖动到“完全加速”，即可。

六、取消Internet Explorer增强的安全配置
新安装好Windows Server 2003操作系统后，打开浏览器来查询网上信息时，发现IE总是“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；要是不信任的话，就无法打开指定网页；倘若信任的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。不过每次访问网页，都要经过这样的步骤，显然就太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查：

   1、依次点击“开始”-->“设置”-->“控制面板”，在打开的控制面板窗口中，用鼠标双击“添加或删除程序”图标，然后点击“添加和删除Windows组件”将界面切换到“添加和删除Windows组件”页面中；

   2、用鼠标选中“Internet Explorer增强的安全配置”选项，将它前面方格内的勾去除，然后单击“下一步”按钮，就能将该选项从系统中删除了；

   3、再单击一下“完成”按钮，退出组件删除提示窗口。 以后，再上网的时候，IE就不会自动去检查网站的安全性了，这样就能少了不少麻烦。

七、重命令系统管理员帐户
在Windows sever 2003系统中，每次开机都要以管理员Administrator的身份才能登陆系统。这样的名称不利于各种登陆操作，那么在WINDOWS SEVER 2003系统中如何使用自定义的用户名登陆系统，方法如下∶
   1.开始—运行—键入 “gpedit.msc” ，然后点击“确实”打开“组策略”窗口。在“组策略”窗口的左框内依次序展开∶计算机配置-->Windows设置-->安全设置-->本地策略-->安全；点击“安全”选项后，在窗口的右框中找到“帐户∶重命名系统管理员帐户”，然后双击它，在出现的对话框中输入你用来取代Administrator的帐户名称，如∶Abc

   2.重新启动计算机，在第一次出现的登陆窗口中将Administrator清除改成你定义好的帐户名称Abc，使用你原来的Administrator的帐户密码，登陆系统，如果不使用新系统管理员帐号登陆会报错,因为Administrator的帐户已经没有了、。这样你以后登陆都显示这个用户名，其它的登陆方式也使用这个用户名。

八、在Windows 2003系统调用Windows XP风格界面(会消耗一定的系统资源)
   1、在系统的开始菜单中，依次展开“开始”-->控制面板-->管理工具-->服务,在服务窗口中，在对应服务的右边子窗口中，用鼠标选中“Themes”选项；我们启动该服务；用鼠标双击该服务选项，然后打开常规标签页，将对应该服务的启动类型设置为“自动”，再点一下“应用”按钮；此时，“服务状态”设置项中的“启动”按钮就自动被激活了，单击该“启动”按钮，就能将系统中的Themes服务起用了；关闭窗口。

   2、用鼠标右键单击桌面空白处，从快捷菜单中执行“属性”命令，再打开“外观”标签页面，在其中的“窗口和按钮”处，选中Windows XP样式。

   3. 右键点击“我的电脑”-->“属性”-->高级-->性能-->视觉效果-->调整为最佳外观。至此，系统中的工具栏菜单、窗口等样式就会按照指定的风格来显示了。

九、开启server 2003自动登录功能
每次开机运行Windows Server 2003系统时，都需要同时按住Ctrl+Alt+Delete复合键，再输入登录密码，才能进入到系统中；要是需要频繁登录系统的话，大家可能就会受不了这样罗嗦的步骤了。此时，大家不妨按照下面的步骤，来让系统自动完成登录操作：

  1、在运行对话框中，输入注册表编辑命令regedit，来打开注册表编辑窗口；

  2、在该窗口中，依次展开HKEY_LOCAL_MACHINES\SOFTWARE\Microsoft\WindowsNT\Current Version\WinLogon键值；

  3、在对应右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“AutoAdminLogon”，并将该键名的数值设置为“1”；
   4、找到“DefaultDomainName”键名，并用鼠标双击之，在随后出现的窗口中，输入要登录的域名，例如Department；
   5、双击“DefaultUserName”键名，在随后打开的窗口中，直接输入要登录到此域的用户名，例如“test”；
   6、在WinLogon右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“DefaultPassword”，并将该键名的数值设置为用户登录系统的密码，例如用户test的登录密码为“123456”；
   7、完成设置后，重新启动计算机时，我们会发现不需要再登录，就能自动进入到Windows Server 2003系统中了。以后要取消自动登录功能的话，可以将“AutoAdminLogon”键值设置为“0”就可以了。
掌握了Windows2003的的基本设置以后，
现在的系统已经类似于Professional，
更加适合个人使用了。
如果你是高级应用者或系统管理员，
可以看看下面有关磁盘和内存等高级设置的方法及经验。

十、跳过磁盘检修等待时间(个人认为不用改)
一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会自动运行磁盘扫描程序，检查磁盘是否有错误出现。要是你不想等待下去的。可以跳过这段检查等待时间：
  1、在开始菜单中，依次执行“程序”-->“附件”-->“命令提示符”命令，将界面切换到DOS命令行状态下；
  2、在DOS命令行状态下直接输入“CHKNTFS/T :0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了。下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。

十一、解决运行大型软件时系统反应缓慢
右键点击“我的电脑”-->属性-->高级-->性能-->设置-->高级，把“处理器计划”和内存使用分配给“程序”使用。然后点击“确定”

十二、禁用错误报告
右键点击“我的电脑”-->属性-->高级-->点击“错误报告”按钮，在出现的窗口中把“禁用错误报告”选上并复选“但在发生严重错误时通知我”

十三、调整虚拟内存
正常运行Windows所需要的虚拟内存是作为物理内存的“后备力量”而存在的，虽然运行速度上硬盘不如内存，但在容量上内存是无法与硬盘相提并论的。所以我们一直是认为虚拟内存越大越好，其实事实上并不是这样的，尤其是安装Windows server 2003用做工作站的环境下并不承担高负荷工作的情况下，我们可以试试禁用虚拟内存。前提是你必须拥有512M物理内存以上。很多朋友担心如果禁用虚拟内存会不会象在Windows 9x环境下一样造成系统无法正常待机和休眠的情况，其实不会这样的，因为从windows xp开始它的虚拟内存（即pagefile.sys）是专用于数据交换的，待机模式时数据依旧保留在物理内存中，休眠模式也有其专用的休眠文件（Hiberfil.sys），所以绝对不会出现系统无法休眠的问题。而使用Windows server 2003的一些朋友经常会对其的关机和注销缓慢感到束手无策，在此我个人的解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。我做了测试，在加载虚拟内存的情况下注销用户重登陆windows的时间是3秒，关机是23秒。但是在禁用虚拟内存的情况下注销重登陆的时间减少到2秒，而关机时间缩短到3秒。
右键点击“我的电脑”-->属性-->高级-->性能-->设置-->高级，点击“虚拟内存”部分的“更改”，然后在出现的窗口选择“无分页文件”。重启系统即可。
注意：调整虚拟内存部分经过个人测试无任何问题，但是不保证在您的机器上也是这样，所以我不对此设置造成的任何后果承担责任。只是建议对Windows server 2003关机速度有怨言的朋友尝试。

十四、更改系统临时文件夹位置
在非系统分区新建一个文件夹TEMP（如D:\TEMP）准备准系统临时文件移动到该文件夹,右键点击“我的电脑”-->属性-->高级-->环境变量和系统变量栏目中找到TEMP和TMP项,然后单击编辑,将原来的路径前面的%systemroot%改为D:\TEMP即可,共四项.
右键点击桌面上的Internet Explorer图标,选择属性,在“常规”选项卡中的“Internet 临时文件”栏目中点击“设置”按钮,在弹出的设置窗口中点击“移动文件夹”按钮,然后选择你想移动到的非系统分区的文件夹（如D:\TEMP）点确定即可.
用同样的方法亦可移动我的文档或一些应用程序的临时文件

十五.更改系统虚以内存到其它非系统分区
右键点击我的电脑-->属性-->高级-->性能栏目中点击“设置”按钮-->选择高级选项卡,在虚拟内存栏目中点击“更改”按钮-->在驱动器列表框内可看到当前系统分配的虚拟内存的最小值和最大值数.在驱动器列表框内点击非系统分区（如D盘）,然后点击“自定义系统虚以内存大小”,在最小值和最大值处输入相同的数值.数值的大小约为内存大小的2倍即可.内存在512M以上时倍数应减小.

十六、让系统自动关闭停止回应的程序
点击“开始”，选择“运行”，然后输入“regedit”回车。即可打开注册表编辑器，打开 HKEY_CURRENT_USER\Control Panel\Desktop 键,将 AutoEndTasks 值设为 1。 ( 原设定值：0 )

十七、允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
1,假如你希望启用Windows内置的IMAPI CD-Burning服务。请打开“开始”--> “运行”，键入“Services.msc”回东，在出现的“服务窗口”中找到“IMAPI CD-Burning COM Service”并双击它，然后在启动模式的下拉菜单选择“自动”，并点击“应用”-->“开始”--> “确定”
2,假如你有数码相机和扫描仪之类的影像设备，你应该打开Windows Image Acquisition 服务。打开“开始”--> “运行”，键入“Services.msc ”，在出现的窗口中找到“Windows Image Acquisition (WIA)”并双击它，然后在“启动模式”的下拉菜单选择“自动”，并点击“应用”-->“开始”--> “确定”
3.正常运行Windows所需要的虚拟内存是作为物理内存的“后备力量”而存在的，虽然运行速度上硬盘不如内存，但在容量上内存是无法与硬盘相提并论的。所以我们一直是认为虚拟内存越大越好，其实事实上并不是这样的，尤其是安装Windows server 2003用做工作站的环境下并不承担高负荷工作的情况下，我们可以试试禁用虚拟内存。前提是你必须拥有512M物理内存以上。很多朋友担心如果禁用虚拟内存会不会象在Windows 9x环境下一样造成系统无法正常待机和休眠的情况，其实不会这样的，因为从windows xp开始它的虚拟内存（即pagefile.sys）是专用于数据交换的，待机模式时数据依旧保留在物理内存中，休眠模式也有其专用的休眠文件（Hiberfil.sys），所以绝对不会出现系统无法休眠的问题。而使用Windows server 2003的一些朋友经常会对其的关机和注销缓慢感到束手无策，在此我个人的解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。我做了测试，在加载虚拟内存的情况下注销用户重登陆windows的时间是3秒，关机是23秒。但是在禁用虚拟内存的情况下注销重登陆的时间减少到2秒，而关机时间缩短到3秒。
右键点击“我的电脑”-->属性-->高级-->性能-->设置-->高级，点击“虚拟内存”部分的“更改”，然后在出现的窗口选择“无分页文件”。重启系统即可。
注意：调整虚拟内存部分经过个人测试无任何问题，但是不保证在您的机器上也是这样，所以我不对此设置造成的任何后果承担责任。只是建议对Windows server 2003关机速度有怨言的朋友尝试。

十八、Windows2003中不常见的安全隐患的防堵方法
　 尽管Windows 2003的功能在不断增强，但是由于先天性的原因，它还存在不少安全隐患，要是不将这些隐患“堵住”，可能会给整个系统带来不必要的麻烦；下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法，希望能对各位带来帮助！
   1.堵住自动保存隐患
Windows 2003操作系统在调用应用程序出错时，系统中的Dr. Watson会自动将一些重要的调试信息保存起来，以便日后维护系统时查看，不过这些信息很有可能被黑客“瞄上”，一旦瞄上的话，各种重要的调试信息就会暴露无疑，为了堵住Dr. Watson自动保存调试信息的隐患，我们可以按如下步骤来实现：打开开始菜单，选中“运行”命令，在随后打开的运行对话框中，输入注册表编辑命令“regedit”命令，打开一个注册表编辑窗口；在该窗口中，用鼠标依次展开HKEY_local_machine＼software＼Microsoft＼WindowsNT＼CurrentVersion＼AeDebug分支，在对应AeDebug键值的右边子窗口中，用鼠标双击Auto值，在弹出的参数设置窗口中，将其数值重新设置为“0”；打开系统的Windows资源管理器窗口，并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹，最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。完成上面的设置后，重新启动一下系统，就可以堵住自动保存隐患了。
  2.堵住资源共享隐患
　 为了给局域网用户相互之间传输信息带来方便，Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能，不过我们在享受该功能带来便利的同时，共享功能也会“引狼入室”，“大度”地向黑客们敞开了不少漏洞，给服务器系统造成了很大的不安全性；所以，在用完文件或打印共享功能时，大家千万要随时将功能关闭哟，以便堵住资源共享隐患，下面就是关闭共享功能的具体步骤：执行控制面板菜单项下面的“网络连接”命令，在随后出现的窗口中，用鼠标右键单击一下“本地连接”图标；在打开的快捷菜单中，单击“属性”命令，这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框；在该界面中取消“Microsoft网络的文件和打印机共享”这个选项；如此一来，本地计算机就没有办法对外提供文件与打印共享服务了，这样黑客自然也就少了攻击系统的“通道”。
　 3.堵住远程访问隐患
在Windows2003系统下，要进行远程网络访问连接时，该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码，通过普通明文内容方式传输给对应连接端的客户端程序；在明文帐号传输过程中，实现“安插”在网络通道上的各种嗅探工具，会自动进入“嗅探”状态，这个明文帐号就很容易被“俘虏”了；明文帐号内容一旦被黑客或其他攻击者另谋他用的话，呵呵，小心自己的系统被“疯狂”攻击吧！为了杜绝这种安全隐患，我们可以按下面的方法来为系统“加固”：点击系统桌面上的“开始”按钮，打开开始菜单；从中执行控制面板命令，从弹出的下拉菜单中，选中“系统”命令，打开一个系统属性设置界面；在该界面中，用鼠标单击“远程”标签；在随后出现的标签页面中，将“允许用户远程连接到这台计算机”选项取消掉，这样就可以将远程访问连接功能屏蔽掉，从而堵住远程访问隐患了。
　 4.堵住用户切换隐患
　　 Windows 2003系统为我们提供了快速用户切换功能，利用该功能我们可以很轻松地登录到系统中；不过在享受这种轻松时，系统也存在安装隐患，例如我们要是执行系统“开始”菜单中的“注销”命令来，快速“切换用户”时，再用传统的方式来登录系统的话，系统很有可能会本次登录，错误地当作是对计算机系统的一次暴力“袭击”，这样Windows2003系统就可能将当前登录的帐号当作非法帐号，将它锁定起来，这显然不是我们所需要的；不过，我们可以按如下步骤来堵住用户切换时，产生的安全隐患：在Windows 2003系统桌面中，打开开始菜单下面的控制面板命令，找到下面的“管理工具”命令，再执行下级菜单中的“计算机管理”命令，找到“用户帐户”图标，并在随后出现的窗口中单击“更改用户登录或注销的方式”；在打开的设置窗口中，将“使用快速用户切换”选项取消掉就可以了。
　 5.堵住页面交换隐患
　　 Windows 2003操作系统即使在正常工作的情况下，也有可能会向黑客或者其他访问者泄漏重要的机密信息，特别是一些重要的帐号信息。也许我们永远不会想到要查看一下，那些可能会泄漏隐私信息的文件，不过黑客对它们倒是很关心的哟！Windows 2003操作系统中的页面交换文件中，其实就隐藏了不少重要隐私信息，这些信息都是在动态中产生的，要是不及时将它们清除，就很有可能成为黑客的入侵突破口；为此，我们必须按照下面的方法，来让Windows 2003操作系统在关闭系统时，自动将系统工作时产生的页面文件全部删除掉：在Windows 2003的“开始”菜单中，执行“运行”命令，打开运行对话框，并在其中输入“Regedit”命令，来打开注册表窗口；在该窗口的左边区域中，用鼠标依次单击HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management键值，找到右边区域中的ClearPageFileAtShutdown键值，并用鼠标双击之，在随后打开的数值设置窗口中，将该DWORD值重新修改为“1”；完成设置后，退出注册表编辑窗口，并重新启动计算机系统，就能让上面的设置生效了。

十九、自己定制系统对话框
在Windows XP/2003中单击“开始→运行”，在弹出的运行对话框中输入“gpedit.msc”，回车后打开“组策略”编辑器。在“组策略”编辑器窗口中，依次单击“用户配置→管理模板→Windows组件→Windows资源管理器→通用打开文件对话框”，此时在右边的窗口中可以看到一个“位置栏中显示的项目”选项，双击该选项，弹出属性对话框，在“设置”选项卡下，选择“已启用”项前面的单选按钮，可以看到“显示的位置”下的“项目1”、“项目2”等后面的文本框已经激活了，这5个项目分别代表“位置栏”中从上到下显示的项目列表。在这五个项目后面的文本框中输入自己经常访问的文件夹或者是盘符路径，就可以DIY公用对话框上的按钮了。注意：在这里输入的内容必须符合一定的规则，否则快速定位按钮将成为一个空链接，不能让你快速定位。输入的内容可以是：
（1） 指向本地文件夹的快捷方式（如，C:\Windows）；
（2） 指向远程文件夹的快捷方式（如\\server\share，这对那些经常通过局域网共享文件的用户来说非常方便）；
（3）公共外壳文件夹，如Common Documents，Common Music，Common Pictures，Desktop，My Computer，My Documents，My Favorites，My Music, My NetworkPlaces，My Pictures，Printers，Program Files，Recent。

二十、启用 ASP 支持：
Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。方法是： 控制面板 -> 管理工具 ->
Web服务扩展 -> Active Server Pages -> 允许。

二十一、如何使用USB硬盘、U盘，添加已经有分区的硬盘
右键单击“我的电脑”-->“管理”-->“磁盘管理”，在相应的硬盘上执行分配盘符操作和导入。可立即生效,下次再接入时它会自动分配盘符.

二十二.怎样自动登录到中文Windows 2000/2003中
用户必须在登录界面中输入用户名和密码之后才能够登录到中文Windows 2000/2003中。其实,Win2000/2003也提供了在启动时自动以某组用户名和密码进行登录的功能，实现自动登录系统的操作方法如下：
选择“开始”-->“运行”，然后输入“regedit”，打开注册表编辑器。定位到“HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\WinLogon”。
双击“DefaultDominName”，并在出现的“编辑字符串”窗口中的“数据数值”栏中输入要登录的域名， 如果该机器不在域中，则该值项的值为该计算机的名称.随后单击“确定”按钮。
双击“DefaultUserName”数值名称，并在出现的“编辑字符串”窗口中的“数据数值”栏中输入要登录到此域的用户名(例如“mnbvcxz”)，随后单击“确定”按钮。
在右边窗口中，单击鼠标右键，依次选择“新建”-->“字串值”，将新建的字串值命名为“AutoAdminLogon”的数值名称。再使用鼠标左键双击刚添加的“AutoAdminLogon”数值名称，并在出现的“编辑字符串”窗口中的“数据数值”栏中将值设为1，随后单击“确定”按钮。
在右边窗口中，单击鼠标右键，依次选择“新建”-->“字串值”命令项，将新建的字符值命名为“DefaultPassword”的数值名称。再使用鼠标左键双击“DefaultPassword”数值名称，并在出现的“编辑字符串”窗口中的“数据数值”栏中输入用户的登录密码，随后单击“确定”按钮。
退出注册表编辑器窗口，重新启动计算机，此时系统自动以此用户名登录，而再也不需要手工输入用户名和密码了(如果在登录过程中一直按住Shift键，就会出现提示输入用户名和密码的对话框)。如果需要取消自动登录功能，只要使用鼠标选择方式将当前子键位置定位于此处，然后将AutoAdminLogon键值由1修改为0即可。

二十三.停止或完全关闭2003中的信使服务的方法∶

   1.停止2003自动启动信使服务的方法∶
点击“开始”—“运行”—在“运行”窗口键入 gpedit.msc ，然后点“确实”按钮，打开“组策略”窗口。在“组策略”窗口中，依次展开-->计算机配置-->管理模板-->Windows 组件-->Windows Messengenger，用鼠标左键单击“Windows Messengenger”，这时在“组策略”窗口右侧框内，找到“初始化时不自动启动Windows Messengenger”并用鼠标右键单击它，在弹出的菜单中点“属性”，在属性窗口中选“启用”，然后单击“确定”并关闭窗口。这样，下次启动计算机时XP的信使服务将不会自动运行，但可手动启动。

   2.完全关闭2003中的信使服务的方法∶
点击“开始”—“运行”—在“运行”窗口键入 gpedit.msc ，然后点“确实”按钮，打开“组策略”窗口。在“组策略”窗口中，依次展开-->计算机配置-->管理模板-->Windows 组件-->Windows Messengenger，用鼠标左键单击“Windows Messengenger”，这时在“组策略”窗口右侧框内，找到“不允许运行Windows Messengenger”并用鼠标右键单击它，在弹出的菜单中点“属性”，在属性窗口中选“启用”，然后单击“确定”并关闭窗口。下次启动计算机后，XP的信使服务将不可用。如果要启用该服务，只要改回去即可。

注意∶在组策略窗口中，“计算机配置”中的设置，将覆盖“用户配置”

二十四.跳过磁盘检修等待时间

一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会花10秒钟左右的时间，来运行磁盘扫描程序，检查磁盘是否有错误出现。要是你是一位惜时如金的人，肯定不会白白等待下去的。那就跟我一起来，跳过这段检查等待时间吧：
  1、在开始菜单中，依次执行“程序”/“附件”/“命令提示符”命令，将界面切换到DOS命令行状态下；
  2、直接输入“CHKNTFS/T :0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了；
  3、下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。

二十五.为指定组添加新用户
想在Windows Server 2003系统中添加新用户时，发现该系统控制面板窗口中却没有我们非常熟悉的“用户”图标，那么我们该从哪里着手，才能为系统的指定组添加新用户呢？呵呵，Windows
Server 2003看来就是不一样！笔者经过几次摸索，发现为指定组添加新用户的方法，具体步骤如下：
  1、用鼠标右键单击桌面上的“我的电脑”图标，从打开的快捷菜单中，执行“管理”命令，弹出一个计算机管理窗口；
  2、展开该窗口中的“本地用户和组”文件夹，然后选中该文件夹下面的“用户”选项，此时在右边的子窗口中，我们就能看到当前系统中已经存在的所有用户了，其中标有红色叉号的用户表示已经创建但并没有启用；
  3、用鼠标右键单击右边子窗口的空白处，从右键菜单中执行“添加新用户”命令，在随后出现的窗口中，输入需要添加的用户的相关信息，最后单击一下“创建”按钮，来结束新用户的添加工作；
  4、要想让该用户添加到指定组的话，可以选择“组”选项，再从右边的子窗口中，选中需要加入的组名称，并用鼠标右击之，执行快捷菜单中的“添加到组”命令；
  5、在随后出现的界面中，再单击“添加”命令，将前面创建的用户添加进来就可以了。

二十六.建立一个新的用户账号
windows server 2003不支持类似于Windows XP的登录欢迎屏幕。你可以在首次进入系统后建立一个有你个性的新用户账号。打开“开始”（Start） ->“运行”（Run）-> 键入“lusrmgr.msc ”，你将看到本地用户和组（Local Users and Groups ）右键点击左边窗口的“用户”（Users），选择“新用户”（New User）.在弹出的对话框中输入账号信息,然后点击“建立”（Great）。这样你的账号就可用了，当然，你可以选择把你的账号添加到管理员组，右键点击你新建的用户。然后选择“属性”（Properties）-> 点击“隶属于” on Member of tab -> “添加”Add.. -> “高级”Advanced -> “现在查找”Find Now 。在查找结果对话框中双击“管理员”（Administrators），在点击两次“确定”（Ok）后关闭“本地用户和组”（Local Users and Groups window ），现在你将可以注销Administrator用户用你自己的账号登录系统。

二十七安装Java VM
Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。

二十八.隐藏文件
Windows Server 2003默认情况下是显示所有的文件夹的，如果你不想这样，可以通过一下方法来隐藏：
打开任意一个文件夹，选择 “工具” -> 文件夹选项 -> 查看，选择“不显示隐藏的文件和文件夹”，点击“确定”。

二十九.启用 ASP 支持
Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。方法是： 控制面板 -> 管理工具 -> Web服务扩展 -> Active Server Pages -> 允许 .

三十.加快启动和运行速度

修改注册表，减少预读取，减少进度条等待时间：开始→运行→regedit启动注册表编辑器，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\Memory Management\PrefetchParameters，有一个键值名为EnablePrefetcher，它的值是3,把它改为“1”或“5”。
找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control，
将 WaitToKillServiceTimeout 设为：1000或更小。 ( 原设定值：20000 )
找到 HKEY_CURRENT_USER\Control Panel\Desktop 键，将右边视窗的WaitToKillAppTimeout 改为 1000， ( 原设定值：20000 )即关闭程序时仅等待1秒。
将 HungAppTimeout 值改为：200( 原设定值：5000 )，表示程序出错时等待0.5秒。

三十一.改变窗口弹出的速度
开始→运行→regedit启动注册表编辑器，找到HKEY_CURRENT_USER＼Control Panel＼Desktop＼WindowMetrics子键分支，在右边的窗口中找到MinAniMate键值，其类型为REG_SZ，默认情况下此健值的值为1，表示打开窗口显示的动画，把它改为0，则禁止动画显示，接下来从开始菜单中选择“注销”命令，激活刚才所作的修改。

三十二.在Win 2003中配置NAT服务器
如何通过使用Windows Server 2003来配置网络地址转换(NAT)服务器。Windows Server 2003“路由和远程访问”服务包括NAT路由协议。如果将NAT路由协议安装和配置在运行“路 由和远程访问”的服务器上，则使用专用Internet协议(IP)地址的内部网络客户端可以通过NAT服务器的外部接口访问Internet。
　　 1.如何配置路由和远程访问NAT服务器:当内部网络客户端发送要连接Internet的请求时，NAT协议驱动程序会截取该请求，并将其转发到目标Internet服务器。所有请求看上去都像是来自NAT服务器的外部IP地址。这样就隐藏您的内部IP地址配置。
　　 2.配置“路由和远程访问”NAT服务器：在管理工具菜单中，选中“路由和远程访问”。在“路由和远程访问”MMC中，展开您的服务器名称（其中服务器名称是您要配置服务器的名称，然后展开左窗格中的IP路由。选中常规，然后选择新建路由协议。单击NAT/基本防火墙复选框，将其选中，然后点确定。右键单击左窗格中的NAT/基本防火墙，然后单击新建接口。单击表示内部网络接口的接口，然后单击确定。在“网络地址转换”属性中，单击“专用接口连接到专用网络”，然后单击确定。右键单击左窗格中的NAT/基本防火墙，然后点新建接口。单击表示外部网络接口的接口，然后点确定.在“网络地址转换”属性中，单击“公用接口连接到Internet”。单击“在此接口上启用NAT”复选框，将其选中，点确定。
　　 NAT服务器可以自动为内部网络客户端分配IP地址。如果您没有已给内部网络上的客户端分配了地址信息的DHCP服务器，则可能会需要使用此功能。

　　如何配置路由和远程访问NAT服务器以分配IP地址和执行代理DNS查询NAT服务器还可以代表NAT客户端执行域名系统(DNS)查询。“路由和远程访问”NAT服务器对包括在客户端请求中的Internet主机名进行解析，然后将该IP地址转发给该客户端。

　　要配置“路由和远程访问”NAT服务器来分配IP地址并且代表内部网络客户端执行代理DNS查询，请按以下步骤操作：右键单击左窗格中的NAT/基本防火墙，然后单击属性。单击地址分配选项卡，然后单击“使用DHCP自动分配IP地址”复选框，将其选中。在IP地址框中，键入网络ID。在掩码框中，键入子网掩码。选择名称解析选项卡，然后单击“使用域名系统(DNS)的客户端”复选框，将其选中。如果您使用请求拨号接口连接到Internet，请单击“当名称需要解析时连接到公用网络”复选框，将其选中。在请求拨号接口框中，选中要拨号的接口。选择应用，然后单击确定。

　备注：完成这些基本配置步骤之后，内部网络客户端就可以访问Internet上的服务器了。

如何配置基于Windows Server 2003的计算机以使用NAT服务器.单击开始，指向控制面板，指向网络连接，然后单击本地连接。单击属性。单击Internet协议(TCP/IP)。单击属性。在“默认网关”框中，键入NAT服务器的内部IP地址。

　　备注：如果计算机从“动态主机配置协议”(DHCP)服务器接收它的IP地址，请单击高级，单击IP设置选项卡，单击网关下的添加，键入NAT服务器的内部IP地址，单击添加，单击确定，然后继续进行第6步.单击确定，单击确定，然后单击关闭。

三十三.在Win 2003中为SMTP服务配置本地域
如何在Windows Server 2003中为SMTP服务配置本地域。如何更改默认域的名称、配置别名域以及指定Drop文件夹。SMTP服务域用于组织要传递的消息。SMTP虚拟服务器至少有一个域：默认的本地域。本地域是由本地SMTP服务器提供服务的域名系统(DNS)域。到达SMTP服务器的包含本地域名的消息或者在本地传送到Drop文件夹，或者与不可传递的(NDR)报告一起返回给发送方。
　　 如何重命名默认域

　　默认域用于给来自不含有域的地址的消息加盖戳记。SMTP虚拟服务器必须有一个默认域。无法删除此默认域。

　　默认情况下，在“控制面板”系统工具的计算机名选项卡中指定的名称被用作默认域名。也可以指定一个唯一的名称作为SMTP服务的默认域名。

　　要重命名默认域，请按照下列步骤xx作：

　　启动MicrosoftInternet信息服务(IIS)管理器或打开IIS管理单元。展开Server_name，其中Server_name是服务器的名称，然后展开所需的SMTP虚拟服务器（例如，默认SMTP虚拟服务器）。单击域。在右窗格中，右击默认域，然后单击重命名。键入要使用的名称，然后按ENTER键。退出IIS管理器或关闭IIS管理单元。

如何配置别名域

　　别名域是默认域的别名。可以使用与默认域相同的设置来设置别名域。SMTP服务接收的别名域的消息放置在为默认域指定的Drop文件夹中。要配置别名域，请按照下列步骤xx作：启动IIS管理器或打开IIS管理单元。展开Server_name，其中Server_name是服务器的名称，然后展开所需的SMTP虚拟服务器（例如，默认SMTP虚拟服务器）。右键单击域，指向新建，然后单击域。“新建SMTP域向导”启动。单击别名，然后单击下一步。在名称框中键入别名域的名称，然后单击完成。退出IIS管理器或关闭IIS管理单元。

　　如何指定Drop文件夹
　　 对于默认域，您必须指定一个放置所有传入消息的文件夹。SMTP服务将别名域的消息放在默认域所使用的Drop文件夹中。默认情况下，Drop文件夹位于Inetpub\Mailroot文件夹中。您可以将任何文件夹指定为Drop文件夹，只要该文件夹是安装SMTP服务的计算机上的本地文件夹，而且没有指定为Pickup文件夹。
　　 要更改Drop文件夹的位置，请按照下列步骤xx作：启动IIS管理器或打开IIS管理单元。展开Server_name，其中Server_name是服务器的名称，然后展开所需的SMTP虚拟服务器（例如，默认SMTP虚拟服务器）。单击域。在右窗格中，右击默认域，然后单击属性。单击浏览，找到要用作Drop文件的文件夹，然后单击确定。单击确定。

三十四.为Win 2003中添加LPT端口
如何在基于 Microsoft Windows Server 2003 的计算机中添加附加LPT端口。默认情况下，在Windows Server 2003中存在3个 LPT可用端口，它们是 LPT1、LPT2 和 LPT3。可以添加附加LPT端口直到LPT9。添加附加 LPT 端口后，该端口作为可用打印机端口显示在“添加打印机向导”中。　　如何添加附加LPT端口单击开始\运行.注意：“注册表编辑器”使用不当可造成严重问题，这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。在打开框键入regedit，然后单击确定。找到并单击下面的注册表项：
　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports

　　当前 LPT 端口显示在右窗格中。在编辑菜单上，指向新建，然后单击字符串值。

　　键入新值名称。键入 LPT#，其中 # 是所要添加 LPT 端口的序号，然后按 ENTER。例如，键入 LPT4。在文件菜单上，退出“注册表编辑器”。单击开始\运行。在打开框键入cmd，单击确定。停止然后重新启动假脱机服务。为此，请在命令提示符下键入下列命令，在每行后按ENTER 键：

　　net stop spooler
　　 net start spooler

　　键入exit退出命令提示符。

三十五、在关机时清理页面文件
打开“开始”-->“控制面板”-->“管理工具”→“本地安全策略”,在“本地安全策略”窗口中展开→“本地策略”→“安全选项”，在右框内双击其中的“关机：清理虚拟内存页面文件”一项，点击弹出选单中的“已启用”选项，单击“确定”即可。这样关机时会自动整理页面文件,可提高系统启动速度.

三十六.调整系统性能

开始→运行→regedit启动注册表编辑器，找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
   1.输入/输出性能,建一个DWORD值，命名为IOPageLockLimit。这个优化只对server用户才有实在意义——它能够提升系统进行大容量文件传输时的性能。在默认情况下，这个键值在注册表中是不存在的，必须自己建一个，多数人在使用这项优化时都发现8到16M字节之间性能最好，具体设什么值，可以设进去试试看哪个值可以获得最佳性能。记住这个值是用字节来计算的，它的十进制值.因此，譬如你要分配12M的话，就是12 * 1024 * 1024，也就是12582912。跟前面的内存优化一样，只有当你的内存大于256M的时候才好更改这里的值。
   2.禁用内存页面调度,　在正常情况下，XP会把内存中的片断写入硬盘，我们可以阻止它这样做，让数据保留在内存中，从而提升系统性能。要注意的是，拥有很多内存的用户（256M以上）才好使用这个设置。这个设置的名字正如它的功能一样，叫“DisablePagingExecutive”。把它的值从0改为1就可以禁止内存页面文件调度了。
   3.提升系统缓存,把LargeSystemCache键值从0改为1，Windows XP就会把除了4M之外的系统内存全部分配到文件系统缓存中，这意味着XP的内核能够在内存中运行，大大提高系统速度。剩下的4M内存是用来做磁盘缓存的，在一定条件下需要的时候，XP还会分配更多一些。一般来说，这项优化会使系统性能得到相当的提升，但也有可能会使某些应用程序性能降低。正如前面所说的，必须有256M以上的内存，才好激活LargeSystemCache，否则不要动它。
   4.二级高速缓存：一般windows不会正确判断你的cpu二级高速缓存的数值,需要自己设置,在以上注册表位置新建一个DWORD值，命名为“SecondLevelDataCache”如果cpu二级高速缓存为128K即将SecondLevelDataCache的十进制值设为128 例如: PIII Coppermine/P4 Willamette是"256"，Athlon XP是"384"，P4 Northwood是"512"

三十七.加速浏览局域网速度

开始→运行→regedit启动注册表编辑器，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\
将其下的主键{2227A280-3AEA-1069-A2DE-08002B30309D}删除,该主键是网络(打印机)
将其下的主键{D6277990-4C6A-11CF8D87-00AA0060F5BF}删除,该主键是(计划任务)

三十八.卸载无用的动态连接

资源管理器经常在内存中留下无用的动态链接，为了消除这种现象，你可以打开注册表编辑器，设置键值：HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\Windows\ CurrentVersion\Explorer
AlwaysUnloadDLL=DWORD: 1将其设为0，这一功能就会被关闭。注意：为了让设置生效，需要重新启动计算机。

三十九.取消对zip文件的注册,加速运行

xp/2003都内置了对zip压缩文件的支持,方便了用户的同时也占用了系统资源.不如安装其它压缩和解压缩软件支持更多类型的压缩文件,在需要用到时才打开.操作方法:开始--运行“regsvr32 /u zipfldr.dll”

四十、关闭程序出错信息

打开“开始”-->“所有程序”-->附件-->系统工具-->单击“系统信息”,在系统信息窗口中点击“工具”,在弹出的菜单中点击“Dr Watson” ,留卜：“转储全部线程上下文” 删除其余各项。

四十一、清除“Windows 文件保护”文件缓存

在命令提示符下运行SFC.exe/purgecache(减少300M),

系统文件检查程序(sfs)
在重新启动计算机后扫描和验证所有受保护的系统文件。
语法
sfc [ /scannow ] [ /scanonce ] [ /scanboot ] [ /revert ] [ /purgecache ] [ /cachesize=x]

参数
/scannow 立即扫描所有受保护的系统文件。
/scanonce 一次扫描所有受保护的系统文件。
/scanboot 每次重新启动计算机时扫描所有受保护的系统文件。
/revert 将扫描返回到默认操作。
/purgecache 立即清除“Windows 文件保护”文件缓存，并扫描所有受保护的系统文件。 /cachesize=x 设置“Windows 文件保护”文件缓存的大小，以 MB 为单位。
/? 在命令提示符下显示帮助。

注释

必须以 Administrators 组成员的身份登录才能运行 sfc 。

如果 sfc 发现受保护的文件已经被覆盖，它会从 systemroot \system32\dllcache 文件夹获取该文件的正确版本，然后替换不正确的文件。

如果 systemroot \system32\dllcache 文件夹已经损坏或者不能使用，则使用 sfc /scannow 、 sfc /scanonce 或 sfc /scanboot 修复 Dllcache 目录的内容。

四十二、禁用多余服务：

右键我的电脑－管理－服务和应用程序－服务
1.Autometicupdates (自动更新）
2.Clipbook Server (文件服务)
3.ErrorReporting (出错报告）
4.Fast User Switching Compatibility (快速用户切换兼容性)
5.FAx (传真服务)
6.Messenger （局域网或信息传递）
7.NT LM Security Support (NT LM安全支持提供商)
8.NetworK DDE (动态数据交换)
9.NetworK DDE DSDM (动态数据交换)
10.NeLogon (网络注册)
11.Printer Spooler （打印服务）
12.Remote Desktop Help Session Manager (远程桌面帮助会话管理)
13.RemoteRegistry (提供远程服务修改注册表)
14.Tasksoheduler (计划任务)
15.Uninterrcptble （UPS电源）
16.Windows Image Acquisition (WIA) (Windows 图像获取 WIA )为扫描仪照相机提供图像捕获
以上项目均改为禁用或者手动
17.IMapicd-Burnin (影象设备支援设为：自动并且开启)

四十三Windows减肥：

windows\drivercache\*.* 备份文件可以删除 82.7M
windows\ime\imejp\*.*
windows\ime\imej98\*.*
windows\ime\imejp8-1\*.*
windows\ime\imek6-1\*.* 日；韩输入法 共：73.4M
c:\documents and settings\xxx\localsettings\temp\*.* (xxx为用户名)
temporary intarnet Files\*.*
以上均可以删除可以减肥：160M之多。
c:\windows\prefetch\*.* 定期删除之。

四十四失掉的 *.exe 关联的恢复
在安全模式下运行：assoc .exe=exefile (注意：assoc .exe 有空格)
然后：Ctrl+Alt+Del 调出“windows安全”按关机选择重新启动

四十五、解决2000/xp/2003密码丢失

删除以下文件:
a. c:\windows\system32\config\"SMA" 256K 大小
b. documentsandsettings\administrator\"cookies"

四十六、双启动菜单丢失：

a.新安装->选R-->恢复控制台，选“1”键入管理员密码
b.再键入:"BOOTCFG/ADD"
d.然后选择：“1”
e.然后输入：“microsoft windows xp professional”
f.提示：加载 OS 项，键入：“fastdetect” 回车
g.然后键入：“exit” 重新启动。
h.最后，把带“$”的文件及文件夹全部删除即可。

四十七、为irq中断请求排优先次序

计算机的每一个主要部件都设了个IRQ中断号。这里就是要通过修改每个IRQ请求的优先次序达到优化目的。这里主要的优化对象是系统/CMOS实时钟，它通过主板来提升性能。首先，要确定你想要哪个组件获得更高的性能，然后找到这个硬件正在使用的IRQ中断号。怎么找呢？打开控制面板里的系统属性（也可以按键盘上的Windows+Break热键组合打开它）。选中"硬件"选项卡，然后点击" 设备管理器"按钮。右键点击要查IRQ号的组件，选择"属性"，然后点击"资源"选项卡。
这里可以看到设备正在使用的IRQ中断号（如果没有IRQ中断号，选择另一个设备）。把中断号记下来，然后运行注册表编辑器regedit，找到注册中的 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ PriorityControl 位置。我们要在这 里建立一个名为IRQ#Priority（其中"#"是具体的IRQ中断号）的DWORD双字节值，然后把它的值设为1。譬如说，我的系统CMOS实时钟的IRQ中断号是8，我要建立的键名就是IRQ8Priority。重新启动计算机之后，就会发现刚优化过的组件性能有所提高。笔者强烈建议用这个方法优化系统CMOS实时钟，因为它能改善整块主板的性能。当然也可以把多个IRQ中断号优先级提高，但这样做的效果没那么好，而且有可能造成系统不稳定。要把这个优化设置撤消的话，只要把刚才建立的注册表键值删掉就OK了。

四十八、 清空远程可访问的注册表路径

　　将远程可访问的注册表路径设置为空，这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
　　 打开组策略编辑器，依次展开“计算机配置-->Windows 设置-->安全设置-->本地策略-->安全选项”，在右侧窗口中找到“ 网络访问：可远程访问的注册表路径”，双击它，然后在打开的“ 网络访问：可远程访问的注册表路径 属性”窗口中，将可远程访问的注册表路径和子路径内容全部删除。

四十九、 关闭自动播放功能

　　自动播放功能不仅对光驱起作用，而且对其它驱动器也起作用，这样很容易被黑客利用来执行黑客程序。

　　打开组策略编辑器，依次展开“计算机配置→管理模板→系统”，在右侧窗口中找到“关闭自动播放”选项并双击，在打开的对话框中选择“已启用”，然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”，按“确定”即可生效。

五十、删除默认共享

　　单击“开始→运行”，输入“gpedit.msc”后回车，打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”，双击登录项，然后添加“delshare.bat”（参数不需要添加），从而删除Windows 2003默认的共享。
　　 接下来再禁用IPC连接：打开注册表编辑器，依次展开
[HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支，在右侧窗口中找到“restrictanonymous”子键，将其值改为“1”即可。

IIS高速缓存是对IIS进行优化时要考虑的最重要的项目之一。服务器保留了一部分内存空间用作IIS高速缓存，为将来的请求存储对象，这样IIS就可从高速缓存中检索对象而不用从硬盘中检索。

调整IIS高速缓存的容量需要修改注册表，表项如下：
　　\HKEY_LOCAL_MACHINE
　　\System
　　\CurrentControlSet
　　\Services
　　\InetInfo
　　\Parameters
　　\MemoryCacheSize
　　MemoryCacheSize的范围是从0道4GB，缺省值为3072000（3MB）。

　　IIS通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0，那就意味着“不进行任何高速缓存”。在这种情况下系统的性能可能会降低。如果你的服务器网络通讯繁忙，并且有足够的内存空间，可以考虑增大该值。必须注意的是修改注册表后，需要重新启动才能使新值生效。

注：其实优化，也就是停一些不用的服务，去一些不用的组件之类的，真正的优化，不需要做的。优化半天不如，加一条内存，或是换一颗CPU 更直接，物理和逻辑永远有一定的距离。

启用HTTP的持续作用（Keep-Alive）时，IIS与浏览器的连线不会断线，可以改善执行效率，直到浏览器关闭时连线才会断线。因为维持"Keep-Alive"状态时，於每次用户端请求时都不须重新建立一个新的连接，所以将改善伺服器的效率。此功能为HTTP1.1预设的功能，HTTP 1.0加上

Keep-Alive header也可以提供HTTP的持续作用功能。

2、启用HTTP的持续作用可以改善15~20%的执行效率。 　

如何启用HTTP的持续作用呢？步骤如下：在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，勾选 [HTTP的持续作用] 选项。

3、不启用记录 　

不启用记录可以改善5~8%的执行效率。如何设定不启用记录呢？步骤如下： 　

在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，不勾选 [启用记录] 选项。设定非独立的处理程序使用 [独立] 的处理程序会损失20%的执行效率，此处所谓 "独立"系指将 [主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高（独立的）] 时。因此 [应用程式保护] 设定为 [低 (IIS处理程序)] 时执行效率较高如何设定非"独立"的处理程序呢？步骤如下： 在 [Internet服务管理员] 中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，设定应用程式保护选项为 [低 (IIS处理程序)] 。 　

4、调整快取（Cache）记忆体 　

IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。ASP指令档案执行过後，会在暂存於快取（Cache）记忆体中以提高执行效能。增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。可以设定所有在整个IIS电脑、"独立"Web站台、或"独立"应用程式上执行之应用程式的快取记忆体档案数量。如何设定快取（Cache）功能呢？步骤如下：在 [Internet服务管理员] 中选取整个IIS电脑、"独立"Web站台、或"独立"应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，按下 [设定] 按钮时，即可由 [处理程序选项] 页设定[指令档快取记忆体] 。如何设定快取（Cache）记忆体档案数量呢？步骤如下：在[Internet服务管理员] 中，选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之[伺服器扩充程式] 页，按下 [设定] 按钮。即可设定快取（Cache）记忆体档案数量。

5、勿使用CGI程式 　

使用CGI程式时，因为处理程序（Process）须不断地产生与摧毁，造成执行效率不佳。一般而言，执行效率比较如下：静态网页（Static）：100 ISAPI：50 ASP：10 CGI：1 　换句话说，ASP比CGI可能快10倍，因此勿使用CGI程式可以改善IIS的执行效率。以弹性（Flexibility）而言：ASP > CGI > ISAPI > 静态网页（Static）。以安全（Security）而言：ASP（独立） = ISAPI（独立）= CGI > ASP（非独立） = ISAPI（非独立）= 静态网页（Static）

6、增加IIS 5.0电脑CPU数量 　

根据微软的测试报告，增加IIS 4.0电脑CPU数量，执行效率并不会改善多少；但是增加IIS 5.0电脑CPU数量，执行效率会几乎成正比地提供，换句话说，两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0 则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。 　

7、启用ASP侦错功能 　

勿启用ASP侦错功能可以改善执行效率。如何勿启用ASP侦错功能呢？步骤如下：於[Internet服务管理员] 中，选取Web站台、或应用程式的起始目录，按右键选择[内容]，按 [主目录]、[虚拟目录] 或 [目录] 页，按下 [设定] 按钮，选择 [应用程式侦错] 页，不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。

8、静态网页采用HTTP 压缩 　

静态网页采用HTTP 压缩，大约可以减少20%的传输量。HTTP压缩功能启用或关闭，系针对整台IIS伺服器来设定。用户端使用IE  5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web伺服器，才有HTTP压缩功能。如何启用HTTP压缩功能呢？步骤如下：若要启用HTTP 压缩功能，方法为在 [Internet服务管理员] 中，选取电脑之 [内容]，於 [主要内容] 之下选取 [WWW服务]。然後按一下 [编辑] 按钮，於 [服务] 页上，选取 [压缩静态档案] 可以压缩静态档案，不选取 [压缩应用程式档案] 。　动态产生的内容档案（压缩应用程式档案）也可以压缩，但是须耗费额外CPU处理时间，若%Processor Time已经百分之八十或更多时，建议不要压缩。

以上是对采用IIS作为WEB服务器的一些安全相关的设置与其性能调整的参数设置，可以最大化的优化你的IIS。

一.虚拟主机需要的软件及环境
1.Serv-U5.0.11（似乎不安全，但是也未必） 2.Mysql数据库 3.Mssql数据库 4.PcAnyWhere远程控制 5.杀毒软件，我一般使用诺顿8.0 6.php5      7.ActivePerl5.8
以上各种软件，除Mssql数据库以为，其他的都应去官方网站下载推荐版本安装。下面开始就是安装设置了，从系统安装完开始。假设系统安装的windows2000高级服务器版，系统分为c盘，d盘和e盘，全部是ntfs格式。
二.系统端口设置
虚拟主机，一般同时使用PcanyWhere和终端服务进行控制，终端服务要更改端口，比如修改成8735端口。根据要开放的服务，去设置TCP/IP筛选。为什么不使用本地安全策略了？个人认为TCP/IP筛选比较严格，因为这里是除非明确允许否则拒绝，而本地安全策略是除非明确拒绝否则允许。如果我理解不当，还请指教。TCP/IP筛选设置如下：
TCP端口只允许21，80，5631，8735，10001，10002，10003，10004，10005；IP协议只允许6；UDP端口我没有做过详细测试，不敢乱说，以后测试了再补上。TCP/IP端口里面的10001-10005是设置Serv-U的PASV模式使用的端口，当然也可以使用别的。
本地连接属性里面，卸载所有的其他协议，只留下Internet协议（TCP/IP），顺便把administrator帐号改个复杂点的名字，并且在本地安全策略里面设置不显示上次登陆帐号，对帐号锁定做出合适的设置。然后重新启动计算机，这步设置已经完成。
三.系统权限设置
现在开始安装软件，所有的软件都安装在d盘，e盘作数据备份使用。先安装Serv-U到d:\Serv-U，并且汉化顺便破解，嘿嘿。然后依次安装到d盘。现在开始设置权限。首先二话不说，c盘，d盘和e盘的安全里面把Everyone删除，添加改名后的administrator和system，让他们完全控制。高级里面重置所有子对象的权限并允许传播可继承权限。这样系统所有的文件，目录全部是由改名后的administrator和system控制了，并且自动继承上级目录的权限，下面为每个目录设置对应的权限。
运行asp，建立数据库连接需要使用C:\Program Files\Common Files目录下面的文件。在这里，设置C:\Program Files\Common Files权限，加入everyone，权限为读取，列出文件夹目录，读取及运行。还可以使用高级标签进行更加严格的设置，但是我没有做过，不敢胡说。
运行php，需要设置c:\winnt\php.ini的权限，让everyone有读取权限即可。如果php的session目录设置为c:\winnt\temp目录，此目录应该让everyone有读取写入权限。为提高性能，php设置为使用isapi解析，d:\php目录让everyone有读取，列出文件夹目录，读取及运行权限。至于php.ini的设置，这里我就不说了。第一我不很懂，第二我只讲系统权限设置。
运行cgi，设置d:\perl让everyone有读取，列出文件夹目录，读取及运行权限。顺便说下，cgi设置为使用isapi方式解析有利于安全和性能。
现在说下让人头大的Serv-U的设置了。这东西功能确实强大，但是安全性不怎么好，需要我们来改造。最首先的是溢出攻击，5.0.11好象已经没有这个缺陷了。其次是修改ini配置文件，这里已经没有权限修改了，略过不提。据我所知现在唯一的办法就是使用默认的管理帐号和密码添加有写入执行权限的帐号来执行木马了。把默认帐号密码修改掉就完了，这个东西直接使用editplus之类的编辑器打开ServUDaemon.exe和ServUAdmin.exe修改就可以了。如果懒得麻烦，随便什么语言写个程序都很容易作到。我以前写过一个这样的东西，方便自己设置。现在Serv-U基本上没有什么问题了。
至于数据库，权限已经不用设置了，直接继承d盘根目录就可以。至于里面的帐号密码该怎么设置，我也懒得说了。
现在最后一点，就是设置c:\winnt\system32目录和他下面的一些东西了。很多程序运行需要这里的动态连接库，而且这里文