2000的安全维护及出错解决一例,XP局域网访问无

2019-11-28 21:21 来源:未知

计算机安全不仅包括保护计算机的本地数据,还要保护网络上的数据安全。优秀的操作系统可以对试图访问计算机资源的人员进行身份识别,防止特定资源被用户不适当地访问,并且提供用户简单有效的方法来设置和维护计算机的安全。目前PC用户常用的还是Windows,比较以前的版本,基于NT平台技术的 Windows 2000在稳定性和安全性上有很大的改善。下面以Windows 2000 Professional 为例进行说明,并顺便介绍一个应用问题的解决。
一、 Windows 2000安全功能
1.用户帐户和帐户组功能
确保只有有权用户才能访问计算机,同时有效地管理用户的特定任务权利和权限,如文件夹访问权限等。系统内置组可以使大多数用户获得执行各自任务所需的全部用户权利和权限。管理界面在“控制面板”中的“用户和密码”。
2.共享文件夹权限
通过给任何文件夹赋予共享文件夹权限,您可以限制或允许通过网络访问这些文件夹。通过项目的属性菜单设置。默认情况下,在Windows 2000中新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。

XP局域网访问无权限问题的完整解决方案:

可能原因:
(1)NWlink IPX/SPX/NetBIOS Compatible Transport Protocol协议是否安装就绪。

本配置仅适合Win2003,部分内容也适合于Win2000。很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
经测试,本配置在Win2003 IIS6.0 Serv-U SQL Server 的单服务器多网站中一切正常。以下配置中打勾的为推荐进行配置,打叉的为可选配置。
一、系统权限的设置
1、磁盘权限 系统盘只给 Administrators 组和 SYSTEM 的完全控制权限
其他磁盘只给 Administrators 组完全控制权限
系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘windowssystem32config 禁止guests组
系统盘Documents and SettingsAll Users「开始」菜单程序 禁止guests组
系统盘windownssystem32inetsrvdata 禁止guests组
系统盘WindowsSystem32 at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘WindowsSystem32 cmd.exe、format.com 仅 Administrators 组完全控制权限
把所有(Windowssystem32和WindowsServicePackFilesi386) format.com 更名为 format_nowayh.com
2、本地安全策略设置
开始菜单->管理工具->本地安全策略
A、本地策略-->审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问失败
审核过程跟踪 无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略-->用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组
通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除
C、本地策略-->安全选项 交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
D、账户策略-->账户锁定策略 将账户设为“5次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”
二、其他配置
√·把Administrator账户更改 管理工具→本地安全策略→本地策略→安全选项
√·新建一无任何权限的假Administrator账户
管理工具→计算机管理→系统工具→本地用户和组→用户
更改描述:管理计算机(域)的内置帐户
×·重命名IIS来宾账户
1、管理工具→计算机管理→系统工具→本地用户和组→用户→重命名IUSR_ComputerName
2、打开 IIS 管理器→本地计算机→属性→允许直接编辑配置数据库
3、进入Windowssystem32inetsrv文件夹→MetaBase.xml→右键编辑→找到"AnonymousUserName"→写入"IUSR_"新名称→保存
4、关闭"允许直接编辑配置数据库"
√·禁止文件共享
本地连接属性→去掉"Microsoft网络的文件和打印共享"和"Microsoft 网络客户端"前面的"√"
√·禁止NetBIOS(关闭139端口)
本地连接属性→TCP/IP属性→高级→WINS→禁用TCP/IP上的NetBIOS
管理工具→计算机管理→设备管理器→查看→显示隐藏的设备→非即插即用驱动程序→禁用 NetBios over tcpip→重启
√·防火墙的设置 本地连接属性→高级→Windows防火墙设置→高级→第一个"设置",勾选FTP、HTTP、远程桌面服务
√·禁止ADMIN$缺省共享、磁盘默认共享、限制IPC$缺省共享(匿名用户无法列举本机用户列表、禁止空连接)
新建REG文件,导入注册表

3.比FAT和FAT32更安全的NTFS文件系统的功能: 磁盘限额服务,可以控制每个用户允许使用的磁盘空间大小;
支持设置文件或文件夹的权限,限制或允许用户或组的访问,规定访问类型,就是说可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内。如果要共享位于 NTFS 驱动器的文件夹无需特别设置,NTFS 文件夹访问权限在本机和网络上均有效;
NTFS还支持所有者加密文件和文件夹,更好地保护信息。
推荐使用NTFS磁盘分区。
4.打印机权限
通过指派打印机权限来限制用户访问。分打印文档、管理文档、管理打印机三种权限。通过项目的属性菜单设置。
5.审核
可以使用审核跟踪用于访问文件或其他对象的帐户,以及用户登录尝试、关闭或重新启动系统及其它指定的事件。在审核发生之前,您必须使用“组策略”指定要审核的事件类型。例如,要审核文件夹,首先要启用“组策略”中“审核策略”的“审核对象访问”。下一步,您可以象设置权限那样来设置审核:选择对象例如文件或文件夹),然后选择要审核其操作的用户和组。最后,选择想要审核的操作,例如,试图打开或删除受限制的文件夹。可以审核成功和失败的尝试。通过使用“事件查看器”来查看“安全”日志可以跟踪审核活动。对于磁盘访问的审核机制只能应用在NTFS文件系统之上。应对所有需要审核的用户使用审核机制。
6.用户权利
用户权利是确定用户可以在计算机上所执行操作的规则。此外,用户权利控制用户是否可以直接在本地)或通过网络登录到计算机、将用户添加到本地组、删除用户,等等。内置组具有已指派的用户权利集合。通常情况下,管理员通过向一个内置组添加用户帐户,或者通过创建新组并为该组指派特定用户权利来指派用户权利。随后添加到组中的用户自动获得指派给组帐户的所有用户权利。用户权利是通过“组策略”管理的。

1:用管理员账户登录系统

(2)开启guest账号:右击我的电脑管理用户有个guest,双击之去掉“账户已停用”前面的勾。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
"AutoshareWks"=dword:00000000
"AutoShareServer"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"restrictanonymous"=dword:00000001

7.其它本地安全设置
允许安全管理员配置指派给“组策略”对象或本地计算机策略的安全等级。本地安全策略是用于配置本地计算机的安全设置。这些设置包括密码策略、账户锁定策略、审核策略、IP 安全策略、用户权限指派、加密数据的恢复代理以及其他安全选项。由于本地安全策略主要是针对本地用户设置的,因此只有在不是域控制器的 Windows 2000 计算机上才可用。
以上前四点功能常用且易于设置,而审核与用户权利等安全设置使用较为复杂,但是功能确实非常强大,用户可对系统的操作参数进行深入细致的微调,直至完全满足个人需求。比如:
* 防止来自局域网内部的恶意攻击,用户可以得到某账户被人远程尝试登录的机器位置和次数的记录,取消某账号远程登录的权利等,这非常有用。
* 可以在策略上控制你所拥有的资源,比如禁止从网络访问本地的软驱或光驱,无论是否被设置为共享权限。
* 使用安全策略保护数据,让攻击者破解困难或根本不可能。算法和密钥的组合用于保护信息。Windows 2000通过使用基于加密的算法和密钥获得高安全级。
Windows 2000的安全设置主要在“本地安全策略”中进行。使用时单击“开始”,指向“程序”,指向“管理工具”,然后单击“本地安全策略”就行了。 它的设置包括:
* 帐户策略:密码和帐户锁定策略
* 本地策略:审核、用户权利和安全选项策略
* 公钥策略IP 安全策略): Internet 协议安全性 (IPSec) 管理。IPSec 策略为与别的计算机进行安全通讯的管理策略。
使用它最好有高级管理员的指导。
二、本地安全策略设置出错一例解决及进一步建议
1.本地安全策略设置过程中不注意的话,会产生比较大的麻烦。一个例子:
单位一台运行 Windows 2000 Professional的机器,用户设置时出错,在“本地策略”中,把“用户权利分配”的“拒绝本地登录”项目设为“Users,Guests,EveryOne”。导致注销后用户无法再次登录,系统提示“无法进行交互式会话”。设置项包含“EveryOne”使得所有账号都被禁止登录。

2:在“开始”-- “运行”里输入 GPEDIT.MSC 目的是打开组策略选项

(3)统一各计算机的工作组名:右击我的电脑属性计算机名,查看该选项卡中出现的局域网工作组名称,将所有计算机均加入Workgroup工作组。

√·删除以下注册表主键

解决办法:Windows 2000将当前本地安全设置的数据记录存放在Windows系统目录system32下的config目录中,文件名SECURITY,只有将它修改正确才能正常登录。为简单起见,用系统初始配置覆盖它。由于机器使用FAT32格式,采用干净的Win98软盘启动,将Windows目录repair子目录下的SECURITY文件拷贝到config下覆盖出错文件。登录正常。正确设置如下图:

3:依次展开”WINDOWS设置”-”本地策略”-”用户指派权利” 在窗口右边栏里找到”拒绝从网络访问这能计算机”后,双击打开, 把里面的GUEST帐户删除

(4)使用winxp防火墙的例外:winxp防火墙在默认状态下是全面启用的,这意味着运行计算机的所有网络连接,难于实现网上邻居共享。同时,由于windows防火墙默认状态下是禁止“文件与打印机共享的”,所以,启用了防火墙,往往不能共享打印,解决办法是:进入“本地连接”窗口,点“高级”“设置”“例外”在程序与服务下勾选“文件和打印机共享”。

WScript.Network
WScript.Network.1
{093FF999-1EA0-4079-9525-9614C3504B74}
WScript.Shell
WScript.Shell.1
{72C24DD5-D70A-438B-8A42-98424B88AFB8}
Shell.Application
Shell.Application.1
{13709620-C279-11CE-A49E-444553540000}

图片 1

4:依次展开”WINDOWS设置”-”本地策略”-”安全选项” 在右边栏里找到”网络访问:本地帐户的共享和安全模式”双击打开,把它改成”经典:本地用户自己的身份验证”

(5)删除“拒绝从网络上访问这台计算机”项中的guest账户:运行组策略(gpedit.msc)本地计算机计算机配置windows设置安全设置本地策略用户权利指派拒绝从网络访问这台计算机。如果其中有guest,则将其删除。这样做的目的是让guest可能从网络访问本机。

√·更改3389端口为12344 这里只介绍如何更改,既然本端口公布出来了,那大家就别用这个了,端口可用windows自带的计算器将10进制转为16进制,16进制数替换下面两个的dword:后面的值(7位数,不够的在前面补0),登陆的时候用10进制,端口更改在服务器重启后生效。新建REG文件,导入注册表

如果机器使用了NTFS格式,就必须用Windows 2000 安装软盘或者安装光盘启动。为了防止类似故障发生后一时找不到启动盘,难以快速解决问题,可以应用Windows 2000 故障恢复控制台特性。
2.Windows 2000故障恢复控制台
Windows 2000 故障恢复控制台是命令行控制台,可以从 Windows 2000 安装程序启动。使用故障恢复控制台,无需从硬盘启动 Windows 2000 就可以执行许多任务,可以启动和停止服务,格式化驱动器,在本地驱动器上读写数据包括被格式化为 NTFS的驱动器),执行许多其他管理任务。如果需要通过从软盘或 CD-ROM 复制一个文件到硬盘来修复系统,或者需要对一个阻止计算机正常启动的服务进行重新配置,故障恢复控制台将特别有用。由于故障恢复控制台非常强大,只有通晓 Windows 2000 的高级用户才能使用。此外必须是管理员才有权使用故障恢复控制台。
可以从 Windows 2000 安装磁盘或者 Windows 2000 Professional CD 运行故障恢复控制台。作为备用选择,可以在计算机上安装故障恢复控制台,以便在不能重新启动 Windows 2000 时解决问题。这时只需从引导菜单上选中 Windows 2000 故障恢复控制台选项即可。在启动故障恢复控制台后,必须选择要登录的驱动器如果有双重引导或者多重引导系统)且必须用管理员密码登录。
故障恢复控制台提供了一个命令行,这样在 Windows 2000 不启动时,就可以更改系统。一旦运行故障恢复控制台,在命令提示符下键入“help”可获得关于可用命令的帮助。要重新启动计算机,键入 exit 关闭命令提示符窗口。
将故障恢复控制台安装为一个启动选项,以便在计算机无法重新启动时,可以运行。安装为启动选项的方法:以管理员或具有管理员权限的用户登录 Windows 2000。将 Windows 2000 Professional 光盘插入 CD-ROM 驱动器。如果提示升级到 Windows 2000,单击“否”。 从命令提示符下或从 Windows 2000 的“运行”命令框内)键入指向相应 Winnt32.exe 文件在Windows 2000 光盘内)的路径,后跟一个空格和 /cmdcons 开关选项。例如:
e:\i386winnt32.exe /cmdcons
遵循出现的提示操作。
 故障恢复控制台安装在根文件夹下 Cmdcons 文件夹内,包括根文件夹中的Cmldr 文件。Boot.ini 文件内包含故障恢复控制台的启动条目。
在Windows 2000的安全性无疑很高,但是,如果日常使用中不加注意的话,漏洞仍然存在,比如那些源自用户自己的问题。对于一般用户,笔者建议将控制面板的管理工具中的本地安全策略隐去,以免发生使用不当的问题。确实需要时可以从命令行[命令格式:c:winntsystem32secpol.msc /s]启动本地安全策略设置。

5:依次展开”WINDOWS设置”-”本地策略”-”安全选项” 在右边栏里找到”帐户:使用空白密码的本地用户只允许进行控制台登录”并把它设置为”禁用” 依次展开”WINDOWS设置”-”本地策略”-”安全选项” 在右边栏里找到”网络访问:本地帐户的共享和安全模式”双击打开,把它改成”仅来宾” 这样就可以解决局域网络不能互访的问题

(6)取消“使用简单文件共享”方式:资源管理器工具文件夹选项查看去掉“使用简单文件共享(推荐)”前面的勾。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
"PortNumber"=dword:0003038
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
"PortNumber"=dword:00003038

...

局域网内未能互访的问题诊断
一、用户权限设置错误 由于Windows 2000/XP具有完备的用户管理体系,因此仅仅按照常规的共享方式并不能直接访问这些文件,反倒会出现用户连接窗口,必须要输入正确的用户名和密码才能够顺利建立连接。对于这种情况,我们须要对用户组进行适当的设置,下面就以最为常用的Guest用户为例介绍一下具体的实现方法。

(7)勾选“Microsoft网络的文件和打印机共享”。

最后别忘了Windows防火墙允许12344端口,关闭3389端口
√·禁止非管理员使用at命令,新建REG文件,导入注册表

第一步:在控制面板中双击"计算机管理"图标,并且在弹出窗口中依次进入"本地用户和组→用户"菜单,此时可以在窗口右部查看到当前系统中存在的所有用户。

(8)运行服务策略“Services.msc”。启动其中的“Clipbook Server”(文件夹服务器):这个服务允许你们网络上的其他用户看到你的文件夹。建议将此服务设置为自动自动启动。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"SubmitControl"=dword:00000001

第二步:双击"Guest"用户,并且从弹出的属性窗口中去除"账号已停用"复选框(图2),确认保存之后即可启用系统附带的Guest账户。 激活了Guest账户之后,其他用户只要在网上邻居中双击当前共享的文件夹就能够以此用户身份对文件进行操作了。不过由于Guest账户是Windows系统附带的,也就是说任何人都能够通过这种方式访问你所共享的文件,如果某些重要的共享资源仅仅提供给特定的用户访问,就须要为他们设置单独的用户权限了。此时可以在用户窗口右部空白区域点击鼠标右键,从弹出窗口中选择"新用户"一项,接着分别输入用户名和相应的密码,这样别人在访问只有输入正确的用户名和密码才能够建立连接。

(9)win98的计算机无法访问win2000/winxp的计算机,原因是:win2000/winxp的计算机中的guest用户被禁用了或者win2000/winxp采用NTFS分区格式,设置了权限控制。一般要允许win98访问的话,win2000/winxp里的安全控制里不要将everyone的账号组删除。
  注意:
  a、如果您没有加入域并想查看“安全”选项卡,则设置显示“安全”选项卡:资源管理器工具文件夹选项查看去掉“使用简单文件共享(推荐)”前面的勾。
  b、查看文件和文件夹的有效权限:资源管理器右击要查看有效权限该文件或文件夹“属性”单击“安全”选项卡“高级”“有效权限”“选择”在“名称”框中键入用户或组的名称,然后单击“确定”。选中的复选框表示用户或组对该文件或文件夹的有效权限。
  c、只能在格式化为使用 NTFS 的驱动器上设置权限。

√·卸载最不安全的组件
运行"卸载最不安全的组件.bat",重启后更名或删掉WindowsSystem32里的wshom.ocx和shell32.dll

二、组策略设置错误 由于通过用户组能够更加便捷的进行权限管理,因此这种方式进行重要文件的共享,但是如果用户组的权限设置有误也会造成文件共享失败。比如我们已经创建了一个名为"File"的用户组,并且添加了允许访问重要文件的用户,接着可以参照下述步骤来授予文件共享权限。 第一步:在"开始→运行"命令窗口中输入"gpedit.msc"激活组策略编辑器。 第二步:在编辑器窗口左侧依次进入"计算机配置→Windows设置→安全设置→本地策略→用户权限指派"子项,此时可以在右部区域查看到当前系统中所有的策略。

(10)解决网上邻居太慢的方法:win98,假设网络中没有novell网络,可删除为了兼容novell netware网络而装的ipx/spx兼容协议即可;win2000/xp,可删除系统盘符documents and setting用户名nethood文件夹下的所有文件即可。

----------------卸载最不安全的组件.bat-----------------
regsvr32/u %SystemRoot%System32wshom.ocx
regsvr32/u %SystemRoot%System32shell32.dll
regsvr32/u %SystemRoot%System32wshext.dll
-------------------------------------------------------

第三步:双击"取得文件或其他对象的所有权"一项,从弹出窗口中点击"添加用户或组"按钮之后输入"PIIIFile"之类的用户组名称。 经过这样的设置后,我们就可以屏蔽Windows默认的Guest账户,转而通过用户组方式,这样不仅能够确保文件正常共享,还大大提升了文件的安全性。 另外,部分应用软件或者恶意程序会修改组策略中的一些默认设置,让本机拒绝局域网内其他机器的访问,这时同样在上述第二步界面右边的策略选项中双击"拒绝从网络访问这台计算机",然后从弹出的拒绝访问列表中删除本机的主机用户名即可。如果你不想让网内的某个用户访问本机,也可以在这里添加对方的主机用户名,这时对方访问你的计算机就会出现如图7所示的错误提示。 三、防火墙设置错误 为了增强计算机的安全,很多朋友都安装了网络防火墙来抵御外来的侵扰,不过防火墙其实是一把双刃剑,它在阻止外部非法连接的同时也有可能阻碍正常的连接。如果出现访问对方计算机时候出现无法访问的情况.那很有可能就是由于防火墙的干扰了。好在目前各款防火墙都提供了信任区域访问功能.

(11)当用户的口令为空时,访问还是会拒绝。原来在“安全选项”中有一个“帐户:使用空白密码的本地帐户只允许控制台登录”策略,默认是启用的,根据Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止,要将这个策略停用即可解决问题。

√·Windows日志的移动

常见的网上邻居访问问题汇集 Windows网上邻居互访的基本条件:

打开"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog"

1) 双方计算机打开,且设置了网络共享资源;

Application 子项:应用程序日志
Security 子项:安全日志
System 子项:系统日志
分别更改子项的File键值,再把System32config目录下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt复制到目标文件夹,重启。
√·Windows日志的保护 1、移动日志后的文件夹→属性→安全→高级→去掉"允许父系的继承权限……"→复制→确定
2、保留System账户和User组,System账户保留除完全控制和修改之外的权限,User组仅保留只读权限
3、AppEvent.Evt、SysEvent.Evt保留Administrator、System账户和User组,Administrator、System账户保留除完全控制和修改之外的权 限,User组仅保留只读权限;
DnsEvent.Evt、SecEvent.Evt保留System账户和User组,System账户保留除完全控制和修改之外的权限,User组仅保留只读权限
√·要手动停止/禁用的服务:Computer Browser、Error reporting service、Microsoft Serch、Print Spooler、Remote Registry、Server 、TCP/IP NetBIOS Helper、Workstation
√·解决在 IIS 6.0 中,无法下载超过4M的附件(现改为10M)
停止IIS服务→打开WINDOWSsystem32inetsrv→记事本打开MetaBase.xml→找到 AspBufferingLimit 项→值改为 10485760
√·设置Web上传单个文件最大值为10 MB 停止IIS服务→打开WINDOWSsystem32inetsrv→记事本打开MetaBase.xml→找到 AspMaxRequestEntityAllowed 项→值改为 10485760
×·重新定位和设置 IIS 日志文件的权限
1、将 IIS 日志文件的位置移动到非系统分区:在非系统的NTFS分区新建一文件夹→打开 IIS 管理器→右键网站→属性→单击"启用日志 记录"框架中的"属性"→更改到刚才创建的文件夹
2、设置 IIS 日志文件的权限:浏览至日志文件所在的文件夹→属性→安全→确保Administrators和System的权限设置为"完全控制"
×·配置 IIS 元数据库权限 打开 WindowsSystem32InetsrvMetaBase.xml 文件→属性→安全→确认只有 Administrators 组的成员和 LocalSystem 帐户拥有对元 数据库的完全控制访问权,删除所有其他文件权限→确定
解释 Web 内容的权限
打开IIS管理器→右键想要配置的网站的文件夹、网站、目录、虚拟目录或文件
脚本源文件访问,用户可以访问源文件。如果选择"读",则可以读源文件;如果选择"写",则可以写源文件。脚本源访问包括脚本的源代码 。如果"读"或"写"均未选择,则此选项不可用。
读(默认情况下选择):用户可以查看目录或文件的内容和属性。
写:用户可以更改目录或文件的内容和属性。
目录浏览:用户可以查看文件列表和集合。
日志访问:对网站的每次访问创建日志项。
检索资源:允许检索服务检索此资源。这允许用户搜索资源。
√·关闭自动播放
运行组策略编辑器(gpedit.msc)→计算机配置→管理模板→系统→关闭自动播放→属性→已启用→所有驱动器
√·禁用DCOM
运行Dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式 COM”复选框。
√·启用父路径 IIS管理器→右键网站→属性→主目录→配置→选项→启用父路径
√·IIS 6.0 系统无任何动作超时时间和脚本超时时间
IIS管理器→右键网站→属性→主目录→配置→选项→分别改为40分钟和180秒
√·删除不必要的IIS扩展名映射 IIS管理器→右击Web站点→属性→主目录→配置→映射,去掉不必要的应用程序映射,主要为.shtml, .shtm, .stm
√·增加IIS对MIME文件类型的支持 IIS管理器→选择服务器→右键→属性→MIME类型(或者右键web站点→属性→HTTP头→MIME类型→新建)添加如下表内容,然后重启IIS,扩展名MIME类型

2) 双方的计算机添加了 "Microsoft 网络文件和打印共享" 服务;

.iso application/octet-stream
.rmvb application/vnd.rn-realmedia

3) 双方都正确设置了网内IP地址,且必须在一个网段中;

√·禁止dump file的产生
我的电脑→右键→属性→高级→启动和故障恢复→写入调试信息→无。
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供 一些敏感信息比如一些应用程序的密码等。
三、Serv-U FTP服务的设置 √·本地服务器→设置→拦截"FTP_bounce"攻击和FXP
对于60秒内连接超过10次的用户拦截5分钟
√·本地服务器→域→用户→选中需要设置的账号→右边的"同一IP只允许2个登录"
√·本地服务器→域→设置→高级→取消"允许MDTM命令来更改文件的日期/时间"
设置Serv-U程序所在的文件夹的权限,Administrator组完全控制,禁止Guests组和IIS匿名用户有读取权限
服务器消息,自上而下分别改为:

4) 双方的计算机中都关闭了防火墙,或者防火墙策略中没有阻止网上邻居访问的策略。
Windows 98/2000/XP/2003访问XP的用户验证问题 首先关于启用Guest为什么不能访问的问题:

服务器工作正常,现已准备就绪...
错误!请与管理员联系!
FTP服务器正在离线维护中,请稍后再试!
FTP服务器故障,请稍后再试!
当前账户达到最大用户访问数,请稍后再试!
很抱歉,服务器不允许匿名访问!
您上传的东西太少,请上传更多东西后再尝试下载!

1、默认情况下,XP 禁用Guest帐户

四、SQL安全设置
审核指向SQL Server的连接 企业管理器→展开服务器组→右键→属性→安全性→失败
修改sa账户密码 企业管理器→展开服务器组→安全性→登录→双击sa账户
SQL查询分析器

2、默认情况下,XP的本地安全策略禁止Guest用户从网络访问

use master 
exec sp_dropextendedproc xp_cmdshell 
exec sp_dropextendedproc xp_dirtree
exec sp_dropextendedproc xp_enumgroups
exec sp_dropextendedproc xp_fixeddrives
exec sp_dropextendedproc xp_loginconfig
exec sp_dropextendedproc xp_enumerrorlogs
exec sp_dropextendedproc xp_getfiledetails
exec sp_dropextendedproc Sp_OACreate 
exec sp_dropextendedproc Sp_OADestroy 
exec sp_dropextendedproc Sp_OAGetErrorInfo 
exec sp_dropextendedproc Sp_OAGetProperty 
exec sp_dropextendedproc Sp_OAMethod 
exec sp_dropextendedproc Sp_OASetProperty 
exec sp_dropextendedproc Sp_OAStop 
exec sp_dropextendedproc Xp_regaddmultistring 
exec sp_dropextendedproc Xp_regdeletekey 
exec sp_dropextendedproc Xp_regdeletevalue 
exec sp_dropextendedproc Xp_regenumvalues 
exec sp_dropextendedproc Xp_regread 
exec sp_dropextendedproc Xp_regremovemultistring 
exec sp_dropextendedproc Xp_regwrite 
drop procedure sp_makewebtask 

3、默认情况下,XP的 本地安全策略 -> 安全选项 里,"帐户:使用空密码用户只能进行控制台登陆"是启用的,也就是说,空密码的任何帐户都不能从网络访问只能本地登陆,Guest默认空密码...... 所以,如果需要使用Guest用户访问XP的话,要进行上面的三个设置:启用Guest、修改安全策略允许Guest从网络访问、禁用3里面的安全策略或者给Guest加个密码。 有时还会遇到另外一种情况:访问XP的时候,登录对话框中的用户名是灰的,始终是Guest用户,不能输入别的用户帐号。 原因是这个安全策略在作怪(管理工具 -> 本地安全策略 -> 安全选项 -> "网络访问:本地帐户的共享和安全模式")。默认情况下,XP的访问方式是"仅来宾"的方式,那么你访问它,当然就固定为Guest不能输入其他用户帐号了。 所以,访问XP最简单的方法就是:不用启用Guest,仅修改上面的安全策略为"经典"就行了。别的系统访问XP就可以自己输入帐户信息。 至于访问2003,默认情况下2003禁用Guest,但是没有 XP 那个讨厌的默认自相矛盾的来宾方式共享,所以可以直接输入用户名密码访问。 一个小型办公局域网,都是winxp系统,都能上外网,也能看到对方计算机,却不能看到对方共享的计算机提示网络路径不正确,或你没有权限使用网络 大概就是这个意思!来宾帐户也启用了!winxp的防火墙也是关闭的,ip地址也没什么问题! 原因:Win2000/XP中存在安全策略限制。 有时,Win2000/XP"聪明"过了头,虽然我们已经启用了Guest账户,从Win98中却仍然无法访问Win2000/XP,比如使用了类似瑞星等的防火墙漏洞修补,它会修改"拒绝从网络访问这台计算机"的策略,按下面的方法修改回来: 开始 -> 运行 -> gpedit.msc -> 计算机配置 -> windows设置 -> 本地策略 -> 用户权利分配 -> 删除"拒绝从网络访问这台计算机"中的guest用户。 Win2000/XP与Win98互访 如果两台电脑都使用Win2000/XP操作系统,那么组建局域网是一件非常简单轻松的事情,当硬件连接完成后,正常情况下立即可以在"网上邻居"中看到对方。但如果局域网中有一台电脑使用Win98,那情况可就不一定了,我们经常会发觉虽然Ping命令可以通过,但仍然无法在"网上邻居"中实现互访,这时该怎么办呢?

【相关文章】

对策一:在Win2000/XP中启用Guest用户。在Win2000/XP系统安装之后会缺省建立两个用户账户,即Administrator(系统管理员)和Guest(来宾账户),所有在本地计算机没有被分配到账户的用户都将默认使用Guest账户,该账户是没有密码的。不过,在缺省设置下,这个Guest账户并未被启用,我们可以从"控制面板|管理工具|计算机管理|本地用户和组|用户"中找到"Guest"账户,并用鼠标右击打开"Guest属性"对话框,去除这里的"账户已停用"复选框上的对钩标记,这样退出后就可以从Win98中访问到Win2000/XP了。 其实,启用了Guest账户后,最大的好处是从Win98访问Win2000/XP时就不需要输入用户名和密码了,这种方法比较适合于用户不确定、访问量较大的局域网,但对家庭用户来说并不适用。

  • 专题:打造安全服务器

对策二:检查Win2000/XP中是否存在安全策略限制。有时,Win2000/XP"聪明"过了头,虽然我们已经启用了Guest账户,从Win98中却仍然无法访问Win2000/XP,这时就要从"控制面板|管理工具|本地安全策略|本地策略|用户权利指派"中找到"从网络访问此计算机"或者"拒绝从网络访问这台计算机",然后检查一下其中是否出现了Guest账户或者其他对应的账户,然后根据不同情况进行添加或者删除即可。

对策三:停用本地连接上的防火墙。防火墙是充当网络与外部世界之间的保卫边界的安全系统,微软在WinXP中为用户提供了一个内置的Internet连接防火墙(ICF),启用后可以限制某些不安全信息从外部进入内部网络。不过,如果您是在本地连接上启用了这个防火墙,那么就会造成工作组之间无法互访,出现"XXX无法访问"、"您可能没有权限使用网络资源"、"请与这台服务器的管理员联系以查明您是否有访问权限"、"找不到网络路径"等类似的提示,此时请停用本地连接的防火墙屏蔽。

  • Windows 2003服务器安全配置终极技巧

对策四:为WinXP添加NetBEUI协议。其实,直接添加NetBEUI协议对于解决不能互访的问题有时反而更为简单一些,而且它可以解决上面提到的启用防火墙的问题。Win98安装时会自动安装NetBEUI协议,但由于WinXP已经不再提供对NetBEUI协议的技术支持,因此只能手工添加了。 找出WinXP安装光盘,进入"ValueaddMsftNetNetbeui"文件夹下,这里有Nbf.sys、Netbeui.txt、Netnbf.inf共3个文件,先将Nbf.sys文件复制到本机的"WindowsSystem32Drivers"文件夹下(这里的本机指安装了WinXP的那台电脑),再将Netnbf.inf文件复制到本机的"WindowsINF"文件夹下,Netbeui.txt文件可有可无。不过INF文件夹具有隐藏属性,用户需要先在WinXP下的"工具|属性"窗口中选择显示文件才可以看到该目录。

【责任编辑:赵毅 TEL:(010)68476636-8001】

对策五:启用Win98中的"文件及打印机共享"。这是一个很简单但却经常被人忽略的问题,就是装有Win2000/XP的机器虽然可以从"网上邻居"中发现装有Win98的机器,但却无法访问,这是因为Win98未启用"允许其他用户访问我的文件"而造成的,启用该选项就可以解决这个问题。

原文:Win2003网站服务器的安全配置全攻略 返回网络安全首页

当然,除了上面提到的各种原因外,还有两台电脑不处于同一工作组中,或者是两台电脑的内部IP地址发生了冲突,甚至包括Hub故障、线路故障等。 问题:在客户机的网上邻居访问服务器时,出现"服务器没有设置事务处理",从而无法访问服务器的共享资源。在直接输入IP地址也是一样。 可能的情况:IPC$没有开启或者病毒造成的。 解决办法:

方法1:运行Net Share IPC$命令,或者直接把Net Share IPC$加入注册表RUN启动项中。

方法2:在%Systemroot%SYSTEM32下面有一个WUAMGRE.EXE的文件,把它删除。

TAG标签:
版权声明:本文由美高梅网投平台发布于新闻中心,转载请注明出处:2000的安全维护及出错解决一例,XP局域网访问无