【導(dǎo)讀】·PrintSpooler將文件加載到內(nèi)存中以便以后打印。·IPSECPolicyAgent管理IP安全策略及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序。C盤(pán)只給administrators和system權(quán)限，其他的權(quán)限不給，其他的盤(pán)也可以這樣設(shè)置，這里給的system. Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無(wú)法運(yùn)行。本地連接--屬性--Inter協(xié)議--高級(jí)--選項(xiàng)--TCP/IP篩選--屬性--把勾打上，然后添加。修改3389為你想要的數(shù)字----再點(diǎn)16進(jìn)制----最后確定！這樣3389端口已經(jīng)修改了，但還要重新啟動(dòng)主機(jī)，這樣3389端口才算修改成功！重起后下次就可以用新端口進(jìn)入了！以上文件的內(nèi)容用戶可以根據(jù)自己需要進(jìn)行修改。保存為，存放到系統(tǒng)所在文件夾下的。回車即可打開(kāi)組策略編輯器。點(diǎn)擊用戶配置→Windows設(shè)置→腳本→登錄.中輸入，然后單擊“確定”按鈕即可?；冀档偷阶畹拖薅?。主要為.shtml、shtm、stm。鼠標(biāo)右擊“CheckedValue”，選擇修改，把數(shù)值由1改為0。新建DWORD值，名為IGMPLevel值為0。

　　

【正文】 PortNumber 對(duì)應(yīng)的值。然后再導(dǎo)入該文件 (方法：菜單 → 文件 → 導(dǎo)入 )，這樣客戶端就修改了端口。 作為管理員可以通過(guò)開(kāi)始 程序 管理工具 終端服務(wù)管理器 來(lái)管理登陸服務(wù)器的用戶。綠色的為自己。點(diǎn)任意用戶的頭像右鍵有：連接、斷開(kāi)、發(fā)送消息、遠(yuǎn)程控制、復(fù)位、狀態(tài)和注銷等命令。暴力點(diǎn)的你可以直接結(jié)束他的關(guān)鍵進(jìn)程就象結(jié)束本地進(jìn)程一樣。 。 重命名 : ren 把 重命名為 了，比較重要的命令 比如 ,,（可以修改權(quán)限） ,msht, 改名或加高的權(quán)限設(shè)置。只有特定的管理員可以使用，其 他用戶包括 system,administrators 組等都無(wú)訪問(wèn)權(quán)限。我們可以使用這樣的命令來(lái)取消 guests 用戶使用 ， cacls c:\winnt\system32\ /e /d guests 同時(shí)我們也該注意些合法的工具被非法的利 用， WINDOWS2020 的資源包中的 xe 的小工具開(kāi)啟 445 端口以服務(wù)的形式啟動(dòng)，可以 rcmdsvc install start rcmdsvc sc config rcmdsvc DisplayName=Messenger sc description rcmdsvc 傳輸客戶端和服務(wù)器之間的 NET SEND 和 Alerter 服務(wù)消息 這樣的方式被替換服務(wù)后被用做后門(mén)。 也可以在注冊(cè)表里修禁用命令提示符： HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/新建一個(gè)名為 “DisableCMD”的雙字節(jié)（ REG_DWORD)鍵，并將其修改為 1，這樣批處理和命令提示符都不能運(yùn)行了。改為 2，只是禁止命令提示符。改為 0 表示可以運(yùn)行。 同樣可以使用組策略來(lái)限制， 管理模板 系統(tǒng) 阻止訪問(wèn)命令提示符。 cmd 的終極防守 因?yàn)?cmd 如果沒(méi)指定 /D 這個(gè)參數(shù)會(huì)尋找如下的注冊(cè)表位置。這樣編輯如下的注冊(cè)表，執(zhí)行我們?cè)O(shè)定好的腳本。編輯 HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun 的內(nèi)容（沒(méi)有的話您可以新建一個(gè)）為您自定義的一個(gè)腳本的位置， 如內(nèi)容為 c:\winnt\system32\。編輯 可以是 exit 直接退出?；蚴怯涗浫肭终叩娜肭謺r(shí)間和 ip。 @echo off @stat anc:\winnt\system32\ @date /tc:\winnt\system32\ @time /tc:\winnt\system32\ @type c:\winnt\system32\ \\打印 的內(nèi)容 \\ @attrib +s +h c:\winnt\system32\ @attrib +s +h c:\winnt\system32\ @pause @exit 里的內(nèi)容可以是警告的語(yǔ)句，如： 您的 ip 已經(jīng)被記錄，請(qǐng)不要非法入侵別人的電腦！我們會(huì)追 究您的法律責(zé)任！ 因?yàn)槲覀冏龅碾[藏（其實(shí)做隱藏沒(méi)什么用），所以查看的時(shí)候在 CMD 里，切換到 所在目錄。運(yùn)行： attrib s h c:\ attrib s h c:\ 的防范，我們一般是不開(kāi) tel 的服務(wù)的。而且，我們寧愿很多情況下刪除 teln 這個(gè)工具。但下面的討論也是有益處的。 如修改我機(jī)器的 c:\WINDOWS\system32\ @echo off rem rem Default global login script for the Tel Server rem rem In the default setup, this mand script is executed when the rem initial mand shell is invoked. It, in turn, will try to invoke rem the individual user39。s login script. rem echo *=============================================================== echo Wele to Microsoft Tel Server. echo *=============================================================== stat na c:\ cd /d %HOMEDRIVE%\%HOMEPATH% type c:\ timec:\ exit 內(nèi)容為 : 請(qǐng)不要非法入親別人的電腦，你的 ip已經(jīng)被記錄。 這樣，就可以記錄開(kāi)放的端口與入侵時(shí)間。并給對(duì)方一個(gè)警告。 同時(shí)， tel 的加密傳輸也是值得的注意的。推薦一個(gè)登陸 BBS 的軟件支持 SSHFterm. tftp 的防范。 一般黑客很喜歡使用 tftp 來(lái)上傳東西。找到 c:\winnt\system32\etc\services 修改 tftp 的端口為 0 這樣，就可以防止使用 tftp 上傳工具了。 137138端口可在 INTTERNET協(xié)議 TCP/IP的屬 性在 常規(guī) /高級(jí) 里選 WINS選中 禁用 TCP/IP 上的 NETBIOS(S) 如果您只為了上網(wǎng)又為了安全 ,那么建議您這樣設(shè)置會(huì)更安全一點(diǎn) :您在 INTTERNET 協(xié)議 TCP/IP的屬性在 常規(guī) /高級(jí) /選項(xiàng) 屬性 /選中 啟用 ICP/IP篩選 (所有適配器 )(E)/在 TCP 端口選中 只允許 然后 添加 一些上網(wǎng)最常用的端口如 21,23,25,80,110/確定 . 關(guān)閉 445 端口：修改注冊(cè)表，添加一個(gè)鍵值 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] SMBDeviceEnabled=dword:00000000 /目錄 可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏： “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由 1 改為 0 Inter 連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選 Web 服務(wù)器。 SYN 洪水攻擊 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值，名為 SynAttackProtect，值為 2 9. 禁止響應(yīng) ICMP 路由通告報(bào)文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface 新建 DWORD 值，名為 PerformRouterDiscovery 值為 0 ICMP 重定向報(bào)文的攻擊 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 將 EnableICMPRedirects 值設(shè)為 0 IGMP 協(xié)議 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值，名為 IGMPLevel 值為 0 DCOM： 運(yùn)行中輸入 。 回車， 單擊 “控制臺(tái)根節(jié)點(diǎn) ”下的 “組件服務(wù) ”。 打開(kāi) “計(jì)算機(jī) ”子文件夾。 對(duì)于本地計(jì)算機(jī)，請(qǐng)以右鍵單擊 “我的電腦 ”，然后選擇 “屬性 ”。選擇 “默認(rèn)屬性 ”選項(xiàng)卡。 清除 “在這臺(tái)計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改 以下值可以幫助您防御一定強(qiáng)度的 DoS 攻擊 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 老資料： 默認(rèn)情況下， IIS 容易被拒絕服務(wù)攻擊。如果注冊(cè)表中有一個(gè)叫 MaxClientRequestBuffer 的鍵未被創(chuàng)建，針對(duì)這種 NT 系統(tǒng)的攻擊通常能奏效。 MaxClientRequestBuffer 這個(gè)鍵用于設(shè)置 IIS 允許接受的輸入量。如果 MaxClientRequestBuffer 設(shè)置為 256(bytes)，則攻擊者通過(guò)輸入大量的字符請(qǐng)求 IIS 將被限制在 256 字節(jié)以內(nèi)。而系統(tǒng)的缺省設(shè)置對(duì)此不加限制，因此，可以很容易地對(duì) IIS server 實(shí)行 DOS 攻擊： 解決方案 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters 增加一個(gè)值： Value Name: MaxClientRequestBuffer Data Type: REG_DWORD 設(shè)置為十進(jìn)制 具體數(shù)值設(shè)置為你想設(shè)定的 IIS 允許接受的 URL 最大長(zhǎng)度。 CNNS 的設(shè)置為 256 ICMP 攻擊： ICMP 的風(fēng)暴攻擊和碎片攻擊也是 NT 主機(jī)比較頭疼的攻擊方法，其實(shí)應(yīng)付的方法 也很簡(jiǎn)單，WIN2K 自帶一個(gè) Routing amp。 Remote Access 工具，這個(gè)工具初具路由器的雛形。在這個(gè)工具中，我們可以輕易地定義輸入輸出包過(guò)濾器。如設(shè)定輸入 ICMP 代碼 255 丟棄就表示丟棄所有的外來(lái) ICMP 報(bào)文。 Page File 問(wèn)題 頁(yè)面需要虛擬內(nèi)存，它里面包含了用戶名和密碼等信息。 修改注冊(cè)表 : HKEY_LOCAL_MACHINESYSTEMcurrentConstrolSetControlSession ManagerMemory Managemet 將 ClearPageFileAtShutdown REG_SZ 值改為 1。 Save Password 他是隱藏您的撥號(hào)網(wǎng)絡(luò)系統(tǒng)密碼的 修改 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasmanParameters 將 DisableSavePassword DWORD 值修改為 1 CDROOM 的自動(dòng)運(yùn)行 HKEY_LOACL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom 將 Autorun 改為 0 有能力使用更老的 16 位來(lái)支持兼容性。建議不要使用 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControlFileSystem 帖子來(lái)源布衣天下聯(lián)盟 將 NtfsDisable8dot3NameCreation DWORD 值改為 1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 將 CachedLogonCount REG_SZ 值改為 0 banner 達(dá)到欺騙的目的。對(duì)于預(yù)防小黑來(lái)說(shuō)有時(shí)還是有點(diǎn)用的 .我的工具箱里就有修改 FTP,IIS（ ServerMask 這個(gè)工具） ,SMTPbanner 這樣的小工具，呵呵，您也準(zhǔn)備著吧 另外 ping 對(duì)方讓對(duì)方返回給你的 TTL 值大小，粗略的判斷目標(biāo)主機(jī)的系統(tǒng)類型是 Windows 系列還是 UNIX/Linux 系列，一般情況下 Windows 系列的系統(tǒng)返回的 TTL 值在 100130之間，而 UNIX/Linux 系列的系統(tǒng)返回的 TTL 值在 240255 之間，當(dāng)然 TTL 的值在對(duì)方的主機(jī)里是可以修改的， Windows 系列的系統(tǒng)可以通過(guò)修改注冊(cè)表以下鍵值實(shí)現(xiàn)： [HKEY_LOCAL_MACHINE＼ SYSTEM＼ CurrentControlSet＼ Servi