一、 取消ie安全提示对话框

　　面对黑客组织恶意程序的攻击，微软公司一直都在努力致力于降低产品的安全隐患，这是有目共睹的。微软新一代的windows server 2003操作系统在安全性能方面就得到了加强。比如在使用

　　windows server 2003自带的ie浏览器浏览网页时，每次都会弹出一个安全提示框，“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；如果表示不信任的话，只能单击“关闭”按钮；而要是想浏览该站点的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。不过每次访问网页，都要经过这样的步骤，实在是太烦琐了。其实我们可以通过下面的方法来让ie取消对网站安全性的检查：

　　1.一旦系统打开安全提示页面时，你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中；

　　2.在浏览界面中，用鼠标单击“工具”菜单项，从打开的下拉菜单中执行“internet选项”命令；

　　3.在弹出的选项设置界面中，你可以将系统默认状态下的最高安全级别设置为中等级别；

　　4.设置时，只要在“安全”标签页面中，拖动其中的安全滑块到“中”位置处就可以了；

　　5.完成设置后，单击“确定”按钮，就可以将浏览器的安全自动提示页面取消了。

　　经过修改ie的默认安全级别的设置，再上网的时候，ie就不会自动去检查网站的安全性了，麻烦解决了吧！

图1

　　2.在随后出现的internet信息服务属性设置窗口中，用鼠标选中左侧区域中的“web服务器扩展”选项；

　　 3.接着在对应该选项右侧的区域中，用鼠标双击“actives server pages”选项，然后将“任务栏”设置项处的“允许”按钮单击一下，系统中的iis6就可以重新支持asp脚本了（如图2）。

图2

　　用户最关心的问题大概就是原有的asp组件是否还可以继续使用？我可以告诉大家，经这番修改设置，系统中的iis6重新支持asp脚本了，一切的操作是不是很简单啊！
三、清除默认共享隐患

　　 使用windows server 2003的用户都会碰到一个问题，就是系统在默认安装时，都会产生默认的共享文件夹。虽然用户并没有设置共享，但每个盘符都被windows自动设置了共享，其共享名为盘符

　　 后面加一个符号＄（共享名称分别为c$、d$、ipc$以及admin$）。也就是说，只要攻击者知道了该系统的管理员密码，就有可能通过“\\工作站名\共享名称”的方法，来打开系统的指定文件夹，如此一来，用户精心设置的安全防范岂不成了摆设？还有安全嘛！为此，我们很有必要将windows server 2003系统默认的共享隐患，立即从系统中清除掉。

　　 1、删除windows server 2003默认共享

　　 首先编写如下内容的批处理文件：

　　 @echo off

　　 net share c$ /del

　　 net share d$ /del

　　 net share e$ /del

　　 net share f$ /del

　　 net share admin$ /del

　　 以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat，存放到系统所在文件夹下的system32\grouppolicy\user\scripts\logon目录下。然后在开始菜单→运行中输入gpedit.msc，

　　 回车即可打开组策略编辑器。点击用户配置→windows设置→脚本(登录/注销)→登录（如图3）。

图3

　　重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了，这样就能将系统安全隐患降低到最低限度。

　　 2、禁用ipc连接

　　 ipc$(internet process connection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道并以此通道进行 加密 数据的交换，从而实现对远程计算机的访问。它是windows nt/2000/xp/2003特有的功能，但它有一个特点，即在同一时间内，两个ip之间只允许建立一个连接。nt/2000/xp/2003在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但也为简称为ipc入侵者有意或无意的提供了方便条件，导致了系统安全性能的降低。在建立ipc的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开cmd后输入如下命令即可进行连接：net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改 注册表 来禁用ipc连接。打开注册表编辑器。找到如下组建hkey_local_machine\system\currentcontrolset\control\lsa中的restrictanonymous子键，将其值改为1即可禁用ipc连接（如图5）。



图5

四、清空远程可访问的注册表路径

　　 大家都知道，windows 2003操作系统提供了注册表的远程访问功能，只有将远程可访问的注册表路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息（如图6）。


图6

　　打开组策略编辑器，依次展开“计算机配置→windows 设置→安全设置→本地策略→安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可（如图7）。

图7

　　 鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接 属性”页（如图8），

图8

　　然后去掉“microsoft网络的文件和打印共享”前面的“√”（如图9），

　　对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

　　 假如你的电脑中还装了iis，你最好重新设置一下端口过滤。步骤如下：选择网卡属性，然后双击“internet协议(tcp/ip)”，在出现的窗口中单击“高级”按钮，会进入“高级tcp/ip设置”窗口，接下来选择“选项”标签下的“tcp/ip 筛选”项，点“属性”按钮，会来到“tcp/ip 筛选”的窗口，在该窗口的“启用tcp/ip筛选(所有适配器)”前面打上“√”，然后根据需要配置就可以了。如果你只打算浏览网页，则只开放tcp端口80即可，所以可以在“tcp端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可（如图11）

　　打开“组策略编辑器”的方法为：依次点击“开始→运行”，在“运行”对话框中键入“gpedit.msc”命令并回车，即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模

　　 板→系统”中的“只运行许可的Ｗｉｎｄｏｗｓ应用程序”并启用此策略（如图12）。

图12

　　然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可（如图13）。