一大早,收到大妹短信,然后是小妹电话,表妹短信,妈妈电话大妹电话......亲人总是对自己生日记得那么清楚,让我有点意外。但毛毛好象是忘记了。下班时经过提醒才知道。晚上一起在梅林小肥羊,或许是没饿,味口不好。
回家照常看《薛仁贵》。
34岁、结婚4年。想想近5年的变化:个人“GDP”增长不到国家水平的四分之一,属于“亚非拉”水平。虽然有了个窝,但想想朋友及同学现状,有时难免不平(常暗暗安慰自己,必将有更大的潜力)。虽然“估估”最近让我失望。
有时想想自己真是奇怪,内心仿佛总处于知足与不知足的矛盾中。因为不知足,所以才需要更加努力:每天对工作与技术充满激情与热爱,仿佛忘记了已过而立;因为知足,所以才过得从容自在:对人际关系还算轻松融洽,给自己偶尔留下小小的、能够很快实现的希望。想想车到山前必有路、比上不足比下有余(不要想歪了啊)、所以很少让自己陷入真正的痛苦之中。一句话总结我的状态:矛盾着,快乐着!
同事请婚假,一个人奋战了6天了,忙得还算可以。公司婚假真让人羡慕,想想四年多前我的婚假才三天,加上年假才十天,当时在成都因深圳所租的房被盗,只能速速回深并当天快速搬家,。
2007-11-30 农历二零零七年十月二十一日晚
目前,知识管理说得多,做得少,做成功的更少。“说”意味着“知道什么”,“做”意味着“怎么行动”。
“知识管理很重要,我们需要成为一个知识管理型组织!”然而,怎么能让企业决策者打心眼里觉得知识管理重要?一个企业把知识管理做好了,能是什么样?有没有知识管理项目的实施方法论?
1.“有效的知识管理应实现和IT的结合。”但面对市场上众多的知识管理平台,如何选择?如何结合企业自身特色的知识管理需求?有没有知识管理服务商评价体系?
2.“知识管理要实现和其他系统的集成。”但知识管理系统的信息集成如何实现?知识管理系统的流程集成有何特色?知识管理系统的智能集成怎样把握?
3.“我们需要评估知识管理的实施效果。”但有没有知识管理项目评估体系?如何跟踪项目的结果与底线?如何着手对企业实施知识管理的过程进行监控和反馈?
4.“知识管理项目需要进行有效的变革管理。”但知识管理的项目管理和一般项目管理有什么异同?怎么激励企业上上下下的人员愿意贡献知识?怎么推动企业知识财富的不断积累?
实施方法论
就像其他管理咨询和信息系统实施项目一样,要保证知识管理项目的成功实施,首先必须有稳健可行的项目方法论的指导。它包括三个层面:
1.战略层面。为得到企业各个层面的持续支持,需将知识管理项目的目标与企业的发展战略紧密联系在一起,从而找出知识管理内在的根本驱动力。一般来说,有效的知识管理能够从员工发展、优异运营、产品/服务领先、客户忠诚四个方面对企业战略的达成起到积极而巨大的推动作用。
2.实施层面。一般来讲,知识管理项目的实施,包括管理咨询阶段和信息系统实施阶段。具体来说,分为以下四个阶段:知识管理战略规划阶段、知识管理业务规划阶段、知识管理系统实施阶段以及知识管理评估与改进阶段。
3.保障层面。在知识管理项目实施方法论的第三个层面是保障层面。如认知方面的保障,即利用各种途径,包括各种媒体、研讨会、案例访谈和各种教育培训的机会对企业各个层面的相关人员进行理念、方法、技能的宣导与培训。(世界咨询师:全球最大的管理咨询培训行业平台)而贯穿始终的项目管理是知识管理项目成功的保证,有效的变革管理则将会大大促进知识共享文化的形成。
建立7个支柱:形成坚实支撑
为使知识管理活动顺利开展,也将知识管理实施方法论落到实处,还得有一些基本支撑。策略、组织、预算、激励、社区、技术和评估,将成为实施知识管理的七个支柱。
支柱一:策略。在实施知识管理时,需确立知识管理的导入策略。由于知识管理只有同企业的战略和业务紧密结合才能真正发挥作用,可以说,策略就是要制定知识管理“从业务中来,并到业务中去”的总体规划和蓝图。
支柱二:组织。如果企业内部对知识管理的愿景、价值及其导入流程看法不一,将会阻碍知识管理的导入,策略解决了这种总体认知上的问题,但为了保证认知能够贯彻下去,还需要有组织的保证。
支柱三:预算。预算对知识管理实施的重要性是显而易见的,其一方面表现为要有充足的资金保证,另一方面表现为在实施知识管理中资源的合理规划。
支柱四:激励。很多情况下,组织能够为知识管理提供了预算保障,并比较顺利地实施,但最后却发现只有很少员工实际在用它。因此,知识分享的激励机制,是知识管理实施中的非常关键的问题。
支柱五:社区。通过考察知识管理先行者,人们发现,不管他们的知识管理目标如何,他们都采用了一种共同的知识管理方法,即建立CoP(知识社区)。这是因为,知识管理主要是通过知识的分享而达到价值倍增效应的,而社区显然是实现知识分享的最直接方法。
支柱六:技术。在这个环节,目标是实现知识管理需求和技术平台能力的匹配。首先,需要对知识管理技术、目前市场上的知识管理平台有个有个清楚的了解。其次,根据自己的明确需求和具体的业务流程来选择相应的知识管理模式和平台。
支柱七:评估。要建立对知识管理实施过程进行跟踪和评价的机制,通过评估和反馈来指导和调整实施过程。
掌控风险体系:有效防范风险
有专家估计,知识管理项目失败的比率可能高达50%,甚至有人认为是70%。为有效防范风险,还得首先要能认识风险。
知识管理项目的风险,可以由两个维度来考察。一是风险类型,包括“人”风险、“流程”风险以及“技术”风险。另一个维度是项目阶段,可分为前期规划、项目实施、持续改进三个大阶段,这样,两个维度,交叉划分了九个区域,就构成了知识管理项目的九类基本风险,如表1所示,即观念动机风险、策略分析风险、技术准备风险、变革推进风险、项目控制风险、软件实现风险、持续发展风险、制度保障风险以及使用维护风险。
遵循行动路线:走向成功彼岸
对于成功的知识型企业的特征,人们的看法不尽相同。我们可以借鉴Telecos给出的8个标准,它们是:知识文化、知识服务、高层支持、知识增值、知识分享、持续学习、客户忠诚以及股东价值。
在实施知识管理项目时,“做什么”和“不做什么”需要坚持四个原则:
1.遵循方法。知识管理项目的实施应以知识管理项目咨询和实施方法论为指导;
2.建立支柱。在实施知识管理项目时,需要将7个支柱融于整体的知识管理项目咨询和实施方法论之中;
3.防范风险。知识管理项目咨询和实施方法论告诉我们怎么做,7个支柱让我们明确做什么,而风险体系则使我们知道应该避免哪些障碍和陷阱;
4.追求标准。“做”与“不做”的最终目标在于实现成功知识型企业的8个标准,帮助企业向成功的知识型企业迈进。
此文件列出了 Symantec AntiVirus 和 Symantec Client Security
最常用的 MSI 命令。要获取命令、属性和功能的完整列表,
请参见 Symantec 知识库。
基本 MSI 命令
------------------
/QN - 安静安装,没有用户界面
/QB - 安静安装,有基本用户界面
/L*V log.txt - 将完整详细的日志记录到文件 log.txt
MSI 日志记录
------------------
当从 setup.exe 存根运行时,Symantec Antivirus、Symantec Client Security 和Symantec 系统中心会自动在 %TEMP% 文件夹(如 C:\Documents andSettings\<USERNAME>\Local Settings\Temp)中创建安装程序日志,日志名称分别为SAV_INST.LOG、SCS_INST.LOG 或 SSC_INST.LOG。
当安装程序从 ClientRemote 或 AVServer 工具运行时,会自动在 %WINDIR%\temp 文件夹(如 C:\WINDOWS\temp)中创建安装程序日志 VPREMOTE.LOG。
在确定安装程序故障时,这些安装程序日志至关重要。在联系 Symantec 支持部门时,请准备好这些日志。
* 注意:在本地化的操作系统上,存放这些日志文件的文件夹可能稍有不同。要解决此问题,请单击“开始”按钮,单击“运行”,然后输入 %TEMP% 找到临时文件夹,或者输入 %WINDIR%\temp 找到 Windows 临时文件夹。
请参见下面的“阅读安装程序日志”部分,以了解更多信息。
基本 MSI 属性
--------------------
REBOOT=REALLYSUPPRESS – 在迁移过程中,可能需要重新启动。如果抑制必需的重新启动,可能无法使用完整的产品功能,直到进行重新启动。在安静安装或迁移时,这可能不明显,因为不会显示用户界面消息。
SAV & SCS 属性
--------------
INSTALLSERVER=(1 = 服务器,0 = 客户端,默认值为 0 = 客户端)。
在安装服务器时:
SERVERGROUPNAME=(新的或预先存在的服务器组)
SERVERGROUPUSERNAME=(新的或预先存在的服务器组用户名,
默认值为 admin)
SERVERGROUPPASS=(新的或预先存在的服务器组密码。默认值为
symantec)
SERVERPARENT=(如 SERVERPARENT=MySavServer)
注意:对于从命令行进行的二级服务器的安静安装,
必须将 SERVERPARENT 属性设置为父服务器计算机
名称。当从用户界面或 Symantec 系统中心执行服务器的分装安装时,
工具会自动填充该属性,因此不必对其进行设置。
NETWORKTYPE=(1 = 接受管理,2 = 不接受管理,默认值为 2 = 不接受管理)
在安装接受管理的客户端时:
SERVERNAME=(预先存在的 SAV Server)
注意:SERVERNAME 必须是一个名称,不能是 IP 地址。
RUNLIVEUPDATE=(1 = 安装后运行 LiveUpdate,0 = 安装后不运行 LiveUpdate,
默认值 = 1,安装后运行 LiveUpdate)
ENABLEAUTOPROTECT=(1 = 开,0 = 关,默认值为 1 = 开)
SYMPROTECTDISABLED=(1 = 开,0 = 关,默认值为 0 = 开)
INSTALLDIR=(安装目标目录,默认值为 C:\Program Files\
Symantec AntiVirus)
SAV10UNINSTALLFIXRUN=(1 = 已运行,0 = 未运行)
升级 SAV10.x 或 SCS3.x 需要修改缓存的安装程序包,
否则升级将失败。如果检测到 SAV10.x 或 SCS3.x,安装将终止,
除非用户是本地计算机的管理员。将
该属性设置为 1 可禁用此项检查。注意,在这种情况下,允许 MSI 以提升的权限运行
是不够的。除了以本地管理员身份安装外,
还可以通过其他
两种方法实现修改:
1. 在升级过程中,临时授予用户对 Windows\Installer 目录
的写访问权限。
2. 使用对 Windows\Installer 具有写访问权限的帐户的凭据
运行工具 Tools\Sav9UninstallFix,然后在命令行中使用
SAV9UNINSTALLFIXRUN=1 属性执行升级。
Windows 安全中心功能
--------------------------------
这些属性允许配置用户与
Windows? XP Service Pack 2 上运行的 Windows 安全中心 (WSC)
之间的交互。
这些属性只适用于不接受管理的客户端。Symantec 系统中心
控制接受管理的客户端的这些属性。
WSCCONTROL=(0= 无操作,1 = 禁用一次,2 = 始终禁用,3 = 如果禁用则恢复)
允许不接受管理的网络的管理员配置
在SSC 的“客户端管理员专用选项”的“常规”选项卡上设置的 WindowsSecurityCenterControl 值。
WSCAVALERT=(0= 禁用,1 = 启用,默认值为 0 = 禁用)
允许不接受管理的网络的管理员配置 Windows 安全中心的 AntiVirusDisableNotify 值。
WSCFWALERT=(0= 禁用,1 = 启用,默认值为 0 = 禁用)
允许不接受管理的网络的管理员配置 Windows 安全中心的 FireWallDisableNotify 值。
WSCAVUPTODATE=(1 到 90 之间的整数值,默认值为 30)
允许不接受管理的网络的管理员配置天数,该天数用于确定 Windows 安全中心的威胁定义是否是最新的。
SCS 特有的属性
-------------------
ICFCONTROL=(0= 无操作,1 = 禁用一次,2 = 始终禁用,3 = 如果禁用则恢复)
ICFDISABLENOTIFY=(0= 不禁用通知消息,1= 禁用通知消息)
SAV 功能
------------
SAVUI - AntiVirus 用户界面
SAVHelp - AntiVirus 帮助
QClient - 隔离区客户端
EMailTools - AntiVirus 电子邮件工具的父功能
NotesSnapin - Lotus Notes 电子邮件管理单元
OutlookSnapin - MS Outlook 电子邮件管理单元
Pop3Smtp - Internet POP3 电子邮件管理单元
注意:EmailTools 功能不会安装在 SAV 或 SCS Server 上。
SCS 功能
------------
SCFHelp - 防火墙帮助
AntiSpam – 禁止广告
添加和删除功能
----------------------------
删除现有功能:
REMOVE=<功能 1>,<功能 2>,<功能 3>
添加新功能:
ADDLOCAL=<功能 1>,<功能 2>,<功能 3>, <现有功能 1>,
<现有功能 2>, 等等
注意:使用 ADDLOCAL 添加新功能时,必须包括目标计算机上您希望保留的任何现有功能,
否则,安装程序将删除目标计算机上未列出的任何功能。
阅读安装程序日志
--------------------
常见的安装程序日志是 SAV_INST.LOG、SCS_INST.LOG 或 SSC_INST.LOG。它们是标准的 MSI日志文件。通过对字符串“value 3”执行文本搜索,可以搜索安装程序的故障点(在记事本中按 CTRL+F即可进行查找)。这对于确定安装程序和迁移故障非常重要,在安静情形中,尤其如此。
常见错误和消息的示例有:“该版本的[ProductName] 需要 Internet Explorer 5.5 Service Pack 2。”或“该版本的[ProductName] 不支持 64 位平台。请改为安装用于 Win64 的 Symantec AntiVirus。”
在联系 Symantec 支持部门时,请准备好安装程序日志文件和错误消息。
命令行示例
--------------------
该示例演示 Symantec AntiVirus Server 安静安装。
服务器的名称为 MYSAVSERVER,用户名为 admin,使用的密码为
MYSAVPASSWORD。LiveUpdate 未运行,虽然要求重新启动,
但服务器未重新启动。
示例命令行:
setup /s /v"/l*v log.txt /qn INSTALLSERVER=1 SERVERGROUPNAME=MYSAVSERVER
SERVERGROUPUSERNAME=admin SERVERGROUPPASS=MYSAVPASSWORD RUNLIVEUPDATE=0
REBOOT=REALLYSUPPRESS"
Symantec10.1防病毒服务器端日志存储及审计建议
Symantec防病毒服务器端默认日志存储位置:
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Logs
如SAV服务器端是低于10.1版本的,如SAV服务器本身感染病毒或安全风险后想查看服务器的风险日志就非常麻烦了。
1、通过SAV服务器程序--历史记录--风险历史记录,这样是查看所有客户端(包括服务器本身)的所有风险日志的,如此服务器下挂的客户端很多或日志量很大时,就会造成查看日志起来很慢,几乎可说是无法使用了。
2、所以本人建议采取直接查看SAV服务器端的日志文件,默认路径:C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Logs,可按日期、机器名来进行审计。
安装内网liveupdate服务器可以使客户端从内网多个服务器更新这样有利于分担SAV服务器的负担,并且liveupdate服务器除了可更新防病毒产品外还支持其他Symantec产品的更新升级,下面我们就来讲讲步骤。
1,首先安装LiveUpdate实用管理程序
文件在光盘的\Tools\LiveUpdate\luau.exe
最新版下载位置:ftp://ftp.symantec.com/public/english_us_canada/liveupdate/luau_1.5.7/luau.exe
2,配置更新选项
首先选择下载更新的语言,如简体中文,然后选择下载的产品,例如Symantec AntiVirus Corporate Edition,Symantec AntiVirus Virus Definitions,最后选择下载目录。
在选择更新病毒定义时注意,可以点击详细资料按钮,打开详细资料对话框,在这里我只选择了10.X的windows下的客户端和服务器端的病毒定义,这样可以减少带宽,具体选择根据需要选择,如图。
3, 获取更新
点击获取按钮,启动liveupdate程序下载更新文件。
4,配置LiveUpdate服务器 \8F]\ID
客户端从liveupdate更新的方式有3中,FTP ,HTTP,LAN
根据具体情况选择这三种中的一种,相应的应该建立对应的服务,最后的LAN为建立共享,将第三步中获取的更新文件放到对应的服务的目录下,并且可以访问。以上的三种更新方式可以只选择一种也可以根据情况结合使用。
5, 配置客户端从liveupdate服务器更新
Windows NT/2000/XP 上运行的接受管理的客户端和 Symantec AntiVirus 服务器可以自动从 Symantec 系统中心接收配置的 LiveUpdate 设置。这使它们可以连接到您的内部 LiveUpdate 服务器来下载更新。
6,配置Symantec 系统中心
1) 在“Symantec 系统中心”的左窗格中,右键单击父服务器、服务器组或客户端组,然后单击“所有任务”> LiveUpdate >“配置”。
2) 单击“内部 LiveUpdate 服务器”。
3) 键入服务器的名称。
“位置”框是可选的。
4) 如果使用的是 FTP 或 HTTP 服务器,键入适当的数据。
“登录名”和“密码”框只用于 FTP 或 HTTP 服务器,不用于共享目录。
5 )在“连接”下,键入共享目录的 UNC 路径,或 HTTP 或 FTP 服务器的 URL 或
IP 地址。
6) 在“类型”下,选择下列之一:
■ FTP
■ HTTP
■ LAN
7) 选中“将设置应用于不属于组的客户端”。
8) 单击“应用”,然后单击“确定”。
9) 如果有多台父服务器并从父服务器配置了主机,请对每台父服务器重复步骤
1-8。
7, 配置LiveUpdate实用管理程序自动更新
建立windows计划任务,程序指向LiveUpdate实用管理程序的LuAdmin.exe,并加入参数-silent和-all,具体参数说明如下图。
这种方法可以建立一台本地的LiveUpdate服务器,为NAV SAV等等symantec的产品提供更新,更新病毒库的,可以大大加速更新的速度,减少流量。非常有效。需要注意的是,选择更新的部件时,好像是要设置luadmin下载Symalllanguages 这个东西(不是好像,而是肯定,我刚开始时没设置,一直不成功,费了好大劲才找出该问题)
由于邮件服务器经常连接不上,致使我们需要彻底找到原因和相关应急的解决办法,下面是一些现象(因奋战了近两个通宵,逻辑比较混乱,只求自知):
- 诺盾杀毒软件在系统启动时,显示成功删除了好几个发作的病毒文件(hacktool,W32.spybot.worm,downloader,backdoor.sdbot,w32.almanahe.B!inf);
- 服务中检测到两三个不正常的服务(Procedure Call(RPC),Computer Browse,Internet connection XXX...全是改为正常名字的启动,但其指向的文件和程序是完全陌生和危险的 );
- 默认管理共享在非常短的时间内会被自动删除,导致备份计划无法正常运行,无论我们手动添加注册表键值还是net share,对应病毒w32.spybot;
- 邮件系统OWA访问验证及OUTLOOK连接验证反复交替出现故障,时坏时好;
- 建立了隐藏的管理员帐号,无法通过GUI管理界面删除,最后我们想到了删除注册表中的SAM子键;
- 发现系统用户有被窜改和权限提升的行为:本地guest已进入了管理员组;
- 组策略中的[通过网络访问此计算机]中添加的用户不多久自动被清除;
- 使用EXCHSVR的/domainprep无法进行下去;重新加入域也无济于事;
- 通过微软相应的邮件系统最佳实践工具,一一修复和定位问题,最终仍然落实在管理共享无法创建的问题上;
服务器系统为P2.8G,1G内存,性能较差,单次重启花费10-20分钟不等。开始的方向没有集中到病毒,仅因是策略在反复变化,我们决大部分诊断和分析的重点放在了影响本地组策略的各种因素上:包括策略冲突和组策略优先级等。也注意处理了一些较基本的服务监视、自启动监视、注册表、用户权限监视,端口监视等;在没有太多好办法时想过一些比较简单的灾难恢复、复杂的灾难恢复、全新的机器更新邮件系统。
快尝试完所有工作,寻找各种快速恢复和配置稳定的邮件系统之方法以及相应成本(着重时间及稳定性)计算,本打开直接选择新服务器进行全新更换硬件等,至放弃之时,我们突然看到了曙光,当时已经是早上6点左右了。
多亏了Procmon.exe,让我们好不辛苦地发现了MSFAV32.EXE(对应子乌虚有的Windows Internet Connections服务),MRAVSC32.EXE,最终让我们摆脱了那“十分钟的循环”紧张和痛苦之中。从注册表中一一删除被禁用的“尸体”后,重新启动:系统自动更新、防火墙例外、安全配置向导都完全正常了。Yeah!!!
用安全配置向导对邮件服务器进行了全面系统地保护!
后记:目前C盘发现了一个文件夹,其中就保存了病毒的程序(C:\!Submit\MSFAV32.EXE),但不被目前流行病毒软件识别,无法自动查杀;更绝的是删除后自动增加两个文件(IGET.VBE查得目的地是从华东师范大学学生宿舍218.78.250.234获取病毒程序,另外还有一个1.exe的两个文件,avast终于识别为Win32:Onlinegames-AZK [Trj]木马,下面为IGET.VBE的内容及IP归属)
因此次手动查杀病毒运用到较多此工作,特留下此备忘:
在Windows XP(2000、2003类似)系统的“服务”窗口中并不能添加或删除服务,常用的方法有以下几种:
修改注册表
在“开始→运行”中键入“regedit.exe”,打开“注册表编辑器”,展开分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”,在右侧窗格中显示的就是本机安装的服务项。(从注册表中删除相应服务子键后,需要重新启动才能完全地从services.msc列表中移除)
如果要新建服务,只须点击“编辑→新建→项”,然后为此项命名,如“test”;然后右击该项,选择“新建→字符串值”或“新建→DWORD值”即可。添加一个服务项目具体需要添加的键值如下:
“DisplayName”,字符串值,对应服务名称;
“Descrīption”,字符串值,对应服务描述;
“ImagePath”,字符串值,对应该服务程序所在的路径;
“ObjectName”,字符串值,值为“LocalSystem”,表示本地登录;
“ErrorControl”,DWORD值,值为“1”;
“Start”,DWORD值,值为2表示自动运行,值为3表示手动运行,值为4表示禁止;
“Type”,DWORD值,应用程序对应10,其他对应20。
删除注册表的键或项还是要通过注册表文件
删除注册表中的项
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
保存为reg文件双击导如即可删除此项
注意有个“-”号 删除注册表中的值
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=-
这样可以删除此值
对于服务的启动类型
对应注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的各个子项
服务名字下的start键表示启动类型
1是系统
2是自动
3是手动
4是禁用
关于终止进程的操作
XP下可以选择taskkill命令
终止记事本: taskkill /IM notepad.exe /F
/F的意思是强制终止
windows 从注册表删除服务项
sc <server> delete [service name]
从注册表删除服务项。
如果服务正在运行,或另一进程已经打开
到此服务的句柄,服务将简单地标记为
删除。
转摘于:http://www.heibai.net/article/info/info.php?sessid=&infoid=15177
svchost.exe
——Alerter 通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。
——Application Management 为 Active Directory 智能映像组策略程序处理安装、删除和枚举请求。如果此服务被停用,用户将无法安装、删除或枚举任何智能映像程序。如果此服务被禁用,任何依赖于它的服务将无法启动。
——Automatic Updates 从 Windows Update 启用重要的 Windows 更新的下载和安装。如果禁用该服务,操作系统可以在 Windows Update Web 网站手动更新。
——Background Intelligent Transfer Service 在后台传输客户端和服务器之间的数据。如果禁用了 BITS,一些功能,如 Windows Update,就无法正常运行。
——COM+ Event System 支持系统事件通知服务 (SENS),此服务为订阅的组件对象模型 (COM) 组件提供自动分布事件功能。如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务都将无法启动。
——Computer Browser 维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
——Cryptographic Services 提供三种管理服务: 编录数据库服务,它确定 Windows 文件的签名;受保护的根服务,它从此计算机添加和删除受信根证书颁发机构的证书;和密钥(Key)服务,它帮助注册此计算机获取证书。如果此服务被终止,这些管理服务将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。
——DHCP Client 为此计算机注册并更新 IP 地址。如果此服务停止,计算机将不能接收动态 IP 地址和 DNS 更新。如果此服务被禁用,所有明确依赖它的服务都将不能启动。
——Distributed Link Tracking Client 启用客户端程序跟踪链接文件的移动,包括在同一 NTFS 卷内移动,移动到同一台计算机上的另一 NTFS、或另一台计算机上的 NTFS。如果此服务被停用,这台计算机上的链接将不会维护或跟踪。如果此服务被禁用,任何依赖于它的服务将无法启用。
——Distributed Link Tracking Server 启用同域内的分布式链接跟踪客户端服务,以便在同域内提供更高的可靠性和有效维护。如果此服务被禁用,任何依赖于它的服务将无法启用。
——DNS Client 为此计算机解析和缓冲域名系统(DNS)名称。如果此服务被停止,计算机将不能解析 DNS 名称并定位 Active Directory 域控制器。如果此服务被禁用,任何明确依赖它的服务将不能启动。
——Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序崩溃。如果此服务被停用,那么错误报告仅在内核错误和某些类型用户模式错误时发生。如果此服务被禁用,任何依赖于它的服务将无法启用。
——Help and support 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
——Human Interface Device Access 启用对人体学接口设备(HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。
——Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 为家庭或小型办公网络提供网络地址转换,寻址以及名称解析和/或防止入侵服务。如果此服务被停用,网络服务(如 Internet 共享、名称解析、寻址和/或防止入侵服务)将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
——Logical Disk Manager 监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。
——Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
——Microsoft Software Shadow Copy Provider 管理卷影复制服务制作的基于软件的卷影副本。如果该服务被停止,将无法管理基于软件的卷影副本。如果该服务被禁用,任何依赖它的服务将无法启动。
——Network Connections 管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。如果服务被禁用,您将无法查看局域网和远程连接而且任何依赖它的服务将无法启动。
——Network Location Awareness (NLA) 收集并保存网络配置和位置信息,并在信息改动时通知应用程序。
——Portable Media Serial Number Service Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.
——Remote Access Auto Connection Manager 检测连接到远程网络或计算机的不成功尝试并提供其它连接方法。如果此服务停止,用户将需要手动连接。如果此服务被禁用,任何明确依赖它的服务都将不能启动。
——Remote Access Connection Manager 管理从此计算机到 Internet 或其它远程网络的拨号和虚拟专用网络(VPN)连接。如果此服务停止,操作系统可能无法正常工作。如果此服务被禁用,任何明确依赖它的服务都将不能启动。
——Remote Procedure Call (RPC) 作为终结点映射程序(endpoint mapper)和 COM 服务控制管理器使用。如果此服务被停用或禁用,使用 COM 或远程过程调用(RPC)服务的程序工作将不正常。
——Remote Registry 使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
——Removable Storage 管理和编录可移动媒体并操作自动化可移动媒体设备。如果这个服务被停止,依赖可移动存储的程序,如备份和远程存储将放慢速度。如果禁用这个服务,所有专依赖这个服务的服务将无法启动。
——Routing and Remote Access 为此网络上的客户端和服务器启用多重协议 LAN 到 LAN,LAN 到 WAN,虚拟专用网络(VPN)和网络地址转换(NAT)路由服务。如果此服务停止,这些服务将不可用。如果此服务被禁用,任何明确依赖它的服务都将不能启动。
——Secondary Logon 启用替换凭据下的启用进程。如果此服务被终止,此类型登录访问将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
——Server 支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
——Shell Hardware Detection 为自动播放硬件事件提供通知。
——Special Administration Console Helper 允许管理员使用紧急管理服务远程访问命令行提示符。
——System Event Notification 监视系统事件并通知 COM+ 事件系统“订阅者(subscriber)”。如果此服务被停用,COM+ 事件系统“订阅者”将接收不到系统事件通知。如果此服务被禁用,任何依赖于它的服务将无法启用。
——Task Scheduler 使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
——TCP/IP NetBIOS Helper 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
——Telephony 提供客户端的 TAPI 支持,以便程序控制电话设备和基于 IP 的语音连接。如果此服务被停用,所有依赖于此的程序功能将削弱。如果此服务被禁用,任何依赖于它的服务将无法启用。
——Terminal Services 允许用户以交互方式连接到远程计算机。远程桌面、快速用户切换、远程协助和终端服务器依赖此服务 - 停止或禁用此服务会使您的计算机变得不可靠。要阻止远程使用此计算机,请在“系统”属性控制面板项目上清除“远程”选项卡上的复选框。
——Themes 为用户提供主题管理的经验。
——Upload Manager 管理网络上客户端和服务器之间的同步和异步文件传输。驱动程序数据会以匿名方式从这些传输中加载,Microsoft 使用这些数据帮助用户查找所需的驱动程序。驱动程序反馈服务器会请求客户端允许加载计算机的硬件配置文件,然后搜索 Internet,获取有关如何取得合适的驱动程序的详细信息或取得帮助。如果该服务停止,Microsoft 将无法访问驱动程序的数据。
——WebClient 使基于 Windows 的程序能创建、访问和修改基于 Internet 的文件。如果此服务被停止,这些功能将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
——Windows Audio 管理基于 Windows 的程序的音频设备。如果此服务被终止,音频设备及其音效将不能正常工作。如果此服务被禁用,任何依赖它的服务将无法启动。
——Windows Image Acquisition (WIA) 为扫描仪和照相机提供图像捕获服务。
——Windows Management Instrumentation 提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。如果此服务被终止,多数基于 Windows 的软件将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。
——Windows Management Instrumentation Driver Extensions 监视配置成用于发布 Windows Management Instrumentation (WMI) 或事件跟踪信息的所有驱动程序和事件跟踪提供程序。如果此服务被禁用,任何依赖于它的服务将无法启用。
——Windows Time 维护在网络上的所有客户端和服务器的时间和日期同步。如果此服务被停止,时间和日期的同步将不可用。如果此服务被禁用,任何明确依赖它的服务都将不能启动。
——WinHTTP Web Proxy Auto-Discovery Service 实现 Windows HTTP 服务(WinHTTP)的 Web 代理自动发现服务(WPAD)。WPAD 是用于启用 HTTP 客户端自动发现代理配置的协议。如果此服务被停用或禁用,WPAD 协议将在 HTTP 客户端的进程中执行,而不是在外部服务进程;因此不会造成功能损失。
——Wireless Configuration 启用 IEEE 802.11 适配器的自动配置。如果此服务停止,自动配置将不可用。如果此服务被禁用,所有明确依赖它的服务都将不能启动。
——WMI Performance Adapter 从 Windows Management Instrumentation (WMI) 提供程序向网络上的客户端提供性能库信息。此服务只有在性能数据助手被激活时才运行。
——Workstation 创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
——World Wide Web Publishing Service 通过 Internet 信息服务管理器提供 Web 连接和管理
aspnet_state.exe
——ASP.NET State Service 为 ASP.NET 提供进程外会话状态支持。如果此服务被停止,进程外请求将得不到处理。如果此服务被禁用,任何显式依赖它的服务将无法启动。
alg.exe
——Application Layer Gateway Service 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。
clipsrv.exe
——ClipBook 启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止,“剪贴簿查看器” 将无法与远程计算机共享信息。如果此服务被禁用,任何依赖它的服务将无法启动。
dllhost.exe
——COM+ System Application 管理基于组件对象模型 (COM+) 的组件的配置和跟踪。如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务,则任何明确依赖它的服务都将无法启动。
dfssvc.exe
——Distributed File System 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。
msdtc.exe
——Distributed Transaction Coordinator 协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务,则不会发生这些事务。如果禁用此服务,显式依赖此服务的其他服务将无法启动。
services.exe
——Event Log 启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。
——Plug and Play 使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。
Ntfrs.exe
——File Replication 允许在多个服务器上自动同时复制和管理文件。如果此服务被终止,文件复制将不会进行并且服务器也不会同步。如果此服务被禁用,任何依赖它的服务将无法启动。
lsass.exe
——HTTP SSL 此服务通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。如果此服务被禁用,任何依赖它的服务将无法启动。
——IPSEC Services 提供 TCP/IP 网络上客户端和服务器之间端对端的安全。如果此服务被停用,网络上客户端和服务器之间的 TCP/IP 安全将不稳定。如果此服务被禁用,任何依赖它的服务将无法启动。
——Kerberos Key Distribution Center 在域控制器上此服务启用用户使用 Kerberos 授权协议登录网络。如果此服务在域控制器上被停用,用户将无法登录网络。如果此服务被禁用,任何依赖于它的服务将无法启用。
——Net Logon 为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。如果此服务被禁用,任何依赖它的服务将无法启动。
——NT LM Security Support Provider 为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。
——Protected Storage 保护敏感数据(如私钥)的存储,以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用,保护性存储将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
——Security Accounts Manager 此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。禁用此服务将使系统中的其他服务接收不到 SAM 准备好的通知,从而导致这些服务启动不正确。此服务不应被禁用。
inetinfo.exe
——IIS Admin Service 允许此服务器管理 Web 和 FTP 服务。如果此服务被停止,服务器将不能运行 Web,FTP,NNTP,SMTP 站点,或配置 IIS。如果此服务被禁止,任何明确依赖于它的服务都将不能启动。
imapi.exe
——IMAPI CD-Burning COM Service 用 Image Mastering Applications Programming Interface (IMAPI) 管理 CD 录制。如果停止该服务,这台计算机将无法录制 CD。如果该服务被禁用,任何依靠它的服务都无法启动。
cisvc.exe
——Indexing Service 本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。
ismserv.exe
——Intersite Messaging 启用在运行 Windows Server 的站点间交换消息。如果此服务被停用,消息将不交换,而且不计算其他服务的站点路由信息。如果此服务被禁用,任何依赖于它的服务将无法启用。
llssrv.exe
——License Logging 监视和记录操作系统部分(如 IIS、终端服务器和文件/打印)的客户端访问授权,也监视和记录不属于操作系统的产品,如 SQL 和 Exchange Server。如果这个服务被停止,会执行授权操作,但是不会得到监视。
saldm.exe
——Local Display Manager 管理和控制在远程管理的服务器上的可选的液晶显示器(LCD)和键盘。如果此服务被停止,将忽略键盘硬件,LCD 将不会更新。
dmadmin.exe
——Logical Disk Manager Administrative Service 配置硬盘驱动器和卷。此服务只为配置处理运行,然后终止。
mnmsrvc.exe
——NetMeeting Remote Desktop Sharing 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。
netdde.exe
——Network DDE 为在同一台计算机或不同计算机上运行的程序提供动态数据交换 (DDE) 的网络传输和安全。如果此服务被终止,DDE 传输和安全将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
——Network DDE DSDM 管理动态数据交换 (DDE) 网络共享。如果此服务终止,DDE 网络共享将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
smlogsvc.exe
——Performance Logs and Alerts 收集本地或远程计算机基于预先配置的计划参数的性能数据,然后将此数据写入日志或触发警报。如果此服务被终止,将不会收集性能信息。如果此服务被禁用,任何依赖它的服务将无法启动。
spoolsv.exe
——Print spooler 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
sessmgr.exe
——Remote Desktop Help Session Manager 管理并控制远程协助。如果此服务被终止,远程协助将不可用。终止此服务前,请参见“属性”对话框上的“依存关系”选项卡。
locator.exe
——Remote Procedure Call (RPC) Locator 启用使用 RpcNs* 系列 API 的远程过程调用 (RPC) 客户端来定位 RPC 服务器。如果此服务被停用或禁用,使用 RpcNs* APIs 的 RPC 客户端可能无法定位服务器或无法启动。Windows 内部不使用 RpcNs* APIs。
rsopprov.exe
——Resultant Set of Policy Provider 启用用户连接到远程计算机,访问该计算机的 Windows Management Instrumentation 数据库,并验证计算机的当前组策略设置或在应用设置之前检查它。如果此服务被停用,远程验证将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
scardsvr.exe
——Smart Card 管理此计算机对智能卡的取读访问。如果此服务被终止,此计算机将无法取读智能卡。如果此服务被禁用,任何依赖它的服务将无法启动。
tlntsvr.exe
——Telnet 允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。
tssdis.exe
——Terminal Services Session Directory 允许用户连接请求路由到群集中合适的终端服务器。如果这个服务被停止,连接请求会被路由到第一个可用服务器。
ups.exe
——Uninterruptible Power Supply 管理连接到计算机的不间断电源(UPS)。
vds.exe
——Virtual Disk Service 提供软件卷和硬件卷管理服务。
vssvc.exe
——Volume Shadow Copy 管理并执行用于备份和其它目的的卷影副本。如果此服务被终止,备份将没有卷影复制,并且备份会失败。如果此服务被禁用,任何依赖它的服务将无法启动。
msiexec.exe
——Windows Installer 添加、修改和删除以 Windows 安装程序(*.msi)的软件包提供的应用程序。如果禁用了此服务,任何完全依赖它的服务不会被启动。
自从Windows 2000操作系统开始,微软就添加了一个新的网络功能,叫做Windows默认共享。有朋友会问了,为什么叫“默认共享”呢?原来,这些文件夹与我们自己手工建立的共享文件夹之间有着一个本质的区别,在它们的共享名称最后都会有一个“$”符号,作用就是能够在网上邻居中隐藏自己。这样,除非我们预先知道这些默认共享的共享名,否则,按照常规方法是根本无法直接进入到这些文件夹的。起初这项功能主要是微软为了方便系统管理员的日常工作而设计的,并且在默认情况下它们就是开启的状态,但由于Windows的漏洞层出不穷,那加上这些预设的文件夹名称早已被大家所熟知,因此,这些原本是微软一番好意而设置的功能在使用时却成了一个巨大的安全陷井,严重地威胁着系统和服务器的运行安全,对于此类“鸡肋”功能我们自然就要“关他没商量”。今天,笔者就将几种最常见的清除Windows默认共享的方法列示出来,以供大家参考使用。
如何查看默认共享
默认共享虽然在网上邻居里是隐藏显示的,但对于系统管理员们来说,察看起来却是小菜一碟。他们最常用的就是下面的两种方法
方法一:图形界面方式
优点:上手容易,直观性强,进行相关管理操作时非常方便,适合初级管理员使用
双击打开控制面板的“管理工具”,执行“计算机管理”图标,在打开的如图1所示窗口中展开“共享文件夹→共享”,即可在右侧区域中看到当前系统的所有共享文件夹(图1所示为最常见的三类系统默认共享)
方法二:命令行方式
优点:方便快捷,功能较GUI方式更强,适合高级管理员使用
在“命令提示符”窗口中执行命令“net share”,如图2所示,此时系统将会将本机上所有的共享文件夹显示出来(带$字符的即是隐藏共享)
【小提示】 从图中大家可以看到,默认的Windows共享大体可分为三类:第一类是“ADMIN$”共享,它所指向的就是当前的系统工作目录(WINNT目录)。第二类是类似于“C$、D$、E$……”的共享,它指向的其实就是本机上每个磁盘分区的根目录。而最后一类则是“IPC$”,它就是我们常说的“共享命名管道”,而著名的空连接漏洞也正是利用了这个IPC$
【小提示】 在任
共享清除方案一:手动清除法
方便指数:★★★★★
推荐指数:★★★
方案优势:方便快捷,无须特别的技术
负 作 用:是一个治标不治本的方法,每次重启计算机后默认共享还会自动出现,必须重新清除
适用环境:该方案适合于长期不关机的服务器系统
GUI模式
1. 双击控制面板中的“管理工具→计算机管理”图标
2. 展开“计算机管理”窗口中的“系统工具→共享文件夹→共享”
3. 右击默认的共享文件夹,执行菜单中的“停止共享”命令,再点击弹出的如图3所示窗口中“确定”按钮即可
命令行模式
(本例以清除默认共享ADMIN$为例)
1. 点击“开始”菜单→ “程序→附件→命令提示符”,打开命令提示行窗口
2. 执行“net share admin$ /delete”后回车
3. 系统出现如图4所示已删除提示后即可
何Windows窗口中执行“\\计算机名\默认共享名”命令(例:\\server\admin$)即可进入该共享文件夹所指定的目录中
共享清除方案二:批处理清除法
方便指数:★★
推荐指数:★★★★
方案优势:杜绝方案一重启计算机后共享自动出现的问题,适合于各类环境
负 作 用:需要编制DOS批处理程序,要求管理员有简单的DOS编程能力
适用环境:该方案适合普通电脑系统及服务器系统
1. 打开记事本程序
2. 在其中输入下列命令
Net share admin$ /delete
Net share ipc$ /delete
Net share c$ /delete
Net share d$ /delete
3. 点击“文件”菜单→“另存为”命令,将当前文件以“share.bat”为文件名保存在“桌面”上(保存在桌面上的目的是为了方便下面操作,您也可以以其他文件名保存在其他位置)
4. 将桌面上“share.bat”文件拖动到“开始”菜单→“程序→启动”项中即可
共享清除方案三:优化软件法
方便指数:★★★★
推荐指数:★★★★★
方案优势:无须手工编程处理,图形化界面,操作直观
负 作 用:需要安装优化软件,略显麻烦
适用环境:该方案适合于普通电脑系统及服务器系统
(本文以超级兔子魔法设置 V6.25版为例)
1. 双击打开超级兔子魔法设置软件
2. 在主界面中点击“超级兔子魔法设置”按钮,进入魔法设置界面
3. 点击“网络”标签→“网络选项”,如图5所示
4. 勾选其中“禁止自动共享Server (C$、D$)”、“禁止自动共享Works (ADMIN$)”两项后点击“确定”即可
【小提示】 其他系统优化软件(如优化大师等)也都有类似的功能,只是称呼的名称有所不同,有兴趣的读者可以自己去试一试
共享清除方案四:修改注册表法
方便指数:★★★
推荐指数:★★★★★
方案优势:可以从根本上解决系统自动启动默认共享的问题
负 作 用:需要执行注册表操作,略显麻烦
适用环境:该方案适合普通电脑系统及服务器系统
关闭分区默认共享(如C$、D$、E$ ……) ——
1. 点击“开始”菜单→“运行”,在弹出的“运行”对话框中输入“regedit”后回车,打开注册表编辑器
2. 展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters”注册表项
3. 双击右窗格中的“AutoShareServer”,将它的键值改为“0”即可,如图6所示
关闭管理默认共享(ADMIN$) ——
1. 点击“开始”菜单→“运行”,在弹出的“运行”对话框中输入“regedit”后回车,打开注册表编辑器
2. 展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters”注册表项
3. 双击右窗格中的“AutoShareWks”,将它的键值改为“0”即可
关闭IPC$默认共享 ——
1. 点击“开始”菜单→“运行”,在弹出的“运行”对话框中输入“regedit”后回车,打开注册表编辑器
2. 展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”注册表项
3. 双击“restrictanonymous”,将其键值设为“1”即可(注意,不是“0”,是“1”)
【小提示】 其实优化软件关闭默认共享的方法也是修改注册表,只不过设计在GUI界面下,更加方便用户使用
共享清除方案五:直接卸载法
方便指数:★★★★
推荐指数:★
方案优势:设置方法非常简单,适合新手操作,杜绝了共享访问漏洞
负 作 用:卸载掉该服务后,本机将无法再共享任何文件夹(包括手动共享文件夹)
适用环境:该方案适合没有局域网环境的普通个人电脑
1. 点击“开始”菜单→“设置→控制面板”
2. 在控制面板窗口中双击打开“网络连接”图标
3. 右击“本地连接”选择“属性”
4. 选中“Microsoft 网络的文件和打印机共享”后点击“卸载”按钮即可,如图7所示
写在最后
其实,说起如何关闭默认的Windows共享,早已不是什么新鲜的题目了,之所以能有上述几种不同的方法,区别就在于它们的方便程度不同,适合的系统环境也不同。笔者今天只是将最常见的五种方法一一列举出来,主要目的还是为了方便大家,便于根据情况自由选择最合适的方法。
众所周知windows系统从2000开始就引入了一个称为默认共享的概念,当我们安装完操作系统后就会默认开启一些共享,启动包括c$,d$,e$,ipc$,print$,fax$,admin$等等。这些共享是系统自动开启的。即使我们在登录系统后对其使用net share /delete命令进行删除,重新启动计算机后这些默认共享又会出现。
一、默认共享带来的危害:
大家一定都知道共享带来的危害,开启了共享后就很有可能被病毒或非法用户访问,从而进一步扩大权限或者删除文件资源。因此一般情况下我们都要尽量的少开启共享,然而默认共享是自动开启的,知道了计算机的管理员帐户和密码的话就可以轻而易举的进入这个默认共享,相应的C盘等磁盘的资料与数据将没有保证。所以说默认共享所带来的安全隐患是非常大的。
二、删除默认共享:
我们可以采用多种方式删除这些默认共享,例如net share /delete,使用net share c$ /delete将把c$这个默认共享关闭。这样我们就可以把多条net share /delete命令放到同一个批处理文件中,再把此文件放到系统启动项,让其随系统启动而运行,从而删除所有默认共享。另外我们还可以通过注册表来禁止默认共享,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters,查看在LanmanServer\Parameters子项中的 AutoShareServer和AutoShareWks的DWORD值所配置的数值数据是否为1,如果该值为0或者根本就不存在这些键值的话我们手工创建一个即可。这样系统启动后就会不开启这些默认共享了。
三、删除默认共享的危害:
看到这个子标题可能有一定水平的网络管理员都会吃惊,难道删除默认共享也会带来危害?是的,危害还不小呢!在最新的微软技术支持文档中特别对“管理共享丢失所带来的危害”进行了介绍,本篇文章也将对其带来的危害进行详细的描述,因此“删除默认共享的危害”是本文主要讨论的内容。
危害描述:如果在自己的计算机上删除或者丢失了管理共享,通常会出现各种问题。例如你可能使用net share命令查看共享信息,输出可能显示当前计算机丢失了IPC$、ADMIN$或C$共享。如果你手工的创建了一个丢失的共享,在下次启动或登录后该共享可能再次丢失。即使将注册表中相关键值的AutoShareServer和AutoShareWks的注册表 DWORD值设置为1,上述症状仍可能发生。 出现上述问题会带来怎样的危害和故障呢?
危害1:如果受影响的计算机是域控制器,则客户端计算机在网络登录过程中或试图加入域时,可能收到错误信息。特别是对于Windows 98 或Microsoft Windows Millennium Edition的客户端计算机登录到域时会出现“域登录密码不正确”,“没有权限登录域”的提示。对于一些Windows 2000 或 Windows XP 的计算机上登录到网络时也可能遇到“域服务器不可用”等故障信息。如果我们手工将计算机加入域时会出现“域控制器名称没找到”的提示。
危害2:如果在网络中其他计算机上使用UNC 路径、映射的驱动器、net use 命令、net view 命令或者通过在“网上邻居”中浏览网络以远程方式访问或查看受影响的计算机,可能会收到“远程服务器不容许访问”,“系统53错误,网络路径不可达”等故障信息。
危害3:在有问题的域控制器上执行管理任务时,可能会出现错误。例如,MMC管理单元(如“Active Directory 用户和计算机”或“Active Directory 站点和服务”)可能不能启动,与此同时收到“名称信息不能定位,登录失败”的提示信息。
危害4:在默认共享消失的计算机上将用户添加到安全组时,可能会收到“因为没有找到相关组件,所以组件提取失败”的错误提示。另外从 Windows 2000支持工具运行Netdom.exe以查找FSMO角色时出现“不能更新密码,当前提供的密码不正确”的警告信息。
危害5: 从 Windows 2000 支持工具运行 Dcdiag.exe 时收到“67错误,网络名不可达”的错误信息,运行 Netdiag.exe 时出现“DC显示列表失败”的提示。[Page]
危害6:在出问题的计算机上WINS服务可能无法启动或者WINS控制台显示红色的“X”,更有甚者两个故障同时存在。
危害7:在默认共享消失的计算机上可能记录着NetBT 4311事件错误的相关信息。我们可以到事件查看器中看到这些错误。例如“来自NETBT的由于无法创建驱动程序设备,初始化失败”的记录。
危害8:出问题的计算机上的“终端服务授权”控制台可能无法启动,提示“网络地址非法”或者“在当前的域控制器中终端服务授权非法”。
四、如何解决危害:
造成上述危害的原因就是关闭了默认共享,一方面是由于人为的关闭了共享,另一方面还可能是病毒或者恶意程序非法关闭了这些共享。所以对于默认共享建议各位IT168的读者还是不要随意关闭为好。恢复的方法很简单。
第一步:检查AutoShareServer 和 AutoShareWks 注册表值,以确保未将它们设置为0,单击“开始”,单击“运行”,键入 regedit,然后按 Enter 键进入注册表编辑器。
第二步:找到并单击以下注册表子项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
第三步:如果 LanmanServer\Parameters 子项中的 AutoShareServer 和 AutoShareWks DWORD 值配置的数值数据为 0,则将该值更改为 1。
小提示:如果这些值不存在,则不必创建它们,因为默认行为是自动创建管理共享。
第四步:重新启动计算机。通常运行Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 4.0 的计算机会在启动过程中自动创建管理共享。
第五步:启动计算机后我们通过运行CMD进入命令行模式,然后执行net share,共享列表中查找是否存在 Admin$、C$ 和 IPC$ 管理共享。
小提示:如果发现按照上面操作默认共享还没有出现的话,那么很有可能是因为病毒或非法程序破坏了系统,我们需要用更新了最新病毒库的杀毒软件在安全模式下扫描整个系统。
总结:如何关闭默认共享是以前网络管理员经常探讨的问题,不过既然现在我们知道了关闭默认共享也会带来一定的危害的话,是否关闭就要重新考虑了。我们可以根据实际工作情况自行取舍。一般来讲在域的情况下或者网络中安装了网络版杀毒软件或网络版应用程序的话,建议还是将这些默认共享保留,毕竟很多软件在开发时候针对网络权限的访问与使用都是建立在默认共享上的,如果一味的关闭默认共享将使这些程序及软件无法正常运行
转载地址:http://network.cnfan.net//31.html
1、使用regedt32打开高级注册表管理
找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]分支,为你当前使用的帐户(必须是Administrators组)添加“完全控制”权限。
注意:如果你对SAM层权限运行不熟悉,千万别去修改上面的帐户的权限,而是要“添加”你当时使用的帐户的权限。(全部操作完要回来删除掉,否则有安全隐患。)
2、使用regedit打开注册表编辑器
找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users],这里下面的数字和字母组合的子键是你计算机中所有用户帐户的SAM项。
子分支[Names]下是用户名,每个对应上面的SAM项。{Users下面的数字子键对应其下的Names中的数字;相对应的数字子键下有两个二进制键值,F代表权限,V代表用户名。因同事误操作错误删除administrator对应的000001fr子键后,本地管理单元的用户全部不再显示,也无法删除administrator,因为names中对应着还有;后来尝试sam覆盖因SCSI驱动无法进行,最好只好研究相同操作系统的相关键值:解决问题的方法是,F就拷贝新建一管理员-同权限用户的值&V就拷贝同一操作系统下相同位置的值。完成后,我听到了尖叫声:爽也}
3、查找隐藏的帐户就比较两个用户名的SAM值完全一样的就说明其中一个是克隆帐户。你可以在这里删除其用户名。
一般推荐分别导出用户名项和对应的SAM,然后找一个关键字分析比较。具体比较的方法多种多样自己看了。
4、目前有种系统级后门,可以在有管理员帐户登入的时候自动删除这里的克隆帐户值,等你退出了又自动恢复。遇到这种的情况,这里是查不出来的。一般这种后门都是高手搞的,免杀。
遇到这种情况,建议找专业安全人员处理。
另外:本地安全策略——本地策略——安全选项中可以查看默认管理员和贵宾帐户,这里可以查出默认的guest是否被克隆了,如果这个帐户被克隆这里会显示出真正的克隆后的用户名。
计算机管理中显示的依然是正常的用户,所以查那里是没什么意义的。
因为服务器硬件的升级,需要把现有的Exchange服务器中的内容移植到新服务器上。
我按照KB822945的介绍(http://support.microsoft.com/default.aspx?scid=kb%3Bzh-cn%3B822945)进行操作,基本上是:
---------------------------------------------------------------------
1. 对现有 Exchange 2003 计算机上的所有 Exchange 2003 存储组和“站点复制服务”(SRS) 数据库进行完整备份。
2. 使现有 Exchange 2003 计算机脱机。
3. 为现有 Exchange 2003 计算机重置计算机帐户。
4. 使新计算机联机,然后确认新计算机运行的操作系统与现有 Exchange 2003 计算机上安装的操作系统相同。
5. 将新的计算机名重命名为与原来的计算机相同的名称,然后将此计算机加入到域。
6. 使用 Exchange 2003 管理员(完全控制)帐户登录到新计算机。
7. 安装 Exchange 2003 所需的任何组件,如 NNTP 服务、SMTP 服务和“万维网”服务。
8. 使用以下参数运行 Exchange 2003 安装程序: Setup /disasterrecovery
一定要单击“消息与协作”服务和“Exchange 系统管理工具”的“操作灾难恢复”。
9. 安装程序运行完成后,请使用“/disasterrecovery”开关安装已在现有服务器上安装的 Exchange 2003 Service Pack。
10. 检查注册表以查看是否存在以下注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\Setup
11. 安装任何已在现有服务器上安装的 Exchange 2003 后 Service Pack 修复程序。
12. 在单独的恢复作业中,从 Exchange 2003 服务器备份中恢复存储组和“站点复制服务”(SRS) 数据库。
13. 恢复完成后,装入所有存储。请确保客户端可以连接,并且邮件可以流入。
-----------------------------------------------------------------------
Exchange 卸载之后重装,出现如下错误提示:
必须是组织级别的Exchange 管理员(完全控制),才能安装域中的第一台Exchange服务器,或以/forestprep模式运行安装程序。您必须使用Exchange组织中通过Exchange管理委派向导被授予Exchange管理员(完全控制)角色的帐户。
解决办法:
1、删除Exchange注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeADDXA
2、卸载IIS组件:NNTP、SMTP、ASP.NET
3、使用ADSIEDIT展开
Configuration
CN=Configuration,DC=Domain_Name,DC=com
CN=Services
CN=Microsoft Exchange删除红色部分
Tools 
