非完全过滤垃圾

0x800c0133错误及导入单个的.dbx方法（转）

Tue, 19 Aug 2008 03:05:11 GMT

此文源于解决Outlook Express错误引出：

当您采用Microsoft Outlook Express软件在接收邮件时报出如下错误提示:”出现未知错误。帐户: ‘test’, 服务器: ‘pop.test.com’, 协议: POP3, 端口: 110, 安全(SSL): 否, 错误号: 0×800C0133″时的原因及解决方案:
由于Outlook Express存在着一个2G的问题，这个问题产生的原因就在于Outlook中单个文件夹超过2G或者接近2G的时候就会发生错误，主要表象在：
1）、Mail收了下来，但是自己看不到；而服务器上面也没了。
2）、只要是有附件的mail，都没法收，一收就报错。
3）、里面的文件夹打不开，或者是打开了却什么mail都看不到，但是在资源管理器中看.dbx文件（比如说是“收件箱.dbx”）却占了很大的空间。
4）、收到较大邮件，经过较长时间的等待，最后Outlook Express报错。在服务器上删除了较大的邮件后，小文件就可以收了，但遇到大文件后又不可以了当你使用OutLook Express时出现无法打开收件箱，无法查阅收件箱中内容等一系列问题（错误号：0×800C0133 ）。经过查询，发现之所以会出现以上问题都是由于收件箱等 .dbx文件超出了OutLook Express规定的2G的空间上限,还有一种情况是当你发送邮件之后,邮件不能成功进入已发送邮件文件夹,经过查看发现在邮件的存储目录中出现大于或接近2G的单个邮件存储文件存在，由于Outlook Express邮件存储文件最大支持2G，因此判断问题出在这里了。解决方法：收件箱超过2G，备芬或者删除多余的邮件，或者rename 收件箱.dbx为old.dbx。或者新建一个收件夹，把一些信分批移动过去。

http://hi.baidu.com/oliverding/blog/item/df78289565f1d40b7af48069.html

(注：有可能你机器上的不是{2D085F68-59BF-49A0-A3FA-46CE13630BD6}，不过没关系，因为Identities下面就一个文件夹)

OE默认把邮件都保存路径是在C:\Documents and Settings\你的用户名\Local Settings\Application Data\Identities\{2D085F68-59BF-49A0-A3FA-46CE13630BD6}\Microsoft\Outlook Express文件夹下，当然你也可以把OE的默认的保存路径改到如D:\Backup\Outlook Express下(方法：打开OE，工具-选项-维护-存储文件夹，点击更改，找到D:\Backup\Outlook Express确定即可)。

如果没有修改过默认的保存路径，我们一般在重装系统前将Outlook Express整个文件夹复制到别的盘，等系统装好之后，再将刚才备份出来的邮件文件夹直接拷回原来的位置即可完成邮件导入，以前的邮件全部都在。

可是有时因为我们的一些误操作，使我们面临进退两难的境地。比如说，刚装好系统后急不可待地去设置OE，结果一下子收来许多新邮件，这才想到旧邮件还没有导入，赶紧把网线拔掉，可已经来不急了，已经收到100多封新邮件了。这可怎么办啊？要导入备份的邮件吧，新收来的邮件就被覆盖掉，能把新收到的邮件“收件箱.dbx”单个文件导入到备份的邮件里面去么？答案是可以的。

1、把新收到的邮件存储文件夹剪切到其它地方，然后将以前邮件的备份剪切到邮件存储文件夹。
位置一般在C:\Documents and Settings\你的用户名\Local Settings\Application Data\Identities\{2D085F68-59BF-49A0-A3FA-46CE13630BD6}\Microsoft\Outlook Express

2、打开OE，这时可以看到以前所有的邮件都在里面了，现在要做的就是导入新收到邮件的“收件箱.dbx”。先随便建立一个文件夹，例如就叫做new好了。

3、随便复制一封邮件到新建的new文件夹(很重要)。这么做的目的是让OE产生new.dbx并生成新的索引。

4、关闭OE。

5、打开邮件的存储文件夹，删除new.dbx

6、把你要导入的那个“收件箱.dbx”文件，改名为“new.dbx”，然后剪切到OE的邮件存储文件夹里。

7、再次打开OE后你就可以看到new文件夹里面就是你要导入的邮件了。
这时，你可以把new里面所有的邮件转移到收件箱或你的个人邮件夹里，也可以直接把它改成你想要的邮件夹的名字。

原理：偷梁换柱
看起来好像有点复杂，其实原理很简单，就是「调包」而已。
因为我们要插入一个.dbx文件到OE邮件夹里，但是OE索引中没有此笔数据，因此光是把这个.dbx文件复制过去OE是找不到的，所以上面第二、第三步的目的就是让OE产生一个.dbx文件，也连带生成新的索引。
接下来要做的就是拿我们要还原的那个.dbx文件去替换掉刚刚故意建立的那个.dbx 文件就完成了。

这种方法非常适合把公司电脑里的邮件导入到家里的电脑的OE里，我们要做的就是新建一个邮件夹，然后把要的邮件拷贝到里面，然后将该.dbx文件带回家就行了。

注：在查另外一个问题，看到此文，方法简单可行，之前我的作法是利用DBX2EML这个工具把dbx文件导出成eml文件然后直接拖拽到收件箱就可以了。

如何在MOSS中恢复'我的网站'设置

Tue, 29 Jul 2008 07:47:10 GMT

参考了如下两篇文章：

<http://www.cnblogs.com/xqyi/archive/2006/12/31/608400.html>

<http://www.cnblogs.com/diego0404/archive/2008/03/05/1092244.html>

但仍然没太搞懂，经摸索终于解决问题。现在把步骤列举出来，供今后参考：

我有两个WEBAPP, MOSS:80 MOSS:1001

在MOSS:1001中删除网站集 '/'
在MOSS1001中新建 '显示隐藏' 的 '/' 管理路径，
在MOSS1001中创建'/'的网站集，选择为'企业'-> '个人网站宿主'模板；
在MOSS80中新建 '通配符包含' 的 'personal' 管理路径
SSP->我的网站设置->个人网站服务：http://moss:80 个人网站位置(Location): personal

完成！

WSUS3.0 比2.0的新增内容-转

Mon, 07 Jul 2008 08:47:35 GMT

从管理控制台管理 WSUS
WSUS 3.0 管理控制台已从基于 Web 的控制台变为 Microsoft 管理控制台 3.0 版的一个插件。新的用户界面提供以下功能：
• 每个节点的主页都包含与节点相关联的任务的概述
• 高级过滤
• 新列允许根据 MSRC 编号、MSRC 严重性、KB 文章和安装状态对更新进行分类
• 对列进行选择、排序和重新排序
• 快捷菜单允许右键单击并选择一个操作
• 与更新视图集成的报告
• 自定义视图
远程管理 WSUS
可以将 WSUS 3.0 管理控制台安装在网络中的其他计算机上，以便远程管理 WSUS 3.0 服务器。
使用向导配置安装后的任务
配置向导指导新用户进行安装后的服务器配置过程。
生成准确性更高的多个报告
现在可以直接从更新视图生成报告。可以报告更新的子集，如计算机需要但还未批准安装的安全更新。可以在副本层次结构管理的所有计算机上创建报告，还可以将这些报告以 Excel 或 PDF 格式保存。
更容易地维护服务器运行状况
WSUS 3.0 现在将详细的服务器运行状况信息记录在事件日志中。现在可用一个 Microsoft Operations Manager (MOM) 包来监视 WSUS 服务器生成的事件。
获得有关新更新的电子邮件消息
服务器对新更新和更新符合性摘要的电子邮件通知具有内置支持。
可轻松删除旧信息
可使用清除向导从服务器中删除旧的计算机、旧的更新和旧的更新文件。
从 WSUS 2.0 无缝升级到 WSUS 3.0
WSUS 3.0 可以安装在已安装 WSUS 2.0 的服务器上。安装过程将执行可保留所有先前设置和批准的原位升级。升级服务器层次结构时应从中心服务器开始，然后向下延续至各个层次结构。WSUS 2.0 服务器可从 WSUS 3.0 服务器同步，但是 WSUS 3.0 服务器不能从 WSUS 2.0 服务器同步。从 WSUS 2.0 升级到 WSUS 3.0 是一个单向过程，返回到 WSUS 2.0 要求首先删除 WSUS 3.0，然后安装 WSUS 2.0。
更快获得更新
使用 WSUS 3.0，可以将服务器配置为最快每隔一小时自动同步更新一次（而 WSUS 2.0 则是每天一次）。此改进使新的更新可在整个公司内更快地复制。
设置更多自动审批
WSUS 3.0 自动审批规则允许指定不同的产品和更新分类，如自动审批 Microsoft Word 的定义更新。此外，WSUS 3.0 还支持创建多个自动审批规则，而不是单个规则。自动审批规则现在将应用于 WSUS 服务器上当前所有的更新。
限制对只读报告的访问权限
“WSUS Reporters”安全组的成员将只具有服务器的只读访问权限。成员可生成报告，但是不能批准更新或配置服务器。
从单个控制台管理多个服务器
WSUS 3.0 管理控制台允许检查和管理层次结构中的所有 WSUS 服务器。
为所有计算机创建报告
现在可以为副本层次结构管理的所有计算机创建更新报告。
在群集中配置服务器
现在可在群集中配置 WSUS 3.0 服务器来实现容错。此类服务器必须全部指向同一 SQL 服务器数据库实例，该实例也可使用群集技术。
切换副本模式
现在可在副本模式和自主模式之间移动子服务器，而无需重新安装 WSUS 3.0。
将客户端分配给多个目标组
在 WSUS 3.0 中，一台计算机可属于多个目标组（例如，“桌面”组和“测试”组）。此外，还可以创建层次结构组（例如，具有“关键服务器”和“非关键服务器”子组的“服务器”目标组）。可以指定批准父目标组，这些批准将自动被子组中的计算机继承。
采用更快的性能
WSUS 3.0 可获得比 WSUS 2.0 高大约 50％的可伸缩性。此外，WSUS 3.0 附带本机 x64 支持以进一步改善 64 位硬件的性能和可伸缩性。
在分支机构中指定语言
为了节省磁盘空间和网络负载，现在可将分支机构配置为下载较少语种（与中心服务器相比）的更新。例如，可以配置中心服务器下载所有语言的更新，而分支机构只下载英语更新。
配置单独的内容和元数据通道
以前分支机构使用窄带连接中心服务器，但使用宽带连接 Internet，现在可配置为从中心服务器获取元数据，而从 Microsoft Update 获取更新内容。
上移到 .NET Framework 2.0 支持
新的 API 以 .NET Framework 2.0 为基础。
用于高级管理工具的 API 优于 WSUS 控制台
已创建的新 API 供高级管理工具（如 System Center Essentials）使用，而 WSUS 管理控制台中没有提供这些功能。
将可选安装批准添加到管理员选项
新的 API 支持为“可选安装”创建批准，它使 Windows Update Agent 在“添加或删除程序”对话框中显示可供使用的安装更新，而不是通过“自动更新”来执行更新。
收集硬件和软件清单
新的 API 支持从管理的设备收集硬件和软件清单。

wsus更新失败的处理-转

Mon, 07 Jul 2008 05:42:33 GMT

WSUS控制台总会报一些更新失败的计算机,有时可能会有几台到十几台不等,其中一方面原因是客户端出现更新提示后没有点击安装,每天都有黄色叹号提示出来但他每天都不点(在公司这样的人相当多),还有个原因是C盘空间如果太小控制台也会把这台机列如失败数量范围,还有一些其它方面的问题,如安装其它软件有时冲突或是重毒和安装一些插件不能完全卸载以及系统盘权限等都会引起.一般可通过下面的批处理文件修正这些错误.

将下面文件复制放入记事本后将后缀".txt"改为".bat"批处理就做成了.

net stop wuauserv

rename %systemroot%\SoftwareDistribution SDOLD

net start wuauserv

regsvr32 /s urlmon.dll

regsvr32 /s Shdocvw.dll

regsvr32 /s Msjava.dll

regsvr32 /s Actxprxy.dll

regsvr32 /s Oleaut32.dll

regsvr32 /s Mshtml.dll

regsvr32 /s Browseui.dll

regsvr32 /s Shell32.dll

regsvr32 /s jscript.dll

regsvr32 /s msxml.dll

regsvr32 /s msxml2.dll

regsvr32 /s msxml3.dll

regsvr32 /s wuapi.dll

regsvr32 /s wuaueng.dll

regsvr32 /s wuaueng1.dll

regsvr32 /s wuauserv.dll

regsvr32 /s wucltui.dll

regsvr32 /s wups.dll

regsvr32 /s wuweb.dll

regsvr32 /s iuengine.dll

regsvr32 /s softpub.dll

regsvr32 /s initpki.dll

regsvr32 /s mssip32.dll

attrib -h -s -r %windir%\system32\catroot2

attrib -h -s -r %windir%\system32\catroot2\*.*

net stop cryptsvc

rename %systemroot%\system32\catroot2 oldcatroot2

net start cryptsvc

调查活动病毒厂商技术支持电话及在线杀毒链接

Wed, 25 Jun 2008 10:03:18 GMT

转自http://www.sina.com.cn

　　公安部公共信息网络安全监察局自2000年以来，历年组织开展了全国信息网络安全状况和计算机病毒疫情调查活动，今年是第八个年头。迄今为止，计算机病毒疫情调查已经组织了7次，网络安全状况调查组织了4次。国家计算机病毒应急处理中心、国家反计算机入侵和防病毒研究中心、各省(自治区/直辖市)公安厅(局}公共信息网络安全监察处、各地信息网络安全协会具体承办和负责组织工作。2007年的调查活动已经启动。

　　以下为调查活动病毒防治产品生产厂商的技术支持电话表和免费在线杀毒链接：

厂家技术支持电话

公司名称

提供的技术支持电话

趋势

800-820-8876

卡巴斯基

022-66211266

赛门铁克

010-85183338

冠群金辰

800-810-0412

瑞星

010-82678800

飞塔

010-58797887

安博士

800-810-0607

熊猫

010-82531188

金山

010-82331816

江民

800-810-2300

厂家提供在线杀毒的链接

公司名称

提供的服务链接

趋势

提供在线查杀1个月（中文）：http://housecall65.trendmicro.com/

卡巴斯基

提供在线查杀1个月：

http://www.kaspersky.com.cn/webscanner/index.html

赛门铁克

提供在线查杀1个月：

http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym

冠群金辰

提供在线杀毒时间不限

http://www.kill.com.cn/product/webscan/718.asp

瑞星

提供在线查毒1个月：

http://online.rising.com.cn/free/index.htm

飞塔

提供在线查毒1个月：

http://www.fortiguardcenter.com/antivirus/virus_scanner.html

安博士

提供在线杀毒1个月

http://www.ahn.com.cn/aspservice/myv3.jsp

熊猫

提供在线杀毒

http://www.nanoscan.com/as/v1/principal.aspx

金山

提供在线杀毒1个月

http://sso.shop.kingsoft.com/scan.php?fpage=60233edfacc57953e2bc5cfec9e522ac

江民

提供在线杀毒为期1个月

http://online.jiangmin.com

一个好网站的说明：豆瓣的来历

Sun, 22 Jun 2008 05:39:13 GMT

www.douban.com 豆瓣是几年前发现的，今天因再次看了[绿里奇迹]才想到它，因此觉得有必要推荐给朋友们。
当然，不仅仅是它这篇非常实际的站名简介
关于豆瓣
豆瓣的来历
　　你经常对着书店里的绵绵不绝的封面发呆吗？或者头晕脑涨地从音像店的琳琅满目中逃出？宽带下载和网上购物降临之后，即使在最小的城镇，你的选择也在每天成百上千地增加。这其中一定有你会喜爱的东西，但十有八九它们会在不知不觉中和你擦肩而过。媒体让老少咸宜的大片无处不在，对只适合一群人的东西却显得力不从心。而且，萝卜青菜，各有所爱，不管电视的娱乐编辑和报纸的书评作家多么公正和勤勉，他们的帮助都不可能对所有人同样有效。
　　豆瓣的发起者发现，对多数人做选择最有效的帮助其实来自亲友和同事。随意的一两句推荐，不但传递了他们自己真实的感受，也包含了对你口味的判断和随之而行的筛选。他们不会向单身汉推荐育儿大全，也不会给老妈带回赤裸特工。遗憾的是，你我所有的亲友加起来，听过看过的仍然有限。而且，口味最类似的人却往往是陌路。
　　如果能不一一结交，却知道成千上万人的口味，能从中间迅速找到最臭味相投的，口口相传的魔力一定能放大百倍, 对其中每一个人都多少会有帮助。豆瓣随着这一个愿望产生。豆瓣不针对任何特定的人群，力图包纳百味。无论高矮胖瘦，白雪巴人，豆瓣帮助你通过你喜爱的东西找到志同道合者，然后通过他们找到更多的好东西。

XP下不能搜索文件的解决办法

Sat, 14 Jun 2008 08:37:16 GMT

因过分清理，把XP的搜索助理给清除了，导致按Ctrl+F或F3都无法文件搜索。

在执行“搜索”功能后，系统弹出错误对话框，提示“无法找到运行搜索助理需要的一个文件。您可能需要运行安装。”
方法一：打开文件夹“C:\Windows\inf”，找到“srchasst.inf”文件，用单击鼠标右键，在弹出的菜单中选择“安装”。
方法二：运行注册表，定位于“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState”，新建字符串“Use Search Asst”，设置其值为“no”（no必须是小写，否则不起作用）。

在使用第一种方法时，可能会用到ＸＰ的安装盘

方法二做成CMD或BAT文件如下。

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState" /v "Use Search Asst" /t REG_SZ /d no

pause

耶鲁5年神奇研究成果:一张图分出你是用左脑还是右脑!

Fri, 06 Jun 2008 08:37:52 GMT

如果你看见这个舞女是顺时针转，说明你用的是右脑；
如果是逆时针转，说明你用的左脑。
耶鲁大学耗时5年的研究成果，据说。
14%的美国人可以两个方向都能看见

顺时针转的话 , 属於是用右脑较多的类型
逆时针转属於使用左脑较多的类型
大部分人的眼里里是逆时针方向转动 , 但也有人看来是顺时针方向转动的 .
顺时针的情况 , 女性比男性多 ~
逆时针转动的 , 突然变成顺时针的话 , IQ是 160以上 !!!
科学人杂志--天才的特殊思维
顶叶负责掌管脑中的数学和逻辑 ,这也是爱因斯坦成为天才的秘密。但不可否认的 ,爱因斯坦丰富的想像力与创造力 ,是使他的右脑不断激发出潜在能力的重要因素之一。
左脑因为是以语言处理讯息 ,控制知识、判断力、思考力因此被称为「知性脑」；右脑则控制著自律神经与字宙波动共振 ,由于是图像脑 ,因此造型能力优越 ,被称为「艺术脑」。
有关右脑的神奇功能研究 ,是始于 1 9 8 1年加州理工学院罗杰· 史贝利博士研究右脑获得诺贝尔奖以后 ,人们才开始对右脑有所认识 ,在此之前 ,人们并不认为左脑与右脑的功能有那么大的差别。史贝利在分割脑的实验中发现 ,左脑与右脑这两个半球完全以不同的方式在进行思考 ,他发现左脑用语言进行思考 ,右脑则是以图像进行思考；左脑偏向语言、逻辑性的思考 ,右脑则是影像和心像的思考。
根据七田真博士的研究 ,原来人在诞生之初 ,右脑的能力还很发达 ,右脑具备了超越常识那种几乎可称为全然未知的天才似的能力 ,这种能力自古以来就隐藏在人们脑海里 ,是一种超越时间、空间 ,与无限境界相连结的能力 ,但是因为人类世界是以教导、开启左脑为主 ,让小孩子努力学习语言以及往后生存所必需的知识 ,久而久之 ,左脑越来越发达 ,右脑却因为少用而日形退化。至于什么样的成人比较容易打开右脑 ,七田真博士认为 ,心思专注、纯真没有成见的人 ,比较容易进入神奇的右脑世界。
你相信超能力吗？如果你有看过 (雨人 )这部电影 ,一定对片中达斯汀霍夫曼饰演的哥哥印象深刻 ,他不但能正确快速数出散落一地的火柴数目 ,而且饰演他弟弟的汤姆克鲁斯还利用他天赋异禀的「透视」能力 ,上赌场找人玩扑克牌 ,结果对手的牌在达斯汀霍夫曼的「全神贯注」下 ,被透视得一览无疑 ,汤姆克鲁斯因此赢了一大笔钱。
或许你会认为那是电影夸张其事 ,现实世界中 ,人不可能具备那样的能力。如果你这么想 ,你就是犯了习惯左脑思考的错误 ,其实 ,人类大脑的另一半 -右脑 ,拥有的能力是左脑思考者很难想像的。
当我尽量不看人像，而是把目光对准地面上脚的阴影的时候，可以在脑子里"想"，要它顺时针转，她就顺时针，要她逆时针，她就逆时针，仿佛你的思维可以控制图片的转动一样。而如果精神高度集中，就可以让人像左右摆动，根本绕不出一个完整的圈子。我一直在努力尝试，看能不能把人像给定住，让她静止不动。这个游戏最好玩的地方在于，你只能自己玩，然后你和别人说你的感受，他们一开始会绝对不相信。但是，你又没有办法把你看到的景象用任何方式记录下来，给别人做个证明，因为那只存在于你的脑子里。但是，一旦别人也适应了，能看到这一点的时候，他们会无条件地赞同你，仿佛你们分享了天地间的一大秘密。
唯心主义者应该非常喜欢这个例子，境由心造。不过在我看来，它最适合一个人面对电脑屏幕玩。一开始的时候，我只能看见逆时针方向。等我偶然看见顺时针方向以后，就一直是顺时针旋转。而等我把人像遮住，只看脚的阴影，并试图用思维"改变"它的旋转方向并且取得成功以后，竟然这么看玩了半个小时。一个人，一张图，中间除了光线没有任何介质，但是你就是可以控制它的转动，非常人的小游戏。

有关IBM笔记本的小知识总概括（ThinkPad知识大扫盲）-- 转

Wed, 04 Jun 2008 14:44:35 GMT

1. IBM ThinkPad的全球研发中心在哪个国家？日本 Yamato实验室。
2. IBM的第一台ThinkPad 700C是那一年面世的？ 1992年10月5日。
3. 被美国现代博物馆永久收藏的ThinkPad是哪个型号？ThinkPad 701C。
4. 历史上ThinkPad销售量最大的型号是什么？ ThinkPad 600系列，共计售出两百万台。
5. IBM第一千万台和第两千万台ThinkPad分别是什么时间下线的？ 2000年3月31日、2003年11月5日。
6. 2003年3月18日，IBM ThinkPad有两款什么型号的机器被中国登山队带上了世界最高峰珠穆朗玛峰？ R40 和T40。 7. 2003年10月，中国人杨利伟登上了太空，而ThinkPad是哪一年登上太空的？是什么型号？ 1993年 ThinkPad 750C。
8. IBM的笔记本为什么叫ThinkPad? ThinkPad翻译成中文是“会思考的本子”，这个名字是这样来的，在为IBM ThinkPad笔记本电脑命名的一个会议上，讨论了很久，大家都想不出什么特别的名字，这时一个晚到的同事随手把自己的便笺本扔到了大大的会议桌上，便笺本划了一个漂亮的弧线，封面上印的一个单词--Think映入了所有人的眼帘，于是ThinkPad这个名字诞生了。
9. ThinkPad的产品编号“X、T、R”含义分别是什么？ X－Extreme　portability　超轻、便携，面对很少在办公室的超级移动客户。 T－Thin　and　light　for　Travel　性能与便携性的完美结合，面对在办公室或随地办公室的高级移动客户。R－Reliable,Affordable　Mobility　经济易用，面对需要便携、易用以及合适价格的客户。　
10. 什么是内部模块化设计？ ThinkPad减少了包括螺丝在内的许多不必要的零件，所有的电路卡直接入主机板的镀金插槽而不需要使用电线，使拆装维修更为简单。
11. 什么是IBM ThinkPad笔记本的防水键盘？您肯定很清楚，电子元件的最大敌人是水、潮湿，IBM设计了一种全新的键盘结构，使您碰到将少量液体溅落键盘时，可保证液体不会从中间和边缘流入机器主板上，最大程度的保证您的机器的安全。
12. 什么是TrackPoint？指位于键盘中央的鼠标控制系统－触摸杆，IBM ThinkPad 笔记本的象征，现在的TrackPo int 除了支持移动光标的功能外，向下按压还能实现普通鼠标左键的单击或双击功能，可谓" 无键鼠标"。
13. 什么是ThinkLight？这个是IBM的独特设计，让用户在光线不足的环境中可以继续使用ThinkPad，并且不会影响他人。它可通过使用快捷键Fn＋PgUp键开启及关闭，实际情况使用时很管用的。
14. IBM 所有的笔记本电脑都具备ThinkLight键盘灯吗？ IBM的笔记本除了R40e没有键盘灯以外，其他的系列X31 X40 T41 T42 R50 R51 R50e都有键盘灯设计
15. IBM ThinkPad拥有稳定性能的主要原因有？杰出设计的机器内部结构；良好的散热系统；品质卓越的机器材质；严格的品质测试。
16. ThinkPad良好的散热技术的具体表现为哪几个方面？快速导热管；键盘空气对流散热；智能型温控 CPU 风扇；金属导体散热；端口对外辐射散热。
17. ThinkPad在设计时使用最少的螺丝种类及数量目的是什么？使用更少的螺丝设计，增加机器的稳定性；更少零件，更少螺丝，即更简洁；更利于制造；更利于维修。
18. IBM现在生产的笔记本电脑是否还有串行（com）接口？为什么？没有，串口属于工业控制接口，现在的个人电脑主要用于家用和商用。IBM提供端口复制器和扩展坞来解决这些特殊的工业控制需求。
19. 为什么IBM ThinkPad笔记本使用两个屏幕锁扣？因为当用户无意中将笔记本电脑坠落到地面时，如果笔记本电脑上盖和下盖摔开的话，液晶非常容易碎裂。而IBM设计了两个屏幕锁扣，最大程度的保护了IBM ThinkPad笔记本电脑的液晶屏幕。
20. 为什么我的IBM ThinkPad笔记本电脑的风扇有时转有时不转呢？因为IBM ThinkPad笔记本电脑采用的是业界领先的温控风扇设计，当CPU的温度达到一定数值时才会通电工作，这样即实现了良好散热的功效，又很好的解决了电池供电时耗电过多，使用时间缩短的问题。
21. IBM的单键开启是什么意思？ IBM经过调查，用户普遍反映在开启笔记本的屏盖时，经常碰到双手不同时空闲的情况，所以IBM在新款T41机器上设计了单键可开启的装置，但是它仍然采用了一贯的两个卡扣闭合的设计，使IBM ThinkPad笔记本在带给用户简单的使用方法时，同时仍具备可靠的安全性。
22. IBM的独特边框设计是什么意思？您肯定很清楚一台笔记本电脑最贵的部分是它的液晶，它占有整台机器30%～60%的成本，但同时它也是最脆弱的一个部分，非常容易破碎，所以IBM设计了独特的带有边框的液晶设计，它使得当笔记本受到压力或撞击时可以使压力转变到边框传至底部，而不会使液晶承担大的压力导致破碎。合上笔记本电脑时，边框与底座紧密结合，即使不小心摔落，也不会使其分开而造成液晶的损坏。
23. 谈谈现在ThinkPad各个系统产品的机壳材料是什么？ R系列是高密碳素纤维材料；X、T使用钛复合材料和镁合金复合材料。
24. 谈谈传奇的IBM ThinkPad键盘的优点？ 1）全尺寸键盘；2）七排键布局；3）快捷键和帮助键的设置；4 )键距18.5mm-19mm；5）键深1.8mm-2.5mm；6）人体工程学设计的掌托；7）键盘防水设计；8）键盘印字多年使用不退色；9）独有键盘照明灯ThinkLight；10）方便使用的UltraNav双定点设备；11）键盘客户自定义软件Keyboard Customizer Utility支持多种个性设置。
25. ThinkPad的BIOS提供哪几种密码保护？分别是什么？ ThinkPad的BIOS提供开机密码（Power-on Password）、硬盘密码（Hard-disk Password）、超级密码（Supervision Password）以供用户使用。
26. IBM ThinkPad 笔记本电脑可调节液晶屏幕亮度的意义？可以提高舒适性让使用者的眼睛不易疲劳（依据环境光线调节屏幕亮度）。可以适当延长液晶使用寿命，长时间的高亮度使用会缩短液晶屏使用寿命。可以适当延长笔记本电脑电池使用时间（液晶是笔记本电脑中比较费电的设备）。
27. 如何给ThinkPad笔记本电脑上加Windows快捷键？通过Access IBM 程序组中的Keyboard Customizer Utility软件来设定一个键，如左边的“ALT”键为windows快捷键。
28. ThinkPad R50/R51、T41/T42分别使用的是什么标准的光驱？ R50/R51－Ultrabay Enhanced；T41/T42－Ultrabay slim。
29. 什么是UltraNav双指点系统？为什么要在IBM ThinkPad笔记本电脑上使用UltraNav双指点系统？ UltraNav双指点系统指的是IBM ThinkPad笔记本电脑键盘上的TrackPoint触摸杆和TouchPad触摸板。因为笔记本电脑自诞生以来，最流行的鼠标控制系统就是触摸杆和触摸板两种。那么IBM ThinkPad将这两种结构集于一身，最大程度的考虑到了用户的使用习惯，降低了用户的初次使用门槛，体现了IBM ThinkPad的易用性。
30. 笔记本电脑液晶屏幕的亮点问题是怎么回事？大家都知道，笔记本电脑的液晶是由数十万个非常细小的发光体组成，在工业批量生产时，很可能出现个别损坏的情况，导致该发光体不发光（暗点）或不变色（蓝点、红点等），这就是我们平常看到的亮点。各个厂家对上述情况均有具体规定，多大尺寸的液晶出现几个亮点属于合理范围。
31. IBM ThinkPad笔记本电脑有几种TrackPoint小红帽设计？现在有三种，分别为经典帽、软边帽、气泡帽。它们是针对不同用户的使用习惯而分别设计的。
32. 听说IBM ThinkPad笔记本电脑上有放大镜功能，是吗？是的，该功能主要是为做屏幕演示时放大局部而设计的。它可以通过快捷键Fn+空格键来激活。
33. IBM ThinkPad 笔记本为什么只有黑色没有其它颜色？不好意思，这个确实是IBM这个品牌的一个特点，这是IBM公司对自身品牌的一个定位，以及经过多年对用户的访查回馈的结果，黑色是代表庄重永久的意思，黑色也是永不过时的流行色吗！
34. IBM键盘上的Fn键是干什么用的？它是一个功能非常强大的组合功能键，例如： Fn+F3：关闭液晶屏幕显示, StandBy模式（待机），移动鼠标或按任意键解除。某些机型按Fn+F3不能关闭屏幕 Fn+F4：使机器进入挂起状态，Suspend模式（挂起），所有的任务都被停止并且保存到内存中，除了内存之外所有的设备都被停止，按下Fn键一秒钟以上解除。 Fn+F5：搜索无线网络 Fn+F7切换显示输出状态（LCD，或外接，或同时显示），这是一个循环转换的过程。 Fn+F12：使机器进入休眠状态,Hibernate模式（休眠），所有的任务被停止，并且内存和当前状态被保存到硬盘中，系统关机。 Fn+PgUP：开启或关闭键盘灯 Fn+Home/End：增大/减少屏幕亮度，共有七档。
35. 为什么要使用Fn+F3关闭液晶屏幕显示？当您不想让别人看到您屏幕上的东西或想使电池使用时间更长时您可以选择此功能。
36. 使机器进入挂起状态是什么意思？当您暂时离开机器，但又不想采用关机这种办法时，您为了节省电池电力，可选择挂起这种功能，它会使所有不必须打开的设备全部关闭。例如液晶、硬盘等，而只有CPO供电保持开机状态，当再次使用时，按下Fn键数下即可唤醒。
37. 休眠状态和挂起有什么区别？挂起是一种省电模式，系统将机器的硬盘、显示器等外部设备停止工作，而CPU、内存仍然工作，等待用户随时唤醒，再次唤醒需要按键盘上的Fn键数次。体眠是一种更加省电的模式，它将内存中的数据保存于硬盘中，使CPU也停止工作，当再次使用时需按开关机键，机器将会恢复到您的执行休眠时的状态，而不用再次执行启动Windows这个复杂的过程。
38. 调节屏幕亮度有什么意义？有三点：可保护使用者的视力，当周围环境光线暗时，调亮一点，周围环境光线亮时，调暗一点。可使液晶的使用寿命更长一点，高亮度会缩短使用寿命。可使机器更节电，使用时间更长，高亮度会增大使用电量。
39. 为什么当使用TrackPoint时，会受到TouchPad的干扰？您说的很对，这确实是很多用户碰到的情况，IBM有相应的解决办法提供，您点击开始→程序→Access IBM→UltraNav wizard 可以将下部的TouchPad关闭，这样就解决了这一情况。
40. 为什么有些ThinkPad笔记本电脑(例如T41-GEC)不支持intel迅驰移动计算技术？因为它们使用的不是intel 的802.11b无线网卡，不满足intel迅驰移动计算技术三个前提条件。（它们使用的是IBM 的802.11a/b/g三频段无线网卡）
41. 现在很多的IBM ThinkPad机器中带有蓝牙技术，蓝牙主要有些什么应用吗？蓝牙是一项无线协议标准，可以让支持蓝牙的设备在方圆10M左右的范围内进行无线连接和交换数据，如手机、PDA、笔记本电脑、打印机和其他支持蓝牙的手持设备
42. IBM ThinkPad笔记本的无线天线为什么要设计液晶边框里？因为您肯定很清楚，所有的无线设备都应将天线放置在高端，并且尽量垂直于地面。例如手机等。那么IBM将无线网卡（802.11b）的发射天线放在液晶边框里，很好的契合了上述的两个观点。
43. IBM ThinkPad 笔记本完善的售后服务体系体现在那里？ IBM ThinkPad笔记本的很多型号已经可以做到三年的部件保修（有条件）、一年的上门服务。所有这一切的售后服务均由蓝色快车提供。蓝色快车不仅具有非常优良的技术实力和完善的管理能力、反应能力，同时它还具有遍布全国一、二、三级城市的服务网点，可以简单的比喻为“只要铁路可以到达的地方、就会有蓝色快车优质的服务”。
44. 当客户的ThinkPad笔记本电脑或ThinkCentre台式机出现了故障的时候，您可以通过什么途径来获取帮助？购买该设备的电脑经销商；2）购买该设备的IBM ThinkPad体验中心；3）热线电话800-810-1818；4）IBM网站www.ibm.com/pc/cn；5）蓝色驿站www.blue-estation.com。
45. IBM嵌入式安全子系统可以使用哪些认证设备？ Targus指纹仪；感应胸卡设备；智能卡。
46. 什么是IBM嵌入式安全子系统？ IBM嵌入式安全子系统由硬件和软件两部份组成，分别为嵌入主板的安全芯片和从IBM网站上下载的安全软件。 ThinkPad 集成了独一无二的的嵌入式安全芯片，从硬件级解决安全问题。安全芯片被植于主板内部，用来进行存储和运行专用于数据和程序保护的密码和相关信息。 IBM嵌入式安全子系统帮助用户对文件和文件夹加密，安全登陆和管理密码，并且能够帮助客户实施邮件加密，加强无线传输的加密。
47. IBM ThinkPad 笔记本的安全性体现在那里？ IBM ThinkPad笔记本的很多型号在笔记本主板上已经内置了安全芯片，用户只需从IBM网站上下载相应的支持软件（免费）安装就可以了，它能实现软硬兼备、互相弥补的长处，使笔记本无论在应用无线环境时，还是在内部局域网环境时都可实现对文件、文件夹、设置等的完善保护。同时，IBM ThinkPad 笔记本在出厂时就预装了数据备份恢复软件（RRU），使用户硬盘的重要数据得到最大程度的妥善保护。 48. 硬盘动态保护系统简称什么？全称是什么？ APS，Active Protection System。
49. 哪个IBM随机应用软件可以实现对不同网络环境配置的设置、保存、及随时切换？ IBM Access Connections。 50. 我的IBM ThinkPad笔记本电脑是P-M 1.6G的主频，怎么在机器上看才是P-M 800M的主频呢？因为IBM ThinkPad笔记本电脑采用的intel CPU中含有一项新技术叫intel StepSpeed技术，它会依照笔记本电脑的使用环境来设定CPU的工作频率，当使用电池供电时使用较低的工作频率，这样可以降低CPU的消耗，延长电池的使用时间。
51. IBM键盘上的“Access IBM”键是干什么用的？当笔记本刚开启时，出现IBM图标时按“Access IBM”键，可进入Bios。修改Bios设置及恢复系统等。当笔记本开记进入windows后，按“Access IBM”键可进入“Access IBM”应用程序，它相当于一本非常详细的使用说明书，可使用户详细了解IBM ThinkPad笔记本的结构、使用方法、如何升级等。
52. 为什么IBM ThinkPad笔记本电脑在实际使用时，并不能达到宣传的使用时间？因为用户有很多不同的使用习惯、使用环境、使用方法，而宣传彩页等数据是在一种行业标准情况下测量的结果，而用户如果将屏幕调节的非常亮，在处理大型数据时，硬盘不停的工作，长时间打字使用键盘等情况，都可能导致使用时间变短。
53. IBM ThinkPad笔记本的硬盘防震是什么意思？您肯定非常清楚，硬件是有价的而您自己的宝贵数据是无价的，那么，IBM在笔记本硬盘的下面设计了防震气垫，硬盘和主板的接口也设计了弹簧缓冲装置，这样，可使您的笔记本在受到剧烈冲撞的情况下仍能最大程度的保证硬件不受损。
54. IBM ThinkPad 笔记本的易用性体现在那里？ IBM ThinkPad笔记本在出厂时就预装了很多非常实用、简便的工具软件。例如： •Access IBM　　　　　　　（带您进入拥有信息和工具的主机) •Battery MaxiMiser Wizard　（管理电池设备） •EasyEject Utility　　　　　（关闭连接的设备以备拆卸） •IBM Access connections　　（简便切换连接设置） •resentation Director　　　　（调整视频设备（包含投影仪）的设置） •ThinkPad Configuration　　　（查看或更改Windows检测到的设备的位置） •ThinkPad Software installer　（查看或更改软件安装情况） •UltraNav Wizard　　　　　　（随机指点设备设置） •IBM Rapid Restore Ultra　　（快速备份恢复软件）
55. IBM ThinkPad 笔记本的无线解决方案优越性体现在那里？ IBM ThinkPad笔记本的很多型号都已经内置了无线网卡的天线（在液晶屏的边框内），同时即使没有无线网卡（802.11b）和蓝牙技术（BlueTooth）的机型，也可以非常方便的升级为拥有无线网卡（802.11b）和蓝牙技术（BlueTooth）的机型。另一方面，IBM ThinkPad笔记本的很多型号都可以做到5－9小时的待机时间（有些型号需要配件支持）。使用户应用无线环境时可以更加的游刃有余、轻松自如。

关于EXCHANGE2007证书问题

Wed, 04 Jun 2008 07:04:44 GMT

大大领导的本本（已加入域）收邮件再次出现的证书安装提示，并且无法使用网络共享打印；驻外同事电脑（工作组）无法如何安装证书都提示证书已过期。

2个问题，看似毫不相关，其实，仅仅是时间和日期不正确所导致。第一个问题是早间提前了1个月加15分钟，致使无法正常登录；于是无法共享网络中的打印机，证书因时间原因也出现错误无法生效再次提示。第二个问题也比较典型，我反复查阅了证书服务器及所申请的证书以及笔记本时间，感觉是完全正常的，但反反复复提示“申请的证书已过期或无效”，折腾了好几个小时，在服务器上确实未发现问题，最后严格检测电脑时间才知，2008.06.04的今天在笔记本电脑上显示的是2000.06.04，时间倒是没有什么问题。年份更改正确后，证书安装一切都是那么正常......

想想2天来浪费这2个问题上的时间，狂晕！

下面附上EXCHANGE2007做证书的ps命令

New-ExchangeCertificate -PrivateKeyExportable $true -GenerateRequest -SubjectName "dc=com,dc=dnschina,dc=sz,o=D&S inc,cn=mailsvr.sz.dnschina.com" -DomainName mailsvr,ds.pri,sz.dnschina.com,mailsvr.ds.pri,mailsvr.sz.dnschina.com,autodiscover.sz.dnschina.com,autodiscover.ds.pri,mail.sz.dnschina.com -Path c:\certrequest_sz2.txt

IIS申请高级证书（拷贝TXT中的内容，选择web证书服务），导出到c:\certnewok2.cer

Import-ExchangeCertificate -path c:\certnewok2.cer -friendlyname "sz.dnschina.com ds.pri" | Enable-ExchangeCertificate -Services pop,imap,smtp,iis

查看某一帐户的邮件存储中收件箱大小。

Get-MailboxFolderStatistics -Identity emailbk -FolderScope inbox

缩略图无法显示之修复

Sun, 01 Jun 2008 02:10:03 GMT

先试一下右键-显示-缩略图，如果无法显示的话，再试一下楼上的办法，也就

是在文件夹选项中去掉“不缓存缩略图”前面的“√”。你可以进入含有jpg图片

的文件夹，在菜单栏的“工具”下拉菜单中也有“文件夹选项”，建议用后者进

“文件夹选项”。如果还是不可以的话，那就比较麻烦了：
在“开始→运行”中输入“regsvr32 shimgvw.dll ”（启用图像预览）；

然后运行“regsvr32 shmedia.dll” （启用影像预览），注册DLL后应该会

弹出窗口提示“……中的……成功”，按确定即可。如果要取消预览，比如取消

视频预览，运行“regsvr32 /u shmedia.dll”即可。
补充:win2k中出现图片预览功能失效的原因很可能是你在系统中安装了看图软

件或者图像处理软件，这些软件会更改图片文件的关联，使这些软件成为打开图

像文件的指定程序。而你在删除这些软件时并没有使用专门的卸载程序或用操作

系统提供的删除程序功能，而是强行删除了这些软件，由于这些程序在系统注册

表中的文件关联还保留着，所以操作系统既不能使用已经被删除的软件显示图片

，也无法用原来自带的图片预览功能显示图片。解决该问题的方法是:
1.用鼠标依次选择“开始→运行”。
2.在随后弹出的窗口中的“打开”栏中键入:regsvr32   %systemroot%

\\system32\\thumbvw.dll并单击“确定”按钮。
3.执行该命令后图片预览功能即可恢复。

修复缩略图无法显示之2
'RepairImage.vbs
'Start of Image Preview Repair
'This section repairs the associations for Image Preview

Option Explicit

'Declare variables
Dim WSHShell, p1, p2, p3
Set WSHShell = WScript.CreateObject("WScript.Shell")
p2 = "\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}\"
p3 = "{7376D660-C583-11d0-A3A5-00C04FD706EC}"

For Each p1 in Array(".art",".bmp",".dib",".gif",".jfif",".jpe",".jpeg",".jpg",".png",".wmf")
WSHShell.RegWrite "HKCR\" & p1 & p2, p3
Next

p1 = ".tif"
p3 = "{1AEB1360-5AFC-11d0-B806-00C04FD706EC}"
WSHShell.RegWrite "HKCR\" & p1 & p2, p3
p1 = ".tiff"
WSHShell.RegWrite "HKCR\" & p1 & p2, p3
p1 = ".htm"
p3 = "{EAB841A0-9550-11cf-8C16-00805F1408F3}"
WSHShell.RegWrite "HKCR\" & p1 & p2, p3
p1 = ".html"
WSHShell.RegWrite "HKCR\" & p1 & p2, p3

'Start of Thumbnail Repair

'This section repairs the view in Thumbnail mode of Explorer.

p2 = "\CLSID\"
p3 = "{25336920-03F9-11cf-8FD0-00AA00686F13}"

For Each p1 in Array(".art",".bmp",".dib",".gif",".jfif",".jpe",".jpeg",".jpg",".png",".tif",".tiff",".wmf")
WSHShell.RegWrite "HKCR\" & p1 & p2, p3
Next

MsgBox "Image Preview and Thumbnail View File" & vbCR & "Associations have been restored.", 4096, "Confirmation"

Set WSHShell = Nothing

将以上内容复制到记事本，保存为vbs文件，双击就可以恢复系统无法显示缩略图故障

IIS服务器安全配置防木马权限设置 -转贴

Sun, 01 Jun 2008 02:05:22 GMT

简介：一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。２、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序;>添加/删除Windows组件 ...

关键字： 防木马权限设置 IIS服务器安全配置

一、系统的安装

１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

２、IIS6.0的安装

开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件

应用程序 ———ASP.NET（可选）

|——启用网络 COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）　

|——公用文件（必选）

|——万维网服务———Active Server pages（必选）

|——Internet 数据连接器（可选）

|——WebDAV 发布（可选）

|——万维网服务（必选）

|——在服务器端的包含文件（可选）

然后点击确定—>下一步安装。（具体见本文附件1）

３、系统补丁的更新

点击开始菜单—>所有程序—>Windows update

按照提示进行补丁的安装。

４、备份系统

用GHOST备份系统。

５、安装常用的软件

例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

6、先关闭不需要的端口开启防火墙导入IPSEC策略

在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

修改3389远程连接端口

修改注册表.

开始--运行--regedit

依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/

TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

WINSTATIONS/RDP-TCP/

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口

修改完毕.重新启动服务器.设置生效.

二、用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、把系统Administrator账号改名

大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

4、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。如下图Administrator 已经不是管理员，是陷阱用户。

5、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

6、开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。（该项为可选）

7、不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion
\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的键值改成1。

密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

三、系统权限的设置

１、磁盘权限 (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定)

系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、
tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、
del文件只给 Administrators 组和SYSTEM 的完全控制权限

另将\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名

Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看，包括下面的所有子目录。

删除c:\inetpub目录

２、本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改　成功　失败

审核登录事件　成功　失败

审核对象访问失败

审核过程跟踪　无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件　成功　失败

审核账户登录事件　成功　失败

审核账户管理　成功　失败

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名　启用

网络访问：不允许SAM帐户和共享的匿名枚举　启用

网络访问：不允许为网络身份验证储存凭证　启用

网络访问：可匿名访问的共享　全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐户

帐户：重命名系统管理员帐户　重命名一个帐户

３、禁用不必要的服务开始-运行-services.msc (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享

文件、打印和登录到网络

Server支持此计算机通过网络的文件、打印、和命名管道共享

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息

Distributed File System: 局域网管理共享文件，不需要可禁用

Distributed linktracking client：用于局域网更新连接信息，不需要可禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要可禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

Workstation 关闭的话远程NET命令列不出用户组

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

４、修改注册表 (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

修改注册表，让系统更强壮

4.1、隐藏重要文件/目录可以修改注册表实现完全隐藏 (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

4.2、防止SYN洪水攻击 (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

新建EnablePMTUDiscovery REG_DWORD 0

新建NoNameReleaseOnDemand REG_DWORD 1

新建EnableDeadGWDetect REG_DWORD 0

新建KeepAliveTime REG_DWORD 300,000

新建PerformRouterDiscovery REG_DWORD 0

新建EnableICMPRedirects REG_DWORD 0

4.3. 禁止响应ICMP路由通告报文 (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

4.4. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

4.5. 不支持IGMP协议 (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

4.6、禁止IPC空连接 (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

4.7、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\ Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

4.8. 删除默认共享 (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

4.9. 禁止建立空连接 (如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

4.10. 建立一个记事本，填上以下代码。保存为*.bat并加到启动项目中

net share c$ /del

net share d$ /del

net share e$ /del

net share f$ /del

net share ipc$ /del

net share admin$ /del

5、IIS站点设置：

5.1、将IIS目录＆数据与系统磁盘分开，保存在专用磁盘空间内。

5.2、启用父级路径

5.3、在IIS管理器中删除必须之外的任何没有用到的映射（保留asp, aspx html htm 等必要映射即可）

5.4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件

5.5、Web站点权限设定（建议）

读允许

写不允许

脚本源访问不允许

目录浏览建议关闭

日志访问建议关闭

索引资源建议关闭

执行推荐选择 “纯脚本”

5.6、建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control）。

5.7、程序安全:

1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限;

2) 需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

3) 防止ASP主页.inc文件泄露问题;

4) 防止UE等编辑器生成some.asp.bak文件泄露问题。

6、IIS权限设置的思路

·要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

·在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

·设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

7、卸载最不安全的组件（注意: 按实际要求删除，删除后用不了FSO的）

(如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，( 以下均以 WIN2000 为例，如果使用2003，则系统文件夹应该是 C:\WINDOWS\ )

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32/u C:\WINDOWS\system32\shell32.dll

del C:\WINNT\WINDOWS\shell32.dll

然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。

为了方便大家，和减示错误，大部份步骤可以用如下脚本代替，我已经改成脚本cmd，新建一个txt文把，把如下代码，复制到里面后，把扩展名改为.cmd 双击运行，运行后，请按提示backup。

代码如下

@echo off

ECHO.

ECHO. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ECHo.

ECHo 你现在使用世界网络教研室整理的"一建做安全"脚本

ECHo.

ECHO. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ECHO.

ECHO. -------------------------------------------------------------------------

ECHo 请按提示操作备份好注册表,否则修改后无法还原,本人不负责.

ECHO.

ECHO YES=next set NO=exit (this time 30 Second default for n)

ECHO. -------------------------------------------------------------------------

CHOICE /T 30 /C yn /D n

if errorlevel 2 goto end

if errorlevel 1 goto next

:next

if EXIST backup (echo.)else md backup

if EXIST temp (rmdir /s/q temp|md temp) else md temp

if EXIST backup\backupkey.reg (move backup\backupkey.reg backup\backupkey_old.reg ) else goto run

:run

regedit /e temp\backup-reg1.key1 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\"

regedit /e temp\backup-reg2.key2 "HKEY_CLASSES_ROOT\"

copy /b /y /v temp\backup-reg1.key1+temp\backup-reg2.key2 backup\backupkey.reg

if exist backup\wshom.ocx (echo 备份已存在) else copy /v/y %SystemRoot%\System32\wshom.ocx backup\wshom.ocx

if exist backup\shell32.dll (echo 备份已存在) else copy /v/y %SystemRoot%\system32\shell32.dll backup\shell32.dll

ECHO 备份已经完成

ECHO.

goto next2

:next2

ECHO.

ECHO. -------------------------------------------------------------------

ECHo 修改权限system32目录中不安全的几个exe文件,改为只有Administrators才有权限运行

ECHO YES=next set NO=this set ignore (this time 30 Second default for y)

ECHO. -------------------------------------------------------------------

CHOICE /T 30 /C yn /D y

if errorlevel 2 goto next3

if errorlevel 1 goto next21

:next21

xcacls.exe %SystemRoot%\system32\net.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\net1.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\cmd.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\tftp.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\netstat.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\regedit.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\at.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\attrib.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\cacls.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\fortmat.com /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\secedit.exe /t /g Administrators:F /y /C

echo "虚拟主机C盘权限设定"

echo "删除C盘的everyone的权限"

cd/

cacls "%SystemDrive%" /r "everyone" /e

cacls "%SystemRoot%" /r "everyone" /e

cacls "%SystemRoot%/Registration" /r "everyone" /e

cacls "%SystemDrive%/Documents and Settings" /r "everyone" /e

echo "删除C盘的所有的users的访问权限"

cacls "%SystemDrive%" /r "users" /e

cacls "%SystemDrive%/Program Files" /r "users" /e

cacls "%SystemDrive%/Documents and Settings" /r "users" /e

cacls "%SystemRoot%" /r "users" /e

cacls "%SystemRoot%/addins" /r "users" /e

cacls "%SystemRoot%/AppPatch" /r "users" /e

cacls "%SystemRoot%/Connection Wizard" /r "users" /e

cacls "%SystemRoot%/Debug" /r "users" /e

cacls "%SystemRoot%/Driver Cache" /r "users" /e

cacls "%SystemRoot%/Help" /r "users" /e

cacls "%SystemRoot%/IIS Temporary Compressed Files" /r "users" /e

cacls "%SystemRoot%/java" /r "users" /e

cacls "%SystemRoot%/msagent" /r "users" /e

cacls "%SystemRoot%/mui" /r "users" /e

cacls "%SystemRoot%/repair" /r "users" /e

cacls "%SystemRoot%/Resources" /r "users" /e

cacls "%SystemRoot%/security" /r "users" /e

cacls "%SystemRoot%/system" /r "users" /e

cacls "%SystemRoot%/TAPI" /r "users" /e

cacls "%SystemRoot%/Temp" /r "users" /e

cacls "%SystemRoot%/twain_32" /r "users" /e

cacls "%SystemRoot%/Web" /r "users" /e

cacls "%SystemRoot%/system32/3com_dmi" /r "users" /e

cacls "%SystemRoot%/system32/administration" /r "users" /e

cacls "%SystemRoot%/system32/Cache" /r "users" /e

cacls "%SystemRoot%/system32/CatRoot2" /r "users" /e

cacls "%SystemRoot%/system32/Com" /r "users" /e

cacls "%SystemRoot%/system32/config" /r "users" /e

cacls "%SystemRoot%/system32/dhcp" /r "users" /e

cacls "%SystemRoot%/system32/drivers" /r "users" /e

cacls "%SystemRoot%/system32/export" /r "users" /e

cacls "%SystemRoot%/system32/icsxml" /r "users" /e

cacls "%SystemRoot%/system32/lls" /r "users" /e

cacls "%SystemRoot%/system32/LogFiles" /r "users" /e

cacls "%SystemRoot%/system32/MicrosoftPassport" /r "users" /e

cacls "%SystemRoot%/system32/mui" /r "users" /e

cacls "%SystemRoot%/system32/oobe" /r "users" /e

cacls "%SystemRoot%/system32/ShellExt" /r "users" /e

cacls "%SystemRoot%/system32/wbem" /r "users" /e

echo "添加iis_wpg的访问权限"

cacls "%SystemRoot%" /g iis_wpg:r /e

cacls "%SystemDrive%/Program Files/Common Files" /g iis_wpg:r /e

cacls "%SystemRoot%/Downloaded Program Files" /g iis_wpg:c /e

cacls "%SystemRoot%/Help" /g iis_wpg:c /e

cacls "%SystemRoot%/IIS Temporary Compressed Files" /g iis_wpg:c /e

cacls "%SystemRoot%/Offline Web Pages" /g iis_wpg:c /e

cacls "%SystemRoot%/System32" /g iis_wpg:c /e

cacls "%SystemRoot%/WinSxS" /g iis_wpg:c /e

cacls "%SystemRoot%/WinSxS" /r "users" /e

cacls "%SystemRoot%/Tasks" /g iis_wpg:c /e

cacls "%SystemRoot%/Temp" /g iis_wpg:c /e

cacls "%SystemRoot%/Web" /g iis_wpg:c /e

echo "添加iis_wpg的访问权限[.net专用]"

cacls "%SystemRoot%/Assembly" /g iis_wpg:c /e

cacls "%SystemRoot%/Microsoft.NET" /g iis_wpg:c /e

echo "添加iis_wpg的访问权限[装了MACFEE的软件专用]"

cacls "%SystemDrive%/Program Files/Network Associates" /g iis_wpg:r /e

echo "添加users的访问权限"

cacls "%SystemRoot%/temp" /g users:c /e

goto next3

:next3

ECHO.

ECHO. ------------------------------------------------------------------------

ECHo 禁止不必要的服务,如果要退出请按Ctrl+C

ECHO YES=next set NO=this set ignore (this time 30 Second default for y)

ECHO. ------------------------------------------------------------------------

CHOICE /T 30 /C yn /D y

if errorlevel 2 goto next4

if errorlevel 1 goto next31

:next31

echo Windows Registry Editor Version 5.00 >temp\Services.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation] >>temp\Services.reg