安装ISA Server 2004

一、系统及网络需求

要使用 ISA 服务器，您需要：

• CPU：至少550MHz，最多支持四个CPU；


• 内存：至少256MB；


• 硬盘空间：150MB，不含缓存使用的磁盘空间；


• 操作系统：Windows Server™2003 或 Windows®2000 Server 操作系统。但是如果在运行 Windows2000 Server的计算机上安装 ISA Server 2004服务器，那么必须达到以下要求：

Ø必须安装 Windows2000 Service Pack4 或更高版本；

Ø必须安装 Internet Explorer6 或更高版本；

Ø如果您使用的是 Windows2000 SP4 整合安装，还要求打KB821887补丁（关于Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime，可在http://go.microsoft.com/fwlink/?LinkId=23371下载）；

• 网络适配器：必须为连接到 ISA Server 2004服务器的每个网络单独准备一个网络适配器，至少需要一个网络适配器。但是在单网络适配器计算机上安装的ISA Server 2004服务器通常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自 Internet 的内容使用。


• DNS服务器：ISA Server 2004服务器不具备转发DNS请求的功能，必须使用额外的DNS服务器。你或者在内部网络中建立一个DNS服务器，或者使用外网（Internet）的DNS服务器。


• 网络：在安装ISA Server 2004服务器以前，应保证内部网络正常工作，这样可以避免一些未知的问题。

二、安装ISA Server 2004

下图是我们的实验网络拓朴结构：

　

在ISA Server 2004服务器上已经建立好了一个内部的DNS服务器，所有客户端以ISA Server机的内部接口（10.0.1.1）作为它的网关和DNS服务器。

我们安装的版本是ISA Server 2004中文标准版（Build 4.0.2161.50）。运行ISA Server 2004安装光盘根目录下的ISAAutorun.exe开始ISA Server 2004的安装，如下图：

点击"安装 ISA Server 2004"，出现安装界面：

点击"下一步"，在"许可协议"页，选择"我接受许可协议中的条款"，点击"下一步"。

在客户信息页，输入个人信息和产品序列号，点击"下一步"继续。

在安装类型页，如果你想改变ISA Server的默认安装选项，可以点击"自定义"，然后点击"下一步"：

在"自定义"页你可以选择安装组件，默认情况下，会安装防火墙服务器、ISA服务器管理，防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。如果你想安装消息筛选程序，需要先在ISA Server 2004服务器上安装IIS 6.0 SMTP服务。

点击"下一步"继续：

在内部网络页，点击"添加"按钮。内部网络和ISA Server 2000中使用的LAT已经大大不同了。在ISA Server 2004中，内部网络定义为ISA Server 2004必须进行数据通信的信任的网络。防火墙的系统策略会自动允许ISA Server 2004到内部网络的部分通信。

在地址添加对话框中，点击"选择网卡"，出现"选择网卡"对话框：

在"选择网卡"对话框中，移去"添加下列专用范围..."选项，保留"基于Windows路由表添加地址范围选项。选上连接内部网络的适配器，点击OK。在弹出的提示对话框中点击OK。

在内部网络地址对话框中点击OK：

在内部网络页点击"下一步"：

在防火墙客户端连接设置页上，如果你的客户机上使用了ISA Server 2000的防火墙客户端，则可以勾选"允许运行早期版本的..."，点击"下一步"：

在服务页，点击"下一步"：

在可以安装程序了页点击安装：

在安装向导完成页，选择"在向导关闭时运行ISA服务器管理"，然后点击"完成"。此时，会出现Microsoft Internet Security and Acceleration Server 2004 控制台。

三、配置ISA Server 2004服务器

在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。网络规则定义了不同网络间如何访问，而访问规则则定义了用户（内、外网）的访问，服务器发布规则则定义了如何让用户访问服务器。

1、网络规则

网络规则定义并描述网络拓扑。网络规则确定两个网络之间是否存在连接，以及定义如何进行连接。网络连接的方式有：

• 网络地址转换 (NAT)：当指定这种类型的连接时，ISA 服务器将用它自己的 IP 地址替换源网络中的客户端的 IP 地址。当定义内部网络与外部网络之间的关系时，可以使用 NAT 网络规则。


• 路由：当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络。源客户端地址包含在请求中。当发布位于DMZ网络中的服务器时，可以使用路由网络规则。

路由网络关系是双向的。如果定义了从网络A 到网络B 的路由关系，那么从网络B 到网络A 也存在着路由关系。相反，NAT 关系则是唯一的和单向的。如果定义了从网络A 到网络B 的 NAT 关系，则不能定义从 B 到 A 的网络关系。您可以创建定义双向关系的网络规则，但是 ISA 服务器将忽略有序规则列表中的第二条网络规则。

安装时，会创建下列默认规则：

• 本地主机访问。此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。


• VPN 客户端到内部网络。此规则指定在两个 VPN 客户端网络（"VPN 客户端"和"被隔离的 VPN 客户端"）与内部网络之间存在着路由关系。


• Internet 访问。此规则定义了在内部网络与外部网络之间存在的 NAT 关系。

2、访问规则

（1）防火墙系统策略

在安装 ISA Server 2004服务器时，会创建默认的系统策略。系统策略允许 ISA Server 2004服务器访问它连接到的网络的特定服务。在防火墙策略上点击右键，指向"查看"，然后点击"显示系统策略规则"，

或者点击图标栏上最右边的快捷图标：

右边出现了系统策略，如下图所示，标注的地方表明，ISA Sevrer 2004服务器可以像任何网络发起DNS请求。

注意：所有系统策略类别都是在安装 ISA 服务器时默认启用的，我们建议你根据自己的需求来禁用不需要的系统策略类别。
2）访问策略

现在我们需要建立一条访问策略以允许内部网络客户访问外部网络（Internet），同时，因为内部网络客户需要访问ISA Server 2004服务器上的DNS服务器以解析域名，我们也需要建立一条策略以允许内部网络客户访问ISA Server 2004服务器的DNS服务。

新建一条允许内部客户访问外部网络的所有服务的访问规则：

在防火墙策略上点击右键，指向"新建"，然后点击"访问规则"。

在"新建访问规则向导"的访问规则名称文本框中，输入"Allow all outbound traffic"，然后点击"下一步"。然后在"规则操作"页，选择"允许"，点击"下一步"；

在协议页，选择"所有出站通讯"，点击"下一步"；

在访问规则源页，点击"添加"，在"添加网络实体"对话框，双击"内部"，然后点击"关闭"，点击"下一步"；

在访问规则目标页，点击"添加"，在"添加网络实体"对话框，双击"外部"，然后点击"关闭"，点击"下一步"；

在用户集页，接受默认的所有用户，点击"下一步"；

在新建访问规则向导页，回顾你选择的设置，然后点击"完成"；

新建一条允许内部客户访问ISA Server 2004服务器上的DNS服务的访问规则

主要步骤和上面一条一样，不同的地方：

规则名：Allow internal acces firewall's dns service

协议页选择"所选的协议"，然后点击"添加"选择通用协议下的"DNS"。

访问规则目的为"本地主机"：

此时，ISA Server 2004的管理控制台应该如下图所示，点击"应用"以保存修改和更新防火墙策略。

在应用新配置对话框，点击"确定"。

此时，ISA Server 2004服务器的初步配置已经完成，内部客户可以访问外部网络的所有服务，也可以访问ISA Server 2004服务器上的DNS服务。注意：只能访问ISA Server 2004服务器上的DNS服务，其他的服务都会被禁止（如ping等），因为你没有在策略中明确允许这一点。

启用缓存

启用缓存有两个条件，首先是设置了缓存所用的驱动器，其次是设置缓存规则。

（1）设置缓存所用的驱动器

在ISA Server 2004管理控制台的"缓存"上点击右键，选择"定义缓存驱动器"。注意，此时的缓存上有个向下的红色箭头，表明没有启用缓存。

在定义缓存驱动器对话框中，根据你自己的网络带宽及流量进行设置，不过需要注意的是，缓存驱动器必须采用NTFS分区格式。

（2）设置缓存规则

此时"缓存"上已经没有向下的箭头了，表明已经设置了缓存驱动器。在"缓存"上点击右键，指向"新建"，点击"缓存规则"。

在"新缓存规则向导"页，输入名称"Cache external content"，然后点击"下一步"。在缓存规则目标页，点击添加，选择"外部"，点击"下一步"；

在内容检索页，接受默认的"只有在缓存中存在对象的..."，点击"下一步"；

在缓存内容页，接受默认的"如果源和请求头指明要缓存"，你可以根据你的需要勾选下面的选项，点击"下一步"；

在缓存高级配置页，根据你自己的需要进行设置，点击"下一步"；

在HTTP缓存页，接受默认的选项，点击"下一步"；

在FTP缓存页，取消"启用FTP缓存"的勾选（你可以根据你的需求进行设置），点击"下一步"；

在新缓存规则向导页，回顾你的设置，然后点击"完成"。

点击"应用"以保存修改和更姓防火墙策略，ISA Server 2004会弹出一个警告提示你，选择"保存更改，并重启动服务"，然后点击"确定"。

成功后你会在缓存规则栏里面看见新的缓存规则。

取消FTP的只读

最后谈一点，ISA Server 2004默认是不允许FTP上传的（即不能写FTP服务器）。取消的办法是：在允许访问FTP服务器的规则上（在这儿是Allow all outbound traffic）上点击右键，然后选择"配置FTP"，

在配置FTP协议策略对话框中，取消"只读"的勾选，点击确定，最后点击"应用"以保存修改和更新防火墙策略。

, ,

相关文章	热门文章
使用ISA Server 2004禁止违规软件 如何用ISA 查封禁掉股票软件？ 实践基于ISA环境的双线路策略路由访问 实战案例:远程访问服务器的构建 韩Joon Kim:KISA-ISC关于跨国界垃圾邮件事务合作 交换机出现err-disable的原因及解决方法 升级到 ISA Server 2006 在ISA Server 2006中发布邮件访问服务 在 ISA Server 2006 中发布 SharePoint 站点和使用单点登录 配置 ISA Server 2006 中的站点到站点 VPN 连接 你需要ISA Server 2004的标准版还是企业版？ ISA Server 2006 标准版和企业版架构的区别	使用ISA Server 2004禁止P2P软件 ISA安装设置全集 ISA 2004 Server快速安装指南 图解ISA2004 Web服务器发布 ISA 2000实战入门之VPN的建立 ISA Server 2004完全上手指南 MS Proxy 2.0 使用教程 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器(1) 通过ISA防火墙（2004）来允许域内通信 使用ISA 2004发布内部的邮件服务器 在ISA Server 2004防火墙和D-link DI-804HV IPSec VPN路由器间启用.. ISA常见问题解答

发表评论

使用ISA Server 2004配置背靠背的防火墙环境

ISA Server 2004在背靠背防火墙结构中的应用这个问题一直没有详细的说明，有很多网友也提出这个问题 。我花了一天时间，进行N次尝试和测试，获得了一手资料。本文适用于已经有一定ISA和网络技术基础的网友参考，请初入门的网友先学习其他文章。

由于ISA2004提供的前端防火墙模板的对象是外围网使用的都是公网IP的设计，所以针对国内的实际情况（很多网友的网络只有一个Internet的IP地址），模板需要做很大调整。外围网使用公网IP的情况按照模板不需要调整，很容易实现，这里就不做介绍了。

只有一个公网IP的也有两种情况，后端防火墙内的网络需要不需要被外围网访问。先介绍后端防火墙内的电脑或者服务器，不需要被外围网和在前端防火墙上建立的VPN客户端已及构筑成VPN站点的远程站点访问的情况，这种情况比较简单。

在第一种和第二种情况下网络构成不变。

一、外围网不需访问后端防火墙内的电脑或者服务器

1.要求

服务器网段（FTP服务器，WEB服务器，邮件服务器）不能上网，只能被外部和外围网有限访问一些服务，外围网和后端防火墙网段能够上网，后端防火墙网段可以访问外围网和服务器网段。

2.网络构成

前端防火墙共3张网卡，

网卡1

连接对外服务的服务器

IP ：192.168.1.1/24 无网关，无DNS

网卡2

连接外围网

IP：192.168.100.1/24 无网关，无DNS

网卡3

使用PPPoE拨号得到外部IP，网关，DNS服务器地址

外围网客户端的网络设置

IP：192.168.100.*/24 网关192.168.100.1， DNS 192.168.100.1

在ISA服务器上建立DNS服务器，转发到ISP提供的DNS服务器

后端防火墙2网卡，

网卡1

连接外围网

IP：192.168.100.2/24 ，网关192.168.100.1， DNS 192.168.100.1

网卡2

连接内部上网电脑

IP：192.168.50.1/24 无网关，无DNS

3.1设置前端防火墙

如图使用前端防火墙模板，点击模板，

如果需要保持以前的网络设定，可以在此处导出网络设置文件，备份。

添加外围网的地址范围，

为了测试方便，我们在这里选择允许无限制的访问，在实际运用种，应该按照各自需要设定。

前端防火墙模板完成。

3.2增加对外访问的服务器网段

如图点击创建一个新的网络，

选择外围网，

加入对外服务服务器的地址段

建立网络之间关系，创建一个新的网络规则，

定义对外服务服务器网段的名字，

增加网络源

增加目标网络

选择关系是路由，

最后点击完成。

我们配置到这里，需要确认一下是否都配置正确。

下面我们发布一下一2121为非正常端口的FTP服务器

如图建立发布规则

注意它的属性，其实只需要发布的端口不同于在其它地方发布的服务器端口即可发布，这里不在做详细的规则配置介绍，不熟悉的网友，请先参看其它文章。

3.3 在不需要外网网访问的情况下，后端防火墙没有特别的和边缘防火墙模板相同，完全可以使用边缘防火墙模板，这里不说明边缘防火墙的设置，在第二种情况下，需要外网网访问后端防火墙内电脑的时候，做详细说明。注意的是如果要限定内网访问服务器网段或者外围网端机器需要按照网络集限定。

3.4 测试

从公网IP进行FTP测试
*** CuteFTP Pro 3.0 - build Oct 7 2002 ***

状态:> 正在获取列表""...
状态:> 正在连接主机名称 www.freecnjp.com...
状态:> 主机 www.freecnjp.com 已连接: ip = 43.*.*.27。
状态:> 正在连接到 ftp 服务器 www.freecnjp.com:2121 (ip = 43.*.*.27)...
状态:> 接口已连接。正在等候欢迎消息...
220 Serv-U FTP Server v5.1 for WinSock ready...
状态:> 已连接。正在登陆...
命令:> USER test
331 User name okay, need password.
命令:> PASS *****
230 User logged in, proceed.
状态:> 登录成功。
命令:> PWD
257 "/" is current directory.
状态:> Home directory: /
命令:> FEAT
211-Extension supported
CLNT
MDTM
MDTM YYYYMMDDHHMMSS[+-TZ];filename
SIZE
SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
REST STREAM
XCRC filename;start;end
MODE Z
211 End
状态:> 该站点支持 features。
状态:> 这个站点支持 XCRC.
状态:> 这个站点支持 SIZE.
状态:> 该站点可以续传中断的下载。
命令:> REST 0
350 Restarting at 0. Send STORE or RETRIEVE.
命令:> PASV
227 Entering Passive Mode (43,244,170,27,25,29)
命令:> LIST
状态:> 正在连接 ftp 数据 socket 43.244.170.27:6429...
150 Opening ASCII mode data connection for /bin/ls.
226 Transfer complete.
状态:> 传送完成。
从内部ping，

从内部对FTP测试
*** CuteFTP Pro 3.3 - build Sep 29 2003 ***

状态:> 正在获取列表""...
状态:> 正在连接到 ftp 服务器 192.168.1.11:2121 (ip = 192.168.1.11)...
状态:> Socket 已连接。正在等候欢迎消息...
220 Serv-U FTP Server v5.1 for WinSock ready...
状态:> 已连接。正在验证...
命令:> USER test
331 User name okay, need password.
命令:> PASS *****
230 User logged in, proceed.
状态:> 登录成功。
命令:> PWD
257 "/" is current directory.
状态:> Home directory: /
命令:> FEAT
211-Extension supported
CLNT
MDTM
MDTM YYYYMMDDHHMMSS[+-TZ];filename
SIZE
SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
REST STREAM
XCRC filename;start;end
MODE Z
211 End
状态:> 该站点支持 features。
状态:> 该站点支持 XCRC。
状态:> 该站点支持 SIZE。
状态:> 该站点可以续传中断的下载。
命令:> REST 0
350 Restarting at 0. Send STORE or RETRIEVE.
命令:> PASV
227 Entering Passive Mode (192,168,1,11,4,9)
命令:> LIST
状态:> 正在连接 ftp 数据 socket 192.168.1.11:1033...
150 Opening ASCII mode data connection for /bin/ls.
226 Transfer complete.
状态:> 传送完成。

FTP服务器上的信息
[5] Wed 27Oct04 13:56:24 - (000003) Connected to 192.168.100.2 (Local address 192.168.1.11)
[5] Wed 27Oct04 13:56:25 - (000003) User TEST logged in
[5] Wed 27Oct04 14:00:23 - (000004) Connected to 202.*.*.211 (Local address 192.168.1.11)
[5] Wed 27Oct04 14:00:23 - (000004) User TEST logged in

在后端防火墙内的电脑访问在前端ISA服务器上的WEB服务器，

我们从这里可以看到从内网连接的IP地址不是后端防火墙内部真实的电脑的IP，是后端防火墙ISA的IP，也就是说，在使用普通模板不修改设置的时候，后端防火墙ISA使用的是SNAT让后端防火墙内部的电脑访问外围以及外部网络，所以外围网不能自由访问后端防火墙内部的电脑，只能以发布的方式访问个别电脑的个别服务，就同发布服务器一样。

二、外围网需要访问后端ISA内部电脑的情况

就是说，在前端防火墙ISA后面，所有网络都可以到达，这个配置起来比较复杂。我们在已经配置好第一种情况的基础上进行修改。

1. 我们修改前端防火墙ISA的设置，网络规则不作修改，防火墙策略不作修改。

如图：配置网络-网络-外围-属性--添加地址

我们把后端防火墙内部的IP地址增加进去

打开前端防火墙ISA上的路由和远程访问，增加静态路由。警告，在不明确知道做什么的情况下，不要去动ISA服务器上的路由和远程访问！

添加，网关为后端服务器IP，接口为和后端防火墙连接的那个网卡。个人的网卡标识不同，自己确认。

2. 配置后端防火墙

如图，选择后端防火墙模板

添加后端防火墙地址范围

同样为了测试方便，允许无限制访问，以后可自行修改。

翻到网络规则，我们看这里是NAT，

把网络关系变成路由，

填写前端防火墙地址，

外围网络地址范围。

这些在构筑测试的时候没有用处，在以后的实际运用中，如限定上网权限等等非常有用。

防火墙策略规则为了测试方便，如图配成这样

下面做测试

在192.168.50.10机器上做如下测试
C:\Documents and Settings\sam>ping 192.168.100.1

Pinging 192.168.100.1 with 32 bytes of data:

Reply from 192.168.100.1: bytes=32 time=6ms TTL=127
Reply from 192.168.100.1: bytes=32 time<1ms TTL=127
Reply from 192.168.100.1: bytes=32 time<1ms TTL=127
Reply from 192.168.100.1: bytes=32 time<1ms TTL=127

Ping statistics for 192.168.100.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 6ms, Average = 1ms

C:\Documents and Settings\sam>ping 192.168.1.10

Pinging 192.168.1.10 with 32 bytes of data:

Reply from 192.168.1.10: bytes=32 time=3ms TTL=248
Reply from 192.168.1.10: bytes=32 time=1ms TTL=248
Reply from 192.168.1.10: bytes=32 time=1ms TTL=248
Reply from 192.168.1.10: bytes=32 time=1ms TTL=248

Ping statistics for 192.168.1.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 3ms, Average = 1ms

在ISA前端防火墙上做
C:\Documents and Settings\test>ping 192.168.50.10

Pinging 192.168.50.10 with 32 bytes of data:

Reply from 192.168.50.10: bytes=32 time=3ms TTL=127
Reply from 192.168.50.10: bytes=32 time<1ms TTL=127
Reply from 192.168.50.10: bytes=32 time<1ms TTL=127
Reply from 192.168.50.10: bytes=32 time<1ms TTL=127

Ping statistics for 192.168.50.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 3ms, Average = 0ms

在Server段机器上作
C:\Documents and Settings\tes>ping 192.168.50.11

Pinging 192.168.50.11 with 32 bytes of data:

Reply from 192.168.50.11: bytes=32 time=1ms TTL=62
Reply from 192.168.50.11: bytes=32 time<1ms TTL=62
Reply from 192.168.50.11: bytes=32 time<1ms TTL=62
Reply from 192.168.50.11: bytes=32 time<1ms TTL=62

Ping statistics for 192.168.50.11:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms

在192.168.50.10的电脑上访问192.168.100.15的web服务器

访问在前端防火墙上的WEB服务器，可以看到你的真是IP内容已经变成真实的IP了。

这样就可以在外围网对IP的访问权限进行限定。

至此所有配置按照要求完成。下面是对于具体细节的设定，比如后端防火墙不能所有到所有，所有协议，所有出入，可以根据服务器段范围，外围网范围，需要那些服务协议，按照需要自行设定，具体方法这里不在累述，其它帖子论述很多。

用组策略部署Windows防火墙

在管理规模较大的网络环境时，网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说，如果让网管为网内计算机逐一进行配置的话，工作量会非常大，而且在细节配置上也容易出错。那么，如何才能提高规模化环境内的防火墙配置效率呢?　

　　Windows防火墙是Windows XP SP2中一个极为重要的安全设计，它可以有效地协助我们完成计算机的安全管理。今天，笔者将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙，提高为网内计算机配置防火墙的效率。

　　为什么要集中部署

　　首先，我们要了解组策略对Windows防火墙的作用是什么。组策略可以决定本地管理员级别的用户是否可以对Windows防火墙进行各种设置，可以决定Windows防火墙的哪些功能被"禁用"或"允许"……

　　显然，上述几个功能正好能够配合域功能进行机房的安全管理，这就为组策略能够批量化部署机房的Windows防火墙打下了基础。此时，所有客户机的Windows防火墙的应用权限将统一归域管理员管理，本地管理员对Windows防火墙的任何设置要在域管理员的"批准"下方可进行。此外，域管理员还可使用组策略来完成所有客户机的Windows防火墙配置，而不必逐台进行了。

　　用组策略部署防火墙

　　在明白了集中部署的好处后，现在让我们一步步实现。请大家先了解一下本文的测试环境"Windows Server 2003域服务器+Windows XP SP2客户机"。本文将介绍如何在Windows Server 2003域服务器管理的机房中的客户机(Windows XP SP2)上，对所有安装了Windows XP SP2的客户机进行Windows防火墙的集中部署。

　　提示:为什么不是在域服务器中进行组策略的新建与配置，而是在客户机上运行?其实这很容易理解，Windows Server 2003操作系统(中文版)中还没有Windows防火墙，所以无法进行配置。但是，这一点将会随着Windows Server 2003 SP1中文正式版的推出而得到彻底解决。

　　OK!现在让我们开始实际操作。首先，在Windows XP SP2客户机的"运行"栏中输入"MMC"命令并回车，在打开的"控制台"窗口中，依次单击"文件→添加/删除管理单元"，添加"组策略对象编辑器"。

　　在弹出的"欢迎使用组策略向导"界面中，点击"浏览"按钮并在"浏览组策略对象"窗口中的空白处单击鼠标右键，在弹出的菜单中选择"新建"，并命名为"firewall"即可返回控制台窗口。

　　提示:客户机的当前登录账户必须具有管理员权限，方可新建GPO(组策略对象)。因此，临时解决这个问题的方法就是在DC中将客户机的账户添加到Administrators组，接着客户机临时使用管理员账户登录系统并进行GPO配置即可。
返回控制台窗口后，在"firewall"策略集中可以看到"域配置文件"和"标准配置文件"两个策略子集(图1)。其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用。

　　图1

　　显然，我们需要在域配置文件中进行策略的设置。下面简单地说说如何对其中的子策略进行安全配置:

　　保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙，不受客户机本地策略的影响。

　　不允许例外:未配置;这个可以让客户机自行安排。

　　定义程序例外:已启用;即按照程序文件名定义例外通信，这样可以集中配置机房中允许运行的网络程序等。

　　允许本地程序例外:已禁用;如果禁用则Windows防火墙的"例外"设置部分将呈灰色。

　　允许远程管理例外:已禁用;如果不允许客户机进行远程管理，那么请禁用。

　　允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用，那么应该启用。

　　允许ICMP例外:已禁用;如果希望使用Ping命令，则必须启用。

　　允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能。

　　允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。

　　阻止通知:已禁用。

　　允许记录日志:未配置;允许记录通信并配置日志文件设置。

　　阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。

　　定义端口例外:已启用;按照TCP和UDP端口指定例外通信。

　　允许本地端口例外:已禁用;即禁止客户机管理员进行端口的"例外"配置。

　　现在，让我们通过"定义端口例外"项来介绍一下如何进行具体配置。首先，在"域配置文件"设置区域中，双击"Windows防火墙:定义端口例外"项，在弹出的属性窗口中单击"已启用→显示"，并进行"添加"。接着，使用"port:transport:scope:status:name"的格式输入要阻止或启用的端口信息(如"80:TCP:*:enabled:Webtest")。

　　提示:port是指端口号码;transport是指TCP或UDP;scope中的"*"表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串。

　　完成上述设置后，保存策略为"firewall"文件。现在，就得进行非常重要的一步操作，在"命令提示符"窗口中运行"Gpupdate /force"命令强制组策略设置应用到域网络中已经登录的计算机。

验证部署效果 　

　　完成组策略的刷新后，先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了"允许本地程序例外"项的状态为"已禁用"，根据这个定义，Windows防火墙的"例外"设置部分应变为灰色。现在，让我们打开本机中的Windows防火墙，可以看到被禁用的部分已经呈灰色，这说明本机已响应组策略设置了。

　　接着，再来看看DC是否响应了组策略。在DC服务器的"运行"栏中输入"dsa.msc"命令并回车，弹出"Active Directory"窗口后，请进入"shyzhong.com"(请根据实际情况选择)的属性窗口。在"组策略"选项卡部分可以看到保存的firewall已经自动出现在列表中了。如果没有出现可以手工添加(图2)。

　　图2

　　到了这一步，可以看出整个设置是成功的。而此后，域中任何一台使用Windows XP SP2的计算机只要登录到域，那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此，整个机房的Windows 防火墙配置操作就成功完成了。

　　利用组策略集中部署SP2防火墙的操作并不复杂，但是它的效果却是一劳永逸的。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手。

用Windows组策略—打造个性电脑

一、认识组策略

　　组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。简单说，就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。大家都知道一些常用的系统、外观、网络设置等我们往往通过控制面板进行修改，不过通过控制面板能修改的东西太少了，不能满足用户的需要；水平稍高点的朋友进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来极其不方便。而组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而在条理性、可操作性方面则比注册表强多了。

　　微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。利用组策略我们可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。

　　二、使用组策略

　　我们以使用Windows 2000/XP/2003系统为例。"组策略"程序位于"C:WINNTSYSTEM32"文件夹中，其名为"gpedit.msc"。启动组策略时，首先单击"开始"按钮，选择"运行"命令，在"运行"文本框中输入"gpedit.msc"命令，随后单击"确定"，即可启动Windows组策略。

　　除了上面的启动方式外，我们还可以在MMC管理单元中通过选择插件将组策略打开，其方法为：单击选择"开始"→"运行"命令，在弹出的对话框中键入"MMC"，然后单击"确定"按扭。即可打开 Microsoft 管理控制台。随后弹出MMC的主界面，在此选择选择"文件"菜单下的"添加/删除管理单元"命令。在"添加/删除管理单元"窗口的"独立"选项卡中，单击"添加"按扭。弹出"添加独立管理单元"对话框，并在"可用的独立管理单元"列表中选择"组策略"选项，单击"添加" 在"选择组策略对象"对话框中，单击"本地计算机"编辑本地计算机对象，或通过单击"浏览"查找所需的组策略对象。单击"完成"，单击"关闭"，然后单击"确定"即可。

　　 组策略的主界面共分为左右两个窗口，左边窗口中的"本地计算机"策略由"计算机配置"和"用户配置"两个子键构成，右边窗口中是针对左边某一配置可以设置的具体策略。这里"计算机配置"是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而"用户配置"则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。比如"计算机配置"和"用户配置"都提供了"停用自动播放"功能的设置，但效果是不同的；如果是在"计算机配置"中选择了该功能，那么所有用户的光盘自动运行功能都会失效; 如果是在"用户配置"中选择的该功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。
三、任务栏和"开始"菜单项目设置

　　在这里为您开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目。依次展开"组策略控制台→用户配置→管理模板→任务栏和开始菜单"在右边窗口便能看到"任务栏和'开始'菜单"节点下的具体设置。

　　1、给"开始"菜单减肥（Windows 2000/XP/2003）

　　 如果觉得Windows的"开始"菜单项太多，可以通过组策略将不需要的菜单项从"开始"菜单中删除。在组策略右侧窗格中，提供了"从开始菜单删除用户文件夹"、"删除到'Windows Update'的访问和链接"、"从开始菜单删除公用程序组"、"从开始菜单中删除'我的文档'图标"等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。

　　2、禁止随意修改任务栏和"开始"菜单 （Windows 2000/XP/2003）

　　为保护自己好不容易设置好的任务栏和"开始"菜单，你只要将组策略控制台右侧窗格中的"阻止更改'任务栏和开始菜单'设置"和"阻止访问任务栏的上下文菜单"两个策略项启用即可。这样，当你用鼠标右键单击任务栏并单击"属性"时，系统会出现一个错误消息，且当鼠标右键单击任务栏及任务栏上的项目时，例如"开始"按钮、时钟和"任务栏"按钮，弹出菜单会隐藏。

　　3．禁止"注销"和"关机"（Windows 2000/XP/2003）

　　如果你不想让他人再进行"关机"和"注销"操作的话，可将组策略控制台右侧窗格中的"删除开始菜单上的'注销'"和"删除和阻止访问'关机'命令"两个策略启用。 这个设置会从开始菜单删除"关机"选项，并禁用"Windows 任务管理器"对话框　按"Ctrl+Alt+Del"会出现这个对话框　中的"关机"选项 。应注意的是，该设置虽然可防止用户用 Windows界面来关机，但无法防止用户用其他第三方工具程序来将 Windows 关闭。
4、防止隐私泄漏 （Windows 2000/XP/2003）

　　在开始菜单中有一个"我最近的文档"菜单项，可以记录你曾经访问过的文件。这个功能可以方便用户再次打开该文件，但别人也可通过此菜单访问你最近打开的文档，为安全起见，有时需要屏蔽此功能。利用组策略，只要在右侧窗格中将"不要保留最近打开文档的记录"和"退出时清除最近打开的文档的记录"两个策略启用即可。同时要注意如果启用此策略设置但不启用"从开始菜单中删除文档菜单"策略设置，"文档"菜单还会出现在"开始"菜单上，但是该菜单为空菜单。如果启用此策略设置，后来又禁用它并将它设置为"未配置"，则启用策略设置之前保存的文档快捷方式会重新出现在"文档"菜单和应用程序的"文件"菜单中。

　　5、去掉Windows XP"开始"菜单中的图形化设置

　　Windows XP的"开始"菜单增添了许多图形化设置，其实可在组策略中将这些功能关闭。"关闭个性化菜单"：Windows XP会自动将最近使用的菜单项移动到开始菜单顶部，并且隐藏最近没有使用的菜单项，以此实现个性化菜单，启用此设置将关闭个性化菜单。"强制典型菜单"：启用此设置，开始菜单就以Windows 2000样式显示典型的开始菜单，并且显示标准桌面图标。
四、用组策略提升系统性能

　　1．让Windows 的上网速率提升20%（Windows XP/2003）

　　默认情况下，Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内，这对我们来说--肯定是资源浪费。其实可以通过组策略设置来替代默认值，让我们的上网速率提高20%!方法如下：在"开始→运行"中输入gpedit.msc，打开组策略编辑器。找到"计算机配置→管理模板→网络→QoS数据包调度程序"，选择右边的"限制可保留带宽"，选择"属性"打开限制可保留带宽属性对话框，选择"禁用"即可。经过这样重新设置就可以释放保留的20％的带宽了。

　　2、关闭系统还原功能（Windows XP/2003）

　　系统还原是Windows XP/2003中集成的强大功能，是微软推广新版操作系统时大力推荐的功能点。它在系统运行的同时，备份那些被更改的文件和数据，如果出现问题，系统还原使用户能够在不丢失个人数据文件的情况下，将计算机还原到以前的状态。默认情况下，系统还原始终处于打开状态。这时候大量的磁盘空间将被占用，而且系统性能方面也会明显下降，为此功能所付出的代价可想而知了。对于配置不高的计算机用户来说，关闭此功能是明智的选择。方法如下：打开"组策略控制台→计算机配置→管理模板→系统→系统还原"中的"关闭系统还原"并启用此策略。启用此设置后即可关闭系统还原功能，并且不能访问"系统还原向导"和"配置界面"。

　　3、禁止Windows Messenger自动运行（Windows XP/2003）

　　在Windows系统中集成的优秀应用软件越来越多，但这些系统内置的软件都没有卸载选项，引起很多电脑用户的不满。比如Windows XP自带的Windows Messenger，不但卸载不方便而且还随系统一起自动运行。如果你今天不想上线，它的运行就会白白占用内存空间。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说，当然要屏蔽此软件的自动运行功能。方法如下：在"开始→运行"中键入"gpedit.msc"，打开组策略编辑窗口，选择"'本地计算机'策略→计算机配置→管理模板→Windows组件→Windows Messenger"，接着在右侧窗口中双击"不允许运行Windows Messenger"，在出现的属性窗口中选中"已启用"，单击"确定"即可。

　　提示：这项设置还会出现在"用户配置"中，一般来说，在"计算机配置"中的设置比"用户配置"中的设置优先。也就是说，如果使用"计算机配置"中的设置可以在所有用户登录Windows XP时禁止Windows Messenger的运行；如果使用"用户配置"中的设置可以在当前用户登录Windows XP时禁止其自动运行。

4、关闭缩略图的缓存（Windows XP/2003）

　　 Windows XP/20003系统系统具有缩略图的功能，为加快那些被频繁浏览的缩略图显示速度，系统还会将这些显示过的图片置于缓存中，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。若你不希望系统进行缓存的话，则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理，反而会大大加快第一次浏览的速度。方法如下：打开"组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器"中的"关闭缩略图的缓存"并启用此策略。 提示：若你的电脑是一个网络中的共享工作站，为了数据安全，建议你启用该设置以关闭缩略图视图缓存，因为缩略图视图缓存可以被任何人读取。

　　5、屏蔽系统自带的CD刻录功能（Windows XP/2003）

　　Windows XP/2003系统自带CD刻录功能，若你有刻录机连接在电脑上，在Windows 资源管理器中可以直接将数据犹如复制一样写到CD－R上。这样虽然方便，但是会影响系统性能和资源管理器的执行速度，再加之大部分用户都习惯了运用专用刻录软件进行刻录，所以我们建议无论电脑上有无刻录机，都可以利用组策略来屏蔽此功。方法如下：打开"组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器"中的"关闭缩略图的缓存"并启用此策略。 提示：该设置不会阻止用户使用第三方应用程序来刻录或修改CD－R。

　　五、IE浏览器项目设置

　　大家都知道，微软在IE浏览器的"Internet选项"窗口中，提供了诸如首页、临时文件夹、安全级别和分级审查等比较全面的设置选项，为我们在网上冲浪提供了极大的方便。为了不使他人随意改变您对浏览器的设置以及对IE的某些功能限制使用，对你的设置选项进行隐藏或禁止使用是很有必要的。在Windows 以前的系统中，往往是通过修改注册表来实现的，不过这会对系统的安全性带来一定的风险。当您选择了Windows 2000/XP/2003后，我们可以通过组策略进行设置--轻松实现高级功能的管理，而且风险几乎可以降低到零。

　　1、限制IE浏览器的保存功能（Windows 2000/XP/2003）

　　当多人共用一台计算机时，为了保持硬盘的整洁，对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢？具体步骤如下：打开"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单"，然后将右侧窗格中的"'文件'菜单：禁用'另存为...'菜单项"、"'文件'菜单：禁用另存为网页菜单项"、"'查看'菜单：禁用'源文件'菜单项"和"禁用上下文菜单"等策略项目全部启用即可。如果不希望别人对IE浏览器的设置随意更改，可以将"'工具'菜单：禁用'Internet选项...'"策略启用。此外，如果个人需要的话，还可以在该窗格中禁用其他项目。

　　
2、禁止修改IE浏览器的主页（Windows 2000/XP/2003）

　　在IE浏览器中可以设置默认主页，如果不希望他人对自己设定的IE浏览器主页进行随意更改的话，可以打开"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏"，然后选择"禁用更改主页设置"组策略并启用即可。另外在这个窗格中，还提供了"更改历史记录设置"、"更改颜色设置"和"更改Internet临时文件设置"等项目的禁用功能。 启用此策略后，在IE浏览器的"Internet 选项"对话框中，其"常规"选项卡的"主页"区域的设置将变灰，即不可修改。

　　提示：如果您已经设置了位于"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制面板"中的"禁用常规页"策略，则无须再设置该策略。

　　3、禁用"Internet 选项"控制面板（Windows 2000/XP/2003）

　　如果你对"控制面板"中的选项禁用得较多，不如一步到位--干脆禁止访问"控制面板"，通过下面的组策略设置方法即可实现这一要求：打开"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet 控制面板"，在右边窗格中我们可以看到"禁用常规页"、"禁用安全页"等组策略项目。下面以"禁用常规页"为例进行说明：打开右边窗格中的"禁用常规页"并设置为"启用"。然后我们再打开Internet选项控制面板，会发现"常规"项目已经没有了，这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置，因为该策略将删除界面上的"常规"选项卡，所以如果设置了该策略，则无须设置位于 "用户配置→管理模板→Windows 组件→Internet Explorer"中的诸如"禁用更改主页设置"、"禁用更改颜色设置"等策略。

　　4、自定义IE工具栏（Windows 2000/XP/2003）

　　通过组策略我们还可以自定义IE工具栏，打造属于我们自己的IE。 方法如下：打开"组策略控制台→用户配置→Windows设置→Internet Explorer维护→浏览器用户界面"下的"浏览器工具栏按钮自定义"策略配置项目，在这里，我们可以自定义浏览器工具栏的背景图片，点击"浏览"选择一个BMP的位图文件即可。另外我们还可以在IE的工具栏上添加自己的快捷方式，比如添加"我的QQ"，在这里也可以很轻松地完成。，打开组策略的"用户配置→Windows设置→Internet Explorer维护→浏览器工具栏自定义"对话框，点击"添加"按钮，弹出"浏览器工具栏按钮信息"对话框，在这里就可对QQ按钮进行详细设置了，输入按钮的标题，找到QQ安装执行程序路径，并将制作好的QQ两个明暗头像，分别输入到颜色图标栏和灰色图标栏中，点击"确定"，再次打开IE后就可以看到修改的效果了。

Windows XP中执行最干净启动

为了帮助您诊断不明原因的错误信息或其他问题，在启动 Microsoft Windows XP 时，应禁用常用的启动程序、设置和驱动程序，以消除可能的软件冲突。此过程称为"干净启动"。本文描述如何执行干净启动，如何启动 Windows Installer 服务以及如何从干净启动状态还原系统。

　　注意：按照说明执行干净启动后，可能会暂时丧失某些功能。如果还原设置，则可以还原功能，但是可能会收到原来的错误信息或遇到可疑现象。

　　如何在 Windows XP 中执行干净启动

　　注意：必须以管理员或管理员组的成员身份登录才能执行这些步骤。如果您的计算机已连接到网络上，则网络策略设置也可能会阻止您执行这些步骤。

　　1.单击"开始"，单击"运行"，在"打开"框中键入 msconfig，然后单击"确定"。

　　2.在"一般"选项卡上，单击"有选择的启动"，然后清除"处理 SYSTEM.INI 文件"、"处理 WIN.INI 文件"和加载启动项复选框。不能清除"使用原有 BOOT.INI"复选框。

　　3.在"服务"选项卡上，选中"隐藏所有 Microsoft 服务"复选框，然后单击"全部禁用"。

　　4.单击"确定"，然后单击"重新启动"，以重新启动计算机。

　　5.启动 Windows 后，确定症状是否仍然出现。

　　注意：仔细查看"一般"选项卡，确保已清除的复选框仍处于清除状态。如果这些复选框都未选中，则继续执行第 6 步。如果只禁用"加载系统服务"复选框，则表明计算机未执行干净启动。如果禁用了其他复选框而问题仍未解决，则可从程序（该程序重新选中了 Msconfig 的复选框）制造商那里寻求帮助。

　　如果这些复选框都未选中而问题仍未解决，则可能需要重复步骤 1 至 5，而且可能还需要清除"一般"选项卡上的"加载系统服务"复选框。这将暂时禁用 Microsoft 服务（例如联网服务、即插即用服务、事件日志记录服务和错误报告服务）并永久删除"系统恢复"实用工具的所有还原点。如果要保留系统恢复的还原点或者必须使用 Microsoft 服务来检测问题，则不要执行此操作。

　　6.单击"开始"，单击"运行"，在"打开"框中键入 msconfig，然后单击"确定"。

　　7.在"一般"选项卡上，选中"处理 SYSTEM.INI 文件"复选框，单击"确定"，然后单击"重新启动"以重新启动计算机。如果问题仍然出现，则该问题与 System.ini 文件中的项有关。如果不再出现此问题，则分别对"处理 WIN.INI 文件"、"加载启动项"和"加载系统服务"复选框重复此步骤，直到问题出现为止。出现问题后，您选择的最后一项便是存在问题的项。

　　注意：Microsoft 强烈建议如果没有 Microsoft 支持专家指导，不要使用系统配置实用工具修改计算机上的 Boot.ini 文件。修改该文件可能导致您的计算机无法使用。如何启动 Windows Installer 服务

　　注意：如果禁用"加载系统服务"，则 Windows Installer 服务将不启动。要在这种情况下使用 Windows Installer，您必须手动启动该服务： 1.单击"开始"，右键单击"我的电脑"，然后单击"管理"。2.在左窗格中，单击"服务和应用程序"，然后单击"服务"。3.在右窗格中，右键单击"Windows Installer"，然后单击"启动"。如果您运行安装程序但没有手动启动 Windows Installer，则可能收到以下错误信息：

　　The Windows Installer service could not be accessed.Contact your support personnel to verify that the windows Installer service is properly registered.

　　如何从干净启动状态返回1.单击"开始"，单击"运行"，在"打开"框中键入 msconfig，然后单击"确定"。2.在"一般"选项卡上，单击"正常启动 - 加载所有设备驱动程序和服务"。3.单击"确定"。当提示您重新启动计算机时，单击"重新启动"。

如何在图形界面建立隐藏的超级用户

图形界面下适用本地或开3389终端服务的肉鸡上。上面我提到的那位作者说的方法很好，但是较为复杂，还要用到psu.exe(让程序以系统用户身份运行的程序)，如果在肉鸡上的话还要上传psu.exe。我说的这个方法将不用到psu.exe这个程序。因为Windows2000有两个注册表编辑器：regedit.exe和regedt32.exe。XP中regedit.exe和regedt32.exe实为一个程序，修改键值的权限时在右键中点"权限"来修改。对regedit.exe我想大家都很熟悉，但却不能对注册表的项键设置权限，而regedt32.exe最大的优点就是能够对注册表的项键设置权限。NT/2000/xp的帐户信息都在注册表的HKEY_LOCAL_MACHINESAMSAM键下，但是除了系统用户SYSTEM外，其它用户都无权查看到里面的信息，因此我首先用regedt32.exe对SAM键为我设置为"完全控制"权限。这样就可以对SAM键内的信息进行读写了了。具体步聚如下：

1、假设我们是以超级用户administrator登录到开有终端服务的肉鸡上的，首先在命令行下或帐户管理器中建立一个帐户：hacker$,这里我在命令行下建立这个帐户

net user hacker$ 1234 /add

2、在开始/运行中输入：regedt32.exe并回车来运行regedt32.exe。

3、点"权限"以后会弹出窗口

点添加将我登录时的帐户添加到安全栏内，这里我是以administrator的身份登录的，所以我就将administrator加入，并设置权限为"完全控制"。这里需要说明一下：最好是添加你登录的帐户或帐户所在的组，切莫修改原有的帐户或组，否则将会带来一系列不必要的问题。等隐藏超级用户建好以，再来这里将你添加的帐户删除即可。

4、再点"开始"→"运行"并输入"regedit.exe"回车，启动注册表编辑器regedit.exe。打开键：

HKEY_LOCAL_MAICHINESAMSAM-〉Domains-〉account-〉usernames-〉hacker$

5、将项hacker.reg、409.reg、1f4.reg，用记事本分别打这几个导出的文件进行编辑，将超级用户对应的项000001F4下的键"F"的值复制，并覆盖hacker,然后再将00000409.reg与hacker.reg合并。

6、在命令行下执行net user hacker$ /del将用户hacker

net user hacker$ /del

7、在regedit.exe的窗口内按F5刷新，然后打文件-导入注册表文件将修改好的hacker.reg导入注册表即可

8、到此，隐藏的超级用户hacker.exe。在regedt32.exe窗口内把HKEY_LOCAL_MACHINESAMSAM键权限改回原来的样子(只要删除添加的帐户administrator即可)。

9、注意：隐藏的超级用户建好后，在帐户管理器看不到hacker user"命令也看不到，但是超级用户建立以后，就不能再改密码了，如果用net user命令来改hacker

保护电脑 彻底和隐藏帐户说拜拜隐藏帐户

藏的系统后门都具备些什么特点?

　　首先必须功能强大，可以对系统进行完全控制，其次就是隐蔽性好。能躲过杀毒软件的法眼。这种后门有吗，答案是肯定的，除了专门的病毒以外存在于系统中的隐藏帐户也具有这种特性。

　　隐藏帐户分为两种，一种是简单隐藏，即无法在命令提示符中查看到的隐藏帐户;第二种是完全隐藏，不出现在控制面板的用户帐户中，即使发现了也无法删除，只有通过专业工具才能清除。隐藏帐户一般都具有管理员权限，可以完全控制系统。隐藏帐户的出现一是有可能我们的系统被黑客入侵，黑客为便于下次的登陆便做了隐蔽的后门，也就是我们所说的隐藏帐户，第二就是使用了一些不安全的ghost系统克隆盘，这些光盘的制作者为了达到自己的目的，在系统中做了手脚，建立了隐藏帐户。不管怎么样，系统中存在隐藏帐户肯定不是什么好事。

　　我现在先和大家说说如何隐藏一个帐户。

　　一、普通方法

　　就是在命令提示符中输入命令"net user"，回车后会显示当前系统中存在的帐户，接着我们输入"net user test$ 123456 /add"，回车后显示命令成功完成。即表示已经建立了一个名为"test$"，密码为123456的帐户。

　　再次输入"net user"发现了什么?在显示的结果中，"test$"帐户不存在，但输入"net user test""test$"帐户是存在的。进入控制面板的用户帐户，也能看到"test$"这个隐藏帐户。

　　呵，其实问题就出在帐户后门的"$"符号上，将这个符号放到帐号名后面，就能够实现在命令提示符中隐藏的效果，这就是简单隐藏帐户的方法，但是效果不佳。

　　二、特殊方法

　　建立完全隐藏帐户需要使用我后面给大家提供的第三方的工具，用这个工具建立的隐藏帐户通过一般的方法是删不掉的。

　　对于简单的隐藏帐户删除的方法很简单，在用户帐户中找到隐藏帐户后，直接选择删除即可，或者进入命令提示符输入命令：net user 隐藏帐户名/del 删除用户。

　　如果是完全隐藏的帐户清除则要困难得多，因为他的隐藏性太强，如何发现他的存在都是一个问题，不过还是有破绽可以看得出来的，就是建立了完全隐藏帐户后会取消系统的欢迎界面，这是为了防止Windows XP 用户登陆时发现隐藏的帐户。

　　呵，如果我们发现系统的欢迎界面无缘无故的消失就要提高警惕了。完全帐户的清除也要借助这个"克隆帐户建立/删除"工具。该工具需要在命令提示符中运行。进入文件所在的目录后输入命令：z.exe -l (字母l)这样就能显示系统中所有的简单隐藏和完全隐藏的帐户了，接着输入z.exe -u，工具会提示你输入需要删除的用户名，输入隐藏帐户名并回车就能彻底将其删除了。

Windows 2000 域控制器管理

Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林，进行无限地域扩展。

　　在活动目录中，目录存储只有一种形式，即域控制器（ Domain Controller），包括了完整的域目录的信息。因此，每一个域中必须有一个域控制器，否则域也就不存在了。Windows 2000的活动目录不再有主域控制器和备份域控制器的区别，所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术，称为Update Sequence Numbers (USN)。每个服务器跟踪其复制伙伴的最新USN列表，保证及时更新并且 更新不会有冲突或相互覆盖等。

　　对于用户来说，域控制器管理是最重要的工作。因为域控制器的运行状态直接关系到网络的正常运行。下面就从域与域控制器的关系、设置域控制器属性、查找目录内容、连接到其他域及域控制器等几个方面介绍域控制器的管理。

　　设置域控制器属性

　　在公司网络中，特别是在单域网络中，域控制器是网络正常运作中心，所起到的网络控制作用是非常重要的。因此，用户必须根据网络运行情况合理地设置域控制器的属性。作为管人。下面就来介绍域控制器属性的设置过程。要设置域控制器属性，可参照下面的步骤：

　　1. 选择"开始" |"程序" |"管理工具"|"配置服务器"命令，打开" Windows 2000配置服务器"窗口，单击左边的列表中的

　　Active Directory连接，使右边的窗格中列出相应的内容，然后单击"管理"超级连接，打开Active Directory用户与计算机窗口，如

　　图9 - 1 5所示。

　　2. 在控制台目录树中，单击之后再双击域节点，展开该节点。再单击Domain Computers 子节点，使详细资料窗格中列出相关内容。

在详细资料窗格中，右击要设置属性的域控制器，从弹出的快捷菜单中选择"属性"命令，打开该控制器的"属性"对话框，如图9 - 1 6所示。

　　4. 在"常规"选项卡中，在"描述"文本框中输入对域控制器的一般描述；如果不希望域控制器的可受信任用来作为委派，可禁用"计算机可受信任用来作为委派"复选框。

　　6. 选择如图9 - 1 7所示的"成员属于"选项卡，要添加组，单击"添加"按钮，打开"选择组"对话框为域控制器选择一个要添加的组；要删除某个已经添加的组，在"成员属于"列表框选择该组，然后单击"删除"按钮即可。

　　7. 当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在"成员属于"列表框中选择要设置的主要组，一般为Domain Controllers ，也可为CertPublishers，然后单击"设置主要组"按钮即可。

　　8. 选择如图9 - 18所示的"位置"选项卡，在"位置"文本框中输入域控制器的位置；或者单击"浏览"按钮选择路径。

　　9. 选择如图9 - 1 9所示的"管理人"选项卡，要更改域控制器的管理人，可单击"更改"按钮，打开"选择用户或联系人"对话框，选择新的管理人即可。要删除管理人，可单击"清除"按钮来删除；要查看和修改管理人属性，可单击"查看"按钮，打开该管理人属性对话框来进行操作。

　　10. 域控制器设置完毕，单击"确定"按钮保存设置。

　　查找域控制器目录内容

　　在Windows 2000中，活动目录实际上是一个网络清单，包括网络中的域、域控制器、用户、计算机、联系人、组、组织单元及网络资源等各个方面的信息，使管理员对这些内容的查找更加方便。要查找目录内容，可参照下面的步骤：

　　1. 在"Active Directory用户和计算机"窗口的控制台目录树中，右击域节点，弹出如图9 - 2 0所示的快捷菜单，选择"查找"命令，打开"查找用户联系人及组"对话框，如图9 - 2 1所示。

　　2. 在"查找"下拉列表框中选择要查找的目录内容，包括用户联系人及组、计算机、打印机、共享文件夹、组织单元、自定义搜

路由器等，例如，选择"计算机"选项，这时对话框标题变为"计算机"，如图9 - 2 2所示。

　　3. 在"范围"下拉列表框中选择查找范围，例如，整个目录。在"计算机"选项卡中，设置查找条件。例如，在"计算机"文本框中输入要查找的计算机名;在"所有者"文本框中输入计算机的用户名；在"作用"下拉列表框中选择计算机在网络中作用。

　　4. 单击"高级"选项卡，如图9 - 2 3所示。要设置高级查找条件，单击"字段"按钮，从弹出的快捷菜单中选择设置条件的选项，

　　然后在"条件"下拉列表框和"值"文本框中设置条件。

　　5. 高级条件设置好之后，单击"添加"按钮，将条件添加到下面的文本框中。如果要继续添加高级条件，可按照上面步骤继续添加。

　　6. 所有查找条件设置完毕， 单击"开始查找"按钮即开始查找，并将查找结果列出，如图9 - 2 4所示。

　　7. 查找完毕，单击关闭按钮关闭窗口。

到其他域

　　在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机能访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。

　　要连接到网络中其他域，在控制台目录树中，右击" Active Directory 用户和计算机"根结点，从弹出的快捷菜单中选择"连接到域"命令，打开如图9 - 2 5所示的"连接到域"对话框，在"域"文本框中输入要连接的域的名称；或者单击"浏览"按钮，打开"浏览域"对话框选择要连接的域。要连接的域选择好之后，单击"确定"按钮即可建立连接。

　　更改域控制器

　　虽然一个域的控制器是域网络的中心，一般都能够稳定地运行，但是它也有出现故障的可能，导致域网络不能正常运行。这时，作为管理员的用户必须更改域控制器，以保证网络的正常运作。在Windows 2000中，由于不再区分主域控制器和辅助域控制器，域控制器的更

　　改变得更加简单，用户只须建立当前域与其他任何可写的域控制器的连接即可。

　　要更改域控制器，在控制台目录树中，右击"Active Directory用户和计算机"根站点，从弹出的快捷菜单中选择"连接到域控制器"命令，打开如图9 - 2 6所示的"连接到域控制器"对话框，然后在"更改为"文本框中输入要连接的域控制器；或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器，可选择"任何可写的域控制器"选项，系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后，单击"确定"按钮完成连接。

　　注释 一般情况下，一个域网络中至少应有两个域控制器（一个域控制器和一个附加域控制器），以便在当前域控制器出现故障时，可使用附加域控制器来代替当前域控制器，保证网络的正常运行。