最近几年基本不用网络防火墙和病毒防火墙了，至少不会打开实时监控。在消耗资源的角度上说，杀毒软件本身就是一个病毒。网络防火墙消耗资源相对来说少的多，但是完全可以通过取消对应的服务来达到同样的目的，所以也比较少使用。按照本文对系统的设置，可以在提高系统效率的同时，保证相当的安全性。

　　关闭系统服务

　　Windows系统数十个服务之中，只有少数几个是必须的，下图是我打开的系统服务，我用的是英文版Win2003，上面出了Windows Audio之外，其他服务在WinXP里面都有。

　　其中包括必须的：

　　COM+ Event System（COM+事件通知）

　　Event Log（系统事件记录）

　　Network Connections（除非你不用网络）

　　Plug and Play（即插即用支持）

　　Remote Procedure Call（PRC服务）

　　……

　　这几个是支持Windows系统或软件运行必须的，不做详细解释了。

　　可选的：

　　Windows Management Instrumentation 如果你不常用MMC，可以关掉，关了会影响一些MMC的功能

　　Logical Disk Manager 逻辑磁盘管理，如果关了不会影响磁盘使用，但是不能用Disk Management就不能用了，如果磁盘不常更换（包括可移动磁盘），可以考虑关掉

　　DHCP Client DHCP服务，部分ADSL上网要用到，但是我在学校局域网是固定IP的，所以关掉

　　Cryptographic Services 提供系统兼容性支持，安装部分软件需要它支持（主要是Microsoft的程序，譬如DirectX、SQLServer等，我一般是把驱程和这些软件装完就把它关掉，过桥拆板，呵呵

　　Print Spooler 没打印机的就关掉

　　Windows Installer 没有它就不能安装.MSI的安装文件，譬如清华紫光。我一般一次把软件装完，然后关掉

　　Terminal Services 就是3389啦，以前是开着的，现在不用远程桌面了，已经关掉，建议确实需要开3389也最好改个别的数字

　　……

　　这几个按照需要打开。

　　建议关闭的：

　　另外一些是完全没必要打开的，譬如下面这些，如果你不知道它有什么用，那你肯定不会用到它，如果你知道他有什么用，用的时候打开一下就行了：

　　Removable Registry 远程注册表支持

　　Server 提供IPC连接、默认共享等支持

　　Messenger 信使服务。

　　Error Reporting Server 程序出现错误弹出个发送错误报告到微软的框框，但是微软会鸟我么？

　　……

　　建议按照我的截图开着那些必须开的就可以了（参照第二点看看有没有需要按需打开的服务），就开着这几个服务可以保证还需要慢慢听我在废话的人所使用的几乎全部功能的正常运行。关闭掉其他的默认服务不仅能提高系统运行效率，而且还能阻挡相当一部分的入侵。一台运行着Win98的普通机器，只要不开共享什么的，要让它死机还好办一些，要主动入侵几乎是不可能的，只有被动钓鱼。因此从窃取资料的角度来说，Win98比一台跑在防火墙下的网页、FTP服务器安全得多，没服务嘛。

　　关闭端口

　　按照上一步关闭了服务之后，一些端口已经被自动关闭了，譬如25、23、80、3389等。还有几个端口需要自己关闭的，一个一个来说：

　　1.关闭135端口

　　这个好像网上写的不多，都是推荐通过防火墙规则来阻挡的，斩草除根的办法是用一款16为编辑软件（譬如UltraEdit）打开你系统c:\winnt\system32或者c:\windows\system32下的rpcss.dll文件。查找3100330035，替换为3000300030，然后保存，要另存为，文件是受到Windows保护的，不能直接表春。然后重新启动，用启动盘启动到dos状态下，进入c盘后运行：copy rpcss.dll c:\windows\system32\rpcss.dll，然后重新启动机器，就会发现135端口已经没有了，其实就是把监听的端口从135改到0，以后就不用怕什么冲击波振荡波了，呵呵~~

　　查找3100330035，替换为3000300030

　　2.关闭139端口

　　开始--设置--网络连接--本地连接--属性--internet协议（tcp/ip）--属性--高级--wins--禁用tcp/ip上的netbios--确定--确定--关闭，重新启动电脑后就会发现139已经不再Listening了。关了这个之后就不能用文件和打印共享了。

　　3.关闭445端口

　　修改注册表，添加一个键值

　　Hive: HKEY_LOCAL_MACHINE

　　Key: System\CurrentControlSet\Services\NetBT\Parameters

　　Name: SMBDeviceEnabled

　　Type: REG_DWORD

　　Value: 0

　　关闭危险的COM组件

　　首先是WScript组件 这个东西就是Windows时代的BAT，而且能控制很多Bat无法做到的事情，功能是强大的。但是我在本机上还是把它关掉，用的最多的时候也是在别人的服务器上-_-#。当今中国网络里，WScript最大的贡献已经不是设计者赋予它的本意了，他的功劳是“浏览器主页被修改、被加右键菜单、自动弹出广告、QQ尾巴”……所以还是关了吧，没有这个东西，你怎么看黄色网站也不会被挂上自动弹出广告、被改主页什么的：）

　　卸载方法：

　　1、卸载wscript.shell对象

　　在cmd下运行：regsvr32 WSHom.Ocx /u

　　2、卸载FSO对象

　　在cmd下运行：regsvr32.exe scrrun.dll /u

　　3、卸载stream对象

　　在cmd下运行：

　　regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"

　　恢复的话，去掉/u就行了

　　诸如FSO、Stream，虽然也列为高危组件，不过你关了WScript，又连IIS都没有，这些东西是没什么威胁的，关不关随便啦。

　　反劫持掉不需要的程序

　　劫持听起来挺深奥的，简单的理解就是随着某写东西（被劫持者，譬如系统啦、浏览器啦）启动而一起运行的或可能被触发的程序，看在WinXP和2003免费都自带了的份上，msconfig也算是个不错的东西，能看到大部分自启动的程序（PS：通过策略组启动能瞒过msconfig，但是似乎改策略组自启动的程序不多）和官方、非官方的服务。但是这我们彻底一点，还是用hijackthis，下面是我系统扫描的结果，这个结果对于不同人不同的需要差异就太大了，不过扫描后列出来的都是过滤了系统自身的启动程序，也就是极端一点把他们全部干掉也不会出现系统崩溃，不过可能就某些软件某些功能用不鸟咯。

　　根据需要开关服务程序

　　关了那么多服务，那么多端口，那要用IIS，要开FTP，要用数据库怎么办？还是随用随开的原则吧，如果是Web服务，不是打算运行ASP的，就用Apache一系的网页服务器吧，最好下个ZIP版的，用的时候再Startup，如果是ASP、ASP.NET的，IIS也可以做到随时开关，看我的截图，那两个IIS Start和Stop对应下面的批处理，把IIS Admin等的启动模式设置成Manual(这里别偷懒用iisreset代替，会变成Automatic的)。同理，SQLServer也一样。FTP我索性就用一个78K的小Server解决，反正也就是偶尔给人拉一下东西，要用的时候打开一下，早把Serv-U什么的T到垃圾桶了。

　　做完了上面这一堆工作，如果你的确清楚每步在干什么，那系统的基本能做到物尽其用了，至少比什么优化大师来改注册表来得有效果和针对性得多，系统的安全也能得到保证。