打造最好的安全高效系统

　　查找3100330035，替换为3000300030

　　2.关闭139端口

　　开始--设置--网络连接--本地连接--属性--internet协议（tcp/ip）--属性--高级--wins--禁用tcp/ip上的netbios--确定--确定--关闭，重新启动电脑后就会发现139已经不再Listening了。关了这个之后就不能用文件和打印共享了。

　　3.关闭445端口

　　修改注册表，添加一个键值

　　Hive: HKEY_LOCAL_MACHINE

　　Key: System\CurrentControlSet\Services\NetBT\Parameters

　　Name: SMBDeviceEnabled

　　Type: REG_DWORD

　　Value: 0

　　关闭危险的COM组件

　　首先是WScript组件 这个东西就是Windows时代的BAT，而且能控制很多Bat无法做到的事情，功能是强大的。但是我在本机上还是把它关掉，用的最多的时候也是在别人的服务器上-_-#。当今中国网络里，WScript最大的贡献已经不是设计者赋予它的本意了，他的功劳是“浏览器主页被修改、被加右键菜单、自动弹出广告、QQ尾巴”……所以还是关了吧，没有这个东西，你怎么看黄色网站也不会被挂上自动弹出广告、被改主页什么的：）

　　卸载方法：

　　1、卸载wscript.shell对象

　　在cmd下运行：regsvr32 WSHom.Ocx /u

　　2、卸载FSO对象

　　在cmd下运行：regsvr32.exe scrrun.dll /u

　　3、卸载stream对象

　　在cmd下运行：

　　regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"

　　恢复的话，去掉/u就行了

　　诸如FSO、Stream，虽然也列为高危组件，不过你关了WScript，又连IIS都没有，这些东西是没什么威胁的，关不关随便啦。

　　反劫持掉不需要的程序

　　劫持听起来挺深奥的，简单的理解就是随着某写东西（被劫持者，譬如系统啦、浏览器啦）启动而一起运行的或可能被触发的程序，看在WinXP和2003免费都自带了的份上，msconfig也算是个不错的东西，能看到大部分自启动的程序（PS：通过策略组启动能瞒过msconfig，但是似乎改策略组自启动的程序不多）和官方、非官方的服务。但是这我们彻底一点，还是用hijackthis，下面是我系统扫描的结果，这个结果对于不同人不同的需要差异就太大了，不过扫描后列出来的都是过滤了系统自身的启动程序，也就是极端一点把他们全部干掉也不会出现系统崩溃，不过可能就某些软件某些功能用不鸟咯。

　　根据需要开关服务程序

　　关了那么多服务，那么多端口，那要用IIS，要开FTP，要用数据库怎么办？还是随用随开的原则吧，如果是Web服务，不是打算运行ASP的，就用Apache一系的网页服务器吧，最好下个ZIP版的，用的时候再Startup，如果是ASP、ASP.NET的，IIS也可以做到随时开关，看我的截图，那两个IIS Start和Stop对应下面的批处理，把IIS Admin等的启动模式设置成Manual(这里别偷懒用iisreset代替，会变成Automatic的)。同理，SQLServer也一样。FTP我索性就用一个78K的小Server解决，反正也就是偶尔给人拉一下东西，要用的时候打开一下，早把Serv-U什么的T到垃圾桶了。

　　做完了上面这一堆工作，如果你的确清楚每步在干什么，那系统的基本能做到物尽其用了，至少比什么优化大师来改注册表来得有效果和针对性得多，系统的安全也能得到保证。