计算机概念
来源:互联网 发布:手机像素绘画软件 编辑:程序博客网 时间:2024/06/12 01:26
1.主频
主频也叫时钟频率,单位是MHz,用来表示CPU的运算速度。CPU的主频=外频×倍频系数。很多人认为主频就决定着CPU的运行速度,这不仅是个片面的,而且对于服务器来讲,这个认识也出现了偏差。至今,没有一条确定的公式能够实现主频和实际的运算速度两者之间的数值关系,即使是两大处理器厂家Intel和AMD,在这点上也存在着很大的争议,我们从Intel的产品的发展趋势,可以看出Intel很注重加强自身主频的发展。像其他的处理器厂家,有人曾经拿过一快1G的全美达来做比较,它的运行效率相当于2G的Intel处理器。
所以,CPU的主频与CPU实际的运算能力是没有直接关系的,主频表示在CPU内数字脉冲信号震荡的速度。在Intel的处理器产品中,我们也可以看到这样的例子:1 GHz Itanium芯片能够表现得差不多跟2.66 GHz Xeon/Opteron一样快,或是1.5 GHz Itanium 2大约跟4 GHz Xeon/Opteron一样快。CPU的运算速度还要看CPU的流水线的各方面的性能指标。
当然,主频和实际的运算速度是有关的,只能说主频仅仅是CPU性能表现的一个方面,而不代表CPU的整体性能。
2.外频
外频是CPU的基准频率,单位也是MHz。CPU的外频决定着整块主板的运行速度。说白了,在台式机中,我们所说的超频,都是超CPU的外频(当然一般情况下,CPU的倍频都是被锁住的)相信这点是很好理解的。但对于服务器CPU来讲,超频是绝对不允许的。前面说到CPU决定着主板的运行速度,两者是同步运行的,如果把服务器CPU超频了,改变了外频,会产生异步运行,(台式机很多主板都支持异步运行)这样会造成整个服务器系统的不稳定。
目前的绝大部分电脑系统中外频也是内存与主板之间的同步运行的速度,在这种方式下,可以理解为CPU的外频直接与内存相连通,实现两者间的同步运行状态。外频与前端总线(FSB)频率很容易被混为一谈,下面的前端总线介绍我们谈谈两者的区别。
3.前端总线(FSB)频率
前端总线(FSB)频率(即总线频率)是直接影响CPU与内存直接数据交换速度。有一条公式可以计算,即数据带宽=(总线频率×数据带宽)/8,数据传输最大带宽取决于所有同时传输的数据的宽度和传输频率。比方,现在的支持64位的至强Nocona,前端总线是800MHz,按照公式,它的数据传输最大带宽是6.4GB/秒。
外频与前端总线(FSB)频率的区别:前端总线的速度指的是数据传输的速度,外频是CPU与主板之间同步运行的速度。也就是说,100MHz外频特指数字脉冲信号在每秒钟震荡一千万次;而100MHz前端总线指的是每秒钟CPU可接受的数据传输量是100MHz×64bit÷8Byte/bit=800MB/s。
其实现在“HyperTransport”构架的出现,让这种实际意义上的前端总线(FSB)频率发生了变化。之前我们知道IA-32架构必须有三大重要的构件:内存控制器Hub (MCH) ,I/O控制器Hub和PCI Hub,像Intel很典型的芯片组 Intel 7501、Intel7505芯片组,为双至强处理器量身定做的,它们所包含的MCH为CPU提供了频率为533MHz的前端总线,配合DDR内存,前端总线带宽可达到4.3GB/秒。但随着处理器性能不断提高同时给系统架构带来了很多问题。而“HyperTransport”构架不但解决了问题,而且更有效地提高了总线带宽,比方AMD Opteron处理器,灵活的HyperTransport I/O总线体系结构让它整合了内存控制器,使处理器不通过系统总线传给芯片组而直接和内存交换数据。这样的话,前端总线(FSB)频率在AMD Opteron处理器就不知道从何谈起了。
4、CPU的位和字长
位:在数字电路和电脑技术中采用二进制,代码只有“0”和“1”,其中无论是 “0”或是“1”在CPU中都是 一“位”。
字长:电脑技术中对CPU在单位时间内(同一时间)能一次处理的二进制数的位数叫字长。所以能处理字长为8位数据的CPU通常就叫8位的CPU。同理32位的CPU就能在单位时间内处理字长为32位的二进制数据。字节和字长的区别:由于常用的英文字符用8位二进制就可以表示,所以通常就将8位称为一个字节。字长的长度是不固定的,对于不同的CPU、字长的长度也不一样。8位的CPU一次只能处理一个字节,而32位的CPU一次就能处理4个字节,同理字长为64位的CPU一次可以处理8个字节。
5.倍频系数
倍频系数是指CPU主频与外频之间的相对比例关系。在相同的外频下,倍频越高CPU的频率也越高。但实际上,在相同外频的前提下,高倍频的CPU本身意义并不大。这是因为CPU与系统之间数据传输速度是有限的,一味追求高倍频而得到高主频的CPU就会出现明显的“瓶颈”效应—CPU从系统中得到数据的极限速度不能够满足CPU运算的速度。一般除了工程样版的Intel的CPU都是锁了倍频的,而AMD之前都没有锁。
6.缓存
缓存大小也是CPU的重要指标之一,而且缓存的结构和大小对CPU速度的影响非常大,CPU内缓存的运行频率极高,一般是和处理器同频运作,工作效率远远大于系统内存和硬盘。实际工作时,CPU往往需要重复读取同样的数据块,而缓存容量的增大,可以大幅度提升CPU内部读取数据的命中率,而不用再到内存或者硬盘上寻找,以此提高系统性能。但是由于CPU芯片面积和成本的因素来考虑,缓存都很小。
L1 Cache(一级缓存)是CPU第一层高速缓存,分为数据缓存和指令缓存。内置的L1高速缓存的容量和结构对CPU的性能影响较大,不过高速缓冲存储器均由静态RAM组成,结构较复杂,在CPU管芯面积不能太大的情况下,L1级高速缓存的容量不可能做得太大。一般服务器CPU的L1缓存的容量通常在32—256KB。
L2 Cache(二级缓存)是CPU的第二层高速缓存,分内部和外部两种芯片。内部的芯片二级缓存运行速度与主频相同,而外部的二级缓存则只有主频的一半。L2高速缓存容量也会影响CPU的性能,原则是越大越好,现在家庭用CPU容量最大的是512KB,而服务器和工作站上用CPU的L2高速缓存更高达256-1MB,有的高达2MB或者3MB。
L3 Cache(三级缓存),分为两种,早期的是外置,现在的都是内置的。而它的实际作用即是,L3缓存的应用可以进一步降低内存延迟,同时提升大数据量计算时处理器的性能。降低内存延迟和提升大数据量计算能力对游戏都很有帮助。而在服务器领域增加L3缓存在性能方面仍然有显著的提升。比方具有较大L3缓存的配置利用物理内存会更有效,故它比较慢的磁盘I/O子系统可以处理更多的数据请求。具有较大L3缓存的处理器提供更有效的文件系统缓存行为及较短消息和处理器队列长度。
其实最早的L3缓存被应用在AMD发布的K6-III处理器上,当时的L3缓存受限于制造工艺,并没有被集成进芯片内部,而是集成在主板上。在只能够和系统总线频率同步的L3缓存同主内存其实差不了多少。后来使用L3缓存的是英特尔为服务器市场所推出的Itanium处理器。接着就是P4EE和至强MP。Intel还打算推出一款9MB L3缓存的Itanium2处理器,和以后24MB L3缓存的双核心Itanium2处理器。
但基本上L3缓存对处理器的性能提高显得不是很重要,比方配备1MB L3缓存的Xeon MP处理器却仍然不是Opteron的对手,由此可见前端总线的增加,要比缓存增加带来更有效的性能提升。
7.CPU扩展指令集
CPU依靠指令来计算和控制系统,每款CPU在设计时就规定了一系列与其硬件电路相配合的指令系统。指令的强弱也是CPU的重要指标,指令集是提高微处理器效率的最有效工具之一。从现阶段的主流体系结构讲,指令集可分为复杂指令集和精简指令集两部分,而从具体运用看,如Intel的MMX(Multi Media Extended)、SSE、 SSE2(Streaming-Single instruction multiple data-Extensions 2)、SEE3和AMD的3DNow!等都是CPU的扩展指令集,分别增强了CPU的多媒体、图形图象和Internet等的处理能力。我们通常会把CPU的扩展指令集称为"CPU的指令集"。SSE3指令集也是目前规模最小的指令集,此前MMX包含有57条命令,SSE包含有50条命令,SSE2包含有144条命令,SSE3包含有13条命令。目前SSE3也是最先进的指令集,英特尔Prescott处理器已经支持SSE3指令集,AMD会在未来双核心处理器当中加入对SSE3指令集的支持,全美达的处理器也将支持这一指令集。
8.CPU内核和I/O工作电压
从586CPU开始,CPU的工作电压分为内核电压和I/O电压两种,通常CPU的核心电压小于等于I/O电压。其中内核电压的大小是根据CPU的生产工艺而定,一般制作工艺越小,内核工作电压越低;I/O电压一般都在1.6~5V。低电压能解决耗电过大和发热过高的问题。
9.制造工艺
制造工艺的微米是指IC内电路与电路之间的距离。制造工艺的趋势是向密集度愈高的方向发展。密度愈高的IC电路设计,意味着在同样大小面积的IC中,可以拥有密度更高、功能更复杂的电路设计。现在主要的180nm、130nm、90nm。最近官方已经表示有65nm的制造工艺了。
10.指令集
(1)CISC指令集
CISC指令集,也称为复杂指令集,英文名是CISC,(Complex Instruction Set Computer的缩写)。在CISC微处理器中,程序的各条指令是按顺序串行执行的,每条指令中的各个操作也是按顺序串行执行的。顺序执行的优点是控制简单,但计算机各部分的利用率不高,执行速度慢。其实它是英特尔生产的x86系列(也就是IA-32架构)CPU及其兼容CPU,如AMD、VIA的。即使是现在新起的X86-64(也被成AMD64)都是属于CISC的范畴。
要知道什么是指令集还要从当今的X86架构的CPU说起。X86指令集是Intel为其第一块16位CPU(i8086)专门开发的,IBM1981年推出的世界第一台PC机中的CPU—i8088(i8086简化版)使用的也是X86指令,同时电脑中为提高浮点数据处理能力而增加了X87芯片,以后就将X86指令集和X87指令集统称为X86指令集。
虽然随着CPU技术的不断发展,Intel陆续研制出更新型的i80386、i80486直到过去的PII至强、PIII至强、Pentium 3,最后到今天的Pentium 4系列、至强(不包括至强Nocona),但为了保证电脑能继续运行以往开发的各类应用程序以保护和继承丰富的软件资源,所以Intel公司所生产的所有CPU仍然继续使用X86指令集,所以它的CPU仍属于X86系列。由于Intel X86系列及其兼容CPU(如AMD Athlon MP、)都使用X86指令集,所以就形成了今天庞大的X86系列及兼容CPU阵容。x86CPU目前主要有intel的服务器CPU和AMD的服务器CPU两类。
(2)RISC指令集
RISC是英文“Reduced Instruction Set Computing ” 的缩写,中文意思是“精简指令集”。它是在CISC指令系统基础上发展起来的,有人对CISC机进行测试表明,各种指令的使用频度相当悬殊,最常使用的是一些比较简单的指令,它们仅占指令总数的20%,但在程序中出现的频度却占80%。复杂的指令系统必然增加微处理器的复杂性,使处理器的研制时间长,成本高。并且复杂指令需要复杂的操作,必然会降低计算机的速度。基于上述原因,20世纪80年代RISC型CPU诞生了,相对于CISC型CPU ,RISC型CPU不仅精简了指令系统,还采用了一种叫做“超标量和超流水线结构”,大大增加了并行处理能力。RISC指令集是高性能CPU的发展方向。它与传统的CISC(复杂指令集)相对。相比而言,RISC的指令格式统一,种类比较少,寻址方式也比复杂指令集少。当然处理速度就提高很多了。目前在中高档服务器中普遍采用这一指令系统的CPU,特别是高档服务器全都采用RISC指令系统的CPU。RISC指令系统更加适合高档服务器的操作系统UNIX,现在Linux也属于类似UNIX的操作系统。RISC型CPU与Intel和AMD的CPU在软件和硬件上都不兼容。
目前,在中高档服务器中采用RISC指令的CPU主要有以下几类:PowerPC处理器、SPARC处理器、PA-RISC处理器、MIPS处理器、Alpha处理器。
(3)IA-64
EPIC(Explicitly Parallel Instruction Computers,精确并行指令计算机)是否是RISC和CISC体系的继承者的争论已经有很多,单以EPIC体系来说,它更像Intel的处理器迈向RISC体系的重要步骤。从理论上说,EPIC体系设计的CPU,在相同的主机配置下,处理Windows的应用软件比基于Unix下的应用软件要好得多。
Intel采用EPIC技术的服务器CPU是安腾Itanium(开发代号即Merced)。它是64位处理器,也是IA-64系列中的第一款。微软也已开发了代号为Win64的操作系统,在软件上加以支持。在Intel采用了X86指令集之后,它又转而寻求更先进的64-bit微处理器,Intel这样做的原因是,它们想摆脱容量巨大的x86架构,从而引入精力充沛而又功能强大的指令集,于是采用EPIC指令集的IA-64架构便诞生了。IA-64 在很多方面来说,都比x86有了长足的进步。突破了传统IA32架构的许多限制,在数据的处理能力,系统的稳定性、安全性、可用性、可观理性等方面获得了突破性的提高。
IA-64微处理器最大的缺陷是它们缺乏与x86的兼容,而Intel为了IA-64处理器能够更好地运行两个朝代的软件,它在IA-64处理器上(Itanium、Itanium2 ……)引入了x86-to-IA-64的解码器,这样就能够把x86指令翻译为IA-64指令。这个解码器并不是最有效率的解码器,也不是运行x86代码的最好途径(最好的途径是直接在x86处理器上运行x86代码),因此Itanium 和Itanium2在运行x86应用程序时候的性能非常糟糕。这也成为X86-64产生的根本原因。
(4)X86-64 (AMD64 / EM64T)
AMD公司设计,可以在同一时间内处理64位的整数运算,并兼容于X86-32架构。其中支持64位逻辑定址,同时提供转换为32位定址选项;但数据操作指令默认为32位和8位,提供转换成64位和16位的选项;支持常规用途寄存器,如果是32位运算操作,就要将结果扩展成完整的64位。这样,指令中有“直接执行”和“转换执行”的区别,其指令字段是8位或32位,可以避免字段过长。
x86-64(也叫AMD64)的产生也并非空穴来风,x86处理器的32bit寻址空间限制在4GB内存,而IA-64的处理器又不能兼容x86。AMD充分考虑顾客的需求,加强x86指令集的功能,使这套指令集可同时支持64位的运算模式,因此AMD把它们的结构称之为x86-64。在技术上AMD在x86-64架构中为了进行64位运算,AMD为其引入了新增了R8-R15通用寄存器作为原有X86处理器寄存器的扩充,但在而在32位环境下并不完全使用到这些寄存器。原来的寄存器诸如EAX、EBX也由32位扩张至64位。在SSE单元中新加入了8个新寄存器以提供对SSE2的支持。寄存器数量的增加将带来性能的提升。与此同时,为了同时支持32和64位代码及寄存器,x86-64架构允许处理器工作在以下两种模式:Long Mode(长模式)和Legacy Mode(遗传模式),Long模式又分为两种子模式(64bit模式和Compatibility mode兼容模式)。该标准已经被引进在AMD服务器处理器中的Opteron处理器。
而今年也推出了支持64位的EM64T技术,再还没被正式命为EM64T之前是IA32E,这是英特尔64位扩展技术的名字,用来区别X86指令集。Intel的EM64T支持64位sub-mode,和AMD的X86-64技术类似,采用64位的线性平面寻址,加入8个新的通用寄存器(GPRs),还增加8个寄存器支持SSE指令。与AMD相类似,Intel的64位技术将兼容IA32和IA32E,只有在运行64位操作系统下的时候,才将会采用IA32E。IA32E将由2个sub-mode组成:64位sub-mode和32位sub-mode,同AMD64一样是向下兼容的。Intel的EM64T将完全兼容AMD的X86-64技术。现在Nocona处理器已经加入了一些64位技术,Intel的Pentium 4E处理器也支持64位技术。
应该说,这两者都是兼容x86指令集的64位微处理器架构,但EM64T与AMD64还是有一些不一样的地方,AMD64处理器中的NX位在Intel的处理器中将没有提供。
11.超流水线与超标量
在解释超流水线与超标量前,先了解流水线(pipeline)。流水线是Intel首次在486芯片中开始使用的。流水线的工作方式就象工业生产上的装配流水线。在CPU中由5—6个不同功能的电路单元组成一条指令处理流水线,然后将一条X86指令分成5—6步后再由这些电路单元分别执行,这样就能实现在一个CPU时钟周期完成一条指令,因此提高CPU的运算速度。经典奔腾每条整数流水线都分为四级流水,即指令预取、译码、执行、写回结果,浮点流水又分为八级流水。
超标量是通过内置多条流水线来同时执行多个处理器,其实质是以空间换取时间。而超流水线是通过细化流水、提高主频,使得在一个机器周期内完成一个甚至多个操作,其实质是以时间换取空间。例如Pentium 4的流水线就长达20级。将流水线设计的步(级)越长,其完成一条指令的速度越快,因此才能适应工作主频更高的CPU。但是流水线过长也带来了一定副作用,很可能会出现主频较高的CPU实际运算速度较低的现象,Intel的奔腾4就出现了这种情况,虽然它的主频可以高达1.4G以上,但其运算性能却远远比不上AMD 1.2G的速龙甚至奔腾III。
12.封装形式
CPU封装是采用特定的材料将CPU芯片或CPU模块固化在其中以防损坏的保护措施,一般必须在封装后CPU才能交付用户使用。CPU的封装方式取决于CPU安装形式和器件集成设计,从大的分类来看通常采用Socket插座进行安装的CPU使用PGA(栅格阵列)方式封装,而采用Slot x槽安装的CPU则全部采用SEC(单边接插盒)的形式封装。现在还有PLGA(Plastic Land Grid Array)、OLGA(Organic Land Grid Array)等封装技术。由于市场竞争日益激烈,目前CPU封装技术的发展方向以节约成本为主。
13、多线程
同时多线程Simultaneous multithreading,简称SMT。SMT可通过复制处理器上的结构状态,让同一个处理器上的多个线程同步执行并共享处理器的执行资源,可最大限度地实现宽发射、乱序的超标量处理,提高处理器运算部件的利用率,缓和由于数据相关或Cache未命中带来的访问内存延时。当没有多个线程可用时,SMT处理器几乎和传统的宽发射超标量处理器一样。SMT最具吸引力的是只需小规模改变处理器核心的设计,几乎不用增加额外的成本就可以显著地提升效能。多线程技术则可以为高速的运算核心准备更多的待处理数据,减少运算核心的闲置时间。这对于桌面低端系统来说无疑十分具有吸引力。Intel从3.06GHz Pentium 4开始,所有处理器都将支持SMT技术。
14、多核心
多核心,也指单芯片多处理器(Chip multiprocessors,简称CMP)。CMP是由美国斯坦福大学提出的,其思想是将大规模并行处理器中的SMP(对称多处理器)集成到同一芯片内,各个处理器并行执行不同的进程。与CMP比较, SMT处理器结构的灵活性比较突出。但是,当半导体工艺进入0.18微米以后,线延时已经超过了门延迟,要求微处理器的设计通过划分许多规模更小、局部性更好的基本单元结构来进行。相比之下,由于CMP结构已经被划分成多个处理器核来设计,每个核都比较简单,有利于优化设计,因此更有发展前途。目前,IBM 的Power 4芯片和Sun的 MAJC5200芯片都采用了CMP结构。多核处理器可以在处理器内部共享缓存,提高缓存利用率,同时简化多处理器系统设计的复杂度。
2005年下半年,Intel和AMD的新型处理器也将融入CMP结构。新安腾处理器开发代码为Montecito,采用双核心设计,拥有最少18MB片内缓存,采取90nm工艺制造,它的设计绝对称得上是对当今芯片业的挑战。它的每个单独的核心都拥有独立的L1,L2和L3 cache,包含大约10亿支晶体管。
15、SMP
SMP(Symmetric Multi-Processing),对称多处理结构的简称,是指在一个计算机上汇集了一组处理器(多CPU),各CPU之间共享内存子系统以及总线结构。在这种技术的支持下,一个服务器系统可以同时运行多个处理器,并共享内存和其他的主机资源。像双至强,也就是我们所说的二路,这是在对称处理器系统中最常见的一种(至强MP可以支持到四路,AMD Opteron可以支持1-8路)。也有少数是16路的。但是一般来讲,SMP结构的机器可扩展性较差,很难做到100个以上多处理器,常规的一般是8个到16个,不过这对于多数的用户来说已经够用了。在高性能服务器和工作站级主板架构中最为常见,像UNIX服务器可支持最多256个CPU的系统。
构建一套SMP系统的必要条件是:支持SMP的硬件包括主板和CPU;支持SMP的系统平台,再就是支持SMP的应用软件。
为了能够使得SMP系统发挥高效的性能,操作系统必须支持SMP系统,如WINNT、LINUX、以及UNIX等等32位操作系统。即能够进行多任务和多线程处理。多任务是指操作系统能够在同一时间让不同的CPU完成不同的任务;多线程是指操作系统能够使得不同的CPU并行的完成同一个任务。
要组建SMP系统,对所选的CPU有很高的要求,首先、CPU内部必须内置APIC(Advanced Programmable Interrupt Controllers)单元。Intel 多处理规范的核心就是高级可编程中断控制器(Advanced Programmable Interrupt Controllers--APICs)的使用;再次,相同的产品型号,同样类型的CPU核心,完全相同的运行频率;最后,尽可能保持相同的产品序列编号,因为两个生产批次的CPU作为双处理器运行的时候,有可能会发生一颗CPU负担过高,而另一颗负担很少的情况,无法发挥最大性能,更糟糕的是可能导致死机。
16、NUMA技术
NUMA即非一致访问分布共享存储技术,它是由若干通过高速专用网络连接起来的独立节点构成的系统,各个节点可以是单个的CPU或是SMP系统。在NUMA中,Cache 的一致性有多种解决方案,需要操作系统和特殊软件的支持。图2中是Sequent公司NUMA系统的例子。这里有3个SMP模块用高速专用网络联起来,组成一个节点,每个节点可以有12个CPU。像Sequent的系统最多可以达到64个CPU甚至256个CPU。显然,这是在SMP的基础上,再用NUMA的技术加以扩展,是这两种技术的结合。
17、乱序执行技术
乱序执行(out-of-orderexecution),是指CPU允许将多条指令不按程序规定的顺序分开发送给各相应电路单元处理的技术。这样将根据个电路单元的状态和各指令能否提前执行的具体情况分析后,将能提前执行的指令立即发送给相应电路单元执行,在这期间不按规定顺序执行指令,然后由重新排列单元将各执行单元结果按指令顺序重新排列。采用乱序执行技术的目的是为了使CPU内部电路满负荷运转并相应提高了CPU的运行程序的速度。分枝技术:(branch)指令进行运算时需要等待结果,一般无条件分枝只需要按指令顺序执行,而条件分枝必须根据处理后的结果,再决定是否按原先顺序进行。
18、CPU内部的内存控制器
许多应用程序拥有更为复杂的读取模式(几乎是随机地,特别是当cache hit不可预测的时候),并且没有有效地利用带宽。典型的这类应用程序就是业务处理软件,即使拥有如乱序执行(out of order execution)这样的CPU特性,也会受内存延迟的限制。这样CPU必须得等到运算所需数据被除数装载完成才能执行指令(无论这些数据来自CPU cache还是主内存系统)。当前低段系统的内存延迟大约是120-150ns,而CPU速度则达到了3GHz以上,一次单独的内存请求可能会浪费200-300次CPU循环。即使在缓存命中率(cache hit rate)达到99%的情况下,CPU也可能会花50%的时间来等待内存请求的结束- 比如因为内存延迟的缘故。
你可以看到Opteron整合的内存控制器,它的延迟,与芯片组支持双通道DDR内存控制器的延迟相比来说,是要低很多的。英特尔也按照计划的那样在处理器内部整合内存控制器,这样导致北桥芯片将变得不那么重要。但改变了处理器访问主存的方式,有助于提高带宽、降低内存延时和提升处理器性能
玩转windowsxp
一:Windows XP任务栏假死的解决方法
使用Windows XP操作系统的用户,都遇到过这样的现象:操作过程中想在任务栏中切换窗口时,忽然发现点击任务栏中的图标没有任何反应了,就像系统死机一样,这就是Windows XP中常见的任务栏失去响应,又被称为“任务栏假死现象”。我们可以用下面的方法解决它。
1. 禁用高级文字服务
Windows XP的“高级文字服务”包括了语音、手写和中文键盘输入服务,我们常用的输入法在Windows XP中也被归入高级文字服务。但是某些服务,如手写或语音功能可能与某些软件存在冲突,最明显的反应就是任务栏失去响应。例如我们清除文档记录点击“确定”或者打开多个IE快速关闭时,任务栏假死现象就很可能发生。
其实高级文字服务中的语音、手写功能使用的人并不多,我们完全可以将其关闭。打开“控制面板”,点击“切换到经典视图”,双击“区域和语言选项”,在对话框中点击“语言”标签,再单击“详细信息”按钮,在打开的“文字服务和输入语言”对话框中点击“语言栏”,选中“关闭高级文字服务”选项后保存设置即可。
由于中文输入法也属于高级文字服务的一部分,因此关闭服务后导致的结果就是输入法切换栏消失,我们就只能用快捷键“Ctrl+Shift”来切换输入法了。
2. 关掉视觉特效并使用经典开始菜单
有些时候的任务栏假死有可能和视觉特效有关,例如在快速关闭多个IE时产生的任务栏假死。这时我们可以在桌面“我的电脑”图标上单击鼠标右键,选择“属性”,点击“高级”标签,单击“性能”区中的“设置”按钮,在打开的“性能选项”对话框中选择“调整为最佳性能”,把所有特效关闭后保存退出。然后在“开始”按钮上点击右键,选择“属性”,选择“经典开始菜单”选项后点击“确定”保存。
3. 通过“分组相似任务栏按钮”可以有效解决任务栏假死现象。可惜很多人并不喜欢这项功能(切换一个任务要点击两次按钮)而把它关闭了,其实我们只要再启用它即可。方法很简单:右键单击任务栏空白处,在弹出的菜单中选择“属性”,然后在“任务栏属性”窗口中选中“分组相似任务栏按钮”复选框。因为按钮占用任务栏的空间小了,相对没有那么拥挤,当然就不会互相“打架”了。笔者原来最多的时候平均每小时都会假死一次,现在即使连续用几个小时也没事。
虽然这招很管用,但毕竟是治标不治本。那么有没有彻底的解决办法呢?其实微软已经发布了任务栏假死的补丁,笔者使用之后再也没有出现假死现象,可以说这个问题已经得到彻底解决。下载地址:www.ccidnet.com/soft/cce,大小为241KB,适用于Windows XP中文版。
Fanxiaolin 2005-09-13 15:13
二:让WinXP自行修复故障
故障恢复控制台是Windows 2000/XP/2003中专用于修复系统的工具,它可以启用和禁用服务、格式化驱动器、在本地驱动器上读写数据(包括被格式化为 NTFS 文件系统的驱动器),并执行许多其他管理任务,是我们连Windows 2000/XP/2003安全模式都无法进入时修复系统的“法宝”。
1. 使用故障恢复控制台
计算机启动时选择“Microsoft Windows Recovery Console”(即故障恢复控制台)后,当系统给出提示时,输入管理员(Administrator)密码。然后在系统提示符下,键入“Recovery Console”命令。输入“help”可得到一列命令名称,输入“help 命令名称”可得到指定命令的帮助。
在故障控制台中,我们可以使用Attrib、Batch、Bootcfg、ChDir (CD)、Chkdsk、Cls、Copy、Delete (Del)、Dir、Disable、Format、Diskpart、Enable、Expand 、Fixmbr、 Fixboot 等命令,对计算机出现的各种问题进行修复。
2. 实用命令介绍
显然,故障恢复控制台中的很多命令是我们已经很熟悉的,在此不再赘述。下面为大家介绍一般用户平时不常使用的命令,利用它们,我们可以轻松地完成许多系统维护工作。本期的“老树新花说DOS③”,介绍了可以在故障恢复控制台中使用的Expand、Rmdir命令。
①Diskpart
作用:创建和删除硬盘驱动器上的分区。
语法:Diskpart [/add /delete] [device_name drive_name partition_name] [size]
参数:如果不带任何参数,将启动 Diskpart 的 Windows 字符模式版本。
/add——创建新的分区;
/delete——删除现有分区;
drive_name——以驱动器号表示的待删除分区,仅与“/delete”同时使用,如“E:”;
partition_name——以分区名称表示的待删除分区,可代替“drive_name”,使用(仅与“/delete”同时使用);
size——要创建的分区大小,以兆字节(MB)表示,仅与“/add ”同时使用。
实例:
删除F分区——diskpart /delete F:
创建一个200MB 的分区——diskpart /add DeviceHardDisk0 200
②Fixboot
作用:将新的分区引导扇区写到指定分区。
语法:Fixboot [drive]
参数:如果不带任何参数,Fixboot 命令将向用户登录的系统分区写入新的分区引导扇区。 如果系统检测到无效或非标准分区表标记,将提示用户是否继续执行该命令,除非你访问的驱动器有问题,否则不要继续进行。向系统分区写入新的主引导记录可能破坏分区表并导致分区无法访问。
实例:向驱动器D的系统分区写入新的分区引导扇区——Fixboot D:
3. 删除故障恢复控制台
虽然故障恢复控制台很好用,但如果你不喜欢它了,可以手工将它删除。方法是:
打开“我的电脑”,双击安装了故障恢复控制台的硬盘驱动器,假设为C盘。单击“工具→文件夹选项”,选择“查看”选项卡,选中“显示所有文件和文件夹”选项前的复选框,清空“隐藏受保护的操作系统文件”选项前的复选框,“确定”后退出。
现在进入C盘根目录,删除“Cmdcons”文件夹、Cmldr 文件。右键单击 Boot.ini 文件,选择“属性”,在打开的窗口中清除“只读”复选框,“确定”退出。再用“记事本”中打开 Boot.ini 文件,删除故障恢复控制台的条目(一般是“C:cmdconsbootsect.dat="Microsoft Windows Recovery Console"/cmdcons”),保存文件后关闭,最后再恢复Boot.ini文件的只读属性即可。
Fanxiaolin 2005-09-13 15:17
三:为什么winxp的磁盘空间会不断减少
问:最近有一个很奇怪的问题就是在使用Windows XP时发现,随着不断地增加、删除应用程序,磁盘可用空间不断减少,这是为什么?如何解决这个问题呢?希望给予解答。
答:微软从Windows Me开始,在每个硬盘分区中建立一个“System Volume Information”文件夹,实际就是我们常说的系统还原。你每次对硬盘进行操作,就会在这个文件夹里面添加一些文件,随着时间的增加,这个文件夹的容量会越来越大。根据小新以往的经验来看,这个系统还原的实际功能不是很大,最简单的方法就是关闭“系统还原”功能,这样你的硬盘的空间就不会再减少(图)。这里要提醒你一点的是如果要删除这个文件夹中保存的文件,必须要以Administrator(管理员)身份登录系统才可以。
Fanxiaolin 2005-09-13 15:25
五:为Windows XP添加快速启动项
习惯使用Windows 9x的用户都知道在任务栏中有快速启动项,如“启动IE”、“显示桌面”等。但是当我们安装Windows XP以后,你就会发现在任务栏中没有任何的快速启动项,使用起来很是不方便,我们可以通过以下的方法添加快速启动项。
1、 添加“显示桌面”项
依次单击“开始→设置→控制面板→任务栏和开始菜单”,在“任务栏和开始菜单属性”窗口中,将“显示快速启动”选项打上勾,“显示桌面”项就会出现在任务栏中了。
2、添加其他快速启动项
如果我们需要把其他应用程序添加到任务栏中,如“Word XP”、“ACDSee”等,实现快速启动程序,有两个方法可以做到。
(1)首先要在桌面上创建程序的快捷方式,单击快捷方式,然后拖动快捷方式图标到任务栏中快速启动图标的附近,当所拖动的图标旁出现插入的标记时,松开鼠标,程序便会添加到快速启动项中。
(2)先在桌面上创建程序快捷方式,在其快捷方式图标上单击鼠标右键,选择“复制”命令,然后打开Windows XP的安装目录(如果安装在C盘的话,默认在C:\Documents and Settings\***\Application Data\Microsoft\Internet Explorer\Quick Launch的窗口中,***是指你本人登录时中的用户名),执行“粘贴”命令,同样可以将程序添加到快速启动项中。
如果需要从任务栏中删除某个快速启动项,只要在其上单击鼠标右键,然后选择“删除”命令,就会去掉这个快速启动项。
Fanxiaolin 2005-09-13 15:53
七:怎样在Windows XP Pro中用好磁盘配额
Windows 2000/XP都具有磁盘配额功能。只要启用了磁盘配额,你就可以在每一个硬盘分区中限制任意一个用户或者组的最大磁盘使用容量,任何时候的任何用户都不可能超出分配给他的配额。下面以Windows XP Professional为例,来看看究竟如何使用磁盘配额。
使用磁盘配额除了对操作系统的要求之外,你必须具有Administrator权限,而且所配置的分区必须用NTFS文件系统进行格式化。
若要设置配额,打开“我的电脑”,右键单击要为其启用磁盘配额的磁盘分区,然后单击“属性”,在“属性”对话框中,单击“配额”选项卡。在“配额属性”页上,选中“启用配额管理”复选框,然后单击“应用”。此时磁盘配额功能已经启用,但是这时的设置不会限制任何用户的磁盘使用。这时需要配置4个复选选项(其中3、4两个选项是普通用户不经常使用的,在此不多介绍),以下介绍1、2两个选项:
1.拒绝将磁盘空间分配给超过配额限制的用户
超过其配额限制的用户将收到“磁盘空间不足”的提示,如果不先从该分区删除或移动一些现有文件,将无法再向其中写入其他数据。只有选择这个选项,才能起到磁盘容量限制的作用。
2.制定磁盘空间限制
输入允许分区的新用户使用的磁盘空间容量。可以使用小数数值(例如,20.5)。对于磁盘空间和警告等级,请从下拉列表中选择合适的单位(例如,KB、MB、GB等)。
完成以上配置后,在此页面上还有个选项叫配额项。打开后,你会发现这里默认有管理员用户,而且限制为0,此时你可以单击“配额/新建配额项”,在“高级/查找”中你可以找到在本机上所有的用户和组,选择要限制磁盘配额的用户和组,单击[OK],这时出现了一个新的对话框,在这里你可以再一次配置对这次选择的用户的磁盘配额限制。最后单击[OK],这时又回到刚才的配额项列表处,这时列表中会增加一条记录,是你刚刚配置的那一条,验证无误后关闭对话框。此时磁盘配额设置全部完成。你可以重复以上操作,添加新的配额项。
最后提醒一点,磁盘配额基于文件的所有权,而与用户的文件在分区中的文件夹位置无关。例如,如果一个用户创建一个200KB的文件,而另一个用户取得该文件的所有权,则第一个用户使用的磁盘空间减少200KB,第二个用户使用的磁盘空间增加200KB。
Fanxiaolin 2005-09-13 16:08
十:解除Windows XP的文件共享限制
在安装了Windows XP的计算机上,即使网络连接和共享设置正确(如IP地址属于同一子网,启用了TCP/IP上的NetBIOS,防火墙软件没有禁止文件共享需要的135、137、138、139等端口),使用其他系统(包括Windows 9X/Me/2000/XP等)的用户仍然无法访问该计算机。我们应该怎样解决这一问题呢?
默认情况下,Windows XP的本地安全设置要求进行网络访问的用户全部采用来宾方式。同时,在Windows XP安全策略的用户权利指派中又禁止Guest用户通过网络访问系统。这样两条相互矛盾的安全策略导致了网内其他用户无法通过网络访问使用Windows XP的计算机。你可采用以下方法解决。
方法一 解除对Guest账号的限制
点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略(见图),删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。
方法二 更改网络访问模式
打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾—本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。
现在,当其他用户通过网络访问使用Windows XP的计算机时,就可以用自己的“身份”进行登录了(前提是Windows XP中已有这个账号并且口令是正确的)。
当该策略改变后,文件的共享方式也有所变化,在启用“经典:本地用户以自己的身份验证”方式后,我们可以对同时访问共享文件的用户数量进行限制,并能针对不同用户设置不同的访问权限。
不过我们可能还会遇到另外一个问题,当用户的口令为空时,访问还是会被拒绝。原来在“安全选项”中有一个“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。
Fanxiaolin 2005-09-13 16:29
十二:构建安全稳固的Windows2000/XP操作系统
“安”出来的精彩
1.尽量安装英文版的操作系统
如果只是为了提高操作系统的安全性,笔者强烈推荐大家安装英文原版Windows,因为当一个新漏洞被发现后,通常是英文版的漏洞补丁先行,其他语言版本的补丁要滞后一段时间。这段时间也许就能决定系统的“生”或“死”。
2.不安装无用的组件
Windows系统在安装时,会提示我们选择安装的组件。一般来说,那些一时用不到的组件,尽量不要安装。比如对于那些既不打算架设个人站点,又不太可能用本地计算机调试ASP等脚本的普通用户来说,完全没有必要安装Windows 2000/XP的Internet信息服务(IIS),自然也就可以避免诸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通过IIS来进行的外部攻击。
3.选择安全的文件格式
对于Windows 2000/XP的用户而言,NTFS文件格式是最佳选择。因为无论是从文件检索速度、系统资源权限控制上来看,NTFS都明显要优于FAT系统。我们可以在采用了NTFS格式的磁盘分区上单击鼠标右键,从弹出的菜单中选择“属性”,就会看到NTFS格式下的磁盘属性中多了“配额”和“安全”两个选项卡,用户通过这两个选项卡可以详细地设置系统中每个用户对该逻辑盘的访问权限!
“定”出来的彩虹
1.定制系统服务
Windows 2000/XP系统正常启动后,会为用户提供很多服务,但绝大多数用户并不需要所有的服务。显然,多余的服务只能增加系统负荷和不稳定性。我们可以在桌面上用鼠标右键单击 “我的电脑→管理”,然后在打开的界面左侧窗口中选择“服务和应用程序→服务”,我们可以在这里关掉那些不必要的服务,以提高系统稳定性、安全性并加快系统运行速度。需要特别说明的是,Remote Registry Service、Telnet等几个高风险的服务是一定要停止的:用鼠标双击相应项目,然后在打开的窗口中将它们设置为“手动”或“禁止”即可。
2.定制默认账号
我们说过,凡是默认的,都是不安全的,至少系统账号是这样的,先不说现在大多数朋友使用的密码都简单得可怜,使用空密码的用户也不在少数。重要的是在已知用户名的情况下,从理论上讲密码很难逃脱被暴力破解的厄运。
在桌面上用鼠标右键单击 “我的电脑→管理”,然后在打开的界面左侧窗口中选择“系统工具→本地用户和组”。然后为“用户”或“组”下面的“Administrators”账号更名。对于那些系统自带的、我们不使用的用户,最好也设置密码,避免被恶意程序或者攻击者利用。
3.定制安全日志和审核策略
在一场灾难到来之前,我们可以为避免灾难做大量的准备,但是却绝对不能不去考虑如果灾难真的降临,我们该怎么办?对于系统加固来说,我们同样要做好完全准备,日志和审核策略就是专门针对这个工作的。注意,操作系统在默认情况下不会打开任何安全审核!
单击“开始→运行”,键入“Gpedit.msc”后按下回车键,在打开的组策略窗口中依次展开“计算机配置→Windows设置→安全设置→本地策略→审核策略”,然后双击右侧窗口中的“账户管理”,打开如图1所示的窗口,将“成功”、“失败”前的复选框全部选中,再“确定”退出。用同样的方法将“登录事件”、“策略更改”、“系统事件”、“账户登录事件”均设置为“成功”、“失败”,将“对象访问”、“特权使用”、“目录服务访问”设置为“失败”即可。
接下来在“账户策略→密码策略”中,将“密码复杂性要求”设置为“启用”;将“密码长度最小值”设置为“6位”;将“强制密码历史”设置为“5次”,将“最长存留期”设置为“30天”。
在“账户策略→账户锁定策略”中,将“账户锁定”设置为“3次错误登录”;将“锁定时间”设置为“20分钟”;将“复位锁定计数”设置为“20分钟”。
系统安全三剑客
1.用WSU提升系统权限
在默认情况下,Windows 2000及以上的操作系统不允许我们删除系统默认账号。但实际上,如果用户取得了System权限,就能删除这些拥有Administrator权限所不能删除的系统默认账号了!
先去下载WSU这个小工具,该软件适用于 Windows NT4/2000/XP/2003,它是一个能以其他用户身份或进程身份创建新的进程的小程序,你可以用其他用户身份创建新的进程,而不论你是否知道该用户密码,也不需要该用户当前有程序在运行。当然,前提是你必须以系统管理员身份登录。
安装并下载软件后,在控制台(DOS模式)下输入“WSU REGEDIT”,然后在打开的注册表编辑器中找到“GUEST”键,将它删除即可!
同理,我们可以用这个方法对系统内置的其他用户进行操作。来完成我们的灵活定制系统的初衷。
2.为“视窗”加个窗帘
在使用WSU调整过系统默认账号后,我们有效地防止了来自系统以外的破解方式为主的攻击、破坏,有力地加强了系统的稳定性。不过,由于操作系统本身设计的原因,我们仍然需要使用Internet防火墙来保证系统安全。
3.及时发现操作系统漏洞
在我们完成前面的种种设置后,最好还是自己来动手进行一次安全评估。从http://www.ttian.net下载Retina Network Security Scanner后,程序会要求大家立即升级程序的漏洞库。漏洞库升级完毕后,我们可以在程序主界面左上角找到地址栏,输入本机的IP地址(或者是需要检测的IP地址后)后回车,即可开始扫描。看到界面右侧的情况分析了吗?这里很详细地给出了系统所存在的各种安全隐患,用鼠标单击任何一个条目,程序都会自动出现最佳加固策略供用户参考。
成败皆在一念间
其实整个系统加固过程看起来并不复杂,但笔者不得不提醒大家的是,系统安全或不安全,稳固或不稳固,全在乎操作者的心态,可以说“成败皆在一念间”:你重视它,时时关注它,对新出现的一些问题及时寻找相应的解决办法,你的系统安全性自然会大大提高。
比如对于操作系统,我们应该定时在“控制面板”中运行“Windows Update”及时升级。或是干脆将“系统属性”下“自动更新”选项卡将相关选项前的复选框选中,让系统自动进行升级。
此外,及时升级杀毒软件,保持杀毒软件病毒库始终是最新的,无疑会对系统安全起到最好的保护。
Fanxiaolin 2005-10-12 21:53
十三:Windows XP连续重启的解决方法
我在本论坛看到常有人问到Windows XP连续重启的问题,特发此帖供大家参考参考
故障现象:电脑在Windows XP启动画面出现后,登录画面显示之前,电脑重启,每次都这样,无法进入Windows。
故障解决:一般说来,导致此错误发生的原因是Kernel32.dll文件丢失或者被损坏。解决办法是,用Windows故障恢复控制台重新从Windows XP的安装光盘上提取一个新的Kernel32.dll文件。以下是操作步骤:
第一步:启动故障恢复控制台;
第二步:在命令提示符中,输入cd system32,然后按回车键;
第三步:输入ren kernel32.dll kernel32.old,然后按回车键;
第四步:输入map,然后按回车键;
第五步:注意放有Windows XP光盘的光驱的驱动器名。例如为F:,在实际应用时,请用自己实际的光驱盘符代替;
第六步:输入expand f:\i386\kernel32.dl_,然后按回车键(kernel32.dl_ 中的“l”后面是一个下划线);
第七步:输入exit,当电脑重启时,取出Windows XP光盘,让电脑正常启动。
小资料
Windows 98启动时,出现"Starting Windows 98……"信息后死机
可能之一:DOS启动部分受损
可能是由于Windows 98的DOS启动部分受到损坏。如果有安装Windows 98时创建的启动盘,将此盘插入软驱重启电脑,启动后输入SYS C:后回车即可(这个命令用于向C盘传送系统)。如安装时没有建立启动盘,可到其他电脑上通过“控制面板→添加删除程序→创建启动盘”来创建启动盘。要注意的是,传送的系统版本须与原系统版本一致,否则系统无法启动。
可能之二:启动文件出错
在安装某些硬件或软件后,它们在Config.sys或Autoexec.bat文件中加入的语句造成系统无法启动。重启电脑,在出现Windows启动画面前按F8键进入安全模式,接着单击“开始→运行”,输入:msconfig,在“常规”选项卡中取消“处理Config.sys文件”、“处理Autoexec.bat文件”的勾选,确定后重启即可。或者也可以用启动软盘启动系统,接着输入:
C:(回车)
rename autoexec.bat autoexec.bak(回车)
rename config.sys config.bak(回车)
按Ctrl+Alt+Del重启系统。
电击她 2005-11-04 00:21
十四:20招Windows XP经典应用技巧
1、查看详细的系统信息
打开“命令提示符”,或者在“运行”对话框中输入“cmd”,在“命令提示符”状态下输入“systeminfo”,按下回车键,系统即开始检测相关信息并返回到当前窗口中,你可以看到的Windows XP是否安装了补丁、初始安装时间、虚拟内存的设置等详细信息。
2、让电脑做CD机
用电脑听CD可以不用任何播放软件,把音箱线直接接到光驱的耳机孔,放入CD,按光驱上的play键就可以直接听了,这样听歌可以不占用系统资源。(如果你的电脑坏了,不能启动或什么的,一时放在那不能修,千万不要浪费资源,把用里面的电源给光驱通上电,就可以暂时做CD机了
3、去掉菜单延迟
为了达到视觉上的真实感,Windows XP中的菜单在打开时会有滑出的效果,但这也会延缓打开速度。我们可以在HKEY_CURRENT_USERControl PanelDesktop下找到“MenuShowDelay”主键,把它的值改为“0”就可以去掉菜单延迟效果。
4、查看加密磁盘和文件
Windows XP具有更高的安全性能,如果设置用户的时候使用了权限保护功能,其他用户是不能直接访问你的文件夹的,即使是系统管理员都不行。这样虽然安全,但是出了问题也是非常头痛的事情。如果你正好遇到这样的问题,必须以Administrator身份登录,然后在文件夹选项中的“查看”选项卡中的“高级设置”列表窗口中关闭“使用简单文件共享”复选框。之后返回相应的文件夹或者磁盘分区,在关联的菜单中选择“属性”命令,切换到“安全”选项卡,此时可以看到其中没有允许访问的任何用户,单击“高级”按钮,进入高级设置界面。切换到“所有者”选项卡,在其中如果有你的用户列表,选择它,并选择界面下边的 “R替换子容器及对象的所有者”复选框,单击“应用”添加设置,此时你可以看到在“权限”选项卡中看到你的名字了。当然,如果在“权限”选项卡中允许你添加新的访问用户,则可以忽略上面的操作。
单击“确定”按钮返回,现在就可以访问原来加密的文件夹,或者磁盘了。此外,如果你在“Pemissions”选项卡中看到了一个很长的“S-1-5-21-xxxxx”等全部是数字组成的用户,这可能就是以前创建的用户名,但是它已经损坏了,选择该用户,清除界面中的“Inherit from part the permission entries that apply to child objects. Inculde these with entries explicitly defined here(从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目)”复选框。在关联的界面中选择“Copy(复制)”命令,之后可以将这个无用的用户删除。
5、解决关机变重启的方法
这个问题是有些主板的高级电源管理不能被Windows XP支持。一般用AWARD的BIOS的主板的电脑没有这个问题,到目前为止,遇到AMI的BIOS的主板有这个问题,如技嘉的主板。解决的办法是升级你的主板的BIOS,即刷新BIOS,这是个比较危险的操作,最好请经验丰富的人来帮助你。
6、关闭自动播放功能
一旦您将媒体插入驱动器,自动运行就会从驱动器中读取数据,这会造成程序的设置文件和在音频媒体上的音乐立即开始。你可以用下面这个办法关闭这个功能:点“开始”→“运行”,在对话框中输入“gpedit.msc” →“计算机配置”→“管理模板”→“系统”,双击“关闭自动播放”,在“设置”中选“已启用”,确定即可。
7、在关机时清空页面文件
打开“控制面板”,点击“管理工具”→“本地安全策略”→“本地策略”→“安全选项”,双击其中“关机:清理虚拟内存页面文件”一项,点击弹出选单中的“已启用”选项,单击“确定”即可。
8、快速关闭窗口
如果同时有多个窗口打开,想要关闭的话,可以按住shift不放然后点击窗口右上角的关闭图标
9、快速保存页面
在保存网页前,可以按一下"ESC"键(或脱机工作)再保存,这样保存很快
10、自动关闭停止响应的程序
在Windows XP操作系统中,这个设置可以使Windows XP当诊测到某个应用程序已经停止相应时可以自动关闭它,而不需要进行麻烦的手工干预。想要实现这个功能,就请点击“开始”→“运行”输入“RegEdit”打开注册表编辑器,找到HKEY_CURRENT_USERControl PanelDesktop分支,将AutoEndTasks的键值设置为1即可。
11、减少磁盘空间的浪费
在Windows XP操作系统运行过程中,常常会产生后缀名诸如tmp、bak、log、old、txt 等的文件,这些文件其实都是可以进行安全删除的,甚至包括Windows目录下面的bmp文件,如果你不喜欢Windows XP中自带的那些墙纸的话。完全可以删除掉这些文件。
在Windows XP操作系统Windows emp目录下面的文件,笔者也建议你删除掉,那些都是在安装应用软件的过程中遗留下的多余文件。还有一点,就是在硬盘中的小文件,请尽可能地把它们集中起来,然后用WinZip这样的压缩软件合并成一个大文件,从而达到减少磁盘空间浪费的目的。
12、清除内存内被不使用的DLL文件
在[开始]-->[运行]-->键入[Regedit]-->[HKKEY_LOCAL_MACHINE]-->[SOFTWARE]-->[Microsoft]-->[Windows]-->[CurrentVersion],在[Explorer]增加一个项[AlwaysUnloadDLL],默认值设为1。注:如由默认值设定为[0]则代表停用此功能。
13、内存性能优化
Windows XP中有几个选项可以优化内存性能,它们全都在注册表下面位置:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
1)禁用内存页面调度(Paging Executive)
在正常情况下,XP会把内存中的片断写入硬盘,我们可以阻止它这样做,让数据保留在内存中,从而提升系统性能。要注意的是,拥有很多内存的用户(256M以上)才好使用这个设置。这个设置的名字正如它的功能一样,叫“DisablePagingExecutive”。把它的值从0改为1就可以禁止内存页面调度了。
2)提升系统缓存:把LargeSystemCache键值从0改为1,Windows XP就会把除了4M之外的系统内存全部分配到文件系统缓存中,这意味着XP的内核能够在内存中运行,大大提高系统速度。剩下的4M内存是用来做磁盘缓存的,在一定条件下需要的时候,XP还会分配更多一些。一般来说,这项优化会使系统性能得到相当的提升,但也有可能会使某些应用程序性能降低。正如前面所说的,必须有256M以上的内存,才好激活LargeSystemCache,否则不要动它。
3)输入/输出性能:这个优化只对server用户才有实在意义——它能够提升系统进行大容量文件传输时的性能。在默认情况下,这个键值在注册表中是不存在的,必须自己建一个DWORD(双字节值)键值,命名为IOPageLockLimit。多数人在使用这项优化时都发现8到16M字节之间性能最好,具体设什么值,可以设进去试试看哪个值可以获得最佳性能。记住这个值是用字节来计算的,因此,譬如你要分配12M的话,就是12 * 1024 * 1024,也就是12582912。跟前面的内存优化一样,只有当你的内存大于256M的时候才好更改这里的值。
14、设置处理器二级缓存容量
Windows XP无法自动检测处理器的二级缓存容量,需要我们自己在注册表中手动设置,首先打开注册表(运行中输入“Regedit”),再打开:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
选择“SecondLevelDataCache”,根据自己所用的处理器设置即可,例如PIII Coppermine/P4 Willamette是“256”,Athlon XP是“384”,P4 Northwood是“512”
15、恢复硬件以前的驱动程序
在安装了新的硬件驱动程序后发现系统不稳定或硬件无法工作时,只需在“设备管理器”中选择“驱动程序恢复”按钮,即可恢复到先前正常的系统状态。但不能恢复打印机的驱动程序。
16、让Windows XP读英文字母
找到“辅助工具”组里的“讲述人”程序,点击“声音”按钮,进入“声音设置”界面进行一番设置然后保存即可。当你把鼠标指向带有英文字母的对话框、菜单以及按钮时,会听见一个男声读着英文字母。
17、查看上网使用时间
在Windows XP中,我们通过“事件查看器”可以查看我们过去的上网时间。方法为:打开“控制面板”,双击“管理工具”,然后打开“事件查看器”。在左侧的窗口中选择“系统”选项,单击鼠标右键,在弹出的快捷菜单中选择“属性”,在“系统属性”窗口中选择“筛选器”标签,在“事件来源”中选择“RemoteAccess”。单击“确定”按钮,回到“事件查看器”主窗口,在右边的窗口中就会显示出上网的开始时间和结束时间,相邻的两个时间中较早的就是你开始上网的时间,较晚的则是下线的时间。
18、修改Windows XP的登录背景图案
面对长久不变的单调的登录图案,你可能日久生厌,我们可以通过注册表来把它换成自己喜欢的图案,步骤如下:打开注册表编辑器,找到HKEY_USERS.DEFAULTControl PanelDesktop子键分支,双击wallpaper,键入你选择好的图片的路径,如:c ocuments and SettingsMy DocumentsMy Picturesmypic.bmp,点击“确定”,然后找到Tilewallpaper,双击它输入键值“1”,重新启动系统即可看到效果。
19、修改登录时的背景色
如果你还想修改登录时的背景颜色,可以按以下步骤操作:打开注册表编辑器,找到HKEY_USERS.DEFAULTControl PanelColors子键分支,双击子键分支下的Background键值名,出现“编辑字符串”对话框,在“数值数据”文本框中输入代表颜色的键值(比如黑色的RGB值为000,白色的RGB值为255 255 255,系统默认值是58 110 165),点击“确定”按钮,重新启动系统即可。
20、任意定制按钮颜色
尽管Windows XP本身带有多种窗口显示方案,但用户想定义某一个部位的颜色,比如把按钮的颜色由黑色改为蓝色或红色,这时就需要修改注册表了,步骤如下:打开注册表编辑器,找到HKEY_CURRENT_USERControl PanelColors子键分支,双击在它下面的Bottontext,在打开的对话框中将其键值改为你想要颜色的值,比如红色255 0 0,单击“确定”按钮,并重新启动系统即可看到效果了,此时按钮上的文字颜色将变成红色,此外你还可以修改按钮的宽度和高度及背景等参数。
电击她 2005-11-04 00:33
十五:解决Windows XP SP2常遇的十例问题
Windows XP SP2已经发布很长时间了,很多朋友都安装了。但在使用过程中,都遇到了这样或那样的问题。在这里,我根据自己的使用经验总结了一些常见的问题,希望对朋友们有所帮助!
疑问一:我安装成功SP2后,总是发现开机时在任务栏中显示一个红色的盾牌。点击进入后提示“病毒防护未启用”,我可是安装的诺顿安全特警2004啊!怎么回事?不过这两天却神秘的消失了!后来我觉得诺顿自带的防火墙要好一点,就在选项里把Windows自带的防火墙关掉了,可是在任务栏中又出现了红色的盾牌,这时该怎么办?
答:在SP2中,微软加入了一个“安全中心”控制台,它主要是检测系统中病毒防护、防火墙、自动更新的状态。如果检测不到就会在开机时自动弹出红色盾牌以示警告。事实上,Windows SP2不能准确的检测到大部分的杀毒软件,即使你已经正确安装了!其实你只要进入“控制面板”,单击“病毒防护”下的“建议”,勾选“我已经安装了防病毒程序并将自己监视其状态”,下次开机时就不会提醒你了。现在,各大杀毒软件厂商都针对SP2完善了兼容性,只要升级到最新版本就可以了。你的那个“神秘失踪”其实就是软件本身自动升级更新了。另外那个防火墙的问题可以参照上面处理“病毒防护”的方法依照进行就可以了,当然是在“防火墙”标签中进行。另外,还可以从“控制面板→管理工具→服务”窗口找到安全中心服务“Security Center”,将其停用即可。
疑问二:我用的是ADSL虚拟拨号上网,没有设置IP。安装了SP2后,每次打开ADSL Modem,系统都会自动寻找IP地址,自然每次都会失败,出现续订IP的对话框。并且本地连接始终有黄色惊叹号,显示“被限制或无连接”,虽不影响拨号,但感觉不好,请问该如何禁止此问题?
答:这个问题源于网卡没有固定的IP地址,为了保障通信,Windows自动分配了一个IP地址给网卡。
方法一:进入控制面板,取消“网络连接→本地连接→属性→常规”选项卡下面的“此连接被限制或无连接时通知我”这个选项。
方法二:在“网络连接→本地连接→属性→TCP/IP”属性里面给你的网卡指定一个IP地址(注意:一定要保证和ADSL Modem的IP地址处于同一网段)。建议使用第二种方法,它同时可以减少开机时间的!
图1:为ADSL拨号Modem设置IP
疑问三:我使用双系统。安装SP2以后,发现在双启动菜单文件:boot.ini文件中的“multi(0)disk(0)rdisk(0)partition(2)\Windows="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn”里多了“/NoExecute=OptIn”一项,但并不影响使用双系统。请问这是什么意思?
答:它是由于SP2中另外一个重要的安全功能-“数据执行保护功能(简称:DEP)”产生的。你可以在“控制面板→系统→高级→设置→数据执行保护”中找到它。当你在这两项中进行切换时,“/NoExecute=OptIn”也会变成““/NoExecute=Optout”。注意:此功能需要硬件支持:包括AMD Athlon 64、AMD Opteron、Intel的安腾和安腾2,据说nVIDIA、VIA、全美达等公司也计划在其芯片中加入该技术。建议普通用户不要去修改它,否则会引起系统运行不稳定。
疑问四:由于工作原因,我经常要使用招商银行的网上银行业务。可升级到SP2发现看不到验证码了?这可怎么办?
答:在一些要求身份验证的网站(比如网上银行),多数都使用在asp中动态生成Xbm格式的图片来显示验证码。但是SP2默认不支持Xbm格式图片,造成无法看到验证码。我们可以通过修改注册表来完成:点击“开始”→“运行”,输入“regedit”回车后进入注册表,定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security,在右侧窗口新建dword值“blockXbm”并将键值该为“00000000”,重启后生效。
疑问五:当我安装了SP2后,想使用Windows update看看“传说”中的“V5”升级网站时出现错误提示“HTTP5000错误—内部网0x8ddd0010错误”,不能访问该网站。这可怎么办?
答:这是由于IE弹出窗口拦截器与Windows update有冲突造成的。解决方法:打开IE浏览器,选择工具菜单→Internet选项→隐私→设置,在“要允许的网站地址”中加入“http://v5.Windowsupdate.microsoft.com”(不包含双引号),然后点击“添加”,最后“关闭”该窗口即可。
疑问六:我是某网站的维护人员,有时需要检查一些弹出窗口的网址的有效性。自从安装了SP2以后,所有的弹出窗口都被屏蔽了,这可怎么办?
答:如果需要经常查看弹出窗口,可以关闭此功能:进入IE工具菜单→Internet选项→隐私,取消“阻止弹出窗口”前的复选框,然后点击确定就关闭了此功能。如果是偶尔允许弹出窗口,可以在点击含有弹出窗口的链接时按住Ctrl键或按住Ctrl键再点击“刷新”,这样可临时跳过此功能。
疑问七:安装了SP2后,Internet区域安全等级默认为中级。当我想调低安全等级时,弹出对话框提示不允许调低安全等级,怎样解决?
答:解决方法是,打开记事本,输入下列文字,然后另存为REG注册表文件双击导入注册表,重启后生效。
Windows Registry Editor Version 5.00
←(注意此处是空行)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
"MinLevel"=dword:00010000
疑问八:我经常用BT下载,可是自从升级到SP2以后,发现下载速度慢了很多,并且当使用BT下载时会出现不能打开网页的问题。这是什么原因?
答:这是因为SP2限制了TCP最大并发连接连接数,其目的是为了增加网络安全,防止象冲击波一类的蠕虫病毒爆发时所带来的网络空难。这种限制只是针对并发连接线程数进行的限制,如果连接完成后并不会受到什么限制。这种限制对bt之类的下载有一定的影响,但并不会影响其最终的下载速度。如果觉得下载速度慢了,那是自带的防火墙出现了问题。如果你安装了第三方的防火墙(比如天网),把自带的关闭了就行了。如果不想关闭自带防火墙,可以这样解决:进入Windows防火墙,在“例外”选项中勾选UPnP “框架”,并编辑,在弹出窗口中“编辑服务” “更改范围”,然后选择“任何计算机(包括Internet上的计算机)”。
对于打不开网页的问题,可以到下面地址下载BitComet正式版即可。此版本中已经增加了最大同时TCP连接尝试数,减少了XP SP2的连接数限制带来的影响。
疑问九:在SP2中已经提供了屏蔽弹出窗口的功能,感觉还不错!只可惜我喜欢用GreenBrowser浏览网页。虽然它是基于IE核心的,但是并不支持此新功能,还好它自己也带有类似的插件。不过总觉得有些遗憾!请问,有办法使用吗?
答:当然可以!最简单的方法就是进入GreenBrowser的安装目录把GreenBrowser.exe更改为iexplore.exe了。尽管可以使用此新功能了,但是在左下方会出现一些乱码,很难看的!!不过,现在有了很完美的解决方案:
首先请到这里下载Maxthon傲游浏览器。然后解压缩到任意目录,进入此目录并找到sp2settings.reg文件。选中后点击鼠标右键,选择“编辑”打开此文件。利用“查找替换”功能把“maxthon.exe”更换成“GreenBrowser.exe”,保存退出。双击此文件导入注册表即可。赶快试试吧!!
小技巧:如果不想使用此功能了,请找到sp2removal.exe并按上面的方法进行替换,最后导入就可“卸载”此功能。另外,如果你使用其它基于IE核心的浏览器比如MYIE等也可按照此方法进行,同样有效!
疑问十:我安装完毕SP2以后,发现系统分区少了几百兆。经检查发现,在c:\Windows\目录下有一个“$NtServicePackUninstall$”目录,居然有349MB之巨!另外,c:\Windows\ServicePackFiles文件夹居然有400MB!!!请问这是些什么东西?可以删除吗?
答:“$NtServicePackUninstall$”文件夹是当卸载SP2时所需的文件夹。当被删除以后就不能使用控制面板来卸载SP2了!当然,如果使用稳定,不想卸载SP2的话,完全可以删除!!
“ServicePackFiles”文件夹中存在的是SP2的安装文件。如果删除了,当你添加某些新功能时(例如增加了蓝牙外设)可能需要你插入SP2安装光盘。如果你已经把SP2集成到了Windows xp的安装光盘中,也可以把它删除。当然,还是请按照自己的具体情况来选择了。
电击她 2005-11-05 21:57
十六: Windows下权限设置详解
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!
要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。
下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版,安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除了一切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:\www目录,也就是网站目录读、写权。最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。
经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性 、优先性、交叉性的。
继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。
累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。
优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。
交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。
权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。同时还想给各位管理员们一些建议:
1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。
2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。
3.尽量不要把各种软件安装在默认的路径下
4.在英文水平不是问题的情况下,尽量安装英文版操作系统。
5.切忌在服务器上乱装软件或不必要的服务。
6.牢记:没有永远安全的系统,经常更新你的知识。
电击她 2005-11-06 17:09
十七: Windows组策略应用全攻略
一、什么是组策略
(一)组策略有什么用?
说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
(二)组策略的版本
大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。
早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。
无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
二、组策略中的管理模板
在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。
在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为:
1)System.adm:默认情况下安装在“组策略”中,用于系统设置。
2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。
3)Wmplayer.adm:用于Windows Media Player 设置。
4)Conf.adm:用于NetMeeting 设置。
在Windows 2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows 9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows 2000/XP/2003组策略控制台中使用如下:
首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.
然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”,再点击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了(为了便于本文后面的实例大家能一起动手操作,建议添加除默认模板文件的其它模板文件)。
再来看Windows 9X下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择“关闭”,以便将当前脚本关闭,然后再在“选项”菜单中选择“模板”
然后单击“打开模板”按钮,在弹出的对话框中选择相应的.adm文件并单击“打开”按钮,则在编辑器中打开选定的脚本文件并等待用户执行。
三、运行组策略
(一)Windows 9X策略编辑器
按操作系统的不同,策略编辑工具分为两种,一种为Windows 2000/XP/2003组策略管理控制台,它在系统安装时已经默认安装上了;另外一种就是Windows 9X的系统策略编辑器,它在系统安装时并不被安装,程序文件在Windows安装盘上的\tools\reskit\netadmin\poledit目录下,它包括Poledit.exe、Poledit.inf、Windows.adm等文件。
如果是Windows 9X系统通过下面的方法,则可以进行正规的安装过程。
1.在控制面板中,双击“添加/删除程序”图标,单击“安装Windows”标签,然后单击“从磁盘安装”选项。
2.在从磁盘安装对话框中,单击“浏览”按钮并指定Windows 9X安装光盘的tools\reskit\netadmin\poledit目录。
3.单击“确认”按钮,然后再次单击对话框中的“确认”按钮。
4.在从磁盘安装对话框中,选择“系统策略编辑器”和“组策略”复选框,然后单击“安装”按钮。
安装完成后,单击“运行”命令项,输入poledit,然后单击“确认”按钮,管理员可以以两种不同的方式使用系统策略编辑器:注册表方式和策略文件方式。
1.以注册表方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击打开注册表编辑器,然后双击相应的本地用户或本地计算机图标。这取决于要编辑注册表中的哪个部分。在使用注册表方式时,可以直接编辑本地或远程计算机的注册表。这样,所做的改变将立即反映出来。在做出修改之后,必须关机并重新启动计算机以使所做修改生效。
2.以策略文件方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击新建或打开来打开一个策略文件。在使用策略文件方式时,可以创建和修改用于其它计算机的系统策略文件(POL),在这种方式下,注册表被间接地修改。这项改变将在用户登录时策略文件被下载后反映出来。当以策略文件方式编辑设置值时,单击一个注册表选项,可以看到三种可能状态之一:选中、清除、变灰。每当选择一个选项时,将会循环显示下一个可能的状态,这与选择一个标准的复选框不同。标准的复选框只有选中或清除两个选项。
如果一个设置值需要附加信息,那么缺省用户属性对话框的底部将出现一个编辑控制。通常,如果选中了一个策略,而又不想强制使用它,应当清除该复选框来取消该策略。
(二)Windows 2000/XP/2003组策略控制台
如果是Windows 2000/XP/2003系统,那么系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行程序
使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体步骤如下:
1)打开 Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC并回车,运行控制台程序)。
2)在“文件”菜单上,单击“添加/删除管理单元”。
3)在“独立”选项卡上,单击“添加”。
4)在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。
5)在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
6)单击“完成”,单击“关闭”,然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。
对于不包含域的计算机系统来说,在上面第5步的界面中,只有“计算机”标签,而没有其他标签项目。
通过上面的方法,我们就可以使用Windows 2000/XP/2003组策略系统强大的网络配置功能,让管理员的工作更轻松和高效。
在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态,Windows 2000/XP/2003组策略管理控制台同样也有三种状态,只不过名字变了。它们分别是:已启用、未配置、已禁用。
四、“桌面”设置
Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例:
位置:“组策略控制台→用户配置→管理模板→桌面”
1.隐藏桌面的系统图标(Windows 2000/XP/2003)
虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险。而采用组策略配置的方法,可以方便快捷地达到此目的。
比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。
2.退出时不保存桌面设置(Windows 2000/XP/2003)
此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略,用户仍然可以对桌面做更改,但有些更改,如图标的位置、任务栏的位置及大小,在用户注销后都无法保存,不过任务栏上的快捷方式总可以被保存。
在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。
3.屏蔽“清理桌面向导”功能(Windows XP/2003)
“清理桌面向导”会每隔 60 天自动在用户的电脑上运行,以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置,则可以屏蔽“清理桌面向导”,如果你禁用或不配置此设置,“清理桌面向导”会按照默认设置每隔60天运行一次。
打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。
4.启用/禁用“活动桌面”(Windows 2000/XP/2003)
“活动桌面”是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以轻松达到这一要求。具体操作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。
提示:如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置,则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置(在“用户配置→管理模板→Windows组件→Windows资源管理器”中)被启用,Active Desktop 就会被禁用,并且这两个策略都会被忽略。
以上介绍了几个关于桌面的组策略配置项目,在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目,读者可根据需要进行配置,这里不再赘述。
五、个性化“任务栏”和“开始”菜单
显示了“任务栏”和“开始”菜单的有关组策略配置项目。下面我们来看具体的实例:
位置:“组策略控制台→用户配置→管理模板→任务栏和开始菜单”
1.给“开始”菜单减肥(Windows 2000/XP/2003)
如果觉得Windows的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。
2.保护好“任务栏”和“开始”菜单(Windows 2000/XP/2003)
如果你不想随意让他人更改“任务栏”和“开始”菜单的设置,你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当你用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,且当鼠标右键单击任务栏及任务栏上的项目时,例如“开始”按钮、时钟和“任务栏”按钮,弹出菜单会隐藏。
3.禁止“注销”和“关机”(Windows 2000/XP/2003)
当计算机启动以后,如果你不希望这个用户再进行“关机”和“注销”操作,那么可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。
这个设置会从开始菜单删除“关机”选项,并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项 。另外需要注意的是,此设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。
提示:如果启用了“删除开始菜单上的‘注销’”,则会从“开始菜单选项”删除“显示注销”项目。用户无法将“注销<用户名>”项目还原到开始菜单(只能通过手工修改注册表的方法)。这个设置只影响开始菜单,它不影响 “Windows 任务管理器”对话框上的“注销”项目(因此需要同时启用“删除和阻止访问‘关机’命令”),而且不妨碍用户用其它方法注销。
4.利用组策略保护个人文档隐私(Windows 2000/XP/2003)
Windows有个高级智能功能,即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。利用组策略,只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
另外需要注意的是,如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。
六、IE设置手到擒来
微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好。在IE浏览器的“Internet选项”窗口中,提供了比较全面的设置选项(例如:“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目),但部分高级功能没有提供,而通过组策略即可轻松实现这些功能。下面来看具体实例:
位置:“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer(需添加inetres.adm模板文件)”
1.禁用“在新窗口中打开”菜单项(Windows 2000/XP/2003)
出于对安全的考虑,有时候我们有必要屏蔽IE的一些功能菜单,组策略提供了丰富的设置项目,比如禁用“另存为...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打开’菜单项”为例介绍具体的设置方法。
打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏览器菜单”,然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。启用该策略后,用户在某个链接上单击鼠标右键,然后单击“在新窗口中打开”时,该命令将不起作用。该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用,后者禁止用户通过单击“文件”菜单,指向“新建”,然后单击“窗口”在新窗口中打开浏览器。
提示:启用该策略后,单击“在新窗口中打开”命令,将无法在新窗口中打开链接,系统会提示用户该命令无效,网页自动打开的窗口也全部被禁止,其实这样也可达到屏蔽弹出广告窗口的效果。
2.限制IE浏览器的保存功能(Windows 2000/XP/2003)
在使用IE浏览网页过程中,当遇到好的图片、文章等资源时可以使用“另存为”功能将它保存到本地硬盘中,当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制。那么如何才能实现呢?可以这样操作:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“‘文件’菜单:禁用‘另存为...’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。
如果不希望别人对IE浏览器的设置随意更改,可以将“‘工具’菜单:禁用‘Internet选项...’”策略启用。另外,根据个人的需要,在该窗格中还可以禁用其他项目。
3.禁用“Internet 选项”控制面板(Windows 2000/XP/2003)
上面提到了“禁用Internet选项”的功能,使用该功能可以达到阻止别人对IE随便设置的目的。而这种方法无法具体禁用Internet选项中的控制模板项目,因此给具体应用带来麻烦。通过下面的组策略设置方法,则可以实现这一要求:
打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet 控制面板”,在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明:打开右边窗格中的“禁用常规页”并设置为“启用”。然后我们再打开Internet选项控制面板,会发现“常规”项目已经没有了,这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置,因为该策略将删除界面上的“常规”选项卡,所以如果设置了该策略,则无须设置位于 “用户配置→管理模板→Windows 组件→Internet Explorer”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。
4.禁止修改IE浏览器的主页(Windows 2000/XP/2003)
如果不希望他人对自己设定的IE浏览器主页进行随意更改的话,可以打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏”,然后选择“禁用更改主页设置”组策略并启用即可。另外在这个窗格中,还提供了“更改历史记录设置”、“更改颜色设置”和“更改Internet临时文件设置”等项目的禁用功能。
启用此策略后,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
提示:如果设置了位于“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制面板”中的“禁用常规页”策略,则无须设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
5.自定义IE工具栏(Windows 2000/XP/2003)
IE工具栏的背景和上面的按钮都是可以自定义的,以前我们大多使用手动修改注册表的方法,不过并不直观,现在我们用“组策略”可以更方便地达到效果,打造属于我们自己的IE。
打开“组策略控制台→用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目,在这里,可以自定义浏览器工具栏的背景图片,点击“浏览”选择一个BMP的位图文件即可(注意:工具栏背景应该与工具栏大小相同,而亮度应该足以显示黑色文字,否则实际效果并不理想)。
木星 2005-11-06 22:11
十八:解决Windows XP关机却重启的故障
对于Windows XP来说,由于其采用了安全性能较高的NT内核,系统运行还算稳定,除了关机速度较慢之外,一般情况下很少发生关机故障。但有时在关闭Windows XP时却莫名其妙地重启,该故障是Windows XP操作系统关机故障中最容易出现的故障。造成该故障的原因可能有以下几方面原因:
系统设置
Windows XP默认情况下,当系统出现错误时会自动重新启动,这样当用户关机时,如果关机过程中系统出现错误就会重新启动计算机。将该功能关闭往往可以解决自动重启的故障。
在桌面上右键点击“我的电脑”,在弹出的右键菜单中选择“属性”,弹出“系统属性”窗口,点选“高级”选项卡,点击“启动和故障恢复”栏目中的“设置”按钮,弹出“启动和故障恢复”窗口。在“系统失败”栏目中将“自动重新 启动”选项前的对勾去掉,点“确定”按钮。
高级电源管理
众所周知,关机是与电源管理密切相关的,造成关机故障的原因很有可能是电源管理对系统支持不好造成的。
点击“开始→设置→控制面板→性能与维护→电源选项”,在弹出的窗口中,根据需要启用或取消“高级电源支持”即可。如果你在故障发生时使用的是启用“高级电源支持”,就试着取消它,如果在故障发生时,你使用的是取消“高级电源支持”就试着启用它,故障往往会迎刃而解。
USB设备
现在是USB设备大行其道之时,什么U盘、鼠标、键盘、Modem等等,应有尽有。殊不知这些USB设备往往是造成关机故障的罪魁祸首。当出现关机变成重启故障时,如果你的电脑上接有USB设备,请先将其拔掉,再试试,如果确信是USB设备的故障,那么最好是换掉该设备,或者是连接一个外置USB Hub,将USB设备接到USB Hub上,而不要直接连到主板的USB接口上。
木星 2005-11-06 22:32
十九:用脚本更换Win XP的用户密码
Windows XP启动脚本(startup scripts)是计算机在登录屏幕出现之前运行的批处理文件,它的功能类似于Windows 9×和DOS中的自动执行批处理文件autoexec.bat。
利用这个特性,可以编写一个批处理文件重新设置用户密码,并将它加入启动脚本中,这样就达到了目的。
以下是具体步骤(假设系统目录为C:\Windows)。
1.使用Windows98启动盘启动电脑。编写一个能恢复密码的批处理文件a.bat,内容只需要一条“net user”命令即可:“Net user rwd 12345678”。
这条命令的意思是将用户rwd的密码设置为“12345678”(有关Net命令的用法,可参考Windows帮助)。然后将文件a.bat保存到“C:\windows\system32\GroupPolicy\Machine\Scripts\Startup”下。
2.编写一个启动/关机脚本配置文件scripts.ini,这个文件名是固定的,不能改变。内容如下:
[Startup]
0CmdLine=a.bat
0Parameters=
3.将文件scripts.ini保存到“C:\winnt\system32\GroupPolicy\Machine\Scripts”下。scripts.ini保存着计算机启动/关机脚本的设置数据,文件内容通常包含两个数据段:[Startup]和[Shutdown]。[Startup]数据段下是启动脚本配置,[Shutdown]数据段下是关机脚本配置。
每个脚本条目被分成脚本名和脚本参数两部分存储,脚本名保存在XCmdLine关键字下,参数保存在XParameters关键字下,这里的X表示从0开始的脚本序号,以区别多个脚本条目和标志各脚本条目的运行顺序。
4.取出Windows 98启动盘,重新启动电脑,等待启动脚本运行。启动脚本运行结束后用户rwd的密码就被恢复为“12345678”。
5.登录成功后删除上述步骤建立的两个文件。
说明:电脑使用的是FAT32文件系统,如果使用NTFS文件系统,可以将这块硬盘以从盘模式挂接到其它能识别NTFS文件系统(如Windows 2000或Windows XP)的计算机上进行上述操作。本方法可以恢复管理员(Administrator)的密码。对Windows2000系统中
主频也叫时钟频率,单位是MHz,用来表示CPU的运算速度。CPU的主频=外频×倍频系数。很多人认为主频就决定着CPU的运行速度,这不仅是个片面的,而且对于服务器来讲,这个认识也出现了偏差。至今,没有一条确定的公式能够实现主频和实际的运算速度两者之间的数值关系,即使是两大处理器厂家Intel和AMD,在这点上也存在着很大的争议,我们从Intel的产品的发展趋势,可以看出Intel很注重加强自身主频的发展。像其他的处理器厂家,有人曾经拿过一快1G的全美达来做比较,它的运行效率相当于2G的Intel处理器。
所以,CPU的主频与CPU实际的运算能力是没有直接关系的,主频表示在CPU内数字脉冲信号震荡的速度。在Intel的处理器产品中,我们也可以看到这样的例子:1 GHz Itanium芯片能够表现得差不多跟2.66 GHz Xeon/Opteron一样快,或是1.5 GHz Itanium 2大约跟4 GHz Xeon/Opteron一样快。CPU的运算速度还要看CPU的流水线的各方面的性能指标。
当然,主频和实际的运算速度是有关的,只能说主频仅仅是CPU性能表现的一个方面,而不代表CPU的整体性能。
2.外频
外频是CPU的基准频率,单位也是MHz。CPU的外频决定着整块主板的运行速度。说白了,在台式机中,我们所说的超频,都是超CPU的外频(当然一般情况下,CPU的倍频都是被锁住的)相信这点是很好理解的。但对于服务器CPU来讲,超频是绝对不允许的。前面说到CPU决定着主板的运行速度,两者是同步运行的,如果把服务器CPU超频了,改变了外频,会产生异步运行,(台式机很多主板都支持异步运行)这样会造成整个服务器系统的不稳定。
目前的绝大部分电脑系统中外频也是内存与主板之间的同步运行的速度,在这种方式下,可以理解为CPU的外频直接与内存相连通,实现两者间的同步运行状态。外频与前端总线(FSB)频率很容易被混为一谈,下面的前端总线介绍我们谈谈两者的区别。
3.前端总线(FSB)频率
前端总线(FSB)频率(即总线频率)是直接影响CPU与内存直接数据交换速度。有一条公式可以计算,即数据带宽=(总线频率×数据带宽)/8,数据传输最大带宽取决于所有同时传输的数据的宽度和传输频率。比方,现在的支持64位的至强Nocona,前端总线是800MHz,按照公式,它的数据传输最大带宽是6.4GB/秒。
外频与前端总线(FSB)频率的区别:前端总线的速度指的是数据传输的速度,外频是CPU与主板之间同步运行的速度。也就是说,100MHz外频特指数字脉冲信号在每秒钟震荡一千万次;而100MHz前端总线指的是每秒钟CPU可接受的数据传输量是100MHz×64bit÷8Byte/bit=800MB/s。
其实现在“HyperTransport”构架的出现,让这种实际意义上的前端总线(FSB)频率发生了变化。之前我们知道IA-32架构必须有三大重要的构件:内存控制器Hub (MCH) ,I/O控制器Hub和PCI Hub,像Intel很典型的芯片组 Intel 7501、Intel7505芯片组,为双至强处理器量身定做的,它们所包含的MCH为CPU提供了频率为533MHz的前端总线,配合DDR内存,前端总线带宽可达到4.3GB/秒。但随着处理器性能不断提高同时给系统架构带来了很多问题。而“HyperTransport”构架不但解决了问题,而且更有效地提高了总线带宽,比方AMD Opteron处理器,灵活的HyperTransport I/O总线体系结构让它整合了内存控制器,使处理器不通过系统总线传给芯片组而直接和内存交换数据。这样的话,前端总线(FSB)频率在AMD Opteron处理器就不知道从何谈起了。
4、CPU的位和字长
位:在数字电路和电脑技术中采用二进制,代码只有“0”和“1”,其中无论是 “0”或是“1”在CPU中都是 一“位”。
字长:电脑技术中对CPU在单位时间内(同一时间)能一次处理的二进制数的位数叫字长。所以能处理字长为8位数据的CPU通常就叫8位的CPU。同理32位的CPU就能在单位时间内处理字长为32位的二进制数据。字节和字长的区别:由于常用的英文字符用8位二进制就可以表示,所以通常就将8位称为一个字节。字长的长度是不固定的,对于不同的CPU、字长的长度也不一样。8位的CPU一次只能处理一个字节,而32位的CPU一次就能处理4个字节,同理字长为64位的CPU一次可以处理8个字节。
5.倍频系数
倍频系数是指CPU主频与外频之间的相对比例关系。在相同的外频下,倍频越高CPU的频率也越高。但实际上,在相同外频的前提下,高倍频的CPU本身意义并不大。这是因为CPU与系统之间数据传输速度是有限的,一味追求高倍频而得到高主频的CPU就会出现明显的“瓶颈”效应—CPU从系统中得到数据的极限速度不能够满足CPU运算的速度。一般除了工程样版的Intel的CPU都是锁了倍频的,而AMD之前都没有锁。
6.缓存
缓存大小也是CPU的重要指标之一,而且缓存的结构和大小对CPU速度的影响非常大,CPU内缓存的运行频率极高,一般是和处理器同频运作,工作效率远远大于系统内存和硬盘。实际工作时,CPU往往需要重复读取同样的数据块,而缓存容量的增大,可以大幅度提升CPU内部读取数据的命中率,而不用再到内存或者硬盘上寻找,以此提高系统性能。但是由于CPU芯片面积和成本的因素来考虑,缓存都很小。
L1 Cache(一级缓存)是CPU第一层高速缓存,分为数据缓存和指令缓存。内置的L1高速缓存的容量和结构对CPU的性能影响较大,不过高速缓冲存储器均由静态RAM组成,结构较复杂,在CPU管芯面积不能太大的情况下,L1级高速缓存的容量不可能做得太大。一般服务器CPU的L1缓存的容量通常在32—256KB。
L2 Cache(二级缓存)是CPU的第二层高速缓存,分内部和外部两种芯片。内部的芯片二级缓存运行速度与主频相同,而外部的二级缓存则只有主频的一半。L2高速缓存容量也会影响CPU的性能,原则是越大越好,现在家庭用CPU容量最大的是512KB,而服务器和工作站上用CPU的L2高速缓存更高达256-1MB,有的高达2MB或者3MB。
L3 Cache(三级缓存),分为两种,早期的是外置,现在的都是内置的。而它的实际作用即是,L3缓存的应用可以进一步降低内存延迟,同时提升大数据量计算时处理器的性能。降低内存延迟和提升大数据量计算能力对游戏都很有帮助。而在服务器领域增加L3缓存在性能方面仍然有显著的提升。比方具有较大L3缓存的配置利用物理内存会更有效,故它比较慢的磁盘I/O子系统可以处理更多的数据请求。具有较大L3缓存的处理器提供更有效的文件系统缓存行为及较短消息和处理器队列长度。
其实最早的L3缓存被应用在AMD发布的K6-III处理器上,当时的L3缓存受限于制造工艺,并没有被集成进芯片内部,而是集成在主板上。在只能够和系统总线频率同步的L3缓存同主内存其实差不了多少。后来使用L3缓存的是英特尔为服务器市场所推出的Itanium处理器。接着就是P4EE和至强MP。Intel还打算推出一款9MB L3缓存的Itanium2处理器,和以后24MB L3缓存的双核心Itanium2处理器。
但基本上L3缓存对处理器的性能提高显得不是很重要,比方配备1MB L3缓存的Xeon MP处理器却仍然不是Opteron的对手,由此可见前端总线的增加,要比缓存增加带来更有效的性能提升。
7.CPU扩展指令集
CPU依靠指令来计算和控制系统,每款CPU在设计时就规定了一系列与其硬件电路相配合的指令系统。指令的强弱也是CPU的重要指标,指令集是提高微处理器效率的最有效工具之一。从现阶段的主流体系结构讲,指令集可分为复杂指令集和精简指令集两部分,而从具体运用看,如Intel的MMX(Multi Media Extended)、SSE、 SSE2(Streaming-Single instruction multiple data-Extensions 2)、SEE3和AMD的3DNow!等都是CPU的扩展指令集,分别增强了CPU的多媒体、图形图象和Internet等的处理能力。我们通常会把CPU的扩展指令集称为"CPU的指令集"。SSE3指令集也是目前规模最小的指令集,此前MMX包含有57条命令,SSE包含有50条命令,SSE2包含有144条命令,SSE3包含有13条命令。目前SSE3也是最先进的指令集,英特尔Prescott处理器已经支持SSE3指令集,AMD会在未来双核心处理器当中加入对SSE3指令集的支持,全美达的处理器也将支持这一指令集。
8.CPU内核和I/O工作电压
从586CPU开始,CPU的工作电压分为内核电压和I/O电压两种,通常CPU的核心电压小于等于I/O电压。其中内核电压的大小是根据CPU的生产工艺而定,一般制作工艺越小,内核工作电压越低;I/O电压一般都在1.6~5V。低电压能解决耗电过大和发热过高的问题。
9.制造工艺
制造工艺的微米是指IC内电路与电路之间的距离。制造工艺的趋势是向密集度愈高的方向发展。密度愈高的IC电路设计,意味着在同样大小面积的IC中,可以拥有密度更高、功能更复杂的电路设计。现在主要的180nm、130nm、90nm。最近官方已经表示有65nm的制造工艺了。
10.指令集
(1)CISC指令集
CISC指令集,也称为复杂指令集,英文名是CISC,(Complex Instruction Set Computer的缩写)。在CISC微处理器中,程序的各条指令是按顺序串行执行的,每条指令中的各个操作也是按顺序串行执行的。顺序执行的优点是控制简单,但计算机各部分的利用率不高,执行速度慢。其实它是英特尔生产的x86系列(也就是IA-32架构)CPU及其兼容CPU,如AMD、VIA的。即使是现在新起的X86-64(也被成AMD64)都是属于CISC的范畴。
要知道什么是指令集还要从当今的X86架构的CPU说起。X86指令集是Intel为其第一块16位CPU(i8086)专门开发的,IBM1981年推出的世界第一台PC机中的CPU—i8088(i8086简化版)使用的也是X86指令,同时电脑中为提高浮点数据处理能力而增加了X87芯片,以后就将X86指令集和X87指令集统称为X86指令集。
虽然随着CPU技术的不断发展,Intel陆续研制出更新型的i80386、i80486直到过去的PII至强、PIII至强、Pentium 3,最后到今天的Pentium 4系列、至强(不包括至强Nocona),但为了保证电脑能继续运行以往开发的各类应用程序以保护和继承丰富的软件资源,所以Intel公司所生产的所有CPU仍然继续使用X86指令集,所以它的CPU仍属于X86系列。由于Intel X86系列及其兼容CPU(如AMD Athlon MP、)都使用X86指令集,所以就形成了今天庞大的X86系列及兼容CPU阵容。x86CPU目前主要有intel的服务器CPU和AMD的服务器CPU两类。
(2)RISC指令集
RISC是英文“Reduced Instruction Set Computing ” 的缩写,中文意思是“精简指令集”。它是在CISC指令系统基础上发展起来的,有人对CISC机进行测试表明,各种指令的使用频度相当悬殊,最常使用的是一些比较简单的指令,它们仅占指令总数的20%,但在程序中出现的频度却占80%。复杂的指令系统必然增加微处理器的复杂性,使处理器的研制时间长,成本高。并且复杂指令需要复杂的操作,必然会降低计算机的速度。基于上述原因,20世纪80年代RISC型CPU诞生了,相对于CISC型CPU ,RISC型CPU不仅精简了指令系统,还采用了一种叫做“超标量和超流水线结构”,大大增加了并行处理能力。RISC指令集是高性能CPU的发展方向。它与传统的CISC(复杂指令集)相对。相比而言,RISC的指令格式统一,种类比较少,寻址方式也比复杂指令集少。当然处理速度就提高很多了。目前在中高档服务器中普遍采用这一指令系统的CPU,特别是高档服务器全都采用RISC指令系统的CPU。RISC指令系统更加适合高档服务器的操作系统UNIX,现在Linux也属于类似UNIX的操作系统。RISC型CPU与Intel和AMD的CPU在软件和硬件上都不兼容。
目前,在中高档服务器中采用RISC指令的CPU主要有以下几类:PowerPC处理器、SPARC处理器、PA-RISC处理器、MIPS处理器、Alpha处理器。
(3)IA-64
EPIC(Explicitly Parallel Instruction Computers,精确并行指令计算机)是否是RISC和CISC体系的继承者的争论已经有很多,单以EPIC体系来说,它更像Intel的处理器迈向RISC体系的重要步骤。从理论上说,EPIC体系设计的CPU,在相同的主机配置下,处理Windows的应用软件比基于Unix下的应用软件要好得多。
Intel采用EPIC技术的服务器CPU是安腾Itanium(开发代号即Merced)。它是64位处理器,也是IA-64系列中的第一款。微软也已开发了代号为Win64的操作系统,在软件上加以支持。在Intel采用了X86指令集之后,它又转而寻求更先进的64-bit微处理器,Intel这样做的原因是,它们想摆脱容量巨大的x86架构,从而引入精力充沛而又功能强大的指令集,于是采用EPIC指令集的IA-64架构便诞生了。IA-64 在很多方面来说,都比x86有了长足的进步。突破了传统IA32架构的许多限制,在数据的处理能力,系统的稳定性、安全性、可用性、可观理性等方面获得了突破性的提高。
IA-64微处理器最大的缺陷是它们缺乏与x86的兼容,而Intel为了IA-64处理器能够更好地运行两个朝代的软件,它在IA-64处理器上(Itanium、Itanium2 ……)引入了x86-to-IA-64的解码器,这样就能够把x86指令翻译为IA-64指令。这个解码器并不是最有效率的解码器,也不是运行x86代码的最好途径(最好的途径是直接在x86处理器上运行x86代码),因此Itanium 和Itanium2在运行x86应用程序时候的性能非常糟糕。这也成为X86-64产生的根本原因。
(4)X86-64 (AMD64 / EM64T)
AMD公司设计,可以在同一时间内处理64位的整数运算,并兼容于X86-32架构。其中支持64位逻辑定址,同时提供转换为32位定址选项;但数据操作指令默认为32位和8位,提供转换成64位和16位的选项;支持常规用途寄存器,如果是32位运算操作,就要将结果扩展成完整的64位。这样,指令中有“直接执行”和“转换执行”的区别,其指令字段是8位或32位,可以避免字段过长。
x86-64(也叫AMD64)的产生也并非空穴来风,x86处理器的32bit寻址空间限制在4GB内存,而IA-64的处理器又不能兼容x86。AMD充分考虑顾客的需求,加强x86指令集的功能,使这套指令集可同时支持64位的运算模式,因此AMD把它们的结构称之为x86-64。在技术上AMD在x86-64架构中为了进行64位运算,AMD为其引入了新增了R8-R15通用寄存器作为原有X86处理器寄存器的扩充,但在而在32位环境下并不完全使用到这些寄存器。原来的寄存器诸如EAX、EBX也由32位扩张至64位。在SSE单元中新加入了8个新寄存器以提供对SSE2的支持。寄存器数量的增加将带来性能的提升。与此同时,为了同时支持32和64位代码及寄存器,x86-64架构允许处理器工作在以下两种模式:Long Mode(长模式)和Legacy Mode(遗传模式),Long模式又分为两种子模式(64bit模式和Compatibility mode兼容模式)。该标准已经被引进在AMD服务器处理器中的Opteron处理器。
而今年也推出了支持64位的EM64T技术,再还没被正式命为EM64T之前是IA32E,这是英特尔64位扩展技术的名字,用来区别X86指令集。Intel的EM64T支持64位sub-mode,和AMD的X86-64技术类似,采用64位的线性平面寻址,加入8个新的通用寄存器(GPRs),还增加8个寄存器支持SSE指令。与AMD相类似,Intel的64位技术将兼容IA32和IA32E,只有在运行64位操作系统下的时候,才将会采用IA32E。IA32E将由2个sub-mode组成:64位sub-mode和32位sub-mode,同AMD64一样是向下兼容的。Intel的EM64T将完全兼容AMD的X86-64技术。现在Nocona处理器已经加入了一些64位技术,Intel的Pentium 4E处理器也支持64位技术。
应该说,这两者都是兼容x86指令集的64位微处理器架构,但EM64T与AMD64还是有一些不一样的地方,AMD64处理器中的NX位在Intel的处理器中将没有提供。
11.超流水线与超标量
在解释超流水线与超标量前,先了解流水线(pipeline)。流水线是Intel首次在486芯片中开始使用的。流水线的工作方式就象工业生产上的装配流水线。在CPU中由5—6个不同功能的电路单元组成一条指令处理流水线,然后将一条X86指令分成5—6步后再由这些电路单元分别执行,这样就能实现在一个CPU时钟周期完成一条指令,因此提高CPU的运算速度。经典奔腾每条整数流水线都分为四级流水,即指令预取、译码、执行、写回结果,浮点流水又分为八级流水。
超标量是通过内置多条流水线来同时执行多个处理器,其实质是以空间换取时间。而超流水线是通过细化流水、提高主频,使得在一个机器周期内完成一个甚至多个操作,其实质是以时间换取空间。例如Pentium 4的流水线就长达20级。将流水线设计的步(级)越长,其完成一条指令的速度越快,因此才能适应工作主频更高的CPU。但是流水线过长也带来了一定副作用,很可能会出现主频较高的CPU实际运算速度较低的现象,Intel的奔腾4就出现了这种情况,虽然它的主频可以高达1.4G以上,但其运算性能却远远比不上AMD 1.2G的速龙甚至奔腾III。
12.封装形式
CPU封装是采用特定的材料将CPU芯片或CPU模块固化在其中以防损坏的保护措施,一般必须在封装后CPU才能交付用户使用。CPU的封装方式取决于CPU安装形式和器件集成设计,从大的分类来看通常采用Socket插座进行安装的CPU使用PGA(栅格阵列)方式封装,而采用Slot x槽安装的CPU则全部采用SEC(单边接插盒)的形式封装。现在还有PLGA(Plastic Land Grid Array)、OLGA(Organic Land Grid Array)等封装技术。由于市场竞争日益激烈,目前CPU封装技术的发展方向以节约成本为主。
13、多线程
同时多线程Simultaneous multithreading,简称SMT。SMT可通过复制处理器上的结构状态,让同一个处理器上的多个线程同步执行并共享处理器的执行资源,可最大限度地实现宽发射、乱序的超标量处理,提高处理器运算部件的利用率,缓和由于数据相关或Cache未命中带来的访问内存延时。当没有多个线程可用时,SMT处理器几乎和传统的宽发射超标量处理器一样。SMT最具吸引力的是只需小规模改变处理器核心的设计,几乎不用增加额外的成本就可以显著地提升效能。多线程技术则可以为高速的运算核心准备更多的待处理数据,减少运算核心的闲置时间。这对于桌面低端系统来说无疑十分具有吸引力。Intel从3.06GHz Pentium 4开始,所有处理器都将支持SMT技术。
14、多核心
多核心,也指单芯片多处理器(Chip multiprocessors,简称CMP)。CMP是由美国斯坦福大学提出的,其思想是将大规模并行处理器中的SMP(对称多处理器)集成到同一芯片内,各个处理器并行执行不同的进程。与CMP比较, SMT处理器结构的灵活性比较突出。但是,当半导体工艺进入0.18微米以后,线延时已经超过了门延迟,要求微处理器的设计通过划分许多规模更小、局部性更好的基本单元结构来进行。相比之下,由于CMP结构已经被划分成多个处理器核来设计,每个核都比较简单,有利于优化设计,因此更有发展前途。目前,IBM 的Power 4芯片和Sun的 MAJC5200芯片都采用了CMP结构。多核处理器可以在处理器内部共享缓存,提高缓存利用率,同时简化多处理器系统设计的复杂度。
2005年下半年,Intel和AMD的新型处理器也将融入CMP结构。新安腾处理器开发代码为Montecito,采用双核心设计,拥有最少18MB片内缓存,采取90nm工艺制造,它的设计绝对称得上是对当今芯片业的挑战。它的每个单独的核心都拥有独立的L1,L2和L3 cache,包含大约10亿支晶体管。
15、SMP
SMP(Symmetric Multi-Processing),对称多处理结构的简称,是指在一个计算机上汇集了一组处理器(多CPU),各CPU之间共享内存子系统以及总线结构。在这种技术的支持下,一个服务器系统可以同时运行多个处理器,并共享内存和其他的主机资源。像双至强,也就是我们所说的二路,这是在对称处理器系统中最常见的一种(至强MP可以支持到四路,AMD Opteron可以支持1-8路)。也有少数是16路的。但是一般来讲,SMP结构的机器可扩展性较差,很难做到100个以上多处理器,常规的一般是8个到16个,不过这对于多数的用户来说已经够用了。在高性能服务器和工作站级主板架构中最为常见,像UNIX服务器可支持最多256个CPU的系统。
构建一套SMP系统的必要条件是:支持SMP的硬件包括主板和CPU;支持SMP的系统平台,再就是支持SMP的应用软件。
为了能够使得SMP系统发挥高效的性能,操作系统必须支持SMP系统,如WINNT、LINUX、以及UNIX等等32位操作系统。即能够进行多任务和多线程处理。多任务是指操作系统能够在同一时间让不同的CPU完成不同的任务;多线程是指操作系统能够使得不同的CPU并行的完成同一个任务。
要组建SMP系统,对所选的CPU有很高的要求,首先、CPU内部必须内置APIC(Advanced Programmable Interrupt Controllers)单元。Intel 多处理规范的核心就是高级可编程中断控制器(Advanced Programmable Interrupt Controllers--APICs)的使用;再次,相同的产品型号,同样类型的CPU核心,完全相同的运行频率;最后,尽可能保持相同的产品序列编号,因为两个生产批次的CPU作为双处理器运行的时候,有可能会发生一颗CPU负担过高,而另一颗负担很少的情况,无法发挥最大性能,更糟糕的是可能导致死机。
16、NUMA技术
NUMA即非一致访问分布共享存储技术,它是由若干通过高速专用网络连接起来的独立节点构成的系统,各个节点可以是单个的CPU或是SMP系统。在NUMA中,Cache 的一致性有多种解决方案,需要操作系统和特殊软件的支持。图2中是Sequent公司NUMA系统的例子。这里有3个SMP模块用高速专用网络联起来,组成一个节点,每个节点可以有12个CPU。像Sequent的系统最多可以达到64个CPU甚至256个CPU。显然,这是在SMP的基础上,再用NUMA的技术加以扩展,是这两种技术的结合。
17、乱序执行技术
乱序执行(out-of-orderexecution),是指CPU允许将多条指令不按程序规定的顺序分开发送给各相应电路单元处理的技术。这样将根据个电路单元的状态和各指令能否提前执行的具体情况分析后,将能提前执行的指令立即发送给相应电路单元执行,在这期间不按规定顺序执行指令,然后由重新排列单元将各执行单元结果按指令顺序重新排列。采用乱序执行技术的目的是为了使CPU内部电路满负荷运转并相应提高了CPU的运行程序的速度。分枝技术:(branch)指令进行运算时需要等待结果,一般无条件分枝只需要按指令顺序执行,而条件分枝必须根据处理后的结果,再决定是否按原先顺序进行。
18、CPU内部的内存控制器
许多应用程序拥有更为复杂的读取模式(几乎是随机地,特别是当cache hit不可预测的时候),并且没有有效地利用带宽。典型的这类应用程序就是业务处理软件,即使拥有如乱序执行(out of order execution)这样的CPU特性,也会受内存延迟的限制。这样CPU必须得等到运算所需数据被除数装载完成才能执行指令(无论这些数据来自CPU cache还是主内存系统)。当前低段系统的内存延迟大约是120-150ns,而CPU速度则达到了3GHz以上,一次单独的内存请求可能会浪费200-300次CPU循环。即使在缓存命中率(cache hit rate)达到99%的情况下,CPU也可能会花50%的时间来等待内存请求的结束- 比如因为内存延迟的缘故。
你可以看到Opteron整合的内存控制器,它的延迟,与芯片组支持双通道DDR内存控制器的延迟相比来说,是要低很多的。英特尔也按照计划的那样在处理器内部整合内存控制器,这样导致北桥芯片将变得不那么重要。但改变了处理器访问主存的方式,有助于提高带宽、降低内存延时和提升处理器性能
玩转windowsxp
一:Windows XP任务栏假死的解决方法
使用Windows XP操作系统的用户,都遇到过这样的现象:操作过程中想在任务栏中切换窗口时,忽然发现点击任务栏中的图标没有任何反应了,就像系统死机一样,这就是Windows XP中常见的任务栏失去响应,又被称为“任务栏假死现象”。我们可以用下面的方法解决它。
1. 禁用高级文字服务
Windows XP的“高级文字服务”包括了语音、手写和中文键盘输入服务,我们常用的输入法在Windows XP中也被归入高级文字服务。但是某些服务,如手写或语音功能可能与某些软件存在冲突,最明显的反应就是任务栏失去响应。例如我们清除文档记录点击“确定”或者打开多个IE快速关闭时,任务栏假死现象就很可能发生。
其实高级文字服务中的语音、手写功能使用的人并不多,我们完全可以将其关闭。打开“控制面板”,点击“切换到经典视图”,双击“区域和语言选项”,在对话框中点击“语言”标签,再单击“详细信息”按钮,在打开的“文字服务和输入语言”对话框中点击“语言栏”,选中“关闭高级文字服务”选项后保存设置即可。
由于中文输入法也属于高级文字服务的一部分,因此关闭服务后导致的结果就是输入法切换栏消失,我们就只能用快捷键“Ctrl+Shift”来切换输入法了。
2. 关掉视觉特效并使用经典开始菜单
有些时候的任务栏假死有可能和视觉特效有关,例如在快速关闭多个IE时产生的任务栏假死。这时我们可以在桌面“我的电脑”图标上单击鼠标右键,选择“属性”,点击“高级”标签,单击“性能”区中的“设置”按钮,在打开的“性能选项”对话框中选择“调整为最佳性能”,把所有特效关闭后保存退出。然后在“开始”按钮上点击右键,选择“属性”,选择“经典开始菜单”选项后点击“确定”保存。
3. 通过“分组相似任务栏按钮”可以有效解决任务栏假死现象。可惜很多人并不喜欢这项功能(切换一个任务要点击两次按钮)而把它关闭了,其实我们只要再启用它即可。方法很简单:右键单击任务栏空白处,在弹出的菜单中选择“属性”,然后在“任务栏属性”窗口中选中“分组相似任务栏按钮”复选框。因为按钮占用任务栏的空间小了,相对没有那么拥挤,当然就不会互相“打架”了。笔者原来最多的时候平均每小时都会假死一次,现在即使连续用几个小时也没事。
虽然这招很管用,但毕竟是治标不治本。那么有没有彻底的解决办法呢?其实微软已经发布了任务栏假死的补丁,笔者使用之后再也没有出现假死现象,可以说这个问题已经得到彻底解决。下载地址:www.ccidnet.com/soft/cce,大小为241KB,适用于Windows XP中文版。
Fanxiaolin 2005-09-13 15:13
二:让WinXP自行修复故障
故障恢复控制台是Windows 2000/XP/2003中专用于修复系统的工具,它可以启用和禁用服务、格式化驱动器、在本地驱动器上读写数据(包括被格式化为 NTFS 文件系统的驱动器),并执行许多其他管理任务,是我们连Windows 2000/XP/2003安全模式都无法进入时修复系统的“法宝”。
1. 使用故障恢复控制台
计算机启动时选择“Microsoft Windows Recovery Console”(即故障恢复控制台)后,当系统给出提示时,输入管理员(Administrator)密码。然后在系统提示符下,键入“Recovery Console”命令。输入“help”可得到一列命令名称,输入“help 命令名称”可得到指定命令的帮助。
在故障控制台中,我们可以使用Attrib、Batch、Bootcfg、ChDir (CD)、Chkdsk、Cls、Copy、Delete (Del)、Dir、Disable、Format、Diskpart、Enable、Expand 、Fixmbr、 Fixboot 等命令,对计算机出现的各种问题进行修复。
2. 实用命令介绍
显然,故障恢复控制台中的很多命令是我们已经很熟悉的,在此不再赘述。下面为大家介绍一般用户平时不常使用的命令,利用它们,我们可以轻松地完成许多系统维护工作。本期的“老树新花说DOS③”,介绍了可以在故障恢复控制台中使用的Expand、Rmdir命令。
①Diskpart
作用:创建和删除硬盘驱动器上的分区。
语法:Diskpart [/add /delete] [device_name drive_name partition_name] [size]
参数:如果不带任何参数,将启动 Diskpart 的 Windows 字符模式版本。
/add——创建新的分区;
/delete——删除现有分区;
drive_name——以驱动器号表示的待删除分区,仅与“/delete”同时使用,如“E:”;
partition_name——以分区名称表示的待删除分区,可代替“drive_name”,使用(仅与“/delete”同时使用);
size——要创建的分区大小,以兆字节(MB)表示,仅与“/add ”同时使用。
实例:
删除F分区——diskpart /delete F:
创建一个200MB 的分区——diskpart /add DeviceHardDisk0 200
②Fixboot
作用:将新的分区引导扇区写到指定分区。
语法:Fixboot [drive]
参数:如果不带任何参数,Fixboot 命令将向用户登录的系统分区写入新的分区引导扇区。 如果系统检测到无效或非标准分区表标记,将提示用户是否继续执行该命令,除非你访问的驱动器有问题,否则不要继续进行。向系统分区写入新的主引导记录可能破坏分区表并导致分区无法访问。
实例:向驱动器D的系统分区写入新的分区引导扇区——Fixboot D:
3. 删除故障恢复控制台
虽然故障恢复控制台很好用,但如果你不喜欢它了,可以手工将它删除。方法是:
打开“我的电脑”,双击安装了故障恢复控制台的硬盘驱动器,假设为C盘。单击“工具→文件夹选项”,选择“查看”选项卡,选中“显示所有文件和文件夹”选项前的复选框,清空“隐藏受保护的操作系统文件”选项前的复选框,“确定”后退出。
现在进入C盘根目录,删除“Cmdcons”文件夹、Cmldr 文件。右键单击 Boot.ini 文件,选择“属性”,在打开的窗口中清除“只读”复选框,“确定”退出。再用“记事本”中打开 Boot.ini 文件,删除故障恢复控制台的条目(一般是“C:cmdconsbootsect.dat="Microsoft Windows Recovery Console"/cmdcons”),保存文件后关闭,最后再恢复Boot.ini文件的只读属性即可。
Fanxiaolin 2005-09-13 15:17
三:为什么winxp的磁盘空间会不断减少
问:最近有一个很奇怪的问题就是在使用Windows XP时发现,随着不断地增加、删除应用程序,磁盘可用空间不断减少,这是为什么?如何解决这个问题呢?希望给予解答。
答:微软从Windows Me开始,在每个硬盘分区中建立一个“System Volume Information”文件夹,实际就是我们常说的系统还原。你每次对硬盘进行操作,就会在这个文件夹里面添加一些文件,随着时间的增加,这个文件夹的容量会越来越大。根据小新以往的经验来看,这个系统还原的实际功能不是很大,最简单的方法就是关闭“系统还原”功能,这样你的硬盘的空间就不会再减少(图)。这里要提醒你一点的是如果要删除这个文件夹中保存的文件,必须要以Administrator(管理员)身份登录系统才可以。
Fanxiaolin 2005-09-13 15:25
五:为Windows XP添加快速启动项
习惯使用Windows 9x的用户都知道在任务栏中有快速启动项,如“启动IE”、“显示桌面”等。但是当我们安装Windows XP以后,你就会发现在任务栏中没有任何的快速启动项,使用起来很是不方便,我们可以通过以下的方法添加快速启动项。
1、 添加“显示桌面”项
依次单击“开始→设置→控制面板→任务栏和开始菜单”,在“任务栏和开始菜单属性”窗口中,将“显示快速启动”选项打上勾,“显示桌面”项就会出现在任务栏中了。
2、添加其他快速启动项
如果我们需要把其他应用程序添加到任务栏中,如“Word XP”、“ACDSee”等,实现快速启动程序,有两个方法可以做到。
(1)首先要在桌面上创建程序的快捷方式,单击快捷方式,然后拖动快捷方式图标到任务栏中快速启动图标的附近,当所拖动的图标旁出现插入的标记时,松开鼠标,程序便会添加到快速启动项中。
(2)先在桌面上创建程序快捷方式,在其快捷方式图标上单击鼠标右键,选择“复制”命令,然后打开Windows XP的安装目录(如果安装在C盘的话,默认在C:\Documents and Settings\***\Application Data\Microsoft\Internet Explorer\Quick Launch的窗口中,***是指你本人登录时中的用户名),执行“粘贴”命令,同样可以将程序添加到快速启动项中。
如果需要从任务栏中删除某个快速启动项,只要在其上单击鼠标右键,然后选择“删除”命令,就会去掉这个快速启动项。
Fanxiaolin 2005-09-13 15:53
七:怎样在Windows XP Pro中用好磁盘配额
Windows 2000/XP都具有磁盘配额功能。只要启用了磁盘配额,你就可以在每一个硬盘分区中限制任意一个用户或者组的最大磁盘使用容量,任何时候的任何用户都不可能超出分配给他的配额。下面以Windows XP Professional为例,来看看究竟如何使用磁盘配额。
使用磁盘配额除了对操作系统的要求之外,你必须具有Administrator权限,而且所配置的分区必须用NTFS文件系统进行格式化。
若要设置配额,打开“我的电脑”,右键单击要为其启用磁盘配额的磁盘分区,然后单击“属性”,在“属性”对话框中,单击“配额”选项卡。在“配额属性”页上,选中“启用配额管理”复选框,然后单击“应用”。此时磁盘配额功能已经启用,但是这时的设置不会限制任何用户的磁盘使用。这时需要配置4个复选选项(其中3、4两个选项是普通用户不经常使用的,在此不多介绍),以下介绍1、2两个选项:
1.拒绝将磁盘空间分配给超过配额限制的用户
超过其配额限制的用户将收到“磁盘空间不足”的提示,如果不先从该分区删除或移动一些现有文件,将无法再向其中写入其他数据。只有选择这个选项,才能起到磁盘容量限制的作用。
2.制定磁盘空间限制
输入允许分区的新用户使用的磁盘空间容量。可以使用小数数值(例如,20.5)。对于磁盘空间和警告等级,请从下拉列表中选择合适的单位(例如,KB、MB、GB等)。
完成以上配置后,在此页面上还有个选项叫配额项。打开后,你会发现这里默认有管理员用户,而且限制为0,此时你可以单击“配额/新建配额项”,在“高级/查找”中你可以找到在本机上所有的用户和组,选择要限制磁盘配额的用户和组,单击[OK],这时出现了一个新的对话框,在这里你可以再一次配置对这次选择的用户的磁盘配额限制。最后单击[OK],这时又回到刚才的配额项列表处,这时列表中会增加一条记录,是你刚刚配置的那一条,验证无误后关闭对话框。此时磁盘配额设置全部完成。你可以重复以上操作,添加新的配额项。
最后提醒一点,磁盘配额基于文件的所有权,而与用户的文件在分区中的文件夹位置无关。例如,如果一个用户创建一个200KB的文件,而另一个用户取得该文件的所有权,则第一个用户使用的磁盘空间减少200KB,第二个用户使用的磁盘空间增加200KB。
Fanxiaolin 2005-09-13 16:08
十:解除Windows XP的文件共享限制
在安装了Windows XP的计算机上,即使网络连接和共享设置正确(如IP地址属于同一子网,启用了TCP/IP上的NetBIOS,防火墙软件没有禁止文件共享需要的135、137、138、139等端口),使用其他系统(包括Windows 9X/Me/2000/XP等)的用户仍然无法访问该计算机。我们应该怎样解决这一问题呢?
默认情况下,Windows XP的本地安全设置要求进行网络访问的用户全部采用来宾方式。同时,在Windows XP安全策略的用户权利指派中又禁止Guest用户通过网络访问系统。这样两条相互矛盾的安全策略导致了网内其他用户无法通过网络访问使用Windows XP的计算机。你可采用以下方法解决。
方法一 解除对Guest账号的限制
点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略(见图),删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。
方法二 更改网络访问模式
打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾—本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。
现在,当其他用户通过网络访问使用Windows XP的计算机时,就可以用自己的“身份”进行登录了(前提是Windows XP中已有这个账号并且口令是正确的)。
当该策略改变后,文件的共享方式也有所变化,在启用“经典:本地用户以自己的身份验证”方式后,我们可以对同时访问共享文件的用户数量进行限制,并能针对不同用户设置不同的访问权限。
不过我们可能还会遇到另外一个问题,当用户的口令为空时,访问还是会被拒绝。原来在“安全选项”中有一个“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。
Fanxiaolin 2005-09-13 16:29
十二:构建安全稳固的Windows2000/XP操作系统
“安”出来的精彩
1.尽量安装英文版的操作系统
如果只是为了提高操作系统的安全性,笔者强烈推荐大家安装英文原版Windows,因为当一个新漏洞被发现后,通常是英文版的漏洞补丁先行,其他语言版本的补丁要滞后一段时间。这段时间也许就能决定系统的“生”或“死”。
2.不安装无用的组件
Windows系统在安装时,会提示我们选择安装的组件。一般来说,那些一时用不到的组件,尽量不要安装。比如对于那些既不打算架设个人站点,又不太可能用本地计算机调试ASP等脚本的普通用户来说,完全没有必要安装Windows 2000/XP的Internet信息服务(IIS),自然也就可以避免诸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通过IIS来进行的外部攻击。
3.选择安全的文件格式
对于Windows 2000/XP的用户而言,NTFS文件格式是最佳选择。因为无论是从文件检索速度、系统资源权限控制上来看,NTFS都明显要优于FAT系统。我们可以在采用了NTFS格式的磁盘分区上单击鼠标右键,从弹出的菜单中选择“属性”,就会看到NTFS格式下的磁盘属性中多了“配额”和“安全”两个选项卡,用户通过这两个选项卡可以详细地设置系统中每个用户对该逻辑盘的访问权限!
“定”出来的彩虹
1.定制系统服务
Windows 2000/XP系统正常启动后,会为用户提供很多服务,但绝大多数用户并不需要所有的服务。显然,多余的服务只能增加系统负荷和不稳定性。我们可以在桌面上用鼠标右键单击 “我的电脑→管理”,然后在打开的界面左侧窗口中选择“服务和应用程序→服务”,我们可以在这里关掉那些不必要的服务,以提高系统稳定性、安全性并加快系统运行速度。需要特别说明的是,Remote Registry Service、Telnet等几个高风险的服务是一定要停止的:用鼠标双击相应项目,然后在打开的窗口中将它们设置为“手动”或“禁止”即可。
2.定制默认账号
我们说过,凡是默认的,都是不安全的,至少系统账号是这样的,先不说现在大多数朋友使用的密码都简单得可怜,使用空密码的用户也不在少数。重要的是在已知用户名的情况下,从理论上讲密码很难逃脱被暴力破解的厄运。
在桌面上用鼠标右键单击 “我的电脑→管理”,然后在打开的界面左侧窗口中选择“系统工具→本地用户和组”。然后为“用户”或“组”下面的“Administrators”账号更名。对于那些系统自带的、我们不使用的用户,最好也设置密码,避免被恶意程序或者攻击者利用。
3.定制安全日志和审核策略
在一场灾难到来之前,我们可以为避免灾难做大量的准备,但是却绝对不能不去考虑如果灾难真的降临,我们该怎么办?对于系统加固来说,我们同样要做好完全准备,日志和审核策略就是专门针对这个工作的。注意,操作系统在默认情况下不会打开任何安全审核!
单击“开始→运行”,键入“Gpedit.msc”后按下回车键,在打开的组策略窗口中依次展开“计算机配置→Windows设置→安全设置→本地策略→审核策略”,然后双击右侧窗口中的“账户管理”,打开如图1所示的窗口,将“成功”、“失败”前的复选框全部选中,再“确定”退出。用同样的方法将“登录事件”、“策略更改”、“系统事件”、“账户登录事件”均设置为“成功”、“失败”,将“对象访问”、“特权使用”、“目录服务访问”设置为“失败”即可。
接下来在“账户策略→密码策略”中,将“密码复杂性要求”设置为“启用”;将“密码长度最小值”设置为“6位”;将“强制密码历史”设置为“5次”,将“最长存留期”设置为“30天”。
在“账户策略→账户锁定策略”中,将“账户锁定”设置为“3次错误登录”;将“锁定时间”设置为“20分钟”;将“复位锁定计数”设置为“20分钟”。
系统安全三剑客
1.用WSU提升系统权限
在默认情况下,Windows 2000及以上的操作系统不允许我们删除系统默认账号。但实际上,如果用户取得了System权限,就能删除这些拥有Administrator权限所不能删除的系统默认账号了!
先去下载WSU这个小工具,该软件适用于 Windows NT4/2000/XP/2003,它是一个能以其他用户身份或进程身份创建新的进程的小程序,你可以用其他用户身份创建新的进程,而不论你是否知道该用户密码,也不需要该用户当前有程序在运行。当然,前提是你必须以系统管理员身份登录。
安装并下载软件后,在控制台(DOS模式)下输入“WSU REGEDIT”,然后在打开的注册表编辑器中找到“GUEST”键,将它删除即可!
同理,我们可以用这个方法对系统内置的其他用户进行操作。来完成我们的灵活定制系统的初衷。
2.为“视窗”加个窗帘
在使用WSU调整过系统默认账号后,我们有效地防止了来自系统以外的破解方式为主的攻击、破坏,有力地加强了系统的稳定性。不过,由于操作系统本身设计的原因,我们仍然需要使用Internet防火墙来保证系统安全。
3.及时发现操作系统漏洞
在我们完成前面的种种设置后,最好还是自己来动手进行一次安全评估。从http://www.ttian.net下载Retina Network Security Scanner后,程序会要求大家立即升级程序的漏洞库。漏洞库升级完毕后,我们可以在程序主界面左上角找到地址栏,输入本机的IP地址(或者是需要检测的IP地址后)后回车,即可开始扫描。看到界面右侧的情况分析了吗?这里很详细地给出了系统所存在的各种安全隐患,用鼠标单击任何一个条目,程序都会自动出现最佳加固策略供用户参考。
成败皆在一念间
其实整个系统加固过程看起来并不复杂,但笔者不得不提醒大家的是,系统安全或不安全,稳固或不稳固,全在乎操作者的心态,可以说“成败皆在一念间”:你重视它,时时关注它,对新出现的一些问题及时寻找相应的解决办法,你的系统安全性自然会大大提高。
比如对于操作系统,我们应该定时在“控制面板”中运行“Windows Update”及时升级。或是干脆将“系统属性”下“自动更新”选项卡将相关选项前的复选框选中,让系统自动进行升级。
此外,及时升级杀毒软件,保持杀毒软件病毒库始终是最新的,无疑会对系统安全起到最好的保护。
Fanxiaolin 2005-10-12 21:53
十三:Windows XP连续重启的解决方法
我在本论坛看到常有人问到Windows XP连续重启的问题,特发此帖供大家参考参考
故障现象:电脑在Windows XP启动画面出现后,登录画面显示之前,电脑重启,每次都这样,无法进入Windows。
故障解决:一般说来,导致此错误发生的原因是Kernel32.dll文件丢失或者被损坏。解决办法是,用Windows故障恢复控制台重新从Windows XP的安装光盘上提取一个新的Kernel32.dll文件。以下是操作步骤:
第一步:启动故障恢复控制台;
第二步:在命令提示符中,输入cd system32,然后按回车键;
第三步:输入ren kernel32.dll kernel32.old,然后按回车键;
第四步:输入map,然后按回车键;
第五步:注意放有Windows XP光盘的光驱的驱动器名。例如为F:,在实际应用时,请用自己实际的光驱盘符代替;
第六步:输入expand f:\i386\kernel32.dl_,然后按回车键(kernel32.dl_ 中的“l”后面是一个下划线);
第七步:输入exit,当电脑重启时,取出Windows XP光盘,让电脑正常启动。
小资料
Windows 98启动时,出现"Starting Windows 98……"信息后死机
可能之一:DOS启动部分受损
可能是由于Windows 98的DOS启动部分受到损坏。如果有安装Windows 98时创建的启动盘,将此盘插入软驱重启电脑,启动后输入SYS C:后回车即可(这个命令用于向C盘传送系统)。如安装时没有建立启动盘,可到其他电脑上通过“控制面板→添加删除程序→创建启动盘”来创建启动盘。要注意的是,传送的系统版本须与原系统版本一致,否则系统无法启动。
可能之二:启动文件出错
在安装某些硬件或软件后,它们在Config.sys或Autoexec.bat文件中加入的语句造成系统无法启动。重启电脑,在出现Windows启动画面前按F8键进入安全模式,接着单击“开始→运行”,输入:msconfig,在“常规”选项卡中取消“处理Config.sys文件”、“处理Autoexec.bat文件”的勾选,确定后重启即可。或者也可以用启动软盘启动系统,接着输入:
C:(回车)
rename autoexec.bat autoexec.bak(回车)
rename config.sys config.bak(回车)
按Ctrl+Alt+Del重启系统。
电击她 2005-11-04 00:21
十四:20招Windows XP经典应用技巧
1、查看详细的系统信息
打开“命令提示符”,或者在“运行”对话框中输入“cmd”,在“命令提示符”状态下输入“systeminfo”,按下回车键,系统即开始检测相关信息并返回到当前窗口中,你可以看到的Windows XP是否安装了补丁、初始安装时间、虚拟内存的设置等详细信息。
2、让电脑做CD机
用电脑听CD可以不用任何播放软件,把音箱线直接接到光驱的耳机孔,放入CD,按光驱上的play键就可以直接听了,这样听歌可以不占用系统资源。(如果你的电脑坏了,不能启动或什么的,一时放在那不能修,千万不要浪费资源,把用里面的电源给光驱通上电,就可以暂时做CD机了
3、去掉菜单延迟
为了达到视觉上的真实感,Windows XP中的菜单在打开时会有滑出的效果,但这也会延缓打开速度。我们可以在HKEY_CURRENT_USERControl PanelDesktop下找到“MenuShowDelay”主键,把它的值改为“0”就可以去掉菜单延迟效果。
4、查看加密磁盘和文件
Windows XP具有更高的安全性能,如果设置用户的时候使用了权限保护功能,其他用户是不能直接访问你的文件夹的,即使是系统管理员都不行。这样虽然安全,但是出了问题也是非常头痛的事情。如果你正好遇到这样的问题,必须以Administrator身份登录,然后在文件夹选项中的“查看”选项卡中的“高级设置”列表窗口中关闭“使用简单文件共享”复选框。之后返回相应的文件夹或者磁盘分区,在关联的菜单中选择“属性”命令,切换到“安全”选项卡,此时可以看到其中没有允许访问的任何用户,单击“高级”按钮,进入高级设置界面。切换到“所有者”选项卡,在其中如果有你的用户列表,选择它,并选择界面下边的 “R替换子容器及对象的所有者”复选框,单击“应用”添加设置,此时你可以看到在“权限”选项卡中看到你的名字了。当然,如果在“权限”选项卡中允许你添加新的访问用户,则可以忽略上面的操作。
单击“确定”按钮返回,现在就可以访问原来加密的文件夹,或者磁盘了。此外,如果你在“Pemissions”选项卡中看到了一个很长的“S-1-5-21-xxxxx”等全部是数字组成的用户,这可能就是以前创建的用户名,但是它已经损坏了,选择该用户,清除界面中的“Inherit from part the permission entries that apply to child objects. Inculde these with entries explicitly defined here(从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目)”复选框。在关联的界面中选择“Copy(复制)”命令,之后可以将这个无用的用户删除。
5、解决关机变重启的方法
这个问题是有些主板的高级电源管理不能被Windows XP支持。一般用AWARD的BIOS的主板的电脑没有这个问题,到目前为止,遇到AMI的BIOS的主板有这个问题,如技嘉的主板。解决的办法是升级你的主板的BIOS,即刷新BIOS,这是个比较危险的操作,最好请经验丰富的人来帮助你。
6、关闭自动播放功能
一旦您将媒体插入驱动器,自动运行就会从驱动器中读取数据,这会造成程序的设置文件和在音频媒体上的音乐立即开始。你可以用下面这个办法关闭这个功能:点“开始”→“运行”,在对话框中输入“gpedit.msc” →“计算机配置”→“管理模板”→“系统”,双击“关闭自动播放”,在“设置”中选“已启用”,确定即可。
7、在关机时清空页面文件
打开“控制面板”,点击“管理工具”→“本地安全策略”→“本地策略”→“安全选项”,双击其中“关机:清理虚拟内存页面文件”一项,点击弹出选单中的“已启用”选项,单击“确定”即可。
8、快速关闭窗口
如果同时有多个窗口打开,想要关闭的话,可以按住shift不放然后点击窗口右上角的关闭图标
9、快速保存页面
在保存网页前,可以按一下"ESC"键(或脱机工作)再保存,这样保存很快
10、自动关闭停止响应的程序
在Windows XP操作系统中,这个设置可以使Windows XP当诊测到某个应用程序已经停止相应时可以自动关闭它,而不需要进行麻烦的手工干预。想要实现这个功能,就请点击“开始”→“运行”输入“RegEdit”打开注册表编辑器,找到HKEY_CURRENT_USERControl PanelDesktop分支,将AutoEndTasks的键值设置为1即可。
11、减少磁盘空间的浪费
在Windows XP操作系统运行过程中,常常会产生后缀名诸如tmp、bak、log、old、txt 等的文件,这些文件其实都是可以进行安全删除的,甚至包括Windows目录下面的bmp文件,如果你不喜欢Windows XP中自带的那些墙纸的话。完全可以删除掉这些文件。
在Windows XP操作系统Windows emp目录下面的文件,笔者也建议你删除掉,那些都是在安装应用软件的过程中遗留下的多余文件。还有一点,就是在硬盘中的小文件,请尽可能地把它们集中起来,然后用WinZip这样的压缩软件合并成一个大文件,从而达到减少磁盘空间浪费的目的。
12、清除内存内被不使用的DLL文件
在[开始]-->[运行]-->键入[Regedit]-->[HKKEY_LOCAL_MACHINE]-->[SOFTWARE]-->[Microsoft]-->[Windows]-->[CurrentVersion],在[Explorer]增加一个项[AlwaysUnloadDLL],默认值设为1。注:如由默认值设定为[0]则代表停用此功能。
13、内存性能优化
Windows XP中有几个选项可以优化内存性能,它们全都在注册表下面位置:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
1)禁用内存页面调度(Paging Executive)
在正常情况下,XP会把内存中的片断写入硬盘,我们可以阻止它这样做,让数据保留在内存中,从而提升系统性能。要注意的是,拥有很多内存的用户(256M以上)才好使用这个设置。这个设置的名字正如它的功能一样,叫“DisablePagingExecutive”。把它的值从0改为1就可以禁止内存页面调度了。
2)提升系统缓存:把LargeSystemCache键值从0改为1,Windows XP就会把除了4M之外的系统内存全部分配到文件系统缓存中,这意味着XP的内核能够在内存中运行,大大提高系统速度。剩下的4M内存是用来做磁盘缓存的,在一定条件下需要的时候,XP还会分配更多一些。一般来说,这项优化会使系统性能得到相当的提升,但也有可能会使某些应用程序性能降低。正如前面所说的,必须有256M以上的内存,才好激活LargeSystemCache,否则不要动它。
3)输入/输出性能:这个优化只对server用户才有实在意义——它能够提升系统进行大容量文件传输时的性能。在默认情况下,这个键值在注册表中是不存在的,必须自己建一个DWORD(双字节值)键值,命名为IOPageLockLimit。多数人在使用这项优化时都发现8到16M字节之间性能最好,具体设什么值,可以设进去试试看哪个值可以获得最佳性能。记住这个值是用字节来计算的,因此,譬如你要分配12M的话,就是12 * 1024 * 1024,也就是12582912。跟前面的内存优化一样,只有当你的内存大于256M的时候才好更改这里的值。
14、设置处理器二级缓存容量
Windows XP无法自动检测处理器的二级缓存容量,需要我们自己在注册表中手动设置,首先打开注册表(运行中输入“Regedit”),再打开:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
选择“SecondLevelDataCache”,根据自己所用的处理器设置即可,例如PIII Coppermine/P4 Willamette是“256”,Athlon XP是“384”,P4 Northwood是“512”
15、恢复硬件以前的驱动程序
在安装了新的硬件驱动程序后发现系统不稳定或硬件无法工作时,只需在“设备管理器”中选择“驱动程序恢复”按钮,即可恢复到先前正常的系统状态。但不能恢复打印机的驱动程序。
16、让Windows XP读英文字母
找到“辅助工具”组里的“讲述人”程序,点击“声音”按钮,进入“声音设置”界面进行一番设置然后保存即可。当你把鼠标指向带有英文字母的对话框、菜单以及按钮时,会听见一个男声读着英文字母。
17、查看上网使用时间
在Windows XP中,我们通过“事件查看器”可以查看我们过去的上网时间。方法为:打开“控制面板”,双击“管理工具”,然后打开“事件查看器”。在左侧的窗口中选择“系统”选项,单击鼠标右键,在弹出的快捷菜单中选择“属性”,在“系统属性”窗口中选择“筛选器”标签,在“事件来源”中选择“RemoteAccess”。单击“确定”按钮,回到“事件查看器”主窗口,在右边的窗口中就会显示出上网的开始时间和结束时间,相邻的两个时间中较早的就是你开始上网的时间,较晚的则是下线的时间。
18、修改Windows XP的登录背景图案
面对长久不变的单调的登录图案,你可能日久生厌,我们可以通过注册表来把它换成自己喜欢的图案,步骤如下:打开注册表编辑器,找到HKEY_USERS.DEFAULTControl PanelDesktop子键分支,双击wallpaper,键入你选择好的图片的路径,如:c ocuments and SettingsMy DocumentsMy Picturesmypic.bmp,点击“确定”,然后找到Tilewallpaper,双击它输入键值“1”,重新启动系统即可看到效果。
19、修改登录时的背景色
如果你还想修改登录时的背景颜色,可以按以下步骤操作:打开注册表编辑器,找到HKEY_USERS.DEFAULTControl PanelColors子键分支,双击子键分支下的Background键值名,出现“编辑字符串”对话框,在“数值数据”文本框中输入代表颜色的键值(比如黑色的RGB值为000,白色的RGB值为255 255 255,系统默认值是58 110 165),点击“确定”按钮,重新启动系统即可。
20、任意定制按钮颜色
尽管Windows XP本身带有多种窗口显示方案,但用户想定义某一个部位的颜色,比如把按钮的颜色由黑色改为蓝色或红色,这时就需要修改注册表了,步骤如下:打开注册表编辑器,找到HKEY_CURRENT_USERControl PanelColors子键分支,双击在它下面的Bottontext,在打开的对话框中将其键值改为你想要颜色的值,比如红色255 0 0,单击“确定”按钮,并重新启动系统即可看到效果了,此时按钮上的文字颜色将变成红色,此外你还可以修改按钮的宽度和高度及背景等参数。
电击她 2005-11-04 00:33
十五:解决Windows XP SP2常遇的十例问题
Windows XP SP2已经发布很长时间了,很多朋友都安装了。但在使用过程中,都遇到了这样或那样的问题。在这里,我根据自己的使用经验总结了一些常见的问题,希望对朋友们有所帮助!
疑问一:我安装成功SP2后,总是发现开机时在任务栏中显示一个红色的盾牌。点击进入后提示“病毒防护未启用”,我可是安装的诺顿安全特警2004啊!怎么回事?不过这两天却神秘的消失了!后来我觉得诺顿自带的防火墙要好一点,就在选项里把Windows自带的防火墙关掉了,可是在任务栏中又出现了红色的盾牌,这时该怎么办?
答:在SP2中,微软加入了一个“安全中心”控制台,它主要是检测系统中病毒防护、防火墙、自动更新的状态。如果检测不到就会在开机时自动弹出红色盾牌以示警告。事实上,Windows SP2不能准确的检测到大部分的杀毒软件,即使你已经正确安装了!其实你只要进入“控制面板”,单击“病毒防护”下的“建议”,勾选“我已经安装了防病毒程序并将自己监视其状态”,下次开机时就不会提醒你了。现在,各大杀毒软件厂商都针对SP2完善了兼容性,只要升级到最新版本就可以了。你的那个“神秘失踪”其实就是软件本身自动升级更新了。另外那个防火墙的问题可以参照上面处理“病毒防护”的方法依照进行就可以了,当然是在“防火墙”标签中进行。另外,还可以从“控制面板→管理工具→服务”窗口找到安全中心服务“Security Center”,将其停用即可。
疑问二:我用的是ADSL虚拟拨号上网,没有设置IP。安装了SP2后,每次打开ADSL Modem,系统都会自动寻找IP地址,自然每次都会失败,出现续订IP的对话框。并且本地连接始终有黄色惊叹号,显示“被限制或无连接”,虽不影响拨号,但感觉不好,请问该如何禁止此问题?
答:这个问题源于网卡没有固定的IP地址,为了保障通信,Windows自动分配了一个IP地址给网卡。
方法一:进入控制面板,取消“网络连接→本地连接→属性→常规”选项卡下面的“此连接被限制或无连接时通知我”这个选项。
方法二:在“网络连接→本地连接→属性→TCP/IP”属性里面给你的网卡指定一个IP地址(注意:一定要保证和ADSL Modem的IP地址处于同一网段)。建议使用第二种方法,它同时可以减少开机时间的!
图1:为ADSL拨号Modem设置IP
疑问三:我使用双系统。安装SP2以后,发现在双启动菜单文件:boot.ini文件中的“multi(0)disk(0)rdisk(0)partition(2)\Windows="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn”里多了“/NoExecute=OptIn”一项,但并不影响使用双系统。请问这是什么意思?
答:它是由于SP2中另外一个重要的安全功能-“数据执行保护功能(简称:DEP)”产生的。你可以在“控制面板→系统→高级→设置→数据执行保护”中找到它。当你在这两项中进行切换时,“/NoExecute=OptIn”也会变成““/NoExecute=Optout”。注意:此功能需要硬件支持:包括AMD Athlon 64、AMD Opteron、Intel的安腾和安腾2,据说nVIDIA、VIA、全美达等公司也计划在其芯片中加入该技术。建议普通用户不要去修改它,否则会引起系统运行不稳定。
疑问四:由于工作原因,我经常要使用招商银行的网上银行业务。可升级到SP2发现看不到验证码了?这可怎么办?
答:在一些要求身份验证的网站(比如网上银行),多数都使用在asp中动态生成Xbm格式的图片来显示验证码。但是SP2默认不支持Xbm格式图片,造成无法看到验证码。我们可以通过修改注册表来完成:点击“开始”→“运行”,输入“regedit”回车后进入注册表,定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security,在右侧窗口新建dword值“blockXbm”并将键值该为“00000000”,重启后生效。
疑问五:当我安装了SP2后,想使用Windows update看看“传说”中的“V5”升级网站时出现错误提示“HTTP5000错误—内部网0x8ddd0010错误”,不能访问该网站。这可怎么办?
答:这是由于IE弹出窗口拦截器与Windows update有冲突造成的。解决方法:打开IE浏览器,选择工具菜单→Internet选项→隐私→设置,在“要允许的网站地址”中加入“http://v5.Windowsupdate.microsoft.com”(不包含双引号),然后点击“添加”,最后“关闭”该窗口即可。
疑问六:我是某网站的维护人员,有时需要检查一些弹出窗口的网址的有效性。自从安装了SP2以后,所有的弹出窗口都被屏蔽了,这可怎么办?
答:如果需要经常查看弹出窗口,可以关闭此功能:进入IE工具菜单→Internet选项→隐私,取消“阻止弹出窗口”前的复选框,然后点击确定就关闭了此功能。如果是偶尔允许弹出窗口,可以在点击含有弹出窗口的链接时按住Ctrl键或按住Ctrl键再点击“刷新”,这样可临时跳过此功能。
疑问七:安装了SP2后,Internet区域安全等级默认为中级。当我想调低安全等级时,弹出对话框提示不允许调低安全等级,怎样解决?
答:解决方法是,打开记事本,输入下列文字,然后另存为REG注册表文件双击导入注册表,重启后生效。
Windows Registry Editor Version 5.00
←(注意此处是空行)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
"MinLevel"=dword:00010000
疑问八:我经常用BT下载,可是自从升级到SP2以后,发现下载速度慢了很多,并且当使用BT下载时会出现不能打开网页的问题。这是什么原因?
答:这是因为SP2限制了TCP最大并发连接连接数,其目的是为了增加网络安全,防止象冲击波一类的蠕虫病毒爆发时所带来的网络空难。这种限制只是针对并发连接线程数进行的限制,如果连接完成后并不会受到什么限制。这种限制对bt之类的下载有一定的影响,但并不会影响其最终的下载速度。如果觉得下载速度慢了,那是自带的防火墙出现了问题。如果你安装了第三方的防火墙(比如天网),把自带的关闭了就行了。如果不想关闭自带防火墙,可以这样解决:进入Windows防火墙,在“例外”选项中勾选UPnP “框架”,并编辑,在弹出窗口中“编辑服务” “更改范围”,然后选择“任何计算机(包括Internet上的计算机)”。
对于打不开网页的问题,可以到下面地址下载BitComet正式版即可。此版本中已经增加了最大同时TCP连接尝试数,减少了XP SP2的连接数限制带来的影响。
疑问九:在SP2中已经提供了屏蔽弹出窗口的功能,感觉还不错!只可惜我喜欢用GreenBrowser浏览网页。虽然它是基于IE核心的,但是并不支持此新功能,还好它自己也带有类似的插件。不过总觉得有些遗憾!请问,有办法使用吗?
答:当然可以!最简单的方法就是进入GreenBrowser的安装目录把GreenBrowser.exe更改为iexplore.exe了。尽管可以使用此新功能了,但是在左下方会出现一些乱码,很难看的!!不过,现在有了很完美的解决方案:
首先请到这里下载Maxthon傲游浏览器。然后解压缩到任意目录,进入此目录并找到sp2settings.reg文件。选中后点击鼠标右键,选择“编辑”打开此文件。利用“查找替换”功能把“maxthon.exe”更换成“GreenBrowser.exe”,保存退出。双击此文件导入注册表即可。赶快试试吧!!
小技巧:如果不想使用此功能了,请找到sp2removal.exe并按上面的方法进行替换,最后导入就可“卸载”此功能。另外,如果你使用其它基于IE核心的浏览器比如MYIE等也可按照此方法进行,同样有效!
疑问十:我安装完毕SP2以后,发现系统分区少了几百兆。经检查发现,在c:\Windows\目录下有一个“$NtServicePackUninstall$”目录,居然有349MB之巨!另外,c:\Windows\ServicePackFiles文件夹居然有400MB!!!请问这是些什么东西?可以删除吗?
答:“$NtServicePackUninstall$”文件夹是当卸载SP2时所需的文件夹。当被删除以后就不能使用控制面板来卸载SP2了!当然,如果使用稳定,不想卸载SP2的话,完全可以删除!!
“ServicePackFiles”文件夹中存在的是SP2的安装文件。如果删除了,当你添加某些新功能时(例如增加了蓝牙外设)可能需要你插入SP2安装光盘。如果你已经把SP2集成到了Windows xp的安装光盘中,也可以把它删除。当然,还是请按照自己的具体情况来选择了。
电击她 2005-11-05 21:57
十六: Windows下权限设置详解
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!
要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。
下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版,安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除了一切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:\www目录,也就是网站目录读、写权。最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。
经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性 、优先性、交叉性的。
继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。
累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。
优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。
交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。
权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。同时还想给各位管理员们一些建议:
1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。
2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。
3.尽量不要把各种软件安装在默认的路径下
4.在英文水平不是问题的情况下,尽量安装英文版操作系统。
5.切忌在服务器上乱装软件或不必要的服务。
6.牢记:没有永远安全的系统,经常更新你的知识。
电击她 2005-11-06 17:09
十七: Windows组策略应用全攻略
一、什么是组策略
(一)组策略有什么用?
说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
(二)组策略的版本
大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。
早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。
无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
二、组策略中的管理模板
在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。
在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为:
1)System.adm:默认情况下安装在“组策略”中,用于系统设置。
2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。
3)Wmplayer.adm:用于Windows Media Player 设置。
4)Conf.adm:用于NetMeeting 设置。
在Windows 2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows 9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows 2000/XP/2003组策略控制台中使用如下:
首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.
然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”,再点击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了(为了便于本文后面的实例大家能一起动手操作,建议添加除默认模板文件的其它模板文件)。
再来看Windows 9X下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择“关闭”,以便将当前脚本关闭,然后再在“选项”菜单中选择“模板”
然后单击“打开模板”按钮,在弹出的对话框中选择相应的.adm文件并单击“打开”按钮,则在编辑器中打开选定的脚本文件并等待用户执行。
三、运行组策略
(一)Windows 9X策略编辑器
按操作系统的不同,策略编辑工具分为两种,一种为Windows 2000/XP/2003组策略管理控制台,它在系统安装时已经默认安装上了;另外一种就是Windows 9X的系统策略编辑器,它在系统安装时并不被安装,程序文件在Windows安装盘上的\tools\reskit\netadmin\poledit目录下,它包括Poledit.exe、Poledit.inf、Windows.adm等文件。
如果是Windows 9X系统通过下面的方法,则可以进行正规的安装过程。
1.在控制面板中,双击“添加/删除程序”图标,单击“安装Windows”标签,然后单击“从磁盘安装”选项。
2.在从磁盘安装对话框中,单击“浏览”按钮并指定Windows 9X安装光盘的tools\reskit\netadmin\poledit目录。
3.单击“确认”按钮,然后再次单击对话框中的“确认”按钮。
4.在从磁盘安装对话框中,选择“系统策略编辑器”和“组策略”复选框,然后单击“安装”按钮。
安装完成后,单击“运行”命令项,输入poledit,然后单击“确认”按钮,管理员可以以两种不同的方式使用系统策略编辑器:注册表方式和策略文件方式。
1.以注册表方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击打开注册表编辑器,然后双击相应的本地用户或本地计算机图标。这取决于要编辑注册表中的哪个部分。在使用注册表方式时,可以直接编辑本地或远程计算机的注册表。这样,所做的改变将立即反映出来。在做出修改之后,必须关机并重新启动计算机以使所做修改生效。
2.以策略文件方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击新建或打开来打开一个策略文件。在使用策略文件方式时,可以创建和修改用于其它计算机的系统策略文件(POL),在这种方式下,注册表被间接地修改。这项改变将在用户登录时策略文件被下载后反映出来。当以策略文件方式编辑设置值时,单击一个注册表选项,可以看到三种可能状态之一:选中、清除、变灰。每当选择一个选项时,将会循环显示下一个可能的状态,这与选择一个标准的复选框不同。标准的复选框只有选中或清除两个选项。
如果一个设置值需要附加信息,那么缺省用户属性对话框的底部将出现一个编辑控制。通常,如果选中了一个策略,而又不想强制使用它,应当清除该复选框来取消该策略。
(二)Windows 2000/XP/2003组策略控制台
如果是Windows 2000/XP/2003系统,那么系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行程序
使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体步骤如下:
1)打开 Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC并回车,运行控制台程序)。
2)在“文件”菜单上,单击“添加/删除管理单元”。
3)在“独立”选项卡上,单击“添加”。
4)在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。
5)在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
6)单击“完成”,单击“关闭”,然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。
对于不包含域的计算机系统来说,在上面第5步的界面中,只有“计算机”标签,而没有其他标签项目。
通过上面的方法,我们就可以使用Windows 2000/XP/2003组策略系统强大的网络配置功能,让管理员的工作更轻松和高效。
在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态,Windows 2000/XP/2003组策略管理控制台同样也有三种状态,只不过名字变了。它们分别是:已启用、未配置、已禁用。
四、“桌面”设置
Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例:
位置:“组策略控制台→用户配置→管理模板→桌面”
1.隐藏桌面的系统图标(Windows 2000/XP/2003)
虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险。而采用组策略配置的方法,可以方便快捷地达到此目的。
比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。
2.退出时不保存桌面设置(Windows 2000/XP/2003)
此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略,用户仍然可以对桌面做更改,但有些更改,如图标的位置、任务栏的位置及大小,在用户注销后都无法保存,不过任务栏上的快捷方式总可以被保存。
在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。
3.屏蔽“清理桌面向导”功能(Windows XP/2003)
“清理桌面向导”会每隔 60 天自动在用户的电脑上运行,以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置,则可以屏蔽“清理桌面向导”,如果你禁用或不配置此设置,“清理桌面向导”会按照默认设置每隔60天运行一次。
打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。
4.启用/禁用“活动桌面”(Windows 2000/XP/2003)
“活动桌面”是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以轻松达到这一要求。具体操作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。
提示:如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置,则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置(在“用户配置→管理模板→Windows组件→Windows资源管理器”中)被启用,Active Desktop 就会被禁用,并且这两个策略都会被忽略。
以上介绍了几个关于桌面的组策略配置项目,在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目,读者可根据需要进行配置,这里不再赘述。
五、个性化“任务栏”和“开始”菜单
显示了“任务栏”和“开始”菜单的有关组策略配置项目。下面我们来看具体的实例:
位置:“组策略控制台→用户配置→管理模板→任务栏和开始菜单”
1.给“开始”菜单减肥(Windows 2000/XP/2003)
如果觉得Windows的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。
2.保护好“任务栏”和“开始”菜单(Windows 2000/XP/2003)
如果你不想随意让他人更改“任务栏”和“开始”菜单的设置,你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当你用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,且当鼠标右键单击任务栏及任务栏上的项目时,例如“开始”按钮、时钟和“任务栏”按钮,弹出菜单会隐藏。
3.禁止“注销”和“关机”(Windows 2000/XP/2003)
当计算机启动以后,如果你不希望这个用户再进行“关机”和“注销”操作,那么可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。
这个设置会从开始菜单删除“关机”选项,并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项 。另外需要注意的是,此设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。
提示:如果启用了“删除开始菜单上的‘注销’”,则会从“开始菜单选项”删除“显示注销”项目。用户无法将“注销<用户名>”项目还原到开始菜单(只能通过手工修改注册表的方法)。这个设置只影响开始菜单,它不影响 “Windows 任务管理器”对话框上的“注销”项目(因此需要同时启用“删除和阻止访问‘关机’命令”),而且不妨碍用户用其它方法注销。
4.利用组策略保护个人文档隐私(Windows 2000/XP/2003)
Windows有个高级智能功能,即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。利用组策略,只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
另外需要注意的是,如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。
六、IE设置手到擒来
微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好。在IE浏览器的“Internet选项”窗口中,提供了比较全面的设置选项(例如:“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目),但部分高级功能没有提供,而通过组策略即可轻松实现这些功能。下面来看具体实例:
位置:“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer(需添加inetres.adm模板文件)”
1.禁用“在新窗口中打开”菜单项(Windows 2000/XP/2003)
出于对安全的考虑,有时候我们有必要屏蔽IE的一些功能菜单,组策略提供了丰富的设置项目,比如禁用“另存为...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打开’菜单项”为例介绍具体的设置方法。
打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏览器菜单”,然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。启用该策略后,用户在某个链接上单击鼠标右键,然后单击“在新窗口中打开”时,该命令将不起作用。该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用,后者禁止用户通过单击“文件”菜单,指向“新建”,然后单击“窗口”在新窗口中打开浏览器。
提示:启用该策略后,单击“在新窗口中打开”命令,将无法在新窗口中打开链接,系统会提示用户该命令无效,网页自动打开的窗口也全部被禁止,其实这样也可达到屏蔽弹出广告窗口的效果。
2.限制IE浏览器的保存功能(Windows 2000/XP/2003)
在使用IE浏览网页过程中,当遇到好的图片、文章等资源时可以使用“另存为”功能将它保存到本地硬盘中,当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制。那么如何才能实现呢?可以这样操作:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“‘文件’菜单:禁用‘另存为...’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。
如果不希望别人对IE浏览器的设置随意更改,可以将“‘工具’菜单:禁用‘Internet选项...’”策略启用。另外,根据个人的需要,在该窗格中还可以禁用其他项目。
3.禁用“Internet 选项”控制面板(Windows 2000/XP/2003)
上面提到了“禁用Internet选项”的功能,使用该功能可以达到阻止别人对IE随便设置的目的。而这种方法无法具体禁用Internet选项中的控制模板项目,因此给具体应用带来麻烦。通过下面的组策略设置方法,则可以实现这一要求:
打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet 控制面板”,在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明:打开右边窗格中的“禁用常规页”并设置为“启用”。然后我们再打开Internet选项控制面板,会发现“常规”项目已经没有了,这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置,因为该策略将删除界面上的“常规”选项卡,所以如果设置了该策略,则无须设置位于 “用户配置→管理模板→Windows 组件→Internet Explorer”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。
4.禁止修改IE浏览器的主页(Windows 2000/XP/2003)
如果不希望他人对自己设定的IE浏览器主页进行随意更改的话,可以打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏”,然后选择“禁用更改主页设置”组策略并启用即可。另外在这个窗格中,还提供了“更改历史记录设置”、“更改颜色设置”和“更改Internet临时文件设置”等项目的禁用功能。
启用此策略后,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
提示:如果设置了位于“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制面板”中的“禁用常规页”策略,则无须设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
5.自定义IE工具栏(Windows 2000/XP/2003)
IE工具栏的背景和上面的按钮都是可以自定义的,以前我们大多使用手动修改注册表的方法,不过并不直观,现在我们用“组策略”可以更方便地达到效果,打造属于我们自己的IE。
打开“组策略控制台→用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目,在这里,可以自定义浏览器工具栏的背景图片,点击“浏览”选择一个BMP的位图文件即可(注意:工具栏背景应该与工具栏大小相同,而亮度应该足以显示黑色文字,否则实际效果并不理想)。
木星 2005-11-06 22:11
十八:解决Windows XP关机却重启的故障
对于Windows XP来说,由于其采用了安全性能较高的NT内核,系统运行还算稳定,除了关机速度较慢之外,一般情况下很少发生关机故障。但有时在关闭Windows XP时却莫名其妙地重启,该故障是Windows XP操作系统关机故障中最容易出现的故障。造成该故障的原因可能有以下几方面原因:
系统设置
Windows XP默认情况下,当系统出现错误时会自动重新启动,这样当用户关机时,如果关机过程中系统出现错误就会重新启动计算机。将该功能关闭往往可以解决自动重启的故障。
在桌面上右键点击“我的电脑”,在弹出的右键菜单中选择“属性”,弹出“系统属性”窗口,点选“高级”选项卡,点击“启动和故障恢复”栏目中的“设置”按钮,弹出“启动和故障恢复”窗口。在“系统失败”栏目中将“自动重新 启动”选项前的对勾去掉,点“确定”按钮。
高级电源管理
众所周知,关机是与电源管理密切相关的,造成关机故障的原因很有可能是电源管理对系统支持不好造成的。
点击“开始→设置→控制面板→性能与维护→电源选项”,在弹出的窗口中,根据需要启用或取消“高级电源支持”即可。如果你在故障发生时使用的是启用“高级电源支持”,就试着取消它,如果在故障发生时,你使用的是取消“高级电源支持”就试着启用它,故障往往会迎刃而解。
USB设备
现在是USB设备大行其道之时,什么U盘、鼠标、键盘、Modem等等,应有尽有。殊不知这些USB设备往往是造成关机故障的罪魁祸首。当出现关机变成重启故障时,如果你的电脑上接有USB设备,请先将其拔掉,再试试,如果确信是USB设备的故障,那么最好是换掉该设备,或者是连接一个外置USB Hub,将USB设备接到USB Hub上,而不要直接连到主板的USB接口上。
木星 2005-11-06 22:32
十九:用脚本更换Win XP的用户密码
Windows XP启动脚本(startup scripts)是计算机在登录屏幕出现之前运行的批处理文件,它的功能类似于Windows 9×和DOS中的自动执行批处理文件autoexec.bat。
利用这个特性,可以编写一个批处理文件重新设置用户密码,并将它加入启动脚本中,这样就达到了目的。
以下是具体步骤(假设系统目录为C:\Windows)。
1.使用Windows98启动盘启动电脑。编写一个能恢复密码的批处理文件a.bat,内容只需要一条“net user”命令即可:“Net user rwd 12345678”。
这条命令的意思是将用户rwd的密码设置为“12345678”(有关Net命令的用法,可参考Windows帮助)。然后将文件a.bat保存到“C:\windows\system32\GroupPolicy\Machine\Scripts\Startup”下。
2.编写一个启动/关机脚本配置文件scripts.ini,这个文件名是固定的,不能改变。内容如下:
[Startup]
0CmdLine=a.bat
0Parameters=
3.将文件scripts.ini保存到“C:\winnt\system32\GroupPolicy\Machine\Scripts”下。scripts.ini保存着计算机启动/关机脚本的设置数据,文件内容通常包含两个数据段:[Startup]和[Shutdown]。[Startup]数据段下是启动脚本配置,[Shutdown]数据段下是关机脚本配置。
每个脚本条目被分成脚本名和脚本参数两部分存储,脚本名保存在XCmdLine关键字下,参数保存在XParameters关键字下,这里的X表示从0开始的脚本序号,以区别多个脚本条目和标志各脚本条目的运行顺序。
4.取出Windows 98启动盘,重新启动电脑,等待启动脚本运行。启动脚本运行结束后用户rwd的密码就被恢复为“12345678”。
5.登录成功后删除上述步骤建立的两个文件。
说明:电脑使用的是FAT32文件系统,如果使用NTFS文件系统,可以将这块硬盘以从盘模式挂接到其它能识别NTFS文件系统(如Windows 2000或Windows XP)的计算机上进行上述操作。本方法可以恢复管理员(Administrator)的密码。对Windows2000系统中
- 计算机概念
- 计算机概念
- 先进计算机概念
- 计算机的“层”概念
- 计算机概念总结
- 计算机常用概念
- 计算机视觉入门概念
- 计算机内存模型概念
- 1.4----计算机的存储概念
- 计算机中堆栈的概念
- 常用(数学、计算机)名词概念
- 计算机结合的早期概念
- 常见计算机概念或术语
- 计算机图形学中的数学概念
- 计算机易混淆概念(待续)
- 计算机中堆栈的概念
- 计算机中堆栈的概念
- 计算机视觉相关的概念
- Oracle 存储过程
- 黑屏问题
- IE6下window.location.href 不跳转的问题,及解决办法
- Java基础20天--01--IO流
- java的split使用注意事项
- 计算机概念
- 关于Win7系统下使用capDriverConnect()连接失败的解决办法
- 镜像
- ASIHTTPRequest 详解, http 请求终结者
- windows 下进入CTS工具脚本startcts.bat
- C/C++中产生随机数
- 字节序问题--大端法小端法
- dispatch_async 与 NSThread 创建一个任务(更新界面)
- vim快捷键
