《真情大赌注》是一个在美国的韩侨职业赌博师车民洙为的小说故事改编制作的电视剧,故事内容以是两个男子(李秉宪,池城)与一个女子〈宋慧乔〉之间,在事业与爱情、友情相互纠缠竞争的故事。
故事中男主角李秉宪由爸爸的朋友扶养长大,自小就混迹江湖,以赌为生,而后成为了世界顶尖职业赌博师;另一男主角池城是自小生活优渥的饭店业小开,是一个心地善良、心思细腻且颇具事业雄心的人,后成为饭店业集团的一代大企业家;女主角宋慧乔则饰演一个被感情所困扰的女子,小时侯生活在修女院中长大,她的梦想原是成为一名修女,但因本性天真活泼,而发现自己并不适合真正的修女院生活,一个偶然的机缘里,被师姐介绍进入了Casino赌场当发牌员兼翻译,剧中的她虽然深爱着李秉宪,但因命运的捉弄却要和池城在一起,演绎一场在人生情感的旅途上历经沧桑波折的故事。
真情大赌注主题曲《像第一天一样》
《All In》Just as the first day(中文歌词)
我说,我必须离开,
握着你的手,除了哭泣我什么都不能做
对你说,有一天我一定会再回来
然后,我们一定会再相视微笑
**
我怕
长久的等待为我带来的是爱
但却只能带给你伤害
原谅我,像个笨蛋般的我
有一天,如果我们能再相见
我要拥你入怀,告诉你
你是我所能够幸存的唯一理由
没有你,我将是不存在的
有一天,真到了这荆棘般人生的尽头
如果在你身旁闭上我的双眼
请记得你是我最后的爱,一如当初
害怕自己一闭上双眼就会忘了你
所以我不能这样轻易地睡去即使是在悲伤的夜里
害怕自己会流泪如果在梦中见到你
所以我不能睁开我的双眼
**(重复)
[wmp width=200 height=64]mms://mygod.net.ru/web/韩剧真情大赌注主题曲96.wma[/wmp]
posted by stariver at 2004年10月1日23:27星期五
本来想用mod_gzip为apache加速的,不过从古至今就没有配置成功过。所以一直用的Turck MMCache。关于什么是MMCache及下载地址见http://turck-mmcache.sourceforge.net/index_old.htm...。这里讲述一下如何在php 4.3.9下安装和配置MMCache。
服务器环境:windows xp + apache 2.0.52 + php 4.3.9 + mmcache 2.4.6
必备程序:
Microsoft Visual C++ 6.0 或更高版本
MMCache 2.4.6 源码
PHP 4.3.9 源码
编译、安装和配置步骤:
解压缩php-4.3.9.tar.tar和turck-mmcache-2.4.6.zip,注意mmcache要解压到php解压目录的“extmmcache”目录中;
复制“c:serverphpphp4ts.lib”到mmcache目录中(编译mmcache必须);
运行mmcache目录中的mmcache.dsw,进入vc,设置活动工程(active project)为“mmcache”,编译为Win32 Release模式;
复制mmcache目录中“Relaesemmcache.dll”为“c:serverphpextensionsmmcache.dll”;
md c:servertmpmmcachetmp
编辑“c:windowsphp.ini”,在最后加上如下内容:
zend_extension_ts="c:serverphpextensionsmmcache.dll"
;占用16M内存,建议不要超过32M,否则效果反而很差。
mmcache.shm_size="16"
;缓存目录
mmcache.cache_dir="c:servertmpmmcachetmp"
;根据本人使用经验,关闭缓存对于bo-blog而言速度反而快些。此项可自己尝试决定设置与否。
mmcache.enable="0"
;允许压缩
mmcache.optimizer="1"
mmcache.check_mtime="1"
mmcache.debug="0"
mmcache.filter=""
mmcache.shm_max="0"
mmcache.shm_ttl="0"
mmcache.shm_prune_period="0"
mmcache.shm_only="0"
;允许压缩
mmcache.compress="1"
复制mmcache.php到c:serverwwwmmcache.php;
重起apache,进入bo-blog页面(或者刷新一下),再打开 http://localhost/mmcache.php 一切正常的话,可以看到mmcache的信息。
后记:网上有不少MMCache的安装方法,不过都是直接拿来用的,而官方网站提供的编译后的mmcache.dll最高只支持php 4.3.4。象我这样详细的编译和配置步骤几乎是没有吧,也算开了个先河,做了件善事。
stariver 写的. 借鉴下. 哈哈.......
本来想用mod_gzip为apache加速的,不过从古至今就没有配置成功过。所以一直用的Turck MMCache。关于什么是MMCache及下载地址见http://turck-mmcache.sourceforge.net/index_old.htm...。这里讲述一下如何在php 4.3.9下安装和配置MMCache。
服务器环境:windows xp + apache 2.0.52 + php 4.3.9 + mmcache 2.4.6
必备程序:
Microsoft Visual C++ 6.0 或更高版本
MMCache 2.4.6 源码
PHP 4.3.9 源码
编译、安装和配置步骤:
解压缩php-4.3.9.tar.tar和turck-mmcache-2.4.6.zip,注意mmcache要解压到php解压目录的“extmmcache”目录中;
复制“c:serverphpphp4ts.lib”到mmcache目录中(编译mmcache必须);
运行mmcache目录中的mmcache.dsw,进入vc,设置活动工程(active project)为“mmcache”,编译为Win32 Release模式;
复制mmcache目录中“Relaesemmcache.dll”为“c:serverphpextensionsmmcache.dll”;
md c:servertmpmmcachetmp
编辑“c:windowsphp.ini”,在最后加上如下内容:
zend_extension_ts="c:serverphpextensionsmmcache.dll"
;占用16M内存,建议不要超过32M,否则效果反而很差。
mmcache.shm_size="16"
;缓存目录
mmcache.cache_dir="c:servertmpmmcachetmp"
;根据本人使用经验,关闭缓存对于bo-blog而言速度反而快些。此项可自己尝试决定设置与否。
mmcache.enable="0"
;允许压缩
mmcache.optimizer="1"
mmcache.check_mtime="1"
mmcache.debug="0"
mmcache.filter=""
mmcache.shm_max="0"
mmcache.shm_ttl="0"
mmcache.shm_prune_period="0"
mmcache.shm_only="0"
;允许压缩
mmcache.compress="1"
复制mmcache.php到c:serverwwwmmcache.php;
重起apache,进入bo-blog页面(或者刷新一下),再打开 http://localhost/mmcache.php 一切正常的话,可以看到mmcache的信息。
后记:网上有不少MMCache的安装方法,不过都是直接拿来用的,而官方网站提供的编译后的mmcache.dll最高只支持php 4.3.4。象我这样详细的编译和配置步骤几乎是没有吧,也算开了个先河,做了件善事。
stariver 写的. 借鉴下. 哈哈.......
最近,屡屡发生网友在浏览网页时,造成注册表被修改,使得IE默认连接首页、标题栏及IE右键菜单被改为浏览网页时的地址(多为广告信息及其它的讨厌信息),更有甚者使浏览者的电脑在启动时出现一个提示窗口显示自己的广告,并会自动打开很多的网页,而且有愈演愈烈之势,尤其在办公室中,一不小心便中招,让你措手不及,遇到这种情况我们该怎样办呢?
一、注册表被修改的原因及解决办法
其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。
1、IE默认连接首页被修改
IE浏览器上方的标题栏被改成“欢迎访问******网站”的样式,这是最常见的篡改手段,受害者众多。
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“*****”就会将你的IE默认连接首页修改为 http://ppw.****.com ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。
解决办法:
A. 注册表法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about:blank”即可;
③同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:
运行注册表编辑器regedit.exe,然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。
2、篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\
Main\Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
A.运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那
些篡改网站的网址改掉就好了,或者设置为IE的默认值。
B.msconfig 有的还是将程序写入硬盘中,重启计算机后 首页设置又被改了回去,这时可使用“系统配置实用程序”来解决。开始-运行,键入msconfig点击“确定”,在弹出的窗口中切换到“启动”选项卡,禁用可疑程序启动项。
3、修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来。
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan
el]"Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan
el]"Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan
el]"SecAddSites"=dword:1
解决办法:
将上面这些DWORD值改为“0”即可恢复功能。
4、IE的默认首页灰色按扭不可选
这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet E
xplorer\Control Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改为“
1”(即为灰色不可选状态)。
解决办法:
将“homepage”的键值改为“0”即可。
5、IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。
具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
解决办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字;
③同理,展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题解决了!
6、IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现!
解决办法:
打开注册标编辑器,找到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉啊,这两个可是“正常”的呀,除非你不想在IE的右键菜单中见到它们。
7、IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
解决办法:
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssis
tant”的键值改为某个搜索引擎的网址即可。
8、系统启动时弹出对话框
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“L
egalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由
于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网
页的广告信息!你瞧,多讨厌啊!
解决办法:
打开注册表编辑器,找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeTex
t”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。
9、浏览网页注册表被禁用
这是由于注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“
0”即可恢复注册表的使用。
解决办法
用记事本程序建立以REG为后缀名的文件,将下面这些内容复制在其中就可以了:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
]“DisableRegistryTools”=dword:00000000
10、浏览网页开始菜单被修改
这是最“狠”的一种,让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的
那些症状,还会有以下更悲惨的遭遇:
1)禁止“关闭系统”
2)禁止“运行”
3)禁止“注销”
4)隐藏C盘——你的C盘找不到了!
5)禁止使用注册表编辑器regedit
6)禁止使用DOS程序
7)使系统无法进入“实模式”
8)禁止运行任何程序
具体的原因和解决办法请看天极网e企业之安全之路栏目的这篇文章:《浏览网页注册表被修改之迷及解决办法》。
以上是比较常见的修改浏览者注册表的现象,今天在浏览网页时,无意中来到某个
个人网站,又遇到了以前没有碰到过的问题:
11、IE中鼠标右键失效
浏览网页后在IE中鼠标右键失效,点击右键没有任何反应!
12、查看““源文件”菜单被禁用
在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。
我在浏览网页时并没有注意到上面这两个问题,因为当时正好朋友叫我有事,于是
我就退出电脑了,晚上吃完饭开启电脑连线上网,就发现IE中鼠标右键失效,“查看”
菜单中的“源文件”被禁用。不能查看源文件也就罢了,但是无法使用鼠标右键真是太
不方便了。得想个办法!
找出最新版的超级兔子魔法设置试试吧,呀!不能解决!看来是个新问题,不过自
己好歹也是“老革命”了,这点问题应该难不住我。于是到注册表中一番搜寻,经过一
番查找终于弄明白了问题的所在。
原来,恶意网页修改了我的注册表,具体的位置为:
在注册表HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:“
NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restric
tions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为
了“1”。
通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“
源文件”被禁用的目的。要向你说明的是第2点中提到的注册表其实相当于第1点中提到
的注册表的分支,修改第1点中所说的注册表键值,第2点中注册表键值随之改变。
解决办法:
明白了道理,问题解决起来就容易多了,具体解决办法为:将以下内容另存为后缀
名为reg的注册表文件,比方说unlock.reg,双击unlock.reg导入注册表,不用重启电脑
,重新运行IE就会发现IE的功能恢复正常了。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
\Restrictions]
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer
\Restrictions]
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000
要特别注意的是,在你编制的注册表文件unlock.reg中,“REGEDIT4”一定要大写
,并且它的后面一定要空一行,还有,“REGEDIT4”中的“4”和“T”之间一定不能有
空格,否则将前功尽弃!许多朋友写注册表文件之所以不成功,就是因为没有注意到上
面所说的内容,这回该注意点喽。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”改为Windows Registry Editor Version 5.00。
二、预防办法
1、要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美
丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
2、由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插
件和控件、Java脚本等全部禁止就可以避免中招。
具体方法是:在IE窗口中点击“工具→Internet选项,在弹出的对话框中选择“安
全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有Ac
tiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览
过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉,有利就有弊,你还是自己
看着办吧。
3、对于Windows98用户,请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开
C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉
。请放心,删除这个组件不会影响到你正常浏览网页的。
4、下载超级兔子魔法设置软件后安装,如果出现问题,可以用它来恢复。不过 “兔子”对于我们在上面所说的恶意网页使得IE中鼠标右键失效,“查看”菜单中的 “源文件”被禁用这两种现象无法恢复。
5、既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表
加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器
regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“
锁”!
加锁方法如下:
(1)运行注册表编辑器regedit.exe;
(2)展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
解锁方法如下:
用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:
REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
]“DisableRegistryTools”=dword:00000000存盘,你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”写为Windows RegistryEditor Version 5.00。
6、对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务“R
emote Registry Service”禁用,来对付该类网页。具体方法是:点击“管理工具→服
务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用即可。
7、如果觉得手动修改注册表太危险,可以下载如下reg文件,双击之可恢复被修改
的注册表。
8、虽然经过一番辛苦的劳动修改回了标题和默认连接首页,但如果以后又不小心进
入该站就又得麻烦一次。其实,你可以在IE中做一些设置以便永远不进该站点:
打开IE,点击“工具”→“Internet选项”→“内容”→“分级审查”,点“启用
”按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站
网址,如输入:http://***.****.com,按“从不”按钮,再点击“确定”即大功告成!
9、升级你的IE为6.0版本,可以有效防范上面这些症状。 虽然不是最终版本,但它可以无法再随意修改你的注册表.
10、下载微软最新的Microsoft Windows Script 5.6,可以预防上面所说的现象,
更可预防目前流行的、可恶的混客绝情炸弹
Windows 系列在安装时,默认的是针对以太网的设置,在TCP/IP数据包传送过程中就会把一些无用功做在了分包和组合以适应ISP。虽然ADSL使用PPPoE协议,具有局域网的特点,但是又不完全等于局域网协议,所以还是有优化的余地,我们可以通过修改注册表中有关参数,使系统针对ADSL进行优化。具体的参数有MaxMTU、DefaultRcvWin等等,这种优化的以后能够使ADSL适应ISP的网络参数,最大限度提高ADSL工作效率。
MaxMTU是最大的TCP/IP传输单元,在TCP/IP协议中,将要传输的数据分成较小的组进行传输,每个组的大小为576字节。Windows默认的字节为1500,这是以太网的分组标准。ADSL使用的 PPPoE略小于这个数值,根据ISP得的不同又有微小差异,使用默认值会降低传输效率,MaxMTU在注册表中的位置:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesClassNetTrans
0yy
键名:MaxMTU
其中yy是TCP/IP的入口,随设置的不同而不同,一般在00到30之间。怎样确定ISP的MTU值并与之匹配达到优化目的,其实很简单,使用 Ping命令 自己就可以获得这个值。ping www.yesky.com-f -l 1500 将发送按照1500分组(-l 1500)得数据到www.yesky.com(最好是你的ISP的网站),并检查是否发现分组不同产生的数据碎片(-f) 如果存在就降低分组值,最终就可以找到匹配的MaxMTU。 这个值也就是ADSL优化的最关键的部分。
DefaultRcvWindow是缺省的传输单元缓冲区的大小。缓冲区太小,将导致分组阻塞,降低传输效率。缓冲区太大,如果一个分组出错会导致缓冲区中的所有分区被丢弃和重发,也会降低效率。该值的大小与MODEM的速度有关,最好是MSS(Maximum Segment Size,最大分组数,等于MxaMTU减去40字节的地址信息)的整数倍, DefaultRcvWindow在注册表中的位置:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP
键名:DefaultRcvWindow
DefaultTTL是TCP/IP分组的寿命,如果分组在INTERNET中传输的时间超过了分组的寿命,则该分组将被丢弃。将DefaultTTL改得更大些,有利于信息在INTERNET中传得更远。 DefaultTTL在注册表中的位置:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP
键名:DefaultTTL
这里有一个我很久一直使用的网络参数配置工具. 非常好用.而且这个是目前的最新版本.
分享之.,如果你喜欢.
[url][^upload^]/1096485632.exe] 网络工具下载[/url]
MaxMTU是最大的TCP/IP传输单元,在TCP/IP协议中,将要传输的数据分成较小的组进行传输,每个组的大小为576字节。Windows默认的字节为1500,这是以太网的分组标准。ADSL使用的 PPPoE略小于这个数值,根据ISP得的不同又有微小差异,使用默认值会降低传输效率,MaxMTU在注册表中的位置:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesClassNetTrans
0yy
键名:MaxMTU
其中yy是TCP/IP的入口,随设置的不同而不同,一般在00到30之间。怎样确定ISP的MTU值并与之匹配达到优化目的,其实很简单,使用 Ping命令 自己就可以获得这个值。ping www.yesky.com-f -l 1500 将发送按照1500分组(-l 1500)得数据到www.yesky.com(最好是你的ISP的网站),并检查是否发现分组不同产生的数据碎片(-f) 如果存在就降低分组值,最终就可以找到匹配的MaxMTU。 这个值也就是ADSL优化的最关键的部分。
DefaultRcvWindow是缺省的传输单元缓冲区的大小。缓冲区太小,将导致分组阻塞,降低传输效率。缓冲区太大,如果一个分组出错会导致缓冲区中的所有分区被丢弃和重发,也会降低效率。该值的大小与MODEM的速度有关,最好是MSS(Maximum Segment Size,最大分组数,等于MxaMTU减去40字节的地址信息)的整数倍, DefaultRcvWindow在注册表中的位置:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP
键名:DefaultRcvWindow
DefaultTTL是TCP/IP分组的寿命,如果分组在INTERNET中传输的时间超过了分组的寿命,则该分组将被丢弃。将DefaultTTL改得更大些,有利于信息在INTERNET中传得更远。 DefaultTTL在注册表中的位置:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP
键名:DefaultTTL
这里有一个我很久一直使用的网络参数配置工具. 非常好用.而且这个是目前的最新版本.
分享之.,如果你喜欢.
[url][^upload^]/1096485632.exe] 网络工具下载[/url]
系统知识:用控制台来修复无法启动的Windows系统
在Windows 2000或者XP中,如果某些系统文件发生意外故障,那即便是安全模式也无法进入。出现这样的问题需要重新安装系统,非常麻烦。这时,使用Windows 2000或XP中的系统控制台命令也许能解决这些问题。Windows系统控制台是非常有效的诊断、测试以及恢复系统功能的特效工具,它的执行是命令行模式的,所以您必须记住特定功能的命令名称和参数。在这里我们对最实用的命令和用法做一个介绍,希望能对您使用Windows控制台有所帮助。
使用命令恢复控制台有两种方式,一是用Windows XP启动光盘引导,然后启动的时候选择用命令恢复控制台修复;二是在XP运行的时候安装。具体方法:先将Windows XP安装启动盘插入光驱,在开始菜单中选择运行(或按“Win 键+R”)打开运行对话框,输入命令X\1386\WINNT32.EXE /CMDCONS(其中X是装载XP的光驱盘符),当系统询问你是否安装命令恢复控制台,选择是,就出现了安装向导,之后选择跳过网络更新,等文件复制完毕,安装成功。重新启动后,在启动列表中可以看到Microsoft Windows XP Recovery Console这个选项了。
Bootcfg:这是最常用的命令,输入Bootcfg后,你将看到它的几个参数,没错,它是用来配置启动信息的,假如你原来的系统是Windows 98+Windows XP,重装Windows 98后,发现Windows XP无法启动了,就用上面所说的第一种方法启动Windows XP命令恢复控制台,输入Bootcfg/add或Bootcfg/scan命令,其中前者是自己手动添加Windows XP的启动列表,格式为:Multi(0)disk(x)rdisk(0) partition(y),其中X为XP所在的硬盘,Y为XP在第几分区,后者为程序自动扫描硬盘,自动添加。另外,Bootcfg /copy是用来备份Windows XP启动文件Boot.ini的,Bootcfg/default是用来配置默认启动项的。
Diskpart:用来创建和删除硬盘驱动器上的分区。语法格式是:Diskpart [/add /delete] [device_name drive_name partition_name] [size] 。 实例: 删除F分区——diskpart /delete F: 创建一个200MB 的分区——diskpart /add DeviceHardDisk0 200。
Fixboot:系统分区错误,无法启动的情况就可以通过它直接恢复。用法如下:fixboot [drive],drive为将要写入引导扇区的驱动器。例如fixboot d:就是向驱动器D:的系统分区写入新的分区引导扇区。注意:如果不带任何参数,fixboot命令将向用户登录的系统分区写入新的区引导扇区。
Disable/Enable:在控制台中,某些高级功能和服务是无法使用的,此时就要通过这两个命令来设置或取消各种服务了。Disable禁用系统服务或设备驱动程序。Enable用于启用这些服务和驱动程序。用法如下:disable/enable (service name) (device_driver_name),servce_name,要禁用或启用的系统服务名称。device driver_name,要禁用或启用的设备驱动程序名称。注意:使用disable时,上次启动类型名称将显示在屏幕上。记下该名称,以便在需要时使用enable命令将启动类型恢复。
如果不需要故障恢复控制台了,可以手工将它删除。打开“我的电脑”,双击安装了故障恢复控制台的驱动器,假设为C盘。进入C盘根目录,删除“Cmdcons”文件夹、Cmldr 文件。右键单击 Boot.ini 文件,选择“属性”,在打开的窗口中清除“只读”复选框,“确定”退出。再用“记事本”中打开 Boot.ini 文件,删除故障恢复控制台的条目,保存文件后关闭,最后再恢复Boot.ini文件的只读属性即可。
在Windows 2000或者XP中,如果某些系统文件发生意外故障,那即便是安全模式也无法进入。出现这样的问题需要重新安装系统,非常麻烦。这时,使用Windows 2000或XP中的系统控制台命令也许能解决这些问题。Windows系统控制台是非常有效的诊断、测试以及恢复系统功能的特效工具,它的执行是命令行模式的,所以您必须记住特定功能的命令名称和参数。在这里我们对最实用的命令和用法做一个介绍,希望能对您使用Windows控制台有所帮助。
使用命令恢复控制台有两种方式,一是用Windows XP启动光盘引导,然后启动的时候选择用命令恢复控制台修复;二是在XP运行的时候安装。具体方法:先将Windows XP安装启动盘插入光驱,在开始菜单中选择运行(或按“Win 键+R”)打开运行对话框,输入命令X\1386\WINNT32.EXE /CMDCONS(其中X是装载XP的光驱盘符),当系统询问你是否安装命令恢复控制台,选择是,就出现了安装向导,之后选择跳过网络更新,等文件复制完毕,安装成功。重新启动后,在启动列表中可以看到Microsoft Windows XP Recovery Console这个选项了。
Bootcfg:这是最常用的命令,输入Bootcfg后,你将看到它的几个参数,没错,它是用来配置启动信息的,假如你原来的系统是Windows 98+Windows XP,重装Windows 98后,发现Windows XP无法启动了,就用上面所说的第一种方法启动Windows XP命令恢复控制台,输入Bootcfg/add或Bootcfg/scan命令,其中前者是自己手动添加Windows XP的启动列表,格式为:Multi(0)disk(x)rdisk(0) partition(y),其中X为XP所在的硬盘,Y为XP在第几分区,后者为程序自动扫描硬盘,自动添加。另外,Bootcfg /copy是用来备份Windows XP启动文件Boot.ini的,Bootcfg/default是用来配置默认启动项的。
Diskpart:用来创建和删除硬盘驱动器上的分区。语法格式是:Diskpart [/add /delete] [device_name drive_name partition_name] [size] 。 实例: 删除F分区——diskpart /delete F: 创建一个200MB 的分区——diskpart /add DeviceHardDisk0 200。
Fixboot:系统分区错误,无法启动的情况就可以通过它直接恢复。用法如下:fixboot [drive],drive为将要写入引导扇区的驱动器。例如fixboot d:就是向驱动器D:的系统分区写入新的分区引导扇区。注意:如果不带任何参数,fixboot命令将向用户登录的系统分区写入新的区引导扇区。
Disable/Enable:在控制台中,某些高级功能和服务是无法使用的,此时就要通过这两个命令来设置或取消各种服务了。Disable禁用系统服务或设备驱动程序。Enable用于启用这些服务和驱动程序。用法如下:disable/enable (service name) (device_driver_name),servce_name,要禁用或启用的系统服务名称。device driver_name,要禁用或启用的设备驱动程序名称。注意:使用disable时,上次启动类型名称将显示在屏幕上。记下该名称,以便在需要时使用enable命令将启动类型恢复。
如果不需要故障恢复控制台了,可以手工将它删除。打开“我的电脑”,双击安装了故障恢复控制台的驱动器,假设为C盘。进入C盘根目录,删除“Cmdcons”文件夹、Cmldr 文件。右键单击 Boot.ini 文件,选择“属性”,在打开的窗口中清除“只读”复选框,“确定”退出。再用“记事本”中打开 Boot.ini 文件,删除故障恢复控制台的条目,保存文件后关闭,最后再恢复Boot.ini文件的只读属性即可。
系统安全:如何让Windows 2003系统更加安全
Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。但“金无足赤”任何事物也没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!无论你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让Windows Server 2003更加安全,成为广大用户十分关注的问题。
一、 取消IE安全提示对话框
面对黑客组织恶意程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。微软新一代的Windows Server 2003操作系统在安全性能方面就得到了加强。比如在使用
Windows Server 2003自带的IE浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查:
1.一旦系统打开安全提示页面时,你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;
2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令;
3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;
4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了;
5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。
经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!
二、重新支持ASP脚本
提起ASP(ActiveServerPage)大家都会联想到Windows,它以其强大的功能,简单易学的特点而受到广大WEB开发人员的喜欢。但为了将系统安全隐患降到最低限度,Windows Server 2003操作系统在默认状态下,是不支持ASP脚本运行的——系统将不会再对网站中的ASP代码进行任何的操作;但现在许多网页的服务功能多是通过ASP脚本来实现的,怎么办?其实我们完全可以在系统安全得到保障的前提下,让系统重新支持ASP脚本。具体实现的方法为:
1.在系统的开始菜单中,依次单击“管理工具”/“Internet信息服务管理器”命令(如图1)。
2.在随后出现的Internet信息服务属性设置窗口中,用鼠标选中左侧区域中的“Web服务器扩展”选项;
3.接着在对应该选项右侧的区域中,用鼠标双击“Actives server pages”选项,然后将“任务栏”设置项处的“允许”按钮单击一下,系统中的IIS6就可以重新支持ASP脚本了(如图2)。
用户最关心的问题大概就是原有的ASP组件是否还可以继续使用?我可以告诉大家,经这番修改设置,系统中的IIS6重新支持ASP脚本了,一切的操作是不是很简单啊!
三、清除默认共享隐患
使用Windows Server 2003的用户都会碰到一个问题,就是系统在默认安装时,都会产生默认的共享文件夹。虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符
后面加一个符号$(共享名称分别为c$、d$、ipc$以及admin$)。也就是说,只要攻击者知道了该系统的管理员密码,就有可能通过“\工作站名\共享名称”的方法,来打开系统的指定文件夹,如此一来,用户精心设置的安全防范岂不成了摆设?还有安全嘛!为此,我们很有必要将Windows Server 2003系统默认的共享隐患,立即从系统中清除掉。
1、删除Windows Server 2003默认共享
首先编写如下内容的批处理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。然后在开始菜单→运行中输入gpedit.msc,
回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录(如图3)。
在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可(如图4)。
图4
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
2、禁用IPC连接
IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但也为简称为IPC入侵者有意或无意的提供了方便条件,导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接:net use\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接(如图5)。
四、清空远程可访问的注册表路径
大家都知道,Windows 2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息(如图6)。
图6
打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可(如图7)。
五、关闭不必要的端口
对于个人用户来说安装中默认的有些端口确实是没有什么必要的,关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。但在Windows Server 2003中,只这样做是不行的。如果想彻底关闭139端口,具体步骤如下:
鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接 属性”页(如图8),
图8
然后去掉“Microsoft网络的文件和打印共享”前面的“√”(如图9),
接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中,即任务完成(如图10)!
图10
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
假如你的电脑中还装了IIS,你最好重新设置一下端口过滤。步骤如下:选择网卡属性,然后双击“Internet协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选项”标签下的“TCP/IP 筛选”项,点“属性”按钮,会来到“TCP/IP 筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”,然后根据需要配置就可以了。如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可(如图11)
图11
六、杜绝非法访问应用程序
Windows Server 2003是一种服务器操作系统,为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限,来限制。
他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:
打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模
板→系统”中的“只运行许可的Windows应用程序”并启用此策略(如图12)
图12
然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可(如图13)
以后一般用户只能运行“允许的应用程序列表”中的程序.
Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。但“金无足赤”任何事物也没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!无论你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让Windows Server 2003更加安全,成为广大用户十分关注的问题。
一、 取消IE安全提示对话框
面对黑客组织恶意程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。微软新一代的Windows Server 2003操作系统在安全性能方面就得到了加强。比如在使用
Windows Server 2003自带的IE浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查:
1.一旦系统打开安全提示页面时,你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;
2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令;
3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;
4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了;
5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。
经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!
二、重新支持ASP脚本
提起ASP(ActiveServerPage)大家都会联想到Windows,它以其强大的功能,简单易学的特点而受到广大WEB开发人员的喜欢。但为了将系统安全隐患降到最低限度,Windows Server 2003操作系统在默认状态下,是不支持ASP脚本运行的——系统将不会再对网站中的ASP代码进行任何的操作;但现在许多网页的服务功能多是通过ASP脚本来实现的,怎么办?其实我们完全可以在系统安全得到保障的前提下,让系统重新支持ASP脚本。具体实现的方法为:
1.在系统的开始菜单中,依次单击“管理工具”/“Internet信息服务管理器”命令(如图1)。
2.在随后出现的Internet信息服务属性设置窗口中,用鼠标选中左侧区域中的“Web服务器扩展”选项;
3.接着在对应该选项右侧的区域中,用鼠标双击“Actives server pages”选项,然后将“任务栏”设置项处的“允许”按钮单击一下,系统中的IIS6就可以重新支持ASP脚本了(如图2)。
用户最关心的问题大概就是原有的ASP组件是否还可以继续使用?我可以告诉大家,经这番修改设置,系统中的IIS6重新支持ASP脚本了,一切的操作是不是很简单啊!
三、清除默认共享隐患
使用Windows Server 2003的用户都会碰到一个问题,就是系统在默认安装时,都会产生默认的共享文件夹。虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符
后面加一个符号$(共享名称分别为c$、d$、ipc$以及admin$)。也就是说,只要攻击者知道了该系统的管理员密码,就有可能通过“\工作站名\共享名称”的方法,来打开系统的指定文件夹,如此一来,用户精心设置的安全防范岂不成了摆设?还有安全嘛!为此,我们很有必要将Windows Server 2003系统默认的共享隐患,立即从系统中清除掉。
1、删除Windows Server 2003默认共享
首先编写如下内容的批处理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。然后在开始菜单→运行中输入gpedit.msc,
回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录(如图3)。
在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可(如图4)。
图4
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
2、禁用IPC连接
IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但也为简称为IPC入侵者有意或无意的提供了方便条件,导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接:net use\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接(如图5)。
四、清空远程可访问的注册表路径
大家都知道,Windows 2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息(如图6)。
图6
打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可(如图7)。
五、关闭不必要的端口
对于个人用户来说安装中默认的有些端口确实是没有什么必要的,关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。但在Windows Server 2003中,只这样做是不行的。如果想彻底关闭139端口,具体步骤如下:
鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接 属性”页(如图8),
图8
然后去掉“Microsoft网络的文件和打印共享”前面的“√”(如图9),
接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中,即任务完成(如图10)!
图10
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
假如你的电脑中还装了IIS,你最好重新设置一下端口过滤。步骤如下:选择网卡属性,然后双击“Internet协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选项”标签下的“TCP/IP 筛选”项,点“属性”按钮,会来到“TCP/IP 筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”,然后根据需要配置就可以了。如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可(如图11)
图11
六、杜绝非法访问应用程序
Windows Server 2003是一种服务器操作系统,为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限,来限制。
他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:
打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模
板→系统”中的“只运行许可的Windows应用程序”并启用此策略(如图12)
图12
然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可(如图13)
以后一般用户只能运行“允许的应用程序列表”中的程序.
安全配置Win2000服务器 2002-10-17
介绍一些文章,虽然这个文章现在有些过时,但是它的一些经验目前还是可以汲取的.
目前,WIN2000 SERVER是比较流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事。本文试图对win2000 SERVER的安全配置进行初步的探讨。
一、 定制自己的WIN2000 SERVER:
1.版本的选择:WIN2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)
2.组件的定制:win2000在默认情况下会安装一些常用的组件,但是正是这个默认安装是极度危险的(米特尼科说过,他可以进入任何一台默认安装的服务器,我虽然不敢这么说,不过如果你的主机是WIN2000 SERVER的默认安装,我可以告诉你,你死定了)你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是:只安装IIS的Com Files,IIS Snap-In,WWW Server组件。如果你确实需要安装其他组件,请慎重,特别是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。
3.管理应用程序的选择: 选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需。Win2000的Terminal Service是基于RDP(远程桌面协议)的远程控制软件,他的速度快,操作方便,比较适合用来进行常规操作。但是,Terminal Service也有其不足之处,由于它使用的是虚拟桌面,再加上微软编程的不严谨,当你使用Terminal Service进行安装软件或重起服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如:使用Terminal Service重起微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,我建议你再配备一个远程控制软件作为辅助,和Terminal Service互补,象PcAnyWhere就是一个不错的选择。
二、 正确安装WIN2000 SERVER:
1.分区和逻辑盘的分配,有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的软件都装在C驱上,这是很不好的,建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。(这个可能会导致程序开发人员和编辑的苦恼,管他呢,反正你是管理员)
2.安装顺序的选择:不要觉得:顺序有什么重要?只要安装好了,怎么装都可以的。错!win2000在安装中有几个顺序是一定要注意的: 首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装(变不变态?)
三、 安全配置WIN2000 SERVER:
即使正确的安装了WIN2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。
1.端口:端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。
2.IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来: 首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub; 其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除(罪恶之源呀,忘了http://www.target.com/scripts/..%c1%1c../winnt/sys...了?我们虽然已经把Inetpub从系统盘挪出来了,但是还是小心为上),如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)
3: 应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。什么?找不到在哪里删?在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
4.账号安全: Win2000的账号安全是另一个重点,首先,Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None. Rely on default permissions(无,取决于默认的权限)
1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享)
2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。
1这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。 好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了……慢着,至少还有一个账户是可以跑密码的,这就是系统内建的administrator,怎么办?我改改改,在计算机管理->用户账号中右击administrator然后改名,改成什么随便你,只要能记得就行了。不对不对,我都已经改了用户名了,怎么还是有人跑我管理员的密码?幸好我的密码够长,但是这也不是办法呀?嗯,那肯定是在本地或者Terminal Service的登录界面看到的,好吧,我们再来把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’t Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon项中的Don‘t Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。(哇,世界清静了)
5.安全日志:我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
6.目录和文件权限: 为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;
3>文件权限比文件夹权限高(这个不用解释了吧?)
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
7:预防DoS:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,win2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形(微软真是的,什么都要做?听说最近又要做防火墙了)在这个工具中,我们可以轻易的定义输入输出包过滤器,例如,设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文(让你炸?我丢、丢、丢)
四、需要注意的一些事:
实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用而不是做OPEN HACK的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这其中有个误区:我们只能说一台主机在一定的情况一定的时间上是安全的,随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
本文在撰写过程中参阅了大量Win2000安全的文章,在此向这些作者表示感谢。
介绍一些文章,虽然这个文章现在有些过时,但是它的一些经验目前还是可以汲取的.
目前,WIN2000 SERVER是比较流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事。本文试图对win2000 SERVER的安全配置进行初步的探讨。
一、 定制自己的WIN2000 SERVER:
1.版本的选择:WIN2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)
2.组件的定制:win2000在默认情况下会安装一些常用的组件,但是正是这个默认安装是极度危险的(米特尼科说过,他可以进入任何一台默认安装的服务器,我虽然不敢这么说,不过如果你的主机是WIN2000 SERVER的默认安装,我可以告诉你,你死定了)你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是:只安装IIS的Com Files,IIS Snap-In,WWW Server组件。如果你确实需要安装其他组件,请慎重,特别是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。
3.管理应用程序的选择: 选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需。Win2000的Terminal Service是基于RDP(远程桌面协议)的远程控制软件,他的速度快,操作方便,比较适合用来进行常规操作。但是,Terminal Service也有其不足之处,由于它使用的是虚拟桌面,再加上微软编程的不严谨,当你使用Terminal Service进行安装软件或重起服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如:使用Terminal Service重起微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,我建议你再配备一个远程控制软件作为辅助,和Terminal Service互补,象PcAnyWhere就是一个不错的选择。
二、 正确安装WIN2000 SERVER:
1.分区和逻辑盘的分配,有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的软件都装在C驱上,这是很不好的,建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。(这个可能会导致程序开发人员和编辑的苦恼,管他呢,反正你是管理员)
2.安装顺序的选择:不要觉得:顺序有什么重要?只要安装好了,怎么装都可以的。错!win2000在安装中有几个顺序是一定要注意的: 首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装(变不变态?)
三、 安全配置WIN2000 SERVER:
即使正确的安装了WIN2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。
1.端口:端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。
2.IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来: 首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub; 其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除(罪恶之源呀,忘了http://www.target.com/scripts/..%c1%1c../winnt/sys...了?我们虽然已经把Inetpub从系统盘挪出来了,但是还是小心为上),如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)
3: 应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。什么?找不到在哪里删?在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
4.账号安全: Win2000的账号安全是另一个重点,首先,Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None. Rely on default permissions(无,取决于默认的权限)
1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享)
2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。
1这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。 好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了……慢着,至少还有一个账户是可以跑密码的,这就是系统内建的administrator,怎么办?我改改改,在计算机管理->用户账号中右击administrator然后改名,改成什么随便你,只要能记得就行了。不对不对,我都已经改了用户名了,怎么还是有人跑我管理员的密码?幸好我的密码够长,但是这也不是办法呀?嗯,那肯定是在本地或者Terminal Service的登录界面看到的,好吧,我们再来把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’t Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon项中的Don‘t Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。(哇,世界清静了)
5.安全日志:我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
6.目录和文件权限: 为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;
3>文件权限比文件夹权限高(这个不用解释了吧?)
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
7:预防DoS:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,win2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形(微软真是的,什么都要做?听说最近又要做防火墙了)在这个工具中,我们可以轻易的定义输入输出包过滤器,例如,设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文(让你炸?我丢、丢、丢)
四、需要注意的一些事:
实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用而不是做OPEN HACK的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这其中有个误区:我们只能说一台主机在一定的情况一定的时间上是安全的,随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
本文在撰写过程中参阅了大量Win2000安全的文章,在此向这些作者表示感谢。
最近看到更多国外的资料讨论中国以及其它一些国家的网络限制问题. 并且已经有一些国外专门研究解决网络限制的方法. 更多资料,还是自己看看吧. 也许对你也有帮助.
http://en.wikipedia.org/wiki/Internet_censorship_i...
TOOLS:
http://mdweiss.ods.org/cgi-bin/nph-pro.pl/000010A/...
http://mygod.net.ru/tool/bypass/bypass.html
----------------
The People's Republic of China has set up a system of Internet censorship in Mainland China.
One part of this system is known outside China as the Great Firewall of China (in reference both to its role as a network firewall and to the ancient Great Wall of China). The system blocks content by preventing IP addresses from being routed through and consists of standard firewall and proxy servers at the Internet gateways. The government does not appear to be systematically examining Internet content, as this appears to be technically impractical.
This firewall is largely ineffective at preventing the flow of information and is rather easily circumvented by determined parties by using proxy servers outside the firewall. For a few weeks in 2002, the Chinese government attempted to block Google, but this block was quickly removed, though some features on Google (such as Google Cache) remain erratic.
On July 11, 2003, the PRC government granted licenses to open Internet cafe chains. The licenses were awarded to 10 firms, including three affiliated to the Chinese Ministry of Culture: China Audio-Visual Publishing House, which plans to set up 50,000 cafes in 40 cities in three years, the China Cultural Relics Information Center and the China National Library. A fourth operator, China Youth Net, is affiliated with the politically powerful Central Committee of China Youth League. The other six include state-owned telecoms operators such as China United Telecommunications Corporation, parent of China Unicom Ltd, Great Wall Broadband Network Service Co Ltd, or Internet service providers such as www.readchina.com, which belongs to Read Investment Holdings Co., a high-tech conglomerate founded in 1988 which has annual revenues of 10 billion yuan. Business analysts and foreign internet operators regard the licenses as intended to clamp down on information deemed harmful to the PRC government.
On June 4, 2004, access to the Chinese Wikipedia from Beijing was blocked. This coincided with the anniversary of the Tiananmen Square protests of 1989. On May 31 an article from the IDG News Service was published [1] (http://www.pcworld.com/news/article/0,aid,116323,00.asp), discussing the Chinese Wikipedia's treatment of the protests. The Chinese Wikipedia also has articles related to Taiwanese independence, written by Taiwanese contributors [2] (http://mail.wikipedia.org/pipermail/wikipedia-l/20... and others. Several days after the anniversary, all Wikimedia sites were blocked from Mainland China. Around June 21, 2004, the blocks were lifted, following a written appeal by several mainland China contributors to relevant government agencies that administered the blocks.
On September 23, 2004, access to Wikipedia is once again unavailable to some users in mainland China
http://en.wikipedia.org/wiki/Internet_censorship_i...
TOOLS:
http://mdweiss.ods.org/cgi-bin/nph-pro.pl/000010A/...
http://mygod.net.ru/tool/bypass/bypass.html
----------------
The People's Republic of China has set up a system of Internet censorship in Mainland China.
One part of this system is known outside China as the Great Firewall of China (in reference both to its role as a network firewall and to the ancient Great Wall of China). The system blocks content by preventing IP addresses from being routed through and consists of standard firewall and proxy servers at the Internet gateways. The government does not appear to be systematically examining Internet content, as this appears to be technically impractical.
This firewall is largely ineffective at preventing the flow of information and is rather easily circumvented by determined parties by using proxy servers outside the firewall. For a few weeks in 2002, the Chinese government attempted to block Google, but this block was quickly removed, though some features on Google (such as Google Cache) remain erratic.
On July 11, 2003, the PRC government granted licenses to open Internet cafe chains. The licenses were awarded to 10 firms, including three affiliated to the Chinese Ministry of Culture: China Audio-Visual Publishing House, which plans to set up 50,000 cafes in 40 cities in three years, the China Cultural Relics Information Center and the China National Library. A fourth operator, China Youth Net, is affiliated with the politically powerful Central Committee of China Youth League. The other six include state-owned telecoms operators such as China United Telecommunications Corporation, parent of China Unicom Ltd, Great Wall Broadband Network Service Co Ltd, or Internet service providers such as www.readchina.com, which belongs to Read Investment Holdings Co., a high-tech conglomerate founded in 1988 which has annual revenues of 10 billion yuan. Business analysts and foreign internet operators regard the licenses as intended to clamp down on information deemed harmful to the PRC government.
On June 4, 2004, access to the Chinese Wikipedia from Beijing was blocked. This coincided with the anniversary of the Tiananmen Square protests of 1989. On May 31 an article from the IDG News Service was published [1] (http://www.pcworld.com/news/article/0,aid,116323,00.asp), discussing the Chinese Wikipedia's treatment of the protests. The Chinese Wikipedia also has articles related to Taiwanese independence, written by Taiwanese contributors [2] (http://mail.wikipedia.org/pipermail/wikipedia-l/20... and others. Several days after the anniversary, all Wikimedia sites were blocked from Mainland China. Around June 21, 2004, the blocks were lifted, following a written appeal by several mainland China contributors to relevant government agencies that administered the blocks.
On September 23, 2004, access to Wikipedia is once again unavailable to some users in mainland China
Country music 乡村音乐
--------------------------------------------------------------------------------
这个名字是20世纪20年代在美国出现的,它的源流很广。18世纪美国南部的黑人哀歌,克里奥、开京等民族的民歌,19世纪时来自英伦三岛,后来生活在美国西部山区的苏格兰、爱尔兰移民的拓荒歌和牧场上的牛仔歌,北部伐木工人的劳动歌,东部沿海地区的水手歌等等,都算是它的源流。那时歌曲的内容,除了表现劳动生活之外,厌恶孤寂的流浪生活,向往温暖、安宁的家园,歌唱甜蜜的爱情以及失恋的痛苦等都有。美国乡村音乐的性质和我国各地区的民歌、小调很相似。在唱法上,起先多用民间本嗓演唱,形式多为独唱或小合唱,用吉他、班卓琴、口琴、小提琴伴奏。
1925年,美国田纳西州纳西维尔建立了一家广播电台。他们开办了一个\"往昔的歌剧--老乡音\"的专栏节目。邀请了一位名叫杰米·汤普森的81岁的民间歌手演唱,节目受到听众们的热烈欢迎。从此,人们统称这种音乐为\"乡村音乐\"。不久,一些唱片公司争相灌制乡村音乐唱片,影城好莱坞也拍了些西部故事电影,其中也插有些乡村歌曲。于是,乡村歌手、乡村乐队如雨后春笋。乡村音乐成为美国劳动人民最喜爱的音乐形式之一。在美国,\"蓝领\"指的是下层人,故这种音乐又称\"蓝领音乐\"。
纳西维尔电台自开办\"往昔的歌剧--老乡音\"节目之后,延续数十年,成为该台传统名牌节目。而纳西维尔市也被公认为\"美国乡村音乐的白宫\",所有乡村歌手都视之为\"乡村音乐的圣地\"。
四、五十年代,乡村音乐来到大的城市,受其它乐队的影响,加进了钢琴及其它乐器和电声扩音,那时人们对这种音乐叫\"纳什维尔\"。到七十年代,乡村音乐也适当地加进了电声乐器。乡村音乐越来越受人们的喜爱。每年10月,美国都要举办\"乡村音乐月\",届时,有多种形式的乡村歌曲大奖赛。由美国国家录音艺术学院举办的\"格莱美奖\"是其中最高奖项。参加比赛的项目除女声、男声独唱及小合唱外,还设有优秀乡村歌曲创作奖。有趣的是,有许多歌手,以兄弟姐妹、父子母女及亲戚的组合参赛,像卡蓬特兄妹、娜奥米·贾德和米德斯 母女、韦·诺娜母女等。乡村音乐也成为美国家庭、亲友联络感情的纽带。
乡村音乐的曲调,一般都很流畅、动听,曲式结构也比较简单。多为歌谣体、二部曲式或三部曲式。
在服饰上也比较随意,即使是参加大赛及音乐厅重要场合演出,也不必穿演出服,牛仔裤、休闲装、皮草帽、旅游鞋都可以。
近几十年,美国出现了许多有名的乡村歌手、乐队和乡村音乐作曲家。象汉克·威廉、佩蒂·佩吉、约翰·丹佛、摩根、保罗·戴维斯、费瑞蒂·芬德、威利·纳尔逊、埃米卢·哈里卢、丽芭·麦肯太尔、霍利·丹恩等,由于风格各异,乡村音乐也形成了各种流派。1979年1月21日邓小平同志访问美国,美国领导人就安排了有\"桂冠诗人\"之称的著名乡村歌手约翰·丹佛(John Danfo,1943~1993)在华盛顿肯尼迪文化中心,为尊敬的中国客人演唱了《洛塞山高高》和《你好》等歌曲。
早期乡村乐(Early Country)
早期商业操作的乡村音乐是与美国南部18、19世纪大不列颠移民带来的传统民歌谣一脉相承的。但早期乡村乐并不坚持口头叙事的传统,而是经常用小提琴这种乐器奏出旋律,代替人声的作用。乡村音乐家John Carson把这两种传统结合了起来,在1923年他的\"78\"这首歌中既演唱又演奏,被认为是早期乡村乐的第一首畅销单曲。
这一时期最负盛名的组合无疑是The Carter Family(卡特家族)----他们对乡村音乐发展的重要性怎么描述都不为过。他们是南部民谣传统的坚守者。他们被认为是\"乡村第一家\"(The First Family of Country Music),他们的那首歌《Will the Circle Be Unbroken》就象\"野花\" 《Wildwood Flower》一样是乡村音乐的典范,并第一次把Maybelle Carter的极富感染力的吉他风格介绍给人们。The Stoneman of Galax,Virginia也是早期乡村乐的先驱者。
Jimmie Rodgers,\"乡村音乐之父\"。他把大众对乡村音乐的接受度提高到一个新的水平,并且是流行音乐史上最具影响力的歌手之一。他那独一无二的嗓音和为潦倒者写的歌词给它带来了全国性的知名度。由此,他为乡村乐打下了一个崭新的牢固的基础。他在那短暂的录音生涯(1927-33年)的原创,他的歌唱和写曲风格,即使是现在也并未过时。
牛仔音乐(Cowboy)
牛仔音乐来源于美国人对大西部的迷醉,这还体现在好莱坞的电影里。乡下人现在变成了打扮漂亮、精神抖擞的牛仔男孩和牛仔女郎,唱着来自乡间的浪漫歌曲。展示着孤独大草原中的浪漫景象。西部片中总会拍一个自由的牛仔在一天的辛劳后围着篝火旁唱歌,追逐着长途汽车的情景。这干干净净的扮相被许多音乐人采用,象Gene Autry,Roy Rogers和The Sons of the Pioneers,这使乡村音乐越来越受到人们的欢迎。
西部摇摆(Western Swing)
一种经济大萧条时期的音乐,诞生在德克萨斯和俄克拉荷马州的脏兮兮的舞厅里,西部摇摆乐把乡村乐的感觉嫁接在复杂的爵士节奏上。采用不同于传统乡村乐而更接近大乐队(Big band)的阵容(一般包括小号)。Bob Wills不久无可争议地夺取了这一音乐类型的王冠。在即兴演奏方面与他的\"德州花花公子\"(The Texas Playboys)乐队在一起,他是一个真正的革新者。在任何一个晚上,他都有能力发挥他的同伴和他的最佳状态,这在乡村音乐史上产生了深远的影响。其他的西部摇摆乐队包括折中音乐形式的创始人Milton Brown(以及他的Musical Brownies)和Spade Cooley。今天,象\"睡在轮边\"(Asleep At The Wheel)这样的乐队还在继续这一乡村音乐传统。
兰草音乐(Blue Grass)
一种精致的,纯正的,原汁原味的音乐,很容易辨识。折中音乐有两三部和声,激烈的节奏,不受约束的情感。这\"孤独而高亢\"的声音产生于20年代末的\"弦乐运动\"(String-band Movement),成名在来源于创始者Bill Monroe的乐队\"兰草男孩\"(The Blue Gass Boys),兰草音乐被Bonnie Clyde,The Beverly Hill billies在60年代末极力推动,赢得了一批全新的听众。今天,兰草音乐仍保持者极高的影响力,象著名乡村音乐人Alison Krauss就是一列。
酒吧音乐(Honkyu-Tonk)
一种自由进行,经常是很喧闹的音乐形式,产生于战后南方的酒吧。40年代末,乡村音乐的剧集场所由公开社交场合转到酒吧,那里表演者不再担心再他们的歌曲中要保持宣扬\"家庭伦理\",结果,歌词往往反映出现代蓝领工人艰难冷酷的现实状况。
Hank Williams那让女人们着迷和让男人们模仿的歌曲使Honky-tonk这种形式,在40年代初成为了乡村音乐的主流。他活得就象他所唱得一样,然而他那过了头的生活作风最终导致了他29岁的早逝。
Rockabilly(乡土摇滚)
1953年的孟菲斯,音乐上的种族界限也被划分得一清二楚。大多数黑人听节奏布鲁斯(R&B),而当时的乡村音乐却是受白人欢迎的音乐。为了寻找一条黑人、白人音乐融合地道路,制作人Sam Phillips要为他的唱片公司\"Sun Records\"找一个能唱黑人歌曲的白人男孩。于是就有了Elvis Presley----猫王。
制作Bill Monroe的\"肯塔基的蓝月\"《Blue Moon of Kentucky》这样的经典名曲,再加上培养出\"猫王\"Elvis Presley这样具有突破性地艺人,制作人Sam Phillips开创了一种后来大家所熟知地混合音乐形式\"乡土摇滚\"(Rockabilly)。虽然这种音乐形式在50年代并不怎么受欢迎,但是许多不同的音乐人如Johnny Cash,Jerry Lee Lenis和Carl Perkins都是以录制这类歌曲开始他们的音乐生涯的。
纳什维尔之声(The Nashville Sound)
\"纳什维尔之声\"主要以钢琴、弦乐和背景和声为配器,与传统的小提琴和班卓琴的伴奏不同,这也是纳什维尔之声的为人所知的特色。50年代末,随着乡村音乐的逐渐衰落,一些制作人如Chet Atkins和Owen Bradley有意识地在拓展乡村音乐地趣味,并使它更接近主流的pop音乐。
60年代早期,这种转变实现在几乎所有从Patsy Cline到The Browns(借着纳什维尔录音室一大群音乐家地帮助下)的乡村艺人身上,使许多这样的歌曲名列乡村和流行音乐榜地前列。
乡村摇滚(Country-rock)
一种来源于加利福尼亚的音乐形式,后与嬉皮运动交互影响,把他们那\"回归自然\"的感情带到了乡村音乐中。由于他们吸毒、蓄发遭到了传统乡村音乐价值的诅咒,乡村摇滚艺人极力想以次开拓那些传统乐迷的口味。
60年代末的先驱者象Gram Parsons(还有The Byrds,Flying Burrito Brothers和后来的Emmylou Harris)把传统的怀乡和心碎的乡村歌曲加上了摇滚的节奏。后来,一些象The Eagles这样的乐队把这种混合音乐形式带上了流行排行榜的榜首。今天,象The Desert Rose Band(由Byrds的合作者Chris Hilman领衔的)还在继续这一音乐传统。
叛道运动(Outlaw)
所谓的\"叛道\",只是在强调根源色彩的乡村音乐传统的继续,它是在纳什维尔之声的背叛。这并不是一种新的音乐类型,只是一种对传统的回归和对当时制作体系的背叛。
这场风暴的中心人物是Willie Nelson。1968年时,纳什维尔对他那较新的更多个人化的尝试的音乐的排斥,使他很沮丧。Nelson由此离开纳什维尔,到了德州(Texas)的奥斯汀(Austin),在那里他开始了一年一度的音乐会,并吸引了其他一些相似的当时不被注意的歌手,作曲人如Waylon Jennings和Kris Kristofferson等。
他们那种淳朴的,根源化的尝试,是为了保持乡村音乐在一味迎合大众流行口味之前,独特的甚至粗野的个人化表现方式。不仅\"叛道运动\"迎合了那些彻头彻尾的乡村乐迷,而且在电台和校园中也得到了回应。结果,1976年如Waylon&Willie所愿,\"The Outlaws\"成为了乡村音乐史上第一张达到百万销量的大碟,更为带有根源特质的乡村音乐打开了大门。
新传统主义(New Traditional Country)
一种回归到艺术性和音乐性比形象更重要的时代的音乐风格。新传统主义在早期的乡村音乐中找寻灵感,而且是以后颇为大家所知的新乡村音乐(New Country)的先驱。Ricky Skaggs,一个难得的天才,受Bill Monroe和Ralph Stanley的启发,他超越了当时所有的艺人,并把乡村乐带回了它的根。不仅传统得以发扬、创造,而且还很受欢迎。Skaggs不是孤独的,象Randy Travis凭借优美的旋律和精致的声线把寻传统主义带道了乡村音乐的前端。
新乡村音乐(New Country)
一种用来广义上描述80年代中期回归根源的乡村音乐的形式。但外加了点吉他和鼓,使这种乡村音乐更接近摇滚流行乐。Garth Brooks,Brooks&Dunn,Shania Twain和LeAnn Rimes等成堆的艺人都使名列于这一目录之下。它并不采纳小提琴、木吉他等乐器,这使其与传统乡村音乐区分开来。
另类乡村音乐
乡村摇滚乐的当代衍生物,强调嘈杂的电吉他,这使它更接近于摇滚乐而不是乡村乐。这个逐渐兴起的运动的名称\"No Depression\"来源于Carter Family的一首歌,高举着自由自足的旗帜,而他们的唱片亦是由一些独立的小厂牌所出版。Uncle Tupelo(现已逝)和The Jayhawks是这个运动的先锋人物,现今的Son Volt,Wilco和Golden Smog则将其推至高潮。
回归音乐(Retro)
由着清晰的吉他声和富有特质的歌词,回归音乐(Retro)追溯到纳什维尔之声之前的乡村音乐,这是由象Junior Brown,BR5-49,Big Sandy,Fly Rite Boys和Wayne Hancock等音乐人发起的。
歌手/词曲作者
这个日渐壮大的团体来源于新传统乡村音乐中原声音乐的背景。他们的集合地点象由Nashville's Bluebird Cafe,每星期都有\"词曲作者之夜\",然后开动脑筋,写出一首歌,领导者包括Lyle Lovett,Steve Earle,the Dead Reckoing Crew(包括Kieran Kane,Kevin Welch和Mike Henderson)。
乡村音乐旁支
凯金音乐(Cajun)
一种节奏欢快,充满切分音的音乐,流传于西南部路易斯安那讲法语的Acadian的人群中。这种音乐主要采用小提琴和手风琴,乐队还包括了一个鼓手,但这种音乐仍然被认为更接近原声音乐。Jimmy C.Newman,Dong Kershaw和Eddy Raven是当代Cajun音乐的佼佼者。
Conjunto
19世纪末产生于大峡谷附近,Conjunto把 波尔卡、华尔兹的节奏与墨西哥民呀融合在一起,Flaco Jimeney和the Texas Tornadoes乐队,是这种音乐的著名的代言人。
Tejano
根源于传统的墨西哥音乐,Tejano(西班牙语的\"德克萨斯\")有着它爽朗的歌词和易舞的节奏,在Tejano世界里,Emilio和Shelly Larees是两位让人首肯的艺术家。
Zydeco
一种很重的,电声音乐,来源于Cajun音乐与路易斯安那南部克里奥人文化的结合。这种音乐用法语演唱,受布鲁斯新月和非洲音乐的侵浸。C.J Chenier和Buckswheat Iydeco是Zydeco音乐的最热门的乐队
--------------------------------------------------------------------------------
这个名字是20世纪20年代在美国出现的,它的源流很广。18世纪美国南部的黑人哀歌,克里奥、开京等民族的民歌,19世纪时来自英伦三岛,后来生活在美国西部山区的苏格兰、爱尔兰移民的拓荒歌和牧场上的牛仔歌,北部伐木工人的劳动歌,东部沿海地区的水手歌等等,都算是它的源流。那时歌曲的内容,除了表现劳动生活之外,厌恶孤寂的流浪生活,向往温暖、安宁的家园,歌唱甜蜜的爱情以及失恋的痛苦等都有。美国乡村音乐的性质和我国各地区的民歌、小调很相似。在唱法上,起先多用民间本嗓演唱,形式多为独唱或小合唱,用吉他、班卓琴、口琴、小提琴伴奏。
1925年,美国田纳西州纳西维尔建立了一家广播电台。他们开办了一个\"往昔的歌剧--老乡音\"的专栏节目。邀请了一位名叫杰米·汤普森的81岁的民间歌手演唱,节目受到听众们的热烈欢迎。从此,人们统称这种音乐为\"乡村音乐\"。不久,一些唱片公司争相灌制乡村音乐唱片,影城好莱坞也拍了些西部故事电影,其中也插有些乡村歌曲。于是,乡村歌手、乡村乐队如雨后春笋。乡村音乐成为美国劳动人民最喜爱的音乐形式之一。在美国,\"蓝领\"指的是下层人,故这种音乐又称\"蓝领音乐\"。
纳西维尔电台自开办\"往昔的歌剧--老乡音\"节目之后,延续数十年,成为该台传统名牌节目。而纳西维尔市也被公认为\"美国乡村音乐的白宫\",所有乡村歌手都视之为\"乡村音乐的圣地\"。
四、五十年代,乡村音乐来到大的城市,受其它乐队的影响,加进了钢琴及其它乐器和电声扩音,那时人们对这种音乐叫\"纳什维尔\"。到七十年代,乡村音乐也适当地加进了电声乐器。乡村音乐越来越受人们的喜爱。每年10月,美国都要举办\"乡村音乐月\",届时,有多种形式的乡村歌曲大奖赛。由美国国家录音艺术学院举办的\"格莱美奖\"是其中最高奖项。参加比赛的项目除女声、男声独唱及小合唱外,还设有优秀乡村歌曲创作奖。有趣的是,有许多歌手,以兄弟姐妹、父子母女及亲戚的组合参赛,像卡蓬特兄妹、娜奥米·贾德和米德斯 母女、韦·诺娜母女等。乡村音乐也成为美国家庭、亲友联络感情的纽带。
乡村音乐的曲调,一般都很流畅、动听,曲式结构也比较简单。多为歌谣体、二部曲式或三部曲式。
在服饰上也比较随意,即使是参加大赛及音乐厅重要场合演出,也不必穿演出服,牛仔裤、休闲装、皮草帽、旅游鞋都可以。
近几十年,美国出现了许多有名的乡村歌手、乐队和乡村音乐作曲家。象汉克·威廉、佩蒂·佩吉、约翰·丹佛、摩根、保罗·戴维斯、费瑞蒂·芬德、威利·纳尔逊、埃米卢·哈里卢、丽芭·麦肯太尔、霍利·丹恩等,由于风格各异,乡村音乐也形成了各种流派。1979年1月21日邓小平同志访问美国,美国领导人就安排了有\"桂冠诗人\"之称的著名乡村歌手约翰·丹佛(John Danfo,1943~1993)在华盛顿肯尼迪文化中心,为尊敬的中国客人演唱了《洛塞山高高》和《你好》等歌曲。
早期乡村乐(Early Country)
早期商业操作的乡村音乐是与美国南部18、19世纪大不列颠移民带来的传统民歌谣一脉相承的。但早期乡村乐并不坚持口头叙事的传统,而是经常用小提琴这种乐器奏出旋律,代替人声的作用。乡村音乐家John Carson把这两种传统结合了起来,在1923年他的\"78\"这首歌中既演唱又演奏,被认为是早期乡村乐的第一首畅销单曲。
这一时期最负盛名的组合无疑是The Carter Family(卡特家族)----他们对乡村音乐发展的重要性怎么描述都不为过。他们是南部民谣传统的坚守者。他们被认为是\"乡村第一家\"(The First Family of Country Music),他们的那首歌《Will the Circle Be Unbroken》就象\"野花\" 《Wildwood Flower》一样是乡村音乐的典范,并第一次把Maybelle Carter的极富感染力的吉他风格介绍给人们。The Stoneman of Galax,Virginia也是早期乡村乐的先驱者。
Jimmie Rodgers,\"乡村音乐之父\"。他把大众对乡村音乐的接受度提高到一个新的水平,并且是流行音乐史上最具影响力的歌手之一。他那独一无二的嗓音和为潦倒者写的歌词给它带来了全国性的知名度。由此,他为乡村乐打下了一个崭新的牢固的基础。他在那短暂的录音生涯(1927-33年)的原创,他的歌唱和写曲风格,即使是现在也并未过时。
牛仔音乐(Cowboy)
牛仔音乐来源于美国人对大西部的迷醉,这还体现在好莱坞的电影里。乡下人现在变成了打扮漂亮、精神抖擞的牛仔男孩和牛仔女郎,唱着来自乡间的浪漫歌曲。展示着孤独大草原中的浪漫景象。西部片中总会拍一个自由的牛仔在一天的辛劳后围着篝火旁唱歌,追逐着长途汽车的情景。这干干净净的扮相被许多音乐人采用,象Gene Autry,Roy Rogers和The Sons of the Pioneers,这使乡村音乐越来越受到人们的欢迎。
西部摇摆(Western Swing)
一种经济大萧条时期的音乐,诞生在德克萨斯和俄克拉荷马州的脏兮兮的舞厅里,西部摇摆乐把乡村乐的感觉嫁接在复杂的爵士节奏上。采用不同于传统乡村乐而更接近大乐队(Big band)的阵容(一般包括小号)。Bob Wills不久无可争议地夺取了这一音乐类型的王冠。在即兴演奏方面与他的\"德州花花公子\"(The Texas Playboys)乐队在一起,他是一个真正的革新者。在任何一个晚上,他都有能力发挥他的同伴和他的最佳状态,这在乡村音乐史上产生了深远的影响。其他的西部摇摆乐队包括折中音乐形式的创始人Milton Brown(以及他的Musical Brownies)和Spade Cooley。今天,象\"睡在轮边\"(Asleep At The Wheel)这样的乐队还在继续这一乡村音乐传统。
兰草音乐(Blue Grass)
一种精致的,纯正的,原汁原味的音乐,很容易辨识。折中音乐有两三部和声,激烈的节奏,不受约束的情感。这\"孤独而高亢\"的声音产生于20年代末的\"弦乐运动\"(String-band Movement),成名在来源于创始者Bill Monroe的乐队\"兰草男孩\"(The Blue Gass Boys),兰草音乐被Bonnie Clyde,The Beverly Hill billies在60年代末极力推动,赢得了一批全新的听众。今天,兰草音乐仍保持者极高的影响力,象著名乡村音乐人Alison Krauss就是一列。
酒吧音乐(Honkyu-Tonk)
一种自由进行,经常是很喧闹的音乐形式,产生于战后南方的酒吧。40年代末,乡村音乐的剧集场所由公开社交场合转到酒吧,那里表演者不再担心再他们的歌曲中要保持宣扬\"家庭伦理\",结果,歌词往往反映出现代蓝领工人艰难冷酷的现实状况。
Hank Williams那让女人们着迷和让男人们模仿的歌曲使Honky-tonk这种形式,在40年代初成为了乡村音乐的主流。他活得就象他所唱得一样,然而他那过了头的生活作风最终导致了他29岁的早逝。
Rockabilly(乡土摇滚)
1953年的孟菲斯,音乐上的种族界限也被划分得一清二楚。大多数黑人听节奏布鲁斯(R&B),而当时的乡村音乐却是受白人欢迎的音乐。为了寻找一条黑人、白人音乐融合地道路,制作人Sam Phillips要为他的唱片公司\"Sun Records\"找一个能唱黑人歌曲的白人男孩。于是就有了Elvis Presley----猫王。
制作Bill Monroe的\"肯塔基的蓝月\"《Blue Moon of Kentucky》这样的经典名曲,再加上培养出\"猫王\"Elvis Presley这样具有突破性地艺人,制作人Sam Phillips开创了一种后来大家所熟知地混合音乐形式\"乡土摇滚\"(Rockabilly)。虽然这种音乐形式在50年代并不怎么受欢迎,但是许多不同的音乐人如Johnny Cash,Jerry Lee Lenis和Carl Perkins都是以录制这类歌曲开始他们的音乐生涯的。
纳什维尔之声(The Nashville Sound)
\"纳什维尔之声\"主要以钢琴、弦乐和背景和声为配器,与传统的小提琴和班卓琴的伴奏不同,这也是纳什维尔之声的为人所知的特色。50年代末,随着乡村音乐的逐渐衰落,一些制作人如Chet Atkins和Owen Bradley有意识地在拓展乡村音乐地趣味,并使它更接近主流的pop音乐。
60年代早期,这种转变实现在几乎所有从Patsy Cline到The Browns(借着纳什维尔录音室一大群音乐家地帮助下)的乡村艺人身上,使许多这样的歌曲名列乡村和流行音乐榜地前列。
乡村摇滚(Country-rock)
一种来源于加利福尼亚的音乐形式,后与嬉皮运动交互影响,把他们那\"回归自然\"的感情带到了乡村音乐中。由于他们吸毒、蓄发遭到了传统乡村音乐价值的诅咒,乡村摇滚艺人极力想以次开拓那些传统乐迷的口味。
60年代末的先驱者象Gram Parsons(还有The Byrds,Flying Burrito Brothers和后来的Emmylou Harris)把传统的怀乡和心碎的乡村歌曲加上了摇滚的节奏。后来,一些象The Eagles这样的乐队把这种混合音乐形式带上了流行排行榜的榜首。今天,象The Desert Rose Band(由Byrds的合作者Chris Hilman领衔的)还在继续这一音乐传统。
叛道运动(Outlaw)
所谓的\"叛道\",只是在强调根源色彩的乡村音乐传统的继续,它是在纳什维尔之声的背叛。这并不是一种新的音乐类型,只是一种对传统的回归和对当时制作体系的背叛。
这场风暴的中心人物是Willie Nelson。1968年时,纳什维尔对他那较新的更多个人化的尝试的音乐的排斥,使他很沮丧。Nelson由此离开纳什维尔,到了德州(Texas)的奥斯汀(Austin),在那里他开始了一年一度的音乐会,并吸引了其他一些相似的当时不被注意的歌手,作曲人如Waylon Jennings和Kris Kristofferson等。
他们那种淳朴的,根源化的尝试,是为了保持乡村音乐在一味迎合大众流行口味之前,独特的甚至粗野的个人化表现方式。不仅\"叛道运动\"迎合了那些彻头彻尾的乡村乐迷,而且在电台和校园中也得到了回应。结果,1976年如Waylon&Willie所愿,\"The Outlaws\"成为了乡村音乐史上第一张达到百万销量的大碟,更为带有根源特质的乡村音乐打开了大门。
新传统主义(New Traditional Country)
一种回归到艺术性和音乐性比形象更重要的时代的音乐风格。新传统主义在早期的乡村音乐中找寻灵感,而且是以后颇为大家所知的新乡村音乐(New Country)的先驱。Ricky Skaggs,一个难得的天才,受Bill Monroe和Ralph Stanley的启发,他超越了当时所有的艺人,并把乡村乐带回了它的根。不仅传统得以发扬、创造,而且还很受欢迎。Skaggs不是孤独的,象Randy Travis凭借优美的旋律和精致的声线把寻传统主义带道了乡村音乐的前端。
新乡村音乐(New Country)
一种用来广义上描述80年代中期回归根源的乡村音乐的形式。但外加了点吉他和鼓,使这种乡村音乐更接近摇滚流行乐。Garth Brooks,Brooks&Dunn,Shania Twain和LeAnn Rimes等成堆的艺人都使名列于这一目录之下。它并不采纳小提琴、木吉他等乐器,这使其与传统乡村音乐区分开来。
另类乡村音乐
乡村摇滚乐的当代衍生物,强调嘈杂的电吉他,这使它更接近于摇滚乐而不是乡村乐。这个逐渐兴起的运动的名称\"No Depression\"来源于Carter Family的一首歌,高举着自由自足的旗帜,而他们的唱片亦是由一些独立的小厂牌所出版。Uncle Tupelo(现已逝)和The Jayhawks是这个运动的先锋人物,现今的Son Volt,Wilco和Golden Smog则将其推至高潮。
回归音乐(Retro)
由着清晰的吉他声和富有特质的歌词,回归音乐(Retro)追溯到纳什维尔之声之前的乡村音乐,这是由象Junior Brown,BR5-49,Big Sandy,Fly Rite Boys和Wayne Hancock等音乐人发起的。
歌手/词曲作者
这个日渐壮大的团体来源于新传统乡村音乐中原声音乐的背景。他们的集合地点象由Nashville's Bluebird Cafe,每星期都有\"词曲作者之夜\",然后开动脑筋,写出一首歌,领导者包括Lyle Lovett,Steve Earle,the Dead Reckoing Crew(包括Kieran Kane,Kevin Welch和Mike Henderson)。
乡村音乐旁支
凯金音乐(Cajun)
一种节奏欢快,充满切分音的音乐,流传于西南部路易斯安那讲法语的Acadian的人群中。这种音乐主要采用小提琴和手风琴,乐队还包括了一个鼓手,但这种音乐仍然被认为更接近原声音乐。Jimmy C.Newman,Dong Kershaw和Eddy Raven是当代Cajun音乐的佼佼者。
Conjunto
19世纪末产生于大峡谷附近,Conjunto把 波尔卡、华尔兹的节奏与墨西哥民呀融合在一起,Flaco Jimeney和the Texas Tornadoes乐队,是这种音乐的著名的代言人。
Tejano
根源于传统的墨西哥音乐,Tejano(西班牙语的\"德克萨斯\")有着它爽朗的歌词和易舞的节奏,在Tejano世界里,Emilio和Shelly Larees是两位让人首肯的艺术家。
Zydeco
一种很重的,电声音乐,来源于Cajun音乐与路易斯安那南部克里奥人文化的结合。这种音乐用法语演唱,受布鲁斯新月和非洲音乐的侵浸。C.J Chenier和Buckswheat Iydeco是Zydeco音乐的最热门的乐队
喜欢上了男人,对他很好,是很好的那种。给他洗衣服,收拾房间,早晨买早点给他,小鸟依人的靠在他身边。他觉得有人这样无微不至的照顾是件很惬意的事情,于是他们顺理成章地在一起。男人习惯有女孩在身边的日子,可后来,女孩就离开了,是男人在睡梦中的时候。
男人讲完之后一脸茫然的问我,你说,我哪里做错了?我给她钱买化妆品,有人欺负她,我把那人揍了个半死,我这么爱她,她为什么就走了呢?
我安静的听完,没办法给这个疑惑的男人一个满意的答案。我们从咖啡店走出来,过马路时男人瞅一个空挡便快步跑到对面向车流这边的我招手说快啊。
我有些无奈的笑了。
我问男人是不是不愿意牵女孩的手,他说在家抱抱可以,在外面多不好意思啊。我说他过马路时一定比女孩快,他点头说你怎么知道。我说女孩在刷碗扫地的时候,他一定是悠闲的看着电视。男人摸着头说自己似乎明白了。
我说,如果明白了就去挽回吧!
希望他是真的明白了。
其实很多女人外表很坚强,内心却还是柔弱,需要男人呵护的。她们不在乎你给了她多少钱,却会永远记得你调皮的从路边花坛偷回的那朵放到她手中的月季花。她们在厨房忙碌的时候,你从身后送来的一个吻会让她觉得幸福甜蜜。过马路时候,站在左边的你紧紧握住她的手,不论是什么年纪,都会让她觉得安全。
世界上女人很多,美丽的,温柔的,聪明的,可爱的……可无论什么类型的女人,期待幸福的心情都是一样的。所以她们等待着一个男人的出现,等着这个男人对她们好。
其实女人期待的对自己好,是件很简单的事情。
她只希望自己的男人不要因为忙碌而忘记她的生日。想听他在耳边轻声说句,快乐吧,我的宝贝。这时玫瑰也可以省略。她只希望做家务累的时候,他轻轻抚摩自己的额头说声,宝贝,喝了牛奶再睡吧。她只希望害怕或者孤单的时候,男人在身边搂着她的肩膀坚定的对她说,别怕,有我!
是的,有时候,爱意是在不经意间流露的。可能男人没感觉,可是女人却一字一句的记在了心底。她们会用更多的爱恋回报你。
尝试着在出门之前吻一下你的女人。常常温存的告诉她,你有多么的爱她。休息的时候抢过她手里要洗的衣物。天气好的时候带她到公园散步。睡觉前给她讲讲公司里、回家路上看到的有趣的事情。偶尔耐心倾听女人讲的事情,即使你对白菜5角或是4角一斤不感兴趣。在她穿了新裙子的时候,认真的看2分钟,然后诚心夸奖一下她。如果裙子大了,就说你又苗条了,如果裙子小了,就说如果大一点会更漂亮。逛街的时候可以拉着女人的手或者揽着她的肩膀……
因为这样,她会觉得幸福。
女人都希望在平凡中被呵护,被爱着。男人温存的点点滴滴一定能让她闻到幸福的芳香。其实女人要的幸福很简单。男人要耐心的对你的女人好,不需要如火山火热,也不需要如海浪汹涌,细水长流就足够让她幸福一辈子。
一个黄昏,我接到那个男人的电话。他很兴奋的告诉我,说女孩又回到了他身边。我问他是怎么做的,他说费了很大力气才约到女孩散步,还专挑路口走。过马路时候站在女孩左边,紧紧握住她的手。我笑了,说你现在再明白了吧。男人嘿嘿的说,明白了,明白了,她跟着我,是需要我疼的。
是啊,当上帝用亚当的肋骨造了一个夏娃时,就预示着男人该认真照顾身边那个是自己身上肋骨变的女子,好好爱她吧,否则你自己的胸口也是会疼痛的。
跟着你,就是要你疼的...... !!! (Forward)
