写给我们都是新手：

假如要把一整套的系统制作过程全说出来，那估计可以跟天方夜潭相比了，而且这样做，可能会让一些新人照葫芦画瓢，更有可能导致制作系统失败，这不是我想要的效果，因为我也是一个小小的网管，但做过的系统也不少，所以我把我的一些做系统的经验拿出来共大家分享！虽然现在网上有好多做系统的教程，但那些都是针对网吧系统制作，因为他们是处于路由的“保护伞”下，有些系统做的并不全面，因为时间关系，本人的经验有限，还是以我自己的风格，我只写些原理，其他的补充就靠自己去思考，我可不太喜欢喂饭给别人吃！好了入正题~！



当你把系统装入硬盘之后，现在就该开始系统的安全和基本优化了，先针对个人用户，网吧用户请自行修改后使用：

Ⅰ 组策略

计算机配置--管理模板--终端服务：启用“阻止将已经登陆到控制台会话的管理员注销” “限制连接数”设为“1”

计算机配置--管理模板--系统：系统还原，自己决定是否启用！

计算机配置--windows设置--安全设置--帐户策略--密码策略：这里根据自己需要进行设置！PS：推荐设置：密码复  杂性启用，长度最小值：8个字符预留时间默认密码历史不用记（假如密码为8位，让每秒运行100000次的PC来破解的话估计需要三年）

在帐户锁定策略，启用帐户锁定阀！（这个根据需要设置）

在计算机配置--windows设置--IP安全策略（mmc.exe） 关闭危险端口！

创建IP安全策略--输入名称--勾去“激活默认响应规则”--勾选“编辑属性”--添加--再“添加”--筛选器名称--添  加--源地址“任何IP地址”目标地址“我的IP地址”两次确定之后回到新规则属性对话框--筛选器操作--阻止！这样端口就可以关闭了！

Ⅱ 批处理注册表

其实你也可以用批处理来关闭端口，在XP中IP安全协议名是ipseccmd,在win2K中是ipsecpol，在WIN2K3中是        ipsec：

举个例子吧

gpupdate>con

rem 这是更新组策略

ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x >nul

rem 禁止DOS攻击！关闭协议为TCP端口为445！

-w这个参数是导入注册表，重启生效， -P策略名字 -R规则名称， -N 行为

-X 激活 这里 -F参数很重要，简单的说：对方IP：端口：协议+自己IP：端口：协议，用*代表任意IP段，用0代表自  己IP！

为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137  、138、445 端口，一些流行病毒木马的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389！

注意：

还有一个：运行 Gpedit.msc打开组策略编辑器，在左侧面板中定位到“计算机配置/Windows设置/安全设置/本地策略  /安全选项”，然后启用右侧面板中“关机：清理虚拟内存页面文件”这一策略。不过要注意，启用该策略将会延长  Windows关闭所需的时间，因此如果不是必要请不要启用该策略。

看下cmd吧...

利用DOSKEY可以修改默认命令，比如说把FORMAT用CC代替，可以这样写

DOSKEY FORMAT=CC，还原就是用 DOSKEY FORMAT！什么用处自己想拉~~

关闭系统默认共享，防止IPC$空连接

批处理版：net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete

net share e$ /delete

……（你有几个硬盘分区就写几行这样的命令）

注册表修改法：“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，找到    “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项，双击右侧窗口中的  “ AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己  新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。    最后到  “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”，将键  值设为1，  关闭IPC$共享。

注意：本法必须重启机器，但一经改动就会永远停止共享。

常用的免疫补丁：

推荐新人使用“三联免疫补丁”，网上可搜索到！

关于IE老是被非法修改问题：自己注意下以下键值就可以了：

HKEY_CURRENT_USER\SoftwareMicrosoft\Internet Explorer\Main\Window Title

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Window Title

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\SearchCustomizeSearch

HKEY_LOCAL_MACHINe\Software\Microsoft\InternetExplorer\SearchSearchAssistant

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion

WinlogonLegalNoticeCaption

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion

WinlogonLegalNoticeText

假如还不行，推荐使用黄山IE修复专家修复你的IE漏洞！还有就是打上微软的IE补丁！

（给网关跟MAC地址绑定,网吧对这个很重要！格式： arp -s gateway mac）

现在有很多人把木马注册成系统服务，这招最贱！

你可以利用注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution    Options来禁用instsrv.exe srvany.exe这两个程序！其他木马一般杀毒软件都可以杀掉！略过~~

Ⅲ 系统变量

看了好多脚本入侵病毒，我们不难发现，里面过多的系统变量的使用， 对于系统默认的变量，我们也进行修改..这  样可以达到木马找不到系统路径而失效！我的电脑-右键-属性-高级-环境  变量，这里可以编辑一些变量，但这是  系统使用的设定数据，建议在未有充分了解和十足把握的时候，千万不要轻举妄动。

Ⅳ 系统服务：

1：Alerter服务:手动

2：application layer gateway service ：禁止

3：Application management 手动

4：automatic updates 禁止（用工具升级）

5：Background Intelligent Transfer Service 禁止

6：ClipBook 禁止

7：COM+ Event System 随便

8：COM+ System Application 禁止

9：Computer Browser 禁止

10：Cryptographic Services 禁止

11：DCOM Server Process Launcher 手动

12：DHCP Client 动态IP开启，其他禁止

14：Distributed Link Tracking Client 禁止

15：Distributed Transaction Coordinator 禁止

16：DNS Client 禁止

17：Error Reporting Service 开启

18：Event Log 开启

19：Fast User Switching Compatibility 禁止

20：Help and Support 看你自己是否需要

21：HTTP SSL 禁止

22：Human Interface Device Access 禁止

23：IMAPI CD-Burning COM Service 禁止

24：Indexing Service 禁止

25：IPSEC Services 禁止

26：Logical Disk Manager 手动

28:Messenger 禁止

29：MS Software Shadow Copy Provider 禁止

30：Net Logon 一般禁止

31：NetMeeting Remote Desktop Sharing 禁止

32：Network Connections 禁止

33:Network DDE 禁止

34：Network DDE DSDM 禁止

35:Network Location Awareness (NLA) 禁止

36:Network Provisioning Service 禁止

37：NT LM Security Support Provider 手动

38：NVIDIA Driver Helper Service 禁止

39：Performance Logs and Alerts 禁止

40：Plug and Play 开启

41：Portable Media Serial Number Service 禁止

42：Print Spooler 禁止（除非你打印）

43：Protected Storage 开启

44：QoS RSVP 手动

45：Remote Access Auto Connection Manager 手动

46：Remote Access Connection Manager 手动

47:Remote Desktop Help Session Manager 禁止

48：Remote Registry 禁止

49：Routing and Remote Access 禁止

50：Server 禁止

51：Smart Card 禁止

52：Telnet 禁止

53：Terminal Services 禁止

54：Themes 禁止

55：Workstation 开启

附加内容

Event log、Plug and Play、Remote Procedure Call(RPC)

是三大必须启动的服务，只要有了这三项，2000就始终处于可用状态

Ⅴ 外网伪装

每个系统都有自身的系统漏洞可以让骇客利用和攻击，但对于一般的脚本小孩来说，他们可能更依赖于TTL返回值来判 断系统类型

TTL=32 Windows 9x/Me

TTL=64 LINUX

TTL=128 Windows 200x/XP

TTL=255 Unix

但我们可以这样伪装，通过修改注册表

HKEY_LOCAL_MACHlNE\System\CurrentControlSet\Services\T cpip\Parameters

DefaultTTL"=dword:000000

达到系统伪装！

Ⅵ 额外话

对与手动删除木马，我有这几种经验！

第一种，根据提示找到路径...去属性，删掉（可能性不大）

第二种，找到inf，或者其他什么文件，手动修改其属性（一般）

第三种，让.exe文件禁止运行..利用注册表也可以，还有就是加入一个ws2_32.dll文件进去也可以禁止本方法适用基  于NT系统的WinXP,Win2000,Win2003！Win98没有试~~！那其他手动删除比如灰鸽子等，方法网上都有，我就不说了...

Ⅶ 总结

以上写的只是我个人的经验总结...林林总总！有些东西因为网上都可以找到，我就没写上来了..比如说要关闭哪 些危险端口，禁用哪些进程，还有其他防黑措施，反正有问题baidu一下，我已成习惯了..新人嘛，自学才是出路！我 所写的只提供些部分“挂件”，其他“修饰”，就靠你自己的能力了..发挥一下自己的自学的天份，我们要从“小鸟 ”变“老鸟”，嘿嘿~！