記住記錄需要大量的信息，這將允許我們對其他的服務(wù)使用那些資源。點擊okey。下一個更改是直接進入注冊中，工作于注冊中的任何時間，記住你想要遵循人們常常討論的這樣一個規(guī)則，做一個你的注冊的備份并從這個備份中工作。

當然我們要在這個演示中打破這個規(guī)則。我們打開這個注冊并且我們的第一個設(shè)置被設(shè)置為TCP參數(shù)。我們不想用完用戶端口，于是我們將其設(shè)置得非常大。一個大的窗口尺寸對于高速網(wǎng)絡(luò)工作的更好并且當窗口填滿后TCP就停止了。

接下來，我們進入H關(guān)鍵字區(qū)域計算機系統(tǒng)（H Key Local Machine System）。我們就這樣進行。當前的控制設(shè)置、服務(wù)，然后是TCP關(guān)鍵字，它在這個清單的下面。這些參數(shù)連接在其中。我們要添加一個叫做最大用戶端口的新的值。

現(xiàn)在，最大的端口已經(jīng)在那里了。如果不在，你就向前并添加入最大用戶端口。你要輸入的字符串是oxffe并且你要讓它作為一個reg s z而離開它。通過輸入它，你將允許我們的系統(tǒng)擁有它所需要的資源。這個設(shè)置為非常高級的用戶打開端口。

我們也要增加TCP窗口尺寸的值，這些我們已經(jīng)增加了。而且，它是一個reg s z，值為ox4470。這就為高速網(wǎng)絡(luò)將窗口尺寸設(shè)置的更大。

最后，我們要將處理器線程的最大設(shè)置設(shè)定為一個很小的值。這改變了對于每一個IIS對MTS所允許的CPU的線程數(shù)量，并且這么做減小了系統(tǒng)資源內(nèi)容的數(shù)量。因此我們必須去除TCIP關(guān)鍵字。

我們將要擴展W3SVC關(guān)鍵字以及ASP部分，然后是其下的參數(shù)。那是處理器線程的最大值。現(xiàn)在它是空的。我建議將其設(shè)定為10，原因是10在剛開始的時候是非常好的設(shè)置。

現(xiàn)在，記住你要為你的特定計算機上的性能自己進行監(jiān)控。你要降低監(jiān)視性能值。如果性能下降了，就回到先前的值。如果你感覺到低了，則將其增加。

在這個演示中你已經(jīng)看到的是為了可用性和可靠性優(yōu)化你的系統(tǒng)和電子商務(wù)站點的最好的實例，通過使用管理控制臺或注冊編輯器。

我們現(xiàn)在回到幻燈屏幕。在這部分內(nèi)容中另一些最好的操作是將html輸出盡可能地保持到最小。記住，小于2KB。我們要將圖像文件保持得很小。平均大約為20KB。約小約好。盡可能的重復(fù)使用這些圖像文件。記住，你可以利用用戶緩存的優(yōu)勢。保持較短的文件名和路徑以減少字節(jié)數(shù)。

分析你的html輸出。以28k波特的速率對每個字節(jié)計數(shù)。向下進行的時候請記住這些。

一些附加的優(yōu)化和建議是你可能要中止在你的IIS系統(tǒng)或其他你可能有的服務(wù)器中的不需要的服務(wù)。移去不需要的網(wǎng)址和Internet 信息服務(wù)器的服務(wù)（Internet Information Server services）。最好將示例站點去掉，如果你不需要使用它們的話。

去掉不需要的擴展映像。確定IIS被設(shè)定位自動引導(dǎo)以便在死機時，將會直接的將其重新引導(dǎo)。這是你要注意的一個安全性問題。

去掉你的屏幕保護。使用空白。如果你發(fā)現(xiàn)受到了限制你可以增加一些處理器，最后你可以升級到Sequel Server 7.0，這允許你使用網(wǎng)絡(luò)負載平衡并考慮將你的搜尋和檢驗數(shù)據(jù)庫選項分離到其他的服務(wù)器中。這允許你擴展，繼續(xù)向前，你可以擴大和縮小，按照你的需要。

我們學(xué)習(xí)了一些什么？好的，我們以及在較高層次上總覽了WIN DNA。我們已經(jīng)見到了2級層列和3級層列的不同之處。我們已經(jīng)看到了怎樣優(yōu)化我們的網(wǎng)站并在最后看到了怎樣著重這個網(wǎng)站。

我們現(xiàn)在要討論的，是如果你在安全性上有問題的話你的網(wǎng)站將沒有任何價值，這是因為一個安全的網(wǎng)站才是更優(yōu)秀的網(wǎng)站。這是非常有用的，安全性將最終關(guān)乎到生存與否。

接下來我們將討論創(chuàng)建安全環(huán)境，現(xiàn)在。記住，最大的問題以及大多數(shù)人所遺忘的是物理安全。研究顯示的和統(tǒng)計數(shù)據(jù)所表明的都說明最普通的黑客不是來自外部的威脅，而是來自有怨氣的雇員。

你要確定在物理上保護你的服務(wù)器。確定它們不被震動。確定它們在上鎖的罩子里。確定你的網(wǎng)絡(luò)是安全的，有一個防火墻或代理系統(tǒng)。確定你的系統(tǒng)是安全的，對于賬目有防范禁閉的策略。

確定你有一個安全性策略的設(shè)置。確定你有安全性的持續(xù)操作。確定某人的職責(zé)而不是僅讓他們在有空的時候隨便看看。

讓我們看一下安全性網(wǎng)站結(jié)構(gòu)。這是一個巨大的網(wǎng)站結(jié)構(gòu)，向前。這是一個我們工作于其中的巨大的網(wǎng)站結(jié)構(gòu)。我們?yōu)槟銈冿@示這個幻燈片的原因是你可以看見網(wǎng)絡(luò)用戶和防火墻，并請注意我們有一個外級區(qū)域和一個開發(fā)服務(wù)器，以及我們的ERP系統(tǒng)，并請注意在它和DMZ（不戒備區(qū)域）之間的防火墻。

注意在我們的不戒備區(qū)域中，我們有sequel組件，集成服務(wù)器，IIS服務(wù)器。通過這些將我們的不戒備區(qū)域和分級服務(wù)器與我們的后端服務(wù)器分離開來，我們將后端服務(wù)器從任何來自Internet的攻擊中保護起來，也避免了Internet被來自我們的網(wǎng)絡(luò)內(nèi)部所攻擊。

為了保護某些區(qū)域你要記住可以使用鑒別和啟動目錄設(shè)計模型。確定你的服務(wù)器任務(wù)是正確的。用戶的組、文件系統(tǒng)或注冊、成員信息都是正確的。確定你的格式被正確的設(shè)定了，你的cookies，最后來到鑒定。通過Decom Config NTS進行編譯和反編譯。確定任務(wù)。CIP、CIPM、新型商業(yè)洽談型服務(wù)器，所有的這些是你要保護的區(qū)域，焦點是，當然，在于對于端口攻擊在象IP端口這樣的網(wǎng)絡(luò)協(xié)議上；sequel服務(wù)器和ODPCDS終端。大部分人不考慮在站點服務(wù)器中創(chuàng)建一個保護以及用CSC文件創(chuàng)建一個連接字符串。

現(xiàn)在我們在Windows 2000中有一個Windows NT中的工具，它具有大量的安全機制，但你必須到具體的地方去對目標項進行安全性設(shè)置。

在Windows 2000中，我們有這個新的安全性管理工具，我們稱之為安全配置和分析工具（Security Configuration and Analysis Tool）。現(xiàn)在安全性觸及系統(tǒng)的許多不同方面。你需要更好的配置分析工具，而安全配置和分析工具（Security Configuration and Analysis Tool）讓我們做到了這些。

我們可以在宏的級別上進行配置。我們也可以在宏的級別上進行分析和報告。在我們開始分析和管理工具前，讓我們談?wù)撘恍﹦e的工具和技巧。


當我們開始這個部分時，我們要討論后門，它現(xiàn)在是一個的主要問題。拒絕的服務(wù)。我們要討論服務(wù)器編排，這是一個新出現(xiàn)的問題，我們要討論更多的工具和更多的其他問題。

當我們討論后門時，我們當然要談到Back Orifice。每個人都聽說過Back Orifice。這是后門。它是一個允許黑客訪問一個系統(tǒng)旁路安全控制的程序，按字面意思是進入你系統(tǒng)的后門。Back Orifice工具在98年的八月是由Cult of the Dead Cow所介紹了的。

這個黑客工具通過傳播受到了大量的關(guān)注。你可以察看對于Cult of the Dead Cow的網(wǎng)址。Back Orifice可以做什么？好的，它可以允許通過對于使用95、98以及可能WIN 2000的計算機進行遠程控制。

如果我設(shè)法使你安裝了它，我就擁有了你的計算機。攻擊者將控制你的屏幕和鍵盤。它記錄下?lián)翩I。它可以鎖住或重新啟動計算機。它可以進入詳細的系統(tǒng)信息。它可以搜集密鑰。它可以拷貝、重命名、刪除、察看和搜尋文件和目錄。Cult of the Dead Cow說實際上Back Orifice可以比坐在鍵盤前的你擁有對于系統(tǒng)的更多的控制。

實際上它可以在這個終端中做任何事情，包括注冊控制；這并不是一個空洞的恐嚇。

服務(wù)被拒絕。在最近的新聞中有很多問題是關(guān)于拒絕服務(wù)的。有無數(shù)的拒絕服務(wù)形式的攻擊。實際上拒絕服務(wù)攻擊就是，它使合法的用戶不能使用這個系統(tǒng)并使系統(tǒng)保持忙碌使網(wǎng)站陷入泥潭。

也有直接的播送攻擊，這更通常的情況下是指smurf攻擊。兩周內(nèi)出現(xiàn)的關(guān)于安全性的最新的問題是交互網(wǎng)站腳本安全性的曝光。現(xiàn)在，這是威脅每個人的新問題，不僅僅是微軟。

有一些網(wǎng)頁只生成被影響到的html。所以要記住的是如果你的網(wǎng)頁在一個動態(tài)頁面中嵌入了瀏覽輸入，換一句話說，它被創(chuàng)建并且它從用戶那里嵌入了輸入，然后，你的服務(wù)器可能被操縱來包含允許惡意腳本在你的服務(wù)器上執(zhí)行的內(nèi)容，并稍加修飾。

記住現(xiàn)在的網(wǎng)頁不僅包含html而且包含腳本、目標和編碼，這是由于在線的處理的緣故。這些腳本現(xiàn)在不能執(zhí)行這個服務(wù)器。在html以內(nèi)，特定的字符被設(shè)計成為指定的字符，于是服務(wù)器和瀏覽器可以分辨用戶所見的和系統(tǒng)功能所使用的字符。

現(xiàn)在采用的是將這些字符插入到用戶服務(wù)器的通訊中并隱藏惡意的腳本。由于腳本從根本上是程序，這允許惡意的編碼在你的被保護和信賴的環(huán)境中被運行

所以，對于它的一些策略是，很不幸，網(wǎng)絡(luò)程序工程師必須手動地分析每一頁來尋找潛在的漏洞。這是關(guān)于這個問題的最大的麻煩。每一頁必須通過手動來糾錯而沒有自動工具可以用來完成它，這是因為每一頁都是與眾不同的。

你可以在其中保持數(shù)據(jù)的方式有，使用確定頁面或Microsoft.com安全。可能對于交叉網(wǎng)址的定位的例子是很簡單的。用戶登錄進入一個安全網(wǎng)址的歡迎界面時，那里可能有侮辱性的語句。搜索引擎可能返回錯誤的或隨意的結(jié)果。也有可能更糟，因為信用卡號碼可能被泄漏給了未被授權(quán)的網(wǎng)址，數(shù)據(jù)也可能被破壞。還可能伴隨有其它形式的攻擊。
例如，Back Orifice可能被下載到你防火墻后的安全服務(wù)器中。于是現(xiàn)在就有了一個大問題。
記住，當你繼續(xù)向前，你必須考慮安全性的各個方面。隨時都可能有新的黑客，所以你要熟悉所有的情況。你要徹底地評價你的環(huán)境。平衡包括工具在內(nèi)的Windows 2000平臺。
一些攻擊可能是非常老練的，然而工具們更容易使用和得到。黑客們使用這些工具攻擊你，所以你可能應(yīng)該使用相近或相同的工具去偵察并阻止這些攻擊。
讓我們來到演示3，它告訴我們怎樣使用安全性配置及分析工具去保護你的網(wǎng)址。我們回到演示屏幕并為你顯示這個演示。
好的，我們要討論使用安全性管理器去保護你的網(wǎng)址。現(xiàn)在，記住在Winsows安全性的早期版本中，管理是相當隨意的。你可以松散的去做所有的事情。
在Windows 2000中，我們有一次性的交易，所以說，涉及到了安全性。問題來自于很多人不知道怎樣使用安全性配置及分析工具，或怎樣去安裝它并裝上一個合適的安全性系統(tǒng)。這將幫助你處理我們前面所提到的那些威脅。
在我們開始使用安全性管理器之前，讓我們看一下管理控制臺接口是怎樣被添加到我們的控制臺的。我們進入開始菜單，并運行它。然后我們鍵入MMC，其意是微軟管理控制臺。然后我們就在這里打開了變化多端的管理控制臺。
我們現(xiàn)在將進入控制臺菜單。選擇add/remove snap-in。現(xiàn)在，你要注意到當你打開計算機管理控制臺或任何其它管理控制臺時并沒有那個選項，只是在這里有，這就是我們使用MMC的原因。
現(xiàn)在我們要添加接口以及對需要添加的控制臺點擊add。這里是對話框其中有所有可用的獨立接口。你可能需要一些時間，去仔細地瀏覽。
我們將卷屏，那兒有一些安全性配置及分析的內(nèi)容。注意下面有一個腳本告訴你怎樣做。我對其點擊add它就在這個列表上列出。然后我點擊security templates因為我將為你顯示。那是一個開啟安全結(jié)構(gòu)的非常好的地方，然后點擊add，然后點擊close，我們將回到add/remove snap-in對話框。然后點擊okey，我們就把那兩個接口直接添加到控制臺中了。

現(xiàn)在，請你注意安全性模板，這個下面是安全性模板。在我的安全性配置和分析下面，我們什么也沒有，盡管它很好，讓我知道我需要做的第一件事是打開一個現(xiàn)存的數(shù)據(jù)庫或生成一個新的數(shù)據(jù)庫。
由于我實際上要創(chuàng)建一個新的數(shù)據(jù)庫，它被假定為一個從來沒有被安全保護過的系統(tǒng)，我們將創(chuàng)建一個新的數(shù)據(jù)庫并且需要做的第一件事情就是我們馬上要說的。我們右鍵點擊a security configuration和analysis scope項，并選擇open database。

然后，在這個例子中，我們要鍵入一個新的數(shù)據(jù)庫名稱，在這里，我們稱之為security。然后點擊open。下面要做的是啟動一個新的安全性配置，這將是你的基本模板。你會注意到這里我們有基本模板，它們與我們安裝的安全性模板是相同的。
我們有基本的DC，那是一個基本的高級服務(wù)器，一個Windows 2000域控制器。我們也有一個基本的SV，那僅是一個服務(wù)器，一個工作站，或向下的所有。這里向下我們有一個非常安全的系統(tǒng)，如果你要保護DC的話。但是我要從基礎(chǔ)的SV開始。那是基本的服務(wù)器。我將點擊open,現(xiàn)在要使用那個模板去配置那個系統(tǒng)。
需要幾分鐘的時間因為將要做的是，通過瀏覽并將在所有的在基礎(chǔ)SV中可見的模板設(shè)置帶入到配置設(shè)定中。現(xiàn)在注意SV，我們已經(jīng)統(tǒng)計了策略、局部策略、時間記錄以及注冊和其他所有的事。現(xiàn)在，在配置和分析下，我們什么也沒有。
我要做的是再一次右擊security configuration and analysis tool。這次我要分析我的計算機。現(xiàn)在，分析我的計算機要用到，基于模板，并將其設(shè)置。我點擊okey。我現(xiàn)在要分析并將錯誤記錄進入我們剛才說要將其放入的部分。
我要瀏覽并檢查我的用戶權(quán)限分配，基于我剛才安裝的模板；我的有限的組，基于這個模板；注冊設(shè)置，基于這個模板；系統(tǒng)服務(wù)和安全性策略，都是基于這個模板。
現(xiàn)在，我的系統(tǒng)正在基于我們安裝的要素而被分析著，所有的這些模板可以被個性化處理，可以再使用前和使用后被修改和檢查，或者在中途進行更改。
當我們繼續(xù)向前，每一個特定的部分內(nèi)容都將被視為與其自身以及前面所提到的有所關(guān)聯(lián)。所以系統(tǒng)服務(wù)將被討論。還有用戶權(quán)限，讓我們登錄統(tǒng)計系統(tǒng)服務(wù)用戶。安全性策略將認為與有限組或注冊設(shè)置有關(guān)聯(lián)。
這將需要一些時間因為文件系統(tǒng)中的注冊設(shè)置需要一些時間去仔細檢查并分析。并請記住，這些都基于，在本例中，基礎(chǔ)的SV設(shè)置，那是個統(tǒng)計策略、局部策略、事件記錄及文件系統(tǒng)。
好的，你將看到已經(jīng)完成的部分，在security configuration and analysis下面，有相同的節(jié)點現(xiàn)在顯示在模板下面。我們將關(guān)閉這些模板，以不會被混淆。
一旦我們完成了對設(shè)置的分析，我們將可以對那些設(shè)置進行更改或檢查所有包含在特定模板設(shè)置或統(tǒng)計策略中的任何位置。
我們要為統(tǒng)計策略下的密鑰策略而對設(shè)置進行更改，所以我們有統(tǒng)計策略以及密鑰策略。你將注意到我們在這里有一個紅色的標記。我們雙擊enforce password history你將注意到我們沒有為zero保留密鑰。
現(xiàn)在，它還不是十分安全。這意味著你實際上可以無限多次的復(fù)制你的密鑰。這個系統(tǒng)將提示更改你的密鑰并讓你準確的鍵入相同的密鑰因為它將不能追蹤那些設(shè)置。