電腦丟失dll文件一鍵修復「shell32.dll怎麼修復」

1.更改默認administrator用戶名，複雜密碼

2.開啟防火牆

3.安裝殺毒軟體

1)新做系統一定要先打上補丁

2)安裝必要的殺毒軟體

3)刪除系統默認共享

4)修改本地策略——>安全選項

互動式登陸：不顯示最後的用戶名啟用

網路訪問：不允許SAM 帳戶和共享的匿名枚舉啟用

網路訪問: 不允許存儲網路身份驗證的憑據或 .NET Passports 啟用

網路訪問：可遠程訪問的註冊表路徑和子路徑全部刪除

5)禁用不必要的服務

TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation

6)禁用IPV6

server 2008 r2互動式登錄: 不顯示最後的用戶名

其實最重要的就是開啟防火牆+伺服器安全狗（安全狗自帶的一些功能基本上都設置的差不多了）+mysql(sqlserver)低許可權運行基本上就差不多了。3389遠程登錄，一定要限制ip登錄。

一、系統及程序

1、屏幕保護與電源

桌面右鍵–〉個性化–〉屏幕保護程序，屏幕保護程序選擇無，更改電源設置選擇高性能，選擇關閉顯示器的時間關閉顯示器選從不保存修改

2、配置IIS7組件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite環境。在這裡我給大家可以推薦下阿里雲的伺服器一鍵環境配置，全自動安裝設置很不錯的。點擊查看地址

二、系統安全配置

1、目錄許可權

除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權，之後再對其下的子目錄作單獨的目錄許可權

2、遠程連接

我的電腦屬性–〉遠程設置–〉遠程–〉只允許運行帶網路超級身份驗證的遠程桌面的計算機連接，選擇允許運行任意版本遠程桌面的計算機連接(較不安全)。備註：方便多種版本Windows遠程管理伺服器。windows server 2008的遠程桌面連接，與2003相比，引入了網路級身份驗證（NLA，network level authentication)，XP SP3不支持這種網路級的身份驗證，vista跟win7支持。然而在XP系統中修改一下註冊表，即可讓XP SP3支持網路級身份驗證。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中雙擊Security Pakeages，添加一項「tspkg」。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders，在右窗口中雙擊SecurityProviders，添加credssp.dll；請注意，在添加這項值時，一定要在原有的值後添加逗號後，別忘了要空一格（英文狀態）。然後將XP系統重啟一下即可。再查看一下，即可發現XP系統已經支持網路級身份驗證

3、修改遠程訪問服務埠

更改遠程連接埠方法，可用windows自帶的計算器將10進位轉為16進位。更改3389埠為8208，重啟生效！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

“PortNumber”=dword:0002010

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

“PortNumber”=dword:00002010

（1）在開始–運行菜單里,輸入regedit,進入註冊表編輯,按下面的路徑進入修改埠的地方

（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

（3）找到右側的 “PortNumber”，用十進位方式顯示，默認為3389，改為(例如)6666埠

（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

（5）找到右側的 “PortNumber”，用十進位方式顯示，默認為3389，改為同上的埠

（6）在控制面板–Windows 防火牆–高級設置–入站規則–新建規則

（7）選擇埠–協議和埠–TCP/特定本地埠：同上的埠

（8）下一步，選擇允許連接

（9）下一步，選擇公用

（10）下一步，名稱：遠程桌面-新(TCP-In)，描述：用於遠程桌面服務的入站規則，以允許RDP通信。[TCP 同上的埠]

（11）刪除遠程桌面(TCP-In)規則

（12）重新啟動計算機

4、配置本地連接

網路–〉屬性–〉管理網路連接–〉本地連接，打開「本地連接」界面，選擇「屬性」，左鍵點擊「Microsoft網路客戶端」，再點擊「卸載」，在彈出的對話框中「是」確認卸載。點擊「Microsoft網路的文件和印表機共享」，再點擊「卸載」，在彈出的對話框中選擇「是」確認卸載。

解除Netbios和TCP/IP協議的綁定139埠：打開「本地連接」界面，選擇「屬性」，在彈出的「屬性」框中雙擊「Internet協議版本（TCP/IPV4）」，點擊「屬性」，再點擊「高級」—「WINS」，選擇「禁用TCP/IP上的NETBIOS」，點擊「確認」並關閉本地連接屬性。

禁止默認共享：點擊「開始」—「運行」，輸入「Regedit」，打開註冊表編輯器，打開註冊表項「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters」，在右邊的窗口中新建Dword值，名稱設為AutoShareServer，值設為「0」。

關閉 445埠：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建 Dword（32位）名稱設為SMBDeviceEnabled 值設為「0」

5、共享和發現

右鍵「網路」屬性網路和共享中心共享和發現

關閉，網路共享，文件共享，公用文件共享，印表機共享，顯示我正在共享的所有文件和文件夾，顯示這台計算機上所有共享的網路文件夾

6、用防火牆限制Ping

網上自己查吧，ping還是經常需要用到的

7、防火牆的設置

控制面板→Windows防火牆設置→更改設置→例外，勾選FTP、HTTP、遠程桌面服務核心網路

HTTPS用不到可以不勾

3306：Mysql

1433：Mssql

8、禁用不需要的和危險的服務，以下列出服務都需要禁用。

控制面板管理工具服務

Distributed linktracking client 用於區域網更新連接信息

PrintSpooler 列印服務

Remote Registry 遠程修改註冊表

Server 計算機通過網路的文件、列印、和命名管道共享

TCP/IP NetBIOS Helper 提供

TCP/IP (NetBT) 服務上的

NetBIOS 和網路上客戶端的

NetBIOS 名稱解析的支持

Workstation 泄漏系統用戶名列表與Terminal Services Configuration 關聯

Computer Browser 維護網路計算機更新默認已經禁用

Net Logon 域控制器通道管理默認已經手動

Remote Procedure Call (RPC) Locator RpcNs*遠程過程調用 (RPC) 默認已經手動

刪除服務sc delete MySql

9、安全設置–>本地策略–>安全選項

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置–>Windows設置–>安全設置–>本地策略–>安全選項

互動式登陸：不顯示最後的用戶名　　　　　　　啟用

網路訪問：不允許SAM帳戶的匿名枚舉　　　　啟用已經啟用

網路訪問：不允許SAM帳戶和共享的匿名枚舉　　啟用

網路訪問：不允許儲存網路身份驗證的憑據　　　啟用

網路訪問：可匿名訪問的共享　　　　　　　　　內容全部刪除

網路訪問：可匿名訪問的命名管道　　　　　　　內容全部刪除

網路訪問：可遠程訪問的註冊表路徑　　　　　　內容全部刪除

網路訪問：可遠程訪問的註冊表路徑和子路徑　　內容全部刪除

帳戶：重命名來賓帳戶　　　　　　　　　　　　這裡可以更改guest帳號

帳戶：重命名系統管理員帳戶　　　　　　　　　這裡可以更改Administrator帳號

10、安全設置–>賬戶策略–>賬戶鎖定策略

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置–>Windows設置–>安全設置–>賬戶策略–>賬戶鎖定策略，將賬戶鎖定閾值設為「三次登陸無效」，「鎖定時間為30分鐘」，「複位鎖定計數設為30分鐘」。

11、本地安全設置

選擇計算機配置–>Windows設置–>安全設置–>本地策略–>用戶許可權分配

關閉系統：只有Administrators組、其它全部刪除。

通過終端服務拒絕登陸：加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger

通過終端服務允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除

12、更改Administrator，guest賬戶，新建一無任何許可權的假Administrator賬戶

管理工具→計算機管理→系統工具→本地用戶和組→用戶

新建一個Administrator帳戶作為陷阱帳戶，設置超長密碼，並去掉所有用戶組

更改描述：管理計算機(域)的內置帳戶

13、密碼策略

選擇計算機配置–>Windows設置–>安全設置–>密碼策略

啟動密碼必須符合複雜性要求

最短密碼長度

14、禁用DCOM （”衝擊波”病毒 RPC/DCOM 漏洞）

運行Dcomcnfg.exe。控制台根節點→組件服務→計算機→右鍵單擊「我的電腦」→屬性」→默認屬性」選項卡→清除「在這台計算機上啟用分散式 COM」複選框。

15、ASP漏洞

主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。

regsvr32/u C:\WINDOWS\System32\wshom.ocx

regsvr32/u C:\WINDOWS\system32\shell32.dll

刪除可能許可權不夠

del C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\system32\shell32.dll

如果確實要使用，或者也可以給它們改個名字。

WScript.Shell可以調用系統內核運行DOS基本命令

可以通過修改註冊表，將此組件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

改名為其它的名字，如：改為WScript.Shell_ChangeName 或
WScript.Shell.1_ChangeName

自己以後調用的時候使用這個就可以正常調用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值

HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值

也可以將其刪除，來防止此類木馬的危害。

Shell.Application可以調用系統內核運行DOS基本命令

可以通過修改註冊表，將此組件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名為其它的名字，如：改為
Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

自己以後調用的時候使用這個就可以正常調用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

也可以將其刪除，來防止此類木馬的危害。

禁止Guest用戶使用shell32.dll來防止調用此組件。

2000使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests

2003使用命令：cacls C:\WINDOWS\system32\shell32.dll /e /d guests

禁止使用FileSystemObject組件，FSO是使用率非常高的組件，要小心確定是否卸載。改名後調用就要改程序了，Set FSO = Server.CreateObject(“
Scripting.FileSystemObject”)。

FileSystemObject可以對文件進行常規操作,可以通過修改註冊表，將此組件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

改名為其它的名字，如：改為
FileSystemObject_ChangeName

自己以後調用的時候使用這個就可以正常調用此組件了

也要將clsid值也改一下HKEY_CLASSES_ROOT\
Scripting.FileSystemObject\CLSID\項目的值

也可以將其刪除，來防止此類木馬的危害。

2000註銷此組件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

2003註銷此組件命令：RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

如何禁止Guest用戶使用scrrun.dll來防止調用此組件？

使用這個命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests

15、打開UAC

控制面板用戶賬戶打開或關閉用戶賬戶控制

16、程序許可權

“net.exe”,”net1.exe”,”cmd.exe”,”tftp.exe”,”netstat.exe”,”regedit.exe”,”at.exe”,”attrib.exe”,”cacls.exe”,”format.com”,”c.exe”

或完全禁止上述命令的執行

gpedit.msc-〉用戶配置-〉管理模板-〉系統

啟用阻止訪問命令提示符同時也停用命令提示符腳本處理

啟用阻止訪問註冊表編輯工具

啟用不要運行指定的windows應用程序，添加下面的

at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

17、Serv-u安全問題（個人建議不是特別高的要求沒必要用serv_U可以使用FTP伺服器 FileZilla Server ）

安裝程序盡量採用最新版本，避免採用默認安裝目錄，設置好serv-u目錄所在的許可權，設置一個複雜的管理員密碼。修改serv-u的banner信息，設置被動模式埠範圍（4001—4003）在本地伺服器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截「FTP bounce」攻擊和FXP，對於在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求複雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個複雜點的密碼，不屬於任何組。將servu的安裝目錄給予該用戶完全控制許可權。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制許可權，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的許可權，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取許可權，否則會在連接的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取許可權，為了安全取消d盤其他文件夾的繼承許可權。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些許可權的。如果FTP不是必須每天都用，不如就關了吧，要用再打開。

下面是其它網友的補充：大家可以參考下

Windows Web Server 2008 R2伺服器簡單安全設置

1、新做系統一定要先打上已知補丁，以後也要及時關注微軟的漏洞報告。略。

2、所有盤符根目錄只給system和Administrator的許可權，其他的刪除。

3、將所有磁碟格式轉換為NTFS格式。

命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統

4、開啟Windows Web Server 2008 R2自帶的高級防火牆。

默認已經開啟。

5、安裝必要的殺毒軟體如mcafee，安裝一款ARP防火牆，安裝ARP好像不錯。略。

6、設置屏幕屏保護。

7、關閉光碟和磁碟的自動播放功能。

8、刪除系統默認共享。

命令：net share c$ /del 這種方式下次啟動後還是會出現，不徹底。也可以做成一個批處理文件，然後設置開機自動執動這個批處理。但是還是推薦下面的方法，直修改註冊表的方法。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面新建AutoShareServer ,值為0 。。重啟一下，測試。已經永久生效了。

9、重命Administrator和Guest帳戶,密碼必須複雜。GUEST用戶我們可以複製一段文本作為密碼，你說這個密碼誰能破。。。。也只有自己了。…

重命名管理員用戶組Administrators。

10、創建一個陷阱用戶Administrator，許可權最低。

上面二步重命名最好放在安裝IIS和SQL之前做好，那我這裡就不演示了。

11、本地策略——>審核策略

審核策略更改成功失敗

審核登錄事件成功失敗

審核對象訪問失敗

審核過程跟蹤無審核

審核目錄服務訪問失敗

審核特權使用失敗

審核系統事件成功失敗

審核賬戶登錄事件成功失敗

審核賬戶管理成功失敗

12、本地策略——>用戶許可權分配

關閉系統：只有Administrators 組、其它的全部刪除。

管理模板 > 系統顯示「關閉事件跟蹤程序」更改為已禁用。這個看大家喜歡。

13、本地策略——>安全選項

互動式登陸：不顯示最後的用戶名啟用

網路訪問：不允許SAM 帳戶和共享的匿名枚舉啟用

網路訪問: 不允許存儲網路身份驗證的憑據或 .NET Passports 啟用

網路訪問：可遠程訪問的註冊表路徑全部刪除

網路訪問：可遠程訪問的註冊表路徑和子路徑全部刪除

14、禁止dump file 的產生。

系統屬性>高級>啟動和故障恢復把寫入調試信息改成「無」

15、禁用不必要的服務。

TCP/IP NetBIOS Helper

Server

Distributed Link Tracking Client

Print Spooler

Remote Registry

Workstation

16、站點方件夾安全屬性設置

刪除C:\ inetpub 目錄。刪不了，不研究了。把許可權最低。。。禁用或刪除默認站點。我這裡不刪除了。停止即可。一般各站點目錄許可權為：

System 完全控制

Administrator 完全控制

Users 讀

IIS_Iusrs 讀、寫

在IIS7 中刪除不常用的映射建立站點試一下。一定要選到程序所在的目錄，這裡是www.postcha.com目錄，如果只選擇到wwwroot目錄的話，站點就變成子目錄或虛擬目錄安裝了，比較麻煩。所以一定要選擇站點文件所在的目錄，填上主機頭。因為我們是在虛擬機上測試，所以對hosts文件修改一下，模擬用域名訪問。真實環境中，不需要修改hosts文件，直接解釋域名到主機就行。目錄許可權不夠，這個下個教程繼續說明。至少，我們的頁面已經正常了。

17、禁用IPV6。看操作。

在windows server 2008 R2操作系統下部署weblogic web application，部署完成後進行測試，發現測試頁的地址使用的是隧道適配器的地址，而不是靜態的ip地址，而且所在的網路並沒有ipv6接入，因此決定將ipv6和隧道適配器禁用，操作如下：

禁用ipv6很簡單，進入控制面板\網路和 Internet\網路和共享中心單擊面板右側「更改適配器設置」進入網路連接界面，選擇要設置的連接，右鍵選擇屬性，取消Internet 協議版本 6 (TCP/IPv6) 前面的選擇框確定即可。

要禁用隧道適配器需要更改註冊表信息，操作如下：

開始 -> 運行 – > 輸入 Regedit 進入註冊表編輯器

定位到：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]

右鍵點擊 Parameters，選擇新建 -> DWORD (32-位)值

命名值為 DisabledComponents，然後修改值為 ffffffff (16進位)

重啟後生效

DisableComponents 值定義：

0，啟用所有 IPv 6 組件，默認設置