• 使用最新的安全修补程序更新计算机。安全修补程序位于下面的 Microsoft 网站中：
  http://www.microsoft.com/china/security/default.mspx (http://www.microsoft.com/china/security/default.mspx)
• 加固 Windows Server 2003 计算机上的 TCP/IP 协议堆栈。默认的 TCP/IP 堆栈配置能够处理正常的 Intranet 通信量。如果将计算机直接连接到 Internet，Microsoft 建议您加固 TCP/IP 堆栈以抵御拒绝服务攻击。

加固 TCP/IP 堆栈的 TCP/IP 注册表值

警告：如果使用注册表编辑器或其他方法错误地修改了注册表，则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。
以下列表说明了与 TCP/IP 相关的注册表值，您可以在直接连接到 Internet 的计算机上配置这些值，以加固 TCP/IP 堆栈。除非特别指出，否则所有这些值均应在以下注册表项下创建：

注意：除非特别指出，否则所有值均为十六进制。

• 数值名称：SynAttackProtect
  项：Tcpip\Parameters
  数值类型：REG_DWORD
  有效范围：0，1
  默认值：0
  
  该注册表值可使传输控制协议 (TCP) 调整 SYN-ACKS 的重新传输。配置该值后，如果出现 SYN 攻击（拒绝服务攻击的一种），连接响应超时时间将更短。
  
  下列参数可与该注册表值一起使用：
  • 0（默认值）：无 SYN 攻击防护
  • 1：将 SynAttackProtect 设置为 1 可更有效地抵御 SYN 攻击。该参数可使 TCP 调整 SYN-ACKS 的重新传输。将 SynAttackProtect 设置为 1 时，如果系统检测到存在 SYN 攻击，连接响应的超时时间将更短。Windows 使用以下值确定是否存在攻击：
    • TcpMaxPortsExhausted
    • TCPMaxHalfOpen
    • TCPMaxHalfOpenRetried
  
  注意：在 Windows Server 2003 Service Pack 1 中，SynAttackProtect 注册表项的默认值为 1。
  
• 数值名称：EnableDeadGWDetect
  项：Tcpip\Parameters
  数值类型：REG_DWORD
  有效范围：0，1（False，True）
  默认值：1（True）
  
  下表说明了可以在该注册表值中使用的参数：
  • 1：将 EnableDeadGWDetect 设置为 1 时，将允许 TCP 执行失效网关检测。启用失效网关检测时，如果多个连接出现困难，TCP 可能会要求 Internet 协议 (IP) 切换到备份网关。可以在“TCP/IP 配置”对话框（“控制面板”中的“网络”工具中）的“高级”部分中定义备份网关。
  • 0：Microsoft 建议您将 EnableDeadGWDetect 值设置为 0。如果不将该值设置为 0，攻击可能会强制服务器切换网关，而切换到的新网关可能并不是您打算使用的网关。
• 数值名称：EnablePMTUDiscovery
  项：Tcpip\Parameters
  数值类型：REG_DWORD
  有效范围：0，1（False，True）
  默认值：1（True）
  
  下表说明了可以在该注册表值中使用的参数：
  • 1：将 EnablePMTUDiscovery 设置为 1 时，TCP 将尝试发现经由远程主机的路径传输的最大传输单位 (MTU) 或最大数据包大小。通过发现路径的 MTU 并将 TCP 段限制到这一大小，TCP 可以沿着连接具有不同 MTU 的网络的路径删除路由器上的碎片。碎片会对 TCP 的吞吐量产生不利影响。
  • 0：Microsoft 建议将 EnablePMTUDiscovery 设置为 0。如果这样做，576 字节的 MTU 将应用于本地子网中所有非主机的连接。如果不将该值设置为 0，攻击者可能会强制 MTU 值变得非常小，从而导致堆栈的负荷过大。
    
    重要说明：将 EnablePMTUDiscovery 设置为 0 将对 TCP/IP 性能和吞吐量产生负面影响。尽管 Microsoft 建议使用该设置，也不应使用它，除非您完全清楚这种性能损失。
• 数值名称：KeepAliveTime
  项：Tcpip\Parameters
  数值类型：REG_DWORD - 时间（以毫秒为单位）
  有效范围：1-0xFFFFFFFF
  默认值：7,200,000（两个小时）
  
  该值控制 TCP 通过发送“保持活动”的数据包来验证空闲连接仍然完好无损的频率。如果仍能连接到远程计算机，该计算机就会对“保持活动”的数据包作出应答。默认情况下，不发送“保持活动”的数据包。可以使用程序在连接上配置该值。建议将该值设置为 300,000（5 分钟）。
• 数值名称：NoNameReleaseOnDemand
  项：Netbt\Parameters
  数值类型：REG_DWORD
  有效范围：0，1（False，True）
  默认值：0（False）
  
  该值确定计算机在收到名称释放请求时是否释放其 NetBIOS 名称。添加该值的目的是让管理员能够保护计算机免受恶意的名称释放攻击。Microsoft 建议您将 NoNameReleaseOnDemand 值设置为 1。

这篇文章中的信息适用于:

• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Web Edition
• Microsoft Windows Server 2003, 64-Bit Datacenter Edition
• Microsoft Windows Server 2003, Enterprise x64 Edition
• Microsoft Windows Small Business Server 2003 Standard Edition
• Microsoft Windows Small Business Server 2003 Premium Edition

配置了IPv6网络后，却发现远程桌面无法连接，IPv4则可以。系统为Windows 2003。解决方法：

在CMD中执行

netsh interface portproxy add v6tov4 listenport=监听端口 connectport=连接端口

如

netsh interface portproxy add v6tov4 listenport=999 connectport=999

一、迅雷到底会为FTP服务器带来什么危害：

FTP服务器维护过程中会遇到一个让人头疼的问题，对于有经验的FTP服务器维护管理人员来说最惧怕的下载工具就是迅雷了。随着下载技术和软件的逐渐发展对于FTP服务器来说也出现了一个资源杀手——迅雷，通过迅雷下载工具我们不仅可以下载HTTP页面文件还可以访问FTP服务器来下载相关资源，下载时只需要按照“ftp://用户名:密码@FTP服务器IP地址/资源路径”这样一个地址添加即可。（如图1）
 

很多用户都使用迅雷下载资源，由于迅雷将采用多线程多连接来访问服务器，所以当通过迅雷从FTP服务器上下载时，他对服务器的负载和资源占用是巨大的， 如果我们不在服务器上进行任何限制基本上几个用户采用迅雷到同一个服务器上进行下载，这个服务器也就无法再为其他人提供FTP服务了。那么我们又该如何设置禁止迅雷对FTP服务器的危害呢？最近笔者发现了这么个小工具，通过他我们可以有效的禁止迅雷工具对FTP的连接，并且还可以针对使用迅雷的用户进行封IP处理，从而让我们的FTP服务器能够为更多人服务，让服务器资源合理利用。

二、安装FTP服务器防雷插件:

理论上讲迅雷不仅占用客户端全部网络带宽用于下载，还会开启多线程连接FTP服务器获取最大的下载带宽，所以基本上用户使用迅雷下载资源对服务器资源占用是垄断型的，经过笔者测试当开启迅雷连接FTP服务器时服务器自身CPU负载马上大幅度提高。（如图2）
 

问题：当Windows自带的远程桌面控制托管在机房中的服务器，登录服务器后，有时候想调出远程机器的任务管理器，但按下Ctrl+Alt+Del后，总是本地机器的任务管理器出现，这是为何？需要进行什么设置吗？谢谢！

解决方案：在微软的设置中，Ctrl+Alt+Del总对本地桌面有效，如果想在远程桌面中调出任务管理器，则需要按下Ctrl+ Shift+Esc代替，另外也可以通过Ctrl+Alt+End调出Windows安全对话框，然后再点“任务管理器”。另外还有一种方法，就是在远程桌面的“开始”－“运行”中输入“taskmgr”，这个命令会直接呼出远程桌面的任务管理器，算是一种变通的办法。