网易科技讯 5月11日消息，“未来芯片市场只有两家企业——ARM和英特尔(博客)”，ARM中国区总裁谭军5月9日接受网易科技独家专访时发表如此令业界侧目的观点。 谭军的信心来自于3G时代的来临，“固定上网，仍然会基于英特尔；但移动上网，那是ARM的天下。
    谭军指出，未来的互联网应用逐渐是移动互联网为主导。现在上网的用户中60%-70%是固定上网，1/3是无线上网，但是再过三五年以后，很可能是移动上网用户超过固定上网用户。
     “2008年ARM处理器出货量达40亿个，超过90%的手机CPU是使用ARM；而英特尔的出货量是2亿个，一台电脑只需要一个CPU。”除了发表惊人的观点外，谭军还公布了一些列的数据。他认为，随着互联网和通信业的融合，ARM会占据更大的市场份额。
    尽管ARM已经为移动领域的霸主，但ARM仍要面对人们对于CPU“只知英特尔，不知有ARM”的尴尬。
    这种尴尬或许可以从双方一季度的财报可以看出一点端儿，ARM第一季度营业收入为1.209亿美元，比2008年第一季度下降了10%。英特尔2009年一季度营收71亿美元，同比下滑26%。2008年ARM处理器出货量为40亿个，为英特尔的20倍，但营业收入规模上英特尔是ARM的60倍。
    从另一角度来看，过去一年中MCU行业的整体出货量下降了5%，基于ARM的MCU出货量却大幅增长了20%。此外，用于非手机应用的基于ARM的芯片出货量在整体出货量中所占的比例也有所提高，从去年同期的30%上升到了37%，主要原因是有更多的基于ARM的芯片被用于硬盘、网络产品、数字电视和微控制器。
    谭军认为，“英特尔的个人电脑市场越来越萎缩，但是通信行业在高速发展，通信芯片企业会把通信的优势带入到移动计算里面来，三方面结合在一起这个创新的优势是很大的。”
    “为什么现在没有人用英特尔的手机呢？因为消费者不需要散热器和电风扇，你会发现消费者在未来的话语权可能远远大于我在广告的话语权。”这是谭军对ARM与英特尔在未来两分天下的底气所在。
    ARM称雄移动互联网
    网易科技：谭总今天谈到一个观点说芯片市场未来只有两个厂商，一个是英特尔一个是ARM，请谈一下你的信心来自于哪里？
    谭军：为什么这样讲呢？因为未来的互联网应用逐渐是移动互联网为主导，现在可能上网的用户中60%、70%是固定上网，三分之一是无线上网，但是再过几年，三五年以后很可能是移动上网用户超过固定上网用户。移动里面ARM是一个主流的CPU，90%手机都是用ARM的，现在手机的性能越来越高，但功耗还是很低的。像我们现在买的高端手机ARM 11的，CPU一下子分三个，明年的手机CPU市场，ARM会分得更多的份额，而功耗还是这样的低功耗
     从量方面来讲，英特尔是一年出口2亿多个，ARM出口量是40多亿个，其中60%是用于手机，智能手机占20%。这样就会发现更多的CPU在上网的的时候是基于ARM，当然电脑还是基于英特尔，这就是为什么我讲未来只有两家——ARM CPU和英特尔CPU。
     网易科技：前段时间国内出现首家做谷歌Android系统上网本企业，他们说产品只能外销的，他们觉得开源系统在国内不是那么受欢迎，很难打开销路。我想问一下ARM是不是在国内也面临同样的问题？
    谭军：基于ARM操作系统的的有很多，有商务也有开源的，有基于Windows 11的、有基于Ubuntu的等等。我个人认为上网本不是一个操作系统，因为上网本如果靠Window可能是第二个笔记本电脑上网本，就是跟笔记本电脑一样的了。至于开源还是商业的根据场合由消费者决定，开源有开源的好处，但是这是早期，这个概念才一年不到，早期给他两到三年的话，整个市场会越来越清楚，消费者低端的、开源的、商务的，平均起来。这个跟X86不同，只有一个选择，这是我的看法。
    上网本只是3G第一步
    网易科技：大家都知道，中国的用户习惯、市场环境是比较特别的，超过90%的用户都在用Windows，在这种市场环境下，ARM在09年用什么样策略来拓展中国市场？
    谭军：这是一个很好的问题，90%的用户喜欢用Windows，这个很难改变他，但是剩下10%都是使用ARM的操作系统，但是功耗都是两小时，这个要改变。比如说将来你发现隔壁的人用Windows电脑要插电源，像你的电脑一样要插电源，但是我的手机上网可以两天不带新的，给他两天时间，让消费者觉得我买个电脑用XP只能用两小时，但是另外一台价格很便宜，但是我能用两天。这就是一个过程，给他两年年的时间，一旦消费者接受了ARM上网本，操作系统可以用两天而不是两小时，所以问题不是使用问题，而是电子寿命问题。
    网易科技：今天的峰会有两个关键词，一个是3G，一个是上网本，我想知道这两个领域ARM中国的市场机会在哪里
    谭军：在3G里面ARM认为机会是很大，首先2G里面90%的手机是基于ARM的，为什么呢3G机会大呢？因为2G是打电话，3G是无线音乐，可能还有软件、游戏，这意味着消费者买新手机，我们希望消费者买新手机，用ARM的就会更多了。上网本是一个重要市场，但是对于ARM是很小的市场，上网本可能去年卖了2000多万台，ARM芯片去年出口是40亿个，不到0.5%，所以这个市场不是很大，但是对我们很重要，因为上网本是ARM走向3G的第一步，我们不希望X86赢，我们希望ARM进去，我们希望能给消费者带来笔记本的性能、手机的电池。所以它量很小，但对我们来说是个很重要的市场，我们希望消费者能够享受到ARM带来的好处。3G是很大的市场，3G是很大的机会。
    我们手机一年出货量10多亿个，智能手机占20%就是2亿多，而所有的电脑台式加笔记本式加在一起才2亿多个，然后笔记本电脑一部分是上网本，所以对我们来讲上网本是一个很小的市场，但对我们很重要，因为我们希望ARM赢。但是3G是一个很大的市场，如果全世界40多亿用户都换手机的话意味着ARM将卖出40个亿的处理器。
    让中国企业都用上国产芯片
    网易科技：中国的3G市场很大程度是由运营商主导的。包括中国移动近期选择了17家企业来提供首批29款G3上网本，ARM跟这些企业之间的合作情况如何？
    谭军：ARM在3G里面很多公司合作，像中国TD，所有提供TD芯片的是我们的客户，无论是大唐、展迅、联发科都是ARM的客户，都是基于ARM的CPU，合作很密切。手机厂商像大唐、华为、中兴，做手机的时候也跟ARM合作，都需要工具。我们跟运营商也合作，运营商除了关心3G以外还关心4G，所以整个产业链都跟ARM合作，从芯片公司到手机厂商、供应商我们都合作，一起探讨3G里面，除了打电话以外怎么利用移动互联网赚更多的钱。
    网易科技：今年是中国3G的元年，我想您具体谈一下ARM 今年在中国3G市场上的一些策略和预期。
    谭军：我们是01年开拓中国市场的，今年是第9个年头。我们的宗旨是和中国的芯片公司一起成长，我们认为中国无论是3G、还是移动电视还是将来数字电视都需要本土的芯片，ARM能够帮助本土公司掌握和国外公司一样的芯片。也就是如果现在的公司都用国外芯片，而不久的将来中国的芯片公司就能自己提供芯片，这些都是ARM的客户，ARM过去几年都跟他们合作，使他们能够利用ARMCPE涉及高性能低功耗芯片。
     第二部分我们跟系统厂商合作，使他们能够开发含有ARM芯片的产品。无论是数字电视、GPS还是手机。
    第三个我们和大学合作，因为这里面都缺乏人才，跟大学合作是我们的一个长期计划，中国大学如果培养出更多能够开发ARM芯片的工程师来，这不仅能够低成本制造，还能低成本研发，ARM在中国跟400多个大学一起合作，开很多ARM课程。
    我想这三个合在一起，对中国3G的发展，不仅今年还有未来几年都有很大的推动作用，芯片、系统、研发都包括在这里面探讨。这是我的观点。
    网易科技：好的，谢谢谭总！
    谭军：谢谢。 （古丰） (本文来源：网易科技报道 作者：古丰)

问题一，如果你家附近有一家餐厅，东西又贵又难吃，桌上还爬着蟑螂，你会因为它很近很方便，就一而再、再而三地光临吗？回答：你一定会说，这是什么烂问题，谁那么笨，花钱买罪受？可同样的情况换个场合，自己或许就做类似的蠢事。不少男女都曾经抱怨过他们的情人或配偶品性不端，三心二意，不负责任。明知在一起没什么好的结果，怨恨已经比爱还多，但却“不知道为什么”还是要和他搅和下去，分不了手。说穿了，只是为了不甘，为了习惯，这不也和光临餐厅一样？
　　——做人，为什么要过于执著？！

　　问题二，如果你不小心丢掉100块钱，只知道它好像丢在某个你走过的地方，你会花200块钱的车费去把那100块找回来吗？回答：一个超级愚蠢的问题。
　　可是，相似的事情却在人生中不断发生。做错了一件事，明知自己有问题，却死也不肯认错，反而花加倍的时间来找藉口，让别人对自己的印象大打折扣。被人骂了一句话，却花了无数时间难过，道理相同。为一件事情发火，不惜损人不利已，不惜血本，不惜时间，只为报复，不也一样无聊？失去一个人的感情，明知一切已无法挽回，却还是那么伤心，而且一伤心就是好几年，还要借酒浇愁，形销骨立。其实这样一点用也没有，只是损失更多。
　　——做人，干吗为难自己？！

　　问题三，你会因为打开报纸发现每天都有车祸，就不敢出门吗？回答：这是个什么烂问题？当然不会，那叫因噎废食。
　　然而，有不少人却曾说：现在的离婚率那么高，让我都不敢谈恋爱了。说得还挺理所当然。也有不少女人看到有关的诸多报道，就对自己的另一半忧心忡忡，这不也是类似的反应？所谓乐观，就是得相信：虽然道路多艰险，我还是那个会平安过马路的人，只要我小心一点，不必害怕过马路。
　　——做人，先要相信自己。

　　问题四，你相信每个人随便都可以成功立业吗？回答：当然不会相信。
　　但据观察，有人总是在听完成功人士绞尽脑汁的建议，比如说，多读书，多练习之后，问了另一个问题？那不是很难？我们都想在3分钟内学好英文，在5分钟内解决所有难题，难道成功是那么容易的吗？改变当然是难的。成功只因不怕困难，所以才能出类拔萃。有一次坐在出租车上，听见司机看到自己前后都是高档车，兀自感叹：“唉，为什么别人那么有钱，我的钱这么难赚？” 我心血来潮，问他：“你认为世上有什么钱是好赚的？”他答不出来，过了半晌才说：好像都是别人的钱比较好赚。其实任何一个成功者都是艰辛取得。我们实在不该抱怨命运。
　　——做人，依靠自己！

　　问题五，你认为完全没有打过篮球的人，可以当很好的篮球教练吗？回答：当然不可能，外行不可能领导内行。
　　可是，有许多人，对某个行业完全不了解，只听到那个行业好**，就马上开起业来了。我看过对穿着没有任何口味、或根本不在乎穿着的人，梦想却是开间服装店；不知道电脑怎么开机的人，却想在网上**，结果道听途说，却不反省自己是否专业能力不足，只抱怨时不我与。
　　——做人，量力而行。

　　问题六，相似但不相同的问题：你是否认为，篮球教练不上篮球场，闭着眼睛也可以主导一场完美的胜利？回答：有病啊，当然是不可能的。
　　可是却有不少朋友，自己没有时间打理，却拼命投资去开咖啡馆，开餐厅，开自己根本不懂的公司，火烧屁股一样急着把辛苦积攒的积蓄花掉，去当一个稀里糊涂的投资人。亏的总是比赚的多，却觉得自己是因为运气不好，而不是想法出了问题。
　　——做人，记得反省自己。

　　问题七，你宁可永远后悔，也不愿意试一试自己能否转败为胜？解答：恐怕没有人会说：“对，我就是这样的孬种”吧。
　　然而，我们却常常在不该打退堂鼓时拼命打退堂鼓，为了恐惧失败而不敢尝试成功。以关颖珊赢得2000年世界花样滑冰冠军时的精彩表现为例：她一心想赢得第一名，然而在最后一场比赛前，她的总积分只排名第三位，在最后的自选曲项目上，她选择了突破，而不是少出错。在4分钟的长曲中，结合了最高难度的三周跳，并且还大胆地连跳了两次。她也可能会败得很难看，但是她毕竟成功了。她说：“因为我不想等到失败，才后悔自己还有潜力没发挥。” 一个中国伟人曾说；胜利的希望和有利情况的恢复，往往产生于再坚持一下的努力之中。
　　——做人，何妨放手一搏。

　　问题八，你的时间无限，长生不老，所以最想做的事，应该无限延期？回答：不，傻瓜才会这样认为。
　　然而我们却常说，等我老了，要去环游世界；等我退休，就要去做想做的事情；等孩子长大了，我就可以…… 我们都以为自己有无限的时间与精力。其实我们可以一步一步实现理想，不必在等待中徒耗生命。如果现在就能一步一步努力接近，我们就不会活了半生，却出现自己最不想看到的结局。

丁磊受邀出席“2007数字内容创意产业高峰论坛”

　　在刚发布的第三季度财报中显示，网易广告业务收入同比增长8.17％至1141万美元，同时在总营收中所占比重增长了3％至15％，均为历史最高水平。

门户业务与网游地位平等 不拒绝代理网游

　　丁磊指出，游戏业务和门户业务两者综合起来都是满足人的不同的一些需要，门户业务更关注如何能够给用户提供快捷的、全面的信息服务。游戏更多关注的是怎样能够让用户能够在闲余的时间看完了新闻能够轻松地享受到游戏带来的乐趣。“如果把它按一天时间来分的话，看看新闻应该是早餐，晚上看电视连续剧的时间应该是玩游戏的时间。”

　　外界传言网易现在试图代理别人的游戏，甚至有传言与暴雪接触。丁磊回应称“企业发展过程中不能单一地专注于闭门造车的过程，和国外优秀的厂商合作能够学习到他们优秀的产品设计理念，也能够帮助我们自身的发展得到一种外来力量的支持”。他同时认为，国内网游本质上发生了很大变化，以前比较倾向于收费，所以在游戏的装备和道具的获得必须通过时间的代价去获得。今天很多的游戏变成装备收费了，如果用外挂就得不到这个收费。

　往成熟型企业转变

　　在会上，丁磊回顾了当年将总部从北京迁往广州的过程，“广州的整个产业环境不像北京那么浮躁，如果要自主研发游戏，广州是一个比较清静的选择，少了很多因素的干扰”。

　　从SP到网游，丁磊每一次转型都很成功，由此，业界对其在网游业务取得巨大成功后的下一个方向表示出极大的关注。

　　“其实当年我大概花了4－5个月的时间去思考怎么让一家互联网企业赚钱，所以在那时候看到了短信可能是机会，游戏可能也是一个机会”。丁磊透露，“一个企业从创立到发展到成功是一个挺不容易的过程，我们能够走到今天很大一半的原因是运气比较好，能够在互联网刚刚进入中国的时候能够有机会赶上这波浪潮，然后有机会在冬天的时候有足够的现金支持我们发展下去。在发展的过程当中犯了好多的错误，但是至少没有把自己搞死。”

　　丁磊认为，“今天中国互联网企业的竞争会越来越激烈，可能也会有各种各样的有盈利的方向冒出来。今天再去讲什么方向并不是很有价值。所以我觉得作为一个企业可能更应该关注在企业文化、价值观、人才、技能储备的问题上，如果你不注意这些的话，好不容易发现一片蓝海，结果又被别人抢走了”。

　　对网易的下一步，丁磊表示，“新的方向还是在尝试在关注的过程当中”。但更重要的是朝一个成熟的企业方向发展。

卫哲：阿里巴巴业绩丝毫不逊百度

在阿里巴巴上市的当日，阿里巴巴CEO卫哲在接受记者采访时承认，投资人会常常把百度与阿里巴巴放在一起比较，“我们的业绩丝毫不逊于他们，而且在中小企业营销领域双方的客户重合度比较低。”―――不过卫哲同时也别有深意地表示，中美两国互联网土壤不同，中国只有2%―3%的企业拥有自己的网站，Google模式未必是最适合于中国的。李宽宽

“上市后阿里巴巴最大的挑战不是来自对手，而是来自人才，我们要问自己，人才能不能使我们达到全球的目标”―――本周二、阿里巴巴在香港资本市场宣布上市不到一小时，阿里巴巴董事局主席马云如是说。颇具戏剧性巧合的是，阿里巴巴话音刚落，百度创始人兼CEO李彦宏已经于昨日（11月8日）出现在香港科技大学的校园招聘会上，虽然之前Google中国总裁李开复曾经赴科技大学演讲，但这是国内互联网公司首次在海外大学招聘在总部工作的人才。“技术的人才还是会喜欢百度吧。”―――当本报记者问到，融资后现金流超过20亿美元的阿里巴巴，对人才的吸引力是否会超过百度的时候，李彦宏笑着这样回答。

而李彦宏在对阿里巴巴上市表示祝贺的同时，在本报记者问到如何看待阿里巴巴的300倍市盈率时，也坦白说，“说实话，我看不懂。”

“我们的对手做得不完美”

10月中旬，在阿里巴巴火爆IPO过程中，百度突然宣布进军电子商务，涉及的就是一直被阿里巴巴旗下淘宝所盘踞“霸占”的C2C领域，这也意味着百度、阿里巴巴、腾讯三家市值超过千亿人民币的公司，将在“电子商务+搜索”的领域全面开战。

“进军C2C是因为我们市场和用户的要求，因为我们发现用户很多时候搜索是为了买东西，而我们的竞争对手做得还不够完美（perfectJob），在美国是eBay一家占绝对优势的统治地位，但是在韩国就有两个拍卖网站同时存在，我认为中国的C2C市场也不可能是一家垄断、一股独大的，这个市场有竞争是好事情。”

李彦宏认为，百度搜索市场份额高达70%，依靠百度贴吧、知道及空间百度已经发展出数以亿计的社区用户，这两方面是百度成功进军电子商务领域的优势。

“技术人才会更喜欢百度”

“一个目标宏伟的公司，要问自己人才，能不能使我们达到全球的目标。”目前正积极尝试国际化的阿里巴巴在上市仪式上如是说，可以想见，在今年的互联网公司融资大潮之后，国内互联网行业注定要展开空前激烈的人才大战。

而除了股票期权的吸引力外，李彦宏表示，“技术人员会更喜欢百度。”他对现场的香港科技大学学生也充分阐释了这一点，“跟那些跨国公司相比，到百度这间领先的技术公司来，一个刚毕业三个月的技术人员，就可以编写代码，把你的程序放到互联网上来，亿万的用户会使用你的成果，你也可以根据用户的检验，并不断地进行修改。可能很多学科、发达国家已经在研究上占了先机，但大家在互联网领域绝对是同一起跑线上的，而且中国市场是在快速增长中的―――这非常难得，因为你可以不断发现、研究新的问题。”

“进军全球只是时间问题”

此前，在阿里巴巴上市之前，百度的近200倍市盈率可以说是吸引了人们最多的议论，而冲破400美金的股价也使其成为资本市场最炙手可热的宠儿。不过阿里巴巴在香港上市后造就的200亿美金市值、300倍PE更加令人瞠目结舌，所以，当问到李彦宏如何评价“阿里巴巴的上市”时，演讲现场也都发出了会心的笑声与掌声。

而李彦宏在对阿里巴巴上市表示祝贺的同时，在本报记者问到如何看待阿里巴巴的300倍市盈率时，也坦白说，“说实话，我看不懂。”

在2007年下半年，伴随着中国经济的步伐，中国互联网公司的市值飙升可谓一浪高过一浪，以往只有ebay、YAHOO等美国互联网公司市值为百亿美元级―――今年下半年百度市值更是先后突破百亿美元、千亿人民币（目前为1200亿人民币），与腾讯（0700，HK）一直难分伯仲。李彦宏表示：“我们特别收到了美国证券交易委员会的祝贺信，我们是2007年美国本土以外的ADR上市公司中交易量最高的。”

与此同时，李彦宏还在演讲现场，首度披露了进军日本市场涉及的搜索内容，“我们在日本市场已经推出网页搜索、图像搜索、视频搜索，而我们进军全球市场只是时间问题。”

系统的安装
1、不要选择从网络上安装
虽然微软支持在线安装，但这绝对不安全。在系统未全部安装完之前不要连入网络，特别是Internet！甚至不要把一切硬件都连接好来安装。因为Windows 2000安装时，在输入用户管理员账号“Administrator”的密码后，系统会建立一个“ADMIN”的共享账号，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过“ADMIN”进入系统；同时，安装完成，各种服务会马上自动运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。
2、要选择NTFS格式来分区
　　最好所有的分区都是NTFS格式，因为NTFS格式的分区在安全性方面更加有保障。就算其他分区采用别的格式(如FAT32)，但至少系统所在的分区中应是NTFS格式。
另外，应用程序不要和系统放在同一个分区中，以免攻击者利用应用程序的漏洞(如微软的IIS的漏洞)导致系统文件的泄漏，甚至让入侵者远程获取管理员权限。
3、系统版本的选择
版本的选择：WIN2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，我强烈建议：在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug &
Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况）
　　4、组件的定制：
win2000在默认情况下会安装一些常用的组件，但是正是这个默认安装是很危险的，你应该确切的知道你需要哪些服务，而且仅仅安装你确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server组件。如果你确实需要安装其他组件，请慎重，特别是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。
5、分区和逻辑盘的分配
建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。（这个可能会导致程序开发人员和编辑的苦恼，管他呢，反正你是管理员J）
6、安装杀毒软件。
杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，因此要注意经常运行程序并升级病毒库。 7、安装防火墙。
8、安装系统补丁。
到微软网站下载最新的补丁程序：
经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的惟一方法。
9、安装顺序的选择
首先，何时接入网络：Win2000在安装时的ADMIN$的共享的漏洞；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好win2000 SERVER之前，一定不要把主机接入网络。
其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装。
系统的安全设置
1、用户安全设置
用户帐号检查，停止不需要的帐号，建议更改默认的帐号名。
1)、禁用Guest账号
　　在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。
2)、限制不必要的用户
　　去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。
3)、创建两个管理员账号
　　创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。
4)、把系统Administrator账号改名
　　大家都知道，Windows 2000的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。
5)、创建一个陷阱用户
　　什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让想入侵的人慢慢忙一段时间。
6)、把共享文件的权限从Everyone组改成授权用户
　　不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的。
7)、开启用户策略 （不建议）
　　使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。
8)、不让系统显示上次登录的用户名 （可选）
打开注册表编辑器并找到注册表项HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把键值改成1
9)、系统账号/共享列表
Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接，还可以在win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的，如果不想有任何共享，就设为2。一般推荐设为1。
2、 口令安全设置
1)、使用安全密码
　　要注意密码的复杂性，还要记住经常改密码。
2)、开启密码策略
注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为8位，设置强制密码历史为5次，时间为42天。
3、 系统安全设置
1)、利用Windows 2000的安全配置工具来配置安全策略
微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们你可以很方便地配置你的服务器以满足你的要求。具体内容请参考微软主页：http://www.microsoft.com/windows2000/techinfo/
howitworks/security/sctoolset.asp
2)、安全日志：Win2000的默认安装是不开任何安全审核的！可以到本地安全策略
->审核策略中打开相应的审核，推荐的审核是：
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
（审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。）
与之相关的是：
在账户策略->密码策略中设定：
密码复杂性要求 启用
密码长度最小值 8位
强制密码历史 5次
最长存留期 42天
在账户策略->账户锁定策略中设定：
账户锁定 5次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。
3)、目录和文件权限：
为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。
在进行权限控制时，请记住以下几个原则：
1>限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；
2>拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；
3>文件权限比文件夹权限高
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；
5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；
4)、禁止建立空连接（IPC＄）
默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“ Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous” 的值改成“1”即可。如果使用“2”可能会造成你的一些服务无法启动，如SQL Server
此外，安全和应用在很多时候是矛盾的。因此，你需要在其中找到平衡点，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则
5)、禁止管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\LanmanServer\Parameters项
对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。
对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。
(关闭server服务)
6)、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了
7)、使用组策略，IP策略
------------------------
8)、防范SYN攻击
使用SYN淹没攻击保护
相关的值项在
HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters下。
1） DWORD：SynAttackProtect：定义了是否允许SYN淹没攻击保护，值1表示允许起用WIN2000的SYN淹没攻击保护。
2） DWORD：TcpMaxConnectResponseRetransmissions：定义了对于连接请求回应包的重发次数。值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值>=2时才会被启用，默认值为3。
（上边两个值定义是否允许SYN淹没攻击保护，下面三个则定义了激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活SYN淹没攻击保护。）
3） DWORD：TcpMaxHalfOpen：定义能够处于SYN_RECEIVED状态的TCP连接的数目。默认值100。
4） TcpMaxHalfOpenRetried：定义在重新发送连接请求后，仍然处于SYN_RECEIVED状态的TCP连接的数目。默认值80。
5） TcpMaxPortsExhausted：定义系统拒绝连接请求的次数。默认值5。
减小syn-ack包的响应时间。
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的次数。
增大NETBT的连接块增加幅度和最大数器。NETBT使用139端口。
HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\BacklogIncrement默认值为3，最大20，最小1。
HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\MaxConnBackLog默认值为1000，最大可取40000。
动态配置Backlog。
相关的值项在HKLM\SYSTEM\CurrentControlSet\Service\AFD\Parameters下
1) DWORD：EnableDynamicBacklog：定义是否允许动态Backlog，默认为0，1为允许。
2) DWORD：MinimumDynamicBacklog：定义动态Backlog分配的未使用的自由连接的最小数目。默认值为0，建议设为20。
3) DWORD：MaximumDynamicBacklog：定义最大“准”连接数目。大小取决于内存的大小，一般每32M最大可以增加5000个。
4) DWORD：DynamicBacklogGrowthDelta：定义每次增加的自由连接数目，建议设置为10。
10)、预防DoS：
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
11)、防止ICMP重定向报文的攻击
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息，有时会被利用来干坏事。Win2000中默认值为1，表示响应ICMP重定向报文。
12)、禁止响应ICMP路由通告报文
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interfacePerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听，计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积，长时间的网络异常。建议关闭响应ICMP路由通告报文.Win2000中默认值为2，表示当DHCP发送路由器发现选项时启用。
13)、设置生存时间
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
指定传出IP数据包中设置的默认生存时间(TTL)值。TTL决定了IP数据包在到达目标前在网络中生存的最大时间。它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机*作系统。
14)、不支持IGMP协议
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersIGMPLevel REG_DWORD 0x0(默认值为0x2)
记得Win9x下有个bug，就是用可以用IGMP使别人蓝屏，修改注册表可以修正这个bug。Win2000虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉。改成0后用route print将看不到那个讨厌的224.0.0.0项了。
15)、设置arp缓存老化时间设置
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
如果ArpCacheLife大于或等于ArpCacheMinReferencedLife，则引用或未引用的ARP缓存项在ArpCacheLife秒后到期。如果ArpCacheLife小于ArpCacheMinReferencedLife，未引用项在ArpCacheLife秒后到期，而引用项在ArpCacheMinReferencedLife秒后到期。每次将出站数据包发送到项的IP地址时，就会引用ARP缓存中的项。
16)、禁止死网关监测技术
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
如果你设置了多个网关，那么你的机器在处理多个连接有困难时，就会自动改用备份网关，有时候这并不是一项好主意，建议禁止死网关监测。
17)、不支持路由功能
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
把值设置为0x1可以使Win2000具备路由功能，由此带来不必要的问题。
18)、做NAT时放大转换的对外端口最大值
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)
当应用程序从系统请求可用的用户端口数时，该参数控制所使用的最大端口数。正常情况下，短期端口的分配数量为1024-5000。将该参数设置到有效范围以外时，就会使用最接近的有效数值(5000或65534)。使用NAT时建议把值放大点。
19)、修改MAC地址
HKLM\SYSTEM\CurrentControlSet\Control\Class找到右窗口的说明为"网卡"的目录，比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}展开之，在其下0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明，比如说"DriverDesc"的值为"Intel® 82559 Fast Ethernet LAN on Motherboard"然后在右窗口新建一字符串值，名字为"Networkaddress"，内容为你想要的MAC值，比如说是"004040404040"然后重起计算机，ipconfig /all看看。
20)、禁止光盘的自动运行功能
Windows 2000的光盘的自动运行功能也是系统安全的隐患，光盘中只要存在autorun．inf文件，则系统会自动试图执行文件中open字段后的文件路径(市场上已经出现了破解屏保密码的光盘，如果不禁止光盘的自动运行功能，以上所做的设置都将是白费)，步骤为：
⑴展开HKEY＿LOCAL＿MACHINE\SO
FTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支；
⑵在Explorer主键中新建DWORD值NoDriveTypeAutoRun，改值为1。
21)、禁止使用MS－DOS方式
采用上述方法隐藏某个磁盘分区的作用仅限于图形界面，但在字符界面如MS－DOS方式无效，因此我们必须采用适当的方法禁止普通用户使用MS－DOS方式。方法为：
①展开HKLU\SOFTWARE \Policies\Microsoft\Windows\system分支；
②新建一个名为DisableCMD的DWORD值，改值为1(这项用于禁止用户进入Windows 2000的MS－DOS方式)。值为2则批处理文件也不能运行。
22)、禁止运行指定的程序
23)、只允许运行指定的程序
24)、禁止使用注册表编辑器
HKCU\Software\Microsoft\Windows\Current Version\policies\System下
DWORD：DisableRegistryTools：值为1则禁用注册表编辑器。注意：使用此功能最好作个注册表备份，或者准备一个其他的注册表修改工具，因为禁止了注册表编辑器以后，就不能再用该注册表编辑器将值项改回来了。
22)、禁止使用任何程序（对于前边设置的陷阱用户）
不允许运行任何程序。方法为：
①展开HKLU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支；
②在Explorer主键下新建RestrctRun的DWORD值，将值改为1。
不过你也可以发一下善心，给他几个Windows 2000自带的游戏玩一玩，方法为：在Explorer主键下新建名为RestrctRun的主键，在其下分别新建名为1、2、3、4的字符串值，将值分别改为MSHEARTS．EXE、FREECELL．EXE、WINMINE．EXE、SOL．EXE(只需程序名，无需路径)，则系统只能运行网上红心大战、空当接龙、扫雷、纸牌。无法执行其它任何程序。

1)、关闭不必要的端口
关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面，冒险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：打开“ 网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性” 打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可。
2)、设置好安全记录的访问权限
安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统账户才有权访问。
3)、把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。
4)、停止不必要的服务
服务开的太多也不是个好事，将没有必要的服务通通关掉吧！特别是连管理员都不知道是干什么的服务，还开着干什么！关掉！免得给系统带来灾难。
另外，管理员如果不外出，不需要远程管理你的计算机的话，最好将一切的远程网络登录功能都关掉。注意，除非特别需要，否则禁用“Task Scheduler”、“RunAs Service”服务！
关闭一项服务的方法很简单，运行cmd.exe之后，直接net stop servername即可
5)、更改管理服务的端口
pcanywhere端口号，终端服务端口号。
5)、在Win2000中如何关闭ICMP(Ping)
ICMP的全名是Internet Control and Message Protocal即因特网控制消息/错误报文协议，这个协议主要是用来进行错误信息和控制信息的传递，例如著名的Ping和Tracert工具都是利用ICMP协议中的ECHO request报文进行的（请求报文ICMP ECHO类型8代码0，应答报文ICMP ECHOREPLY类型0代码0）。
ICMP协议有一个特点---它是无连结的，也就是说只要发送端完成ICMP报文的封装并传递给路由器，这个报文将会象邮包一样自己去寻找目的地址，这个特点使得ICMP协议非常灵活快捷，但是同时也带来一个致命的缺陷---易伪造（邮包上的寄信人地址是可以随便写的），任何人都可以伪造一个ICMP报文并发送出去，伪造者可以利用SOCK_RAW编程直接改写报文的ICMP首部和IP首部，这样的报文携带的源地址是伪造的，在目的端根本无法追查，（攻击者不怕被抓那还不有恃无恐？）根据这个原理，外面出现了不少基于ICMP的攻击软件，有通过网络架构缺陷制造ICMP风暴的，有使用非常大的报文堵塞网络的，有利用ICMP碎片攻击消耗服务器CPU的，甚至如果将ICMP协议用来进行通讯，可以制作出不需要任何TCP/UDP端口的木马（参见相关文章）......既然ICMP协议这么危险，我们为什么不关掉它呢？
我们都知道，Win2000在网络属性中自带了一个TCP/IP过滤器，我们来看看能不能通过这里关掉ICMP协议，桌面上右击网上邻居->属性->右击你要配置的网卡->属性->TCP/IP->高级->选项->TCP/IP过滤，这里有三个过滤器，分别为：TCP端口、UDP端口和IP协议，我们先允许TCP/IP过滤，然后一个一个来配置，先是TCP端口，点击"只允许"，然后在下面加上你需要开的端口，一般来说WEB服务器只需要开80(www)，FTP服务器需要开20(FTP Data)，21(FTP Control)，邮件服务器可能需要打开25(SMTP),110(POP3)，以此类推......接着是UDP，UDP协议和ICMP协议一样是基于无连结的，一样容易伪造，所以如果不是必要（例如要从UDP提供DNS服务之类）应该选择全部不允许，避免受到洪水（Flood）或碎片（Fragment）攻击。最右边的一个编辑框是定义IP协议过滤的，我们选择只允许TCP协议通过，添加一个6（6是TCP在IP协议中的代码，IPPROTO_TCP=6）,从道理上来说，只允许TCP协议通过时无论UDP还是ICMP都不应该能通过，可惜的是这里的IP协议过滤指的是狭义的IP协议，从架构上来说虽然ICMP协议和IGMP协议都是IP协议的附属协议，但是从网络7层结构上ICMP/IGMP协议与IP协议同属一层，所以微软在这里的IP协议过滤是不包括ICMP协议的，也就是说即使你设置了“只允许TCP协议通过”，ICMP报文仍然可以正常通过，所以如果我们要过滤ICMP协议还需要另想办法。
刚刚在我们进行TCP/IP过滤时，还有另外一个选项：IP安全机制（IP Security），我们过滤ICMP的想法就要着落在它身上。
　　打开本地安全策略，选择IP安全策略，在这里我们可以定义自己的IP安全策略。
　　一个IP安全过滤器由两个部分组成：过滤策略和过滤*作，过滤策略决定哪些报文应当引起过滤器的关注，过滤*作决定过滤器是“允许”还是“拒绝”报文的通过。要新建IP安全过滤器，必须新建自己的过滤策略和过滤*作：右击本机的IP安全策略，选择管理IP过滤器，在IP过滤器管理列表中建立一个新的过滤规则：ICMP_ANY_IN，源地址选任意IP，目标地址选本机，协议类型是ICMP，切换到管理过滤器*作，增加一个名为Deny的*作，*作类型为"阻止"（Block）。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤*作了。需要注意的是，在地址选项中有一个镜像选择，如果选中镜像，那么将会建立一个对称的过滤策略，也就是说当你关注any IP->my IP的时候，由于镜像的作用，实际上你也同时关注了my IP->any IP，你可以根据自己的需要选择或者放弃镜像。
再次右击本机的IP安全策略，选择新建IP过滤策略，建立一个名称为ICMP Filter的过滤器，通过增加过滤规则向导，我们把刚刚定义的ICMP_ANY_IN过滤策略指定给ICMP Filter，然后在*作选框中选择我们刚刚定义的Deny*作，退出向导窗口，右击ICMP Filter并启用它，现在任何地址进入的ICMP报文都会被丢弃了。
虽然用IP sec能够对ICMP报文进行过滤，不过*作起来太麻烦，而且如果你只需要过滤特定的ICMP报文，还要保留一些常用报文（如主机不可达、网络不可达等），IP sec策略就力不从心了，我们可以利用Win2000的另一个强大工具路由与远程访问控制（Routing & Remote Access）来完成这些复杂的过滤*作。
路由与远程访问控制是Win2000用来管理路由表、配置VPN、控制远程访问、进行IP报文过滤的工具，默认情况下并没有安装，所以首先你需要启用它，打开"管理工具"->"路由与远程访问"，右击服务器（如果没有则需要添加本机）选择"配置并启用路由及远程访问"，这时配置向导会让你选择是什么样的服务器，一般来说，如果你不需要配置VPN服务器，那么选择"手动配置"就可以了，配置完成后，主机下将出现一个IP路由的选项，在"常规"中选择你想配置的网卡（如果你有多块网卡，你可以选择关闭某一块的ICMP），在网卡属性中点击"输入筛选器"，添加一条过滤策略"from:ANY　tANY　协议:ICMP　类型:8 :编码:0　丢弃"就可以了（类型8编码0就是Ping使用的ICMP_ECHO报文，如果要过滤所有的ICMP报文只需要将类型和编码都设置为255）
IIS：IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以IIS的配置是我们的重点，现在大家跟着我一起来：
首先，把C盘那个什么Inetpub目录彻底删掉，在D盘建一个Inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在IIS管理器中将主目录指向D:\Inetpub；
其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除（罪恶之源呀，忘了http://www.target.com/scripts/..á ../winnt/system32/cmd.exe了？我们虽然已经把Inetpub从系统盘挪出来了，但是还是小心为上），如果你需要什么权限的目录可以自己慢慢建，需要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）
第三，应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是ASP, ASA和其他你确实需要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：htw, htr, idq, ida……想知道这些故事？去查以前的漏洞列表吧。什么？找不到在哪里删？在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。
为了对付日益增多的cgi漏洞扫描器，还有一个小技巧可以参考，在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件，可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单，大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手（武侠小说中常说全身漏洞反而无懈可击，难道说的就是这个境界？）不过从个人角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。
需要注意事项
实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用而不是做OPEN HACK的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。
网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的，随着网络结构的变化、新的漏洞的发现，管理员/用户的*作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
提高IIS 5.0网站伺服器的执行效率的八种方法
　以下是提高IIS 5.0网站伺服器的执行效率的八种方法：
　1. 启用HTTP的持续作用可以改善15~20%的执行效率。
　2. 不启用记录可以改善5~8%的执行效率。
　3. 使用 [独立] 的处理程序会损失20%的执行效率。
　4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。
　5. 勿使用CGI程式。
　6. 增加IIS 5.0电脑CPU数量。
　7. 勿启用ASP侦错功能。
　8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。
　简单介绍如下。  1、启用HTTP的持续作用
　启用HTTP的持续作用（Keep-Alive）时，IIS与浏览器的连线不会断线，可以改善执行效率，直到浏览器关闭时连线才会断线。因为维持「Keep-Alive」状态时，於每次用户端请求时都不须重新建立一个新的连接，所以将改善伺服器的效率。
　此功能为HTTP 1.1预设的功能，HTTP 1.0加上Keep-Alive
header也可以提供HTTP的持续作用功能。
　2、启用HTTP的持续作用可以改善15~20%的执行效率。
　如何启用HTTP的持续作用呢？步骤如下：
　在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录]
页，勾选 [HTTP的持续作用] 选项。
　3、不启用记录
　不启用记录可以改善5~8%的执行效率。
　如何设定不启用记录呢？步骤如下：
　在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录]页，不勾选 [启用记录] 选项。
　设定非独立的处理程序
　使用 [独立] 的处理程序会损失20%的执行效率，此处所谓「独立」系指将 [主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高（独立的）] 时。因此 [应用程式保护] 设定为 [低 (IIS处理程序)] 时执行效率较高，设定画面如下：
　如何设定非「独立」的处理程序呢？步骤如下：
　在 [Internet服务管理员] 中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，设定应用程式保护选项为 [低 (IIS处理程序)] 。
　4、调整快取（Cache）记忆体
　IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS
4.0则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。
　ASP指令档案执行过後，会在暂存於快取（Cache）记忆体中以提高执行效能。增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。
　可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。
　如何设定快取（Cache）功能呢？步骤如下：
　在
中，选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 [内容]之[主目录]、[虚拟目录] 页，按下 [设定] 按钮时，即可由 [处理程序选项] 页设定 [指令档快取记忆体] 。
如何设定快取（Cache）记忆体档案数量呢？步骤如下：
在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台的起始目录。於 [内容]之[伺服器扩充程式] 页，按下 [设定] 按钮。
　即可设定快取（Cache）记忆体档案数量。
　5、勿使用CGI程式
　使用CGI程式时，因为处理程序（Process）须不断地产生与摧毁，造成执行效率不佳。
　一般而言，执行效率比较如下：
    静态网页（Static）：100
    ISAPI：50
    ASP：10
    CGI：1
　换句话说，ASP比CGI可能快10倍，因此勿使用CGI程式可以改善IIS的执行效率。
　以弹性（Flexibility）而言：ASP > CGI > ISAPI > 静态网页（Static）。
　以安全（Security）而言：ASP（独立） = ISAPI（独立）= CGI > ASP（非独立） =
ISAPI（非独立）= 静态网页（Static）。
　6、增加IIS 5.0电脑CPU数量
　根据微软的测试报告，增加IIS 4.0电脑CPU数量，执行效率并不会改善多少；但是增加IIS 5.0电脑CPU数量，执行效率会几乎成正比地提供，换句话说，两颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍。
　IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS
4.0则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。
　7、启用ASP侦错功能
　勿启用ASP侦错功能可以改善执行效率。
　如何勿启用ASP侦错功能呢？步骤如下：
　於 [Internet服务管理员] 中，选取Web站台、或应用程式的起始目录，按右键选择 [内容]，按 [主目录]、[虚拟目录] 或 [目录] 页，按下 [设定] 按钮，选择 [应用程式侦错] 页，不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。
　8、静态网页采用HTTP 压缩
　静态网页采用HTTP 压缩，大约可以减少20%的传输量。
　HTTP压缩功能启用或关闭，系针对整台IIS伺服器来设定。
　用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS 5.0之Web伺服器，才有HTTP压缩功能。
　如何启用HTTP压缩功能呢？步骤如下：
　若要启用HTTP压缩功能，方法为在 [Internet服务管理员] 中，选取电脑之 [内容]，於 [主要内容]
之下选取 [WWW服务]。然後按一下 [编辑] 按钮，于[服务] 页上，选取 [压缩静态档案] 可以压缩静态档案，不选取 [压缩应用程式档案] 。
　动态产生的内容档案（压缩应用程式档案）也可以压缩，但是须耗费额外CPU处理时间，若% Processor Time已经百分之八十或更多时，建议不要压缩。

　　北京时间10月26日消息，据国外媒体报道，本周四微软发布了该公司2008财年第一季度财报。财报显示，由于用户对Windows Vista和Office 2007的“强劲需求”以及视频游戏部门收入同比增长近一倍。微软第一财季的净利润同比增长23％，营收同比增长27％。
　　微软首席财务官克里斯－里德尔在一份声明中表示，本季度的收入增长是1999年以来增长速度最快的一季度。截至9月30日的这一财季里，公司营收突破137.6亿美元，净利润高达42.9亿美元，分别高于去年同期的108.1亿美元，34.8亿美元。
　　该公司指出，用户对Windows Vista、Office 2007、Windows Server及SQL server“需求强劲”。微软的客户、业务和服务和工具部门的总收入增长了20％以上。视频游戏部由于成功推出“光晕3”，这一季度的收入更是增长了91％。
　　微软预计公司第二个季度的营收应该在156亿美元到161亿美元之间；净利润为59亿美元至61亿美元。其还称整个财年的营收将达到588亿美元至597亿美元；净利润为233亿美元至237亿美元。

　北京时间10月25日消息，据国外媒体报道，昨天微软在竞购Facebook股权赛中击败谷歌，以2.4亿美元获得Facebook约1.6%的股份，同时获得销售Facebook网络广告的独家代理权。  微软2.4亿美元的投资意味着Facebook的市值将高达150亿美元。分析师普遍认为微软在这家仅有3岁的公司上付出的代价太高了，不过，他们认为Facebook有望转型为所有Web活动的枢纽。
　　Morningstar的分析师Toan Tran说，只有Facebook成为各类用户在互联网上的操作系统，用户每天都要登录Facebook，与朋友沟通，使用Facebook开发的各种应用，这样的话，微软的投资才有意义。
　　微软的平台及服务部门的主管凯文－约翰逊说，Facebook150亿美元的价格标签是因为公司对它很有信心。公司认为Facebook的最终用户可能达到3亿，我们可以为如此庞大的用户提供针对性的广告。而现在Facebook的用户仅有5000万，所以它的发展空间还很大。约翰逊在新闻发布会上对分析师和记者说：“你把用户的数量与赢利机会联系起来考虑，会发现平均每年从每个用户获得的收入相当可观，这样的话，你可以很快得出Facebook150亿美元的估值。”
    近年随着社交网站的火爆，Google和微软也纷纷涉足社交网站市场，当然它们都通过收购的方式进入该市场。去年，Google就战胜微软以16.5亿美元购得在线视频网站YouTube。最近这两大巨头都对投资Facebook很感兴趣。
　　Forrester Research的分析师Charlene Li表示，对于Facebook而言，微软是更合适的战略合作伙伴，因为它在软件开发等方面很有经验。现在，微软已加紧在400亿美元的网络广告市场占有更多的份额。其预计三年之后网络广告市场的规模将扩大2倍。如果这样的话，其在8月以60亿美元收购数码广告公司aQuantive的事就在情理之中了。
　　根据协议，微软将成为独家第三方广告平台，同时也把它与Facebook此前的广告交易拓展到Facebook的海外站点上，而且双方的这种广告合作关系将延续到2011年。

　　本周有一个病毒特别值得注意,它是:“VB邮件蠕虫变种CC(Worm.Mail.Win32.VB.cc)”病毒。该病毒会锁定用户计算机IE浏览器主页,给用户日常使用计算机带来不便。
　　本周关注病毒:
　　VB邮件蠕虫变种CC(Worm.Mail.Win32.VB.cc)
　　警惕程度:★★★
　　病毒运行后将自身复制到优盘、移<!>动硬盘等移<!>动存储设备中,文件名为KAV32.exe,试图通过它们进行传播。该病毒会向本地Outlook邮箱中联系人发送带有病毒链接的邮件,其他用户打开邮件中的链接就可能被病毒感染。该病毒会修改多项系统设置,并将用户的IE浏览器主页设置为HTTP//KEN23409.****.ORG,并禁止用户修改,给用户日常使用计算机带来不便。
　　专家建议:
　　1、建立良好安全习惯,不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播,一定要及时给系统打补丁；3、安装专业的毒软件升级到最新版本,并打开实时监控程序；4、开启瑞星杀毒软件2008的“系统加固”功能,防止IE主页设置等关键部位被攻击。

　　股神的话，是该认真听一听的。
　　12年后君再来。10月24日，刚刚把手中中石油股票平仓的股神巴菲特现身辽宁大连。
　　招牌式的幽默和健谈让人备感亲切，他的一句话既是语出惊人，　也在情理之中："我暂时不会购买中国A股，A股已出现过热迹象，即便有便宜的股票，点石成金也很困难。"
　　话音刚落，第二天国内A股市场随即暴跌，上证综指跌幅4.8%，九成个股翻绿，这是不是巧合？
　　甚少出行，仅在12年前来过中国的巴菲特突然造访，旋即又离去，表面理由只是出席伯克希尔·哈撒威公司旗下IMC国际金属切削（大连）有限公司一个2000万美元项目的落成典礼。
　　不能不让人怀疑。巴菲特此举引来了多方猜测：在股价大涨行情中抛售中石油，是否需要进行必要的政府公关？来华是否与曾密切接触过的 中国人寿秘密洽谈合作事宜？还是干脆借在中国开业的首个项目高调开启中国投资之旅？
　来去匆匆
　　10月24日的大连，东南风4到5级，阴霾中处处感觉潮湿，这显然不是一个旅行的好季节。
　　上午10时20分，素有"股神"之称的美国投资家巴菲特乘坐私人飞机降落大连周水子国际机场。
　　巴菲特造访中国的行程几近神秘，10月13日美国《华尔街日报》的一篇报道中仅一句话提到，"几周后他将造访中国东北地区的一座城市"。而在此之前，微软的比尔·盖茨曾表示，2008年将与巴菲特一块来中国看奥运。更早的2004年，巴菲特计划中的中国之行几乎成行，后因妻子病逝而搁置。
　　据悉，IMC为哈撒威旗下以色列公司，其北京办事处已经悄悄邀请了部分中央媒体前往大连。本报记者通过多方调查，在23日获悉巴菲特确切抵达大连的时间后，立即赶往IMC北京办事处采访，得知公司"高层均已飞往大连"，本报驻大连记者随即在大连展开了跟踪采访。直到24日晚间，巴菲特在大连的所有活动结束，尚未见任何关于股神行程的最新报道。
　　"满头白发，身体硬朗敏捷，简单行头加上和蔼可亲的笑容，与往日入住酒店的贵宾被前呼后拥的景象截然不同。"巴菲特入住的大连香格里拉酒店市场传媒经理刘逢阳对记者这样描述，而曾在酒店大堂与巴菲特擦肩而过的客人们根本没意识到出现了一位"大人物"。
　　巴菲特大连一日的行程安排得异常紧凑。先是接受了中央电视台专访；下午1点，在与大连市长夏德仁会谈的近一个小时中，巴菲特表达了对大连的良好印象--"一个很有活力的城市"；下午3点，巴菲特一行一改神秘，高调参加新闻发布会；随后，参加IMC国际金属切削（大连）有限公司落成典礼。
　　IMC大连公司投资总额为2785万美元，将为航空、汽车、模具、机械加工等行业生产切削刀具，预计年产值约3亿元人民币。据悉，去年5月5日巴菲特投资40亿美元收购了以色列私营金属切割工具商IMC公司80％的股份。
　　这是巴菲特首次进军海外，购入一家总部不在美国的企业；中国行之前，巴菲特最近的出访地正是以色列，而由IMC在大连独资的新项目也是巴菲特在中国投资的第一家实体。新厂址与同在大连开发区落地不久的英特尔大连公司相距仅几公里，曾任英特尔董事的巴菲特称："选择大连是一个明智之举。"
　　25日上午，巴菲特一行从香格里拉酒店退房离去。此后不久，有海外媒体报道，巴菲特已抵达韩国。
看淡中国股市
　　至少有两个背景，让巴菲特中国行备受关注：中国A股市场冲高6000点后急剧震荡；表现抢眼的中石油回归A股10月25日开始网上申购，回归后有望成为世界上市值最大的上市公司，而此前不久，巴菲特却从中石油第二大股东意外平仓出局。
　　对此，10月24日巴菲特在大连接受记者采访时再次表示，后悔过早减持了中石油，并透露十分欣赏中石油的表现。巴菲特认为很难再找到像中石油这样的投资机会，若中石油日后股价调整，他仍可能会重新吸纳。而中石油财务总监周明春在25日接受采访时也回应说："巴菲特似乎对中石油流连忘返。"
　　有市场人士分析，按照巴菲特一贯的投资理念，其不失礼节的客气背后，是基于对中石油的估值考虑，由此传达出的取舍信号已十分明显。目前，市场对中石油A股价格估值高达50元。
　　尽管所有投资者都想从股神口中取到真经，但巴菲特大连行还是多次刻意回避了记者提出的相关问题。不过，在巴菲特仅有的只言片语中，我们还是读出了他对中国A股市场的担忧。
　　针对中国宏观经济高速发展的现状，巴菲特在承认中国经济仍有巨大发展潜力的同时，向记者阐述了他的投资原则："我的投资不是从宏观角度，而是从更微观方面进行评估的。"
　　"投资者要留意中国股市急升，市场目前过热，"巴菲特表示，"中国股市表现非常强劲，但当有这么多人愈来愈醉心炒股，应注意是用什么价钱去购买，而不应兴奋过度，因为不同国家的股市都会有一天要走到极端，就像美国的高科技热潮。当很多人对股市趋之若鹜，报章头版只刊载股市消息的时候，就是应该冷静的时候了。"
　　巴菲特称，自己只投资熟悉的行业，以及寻找有盈利增长潜力的公司；目前正有意在全球物色入股大企业的机会，但他质疑在内地A股市场能否仍物色到优质的吸纳目标。
　　"中国股市可能还有小量价格相宜股票，但要点石成金相当困难。"他同时还告诫投资者，应对大市持审慎态度。
　　相关专家接受本报采访时认为，股神的话当然是一家之言，却是基于国内市场运行现实的判断，A股在6000点附近高位震荡，风险的确在积聚。
真实目标的N个猜想
　　"巴菲特是受公司邀请来出席一个项目的落成典礼，没安排其他活动事宜。"IMC北京办事处郭先生23日对本报称。
　　但动辄投资数十亿美元的巴菲特亲临一个仅有2000万美元的投资项目落成典礼，这在以往十分罕见。观察人士由此分析出其中的意图和留存的猜想同样异常丰富。
　　有观点认为，巴菲特此次访问，很可能是借参加公司活动虚晃一枪，真实目的是在平仓中石油后与有深刻政府背景的中石油高层说明情况，并适时进行政府公关。
　　不过，美国驻华大使馆新闻处的孙女士24日则向本报证实，巴菲特此行纯属私人访问，没有知会大使馆。由此分析，巴菲特接触政府高层的可能性不大。而从其仅一天的行程来分析，巴菲特也没有除参加活动外的多余时间。
　　事实上，在中国行的前一天即23日，巴菲特已专程致信中石油总裁蒋洁敏，在表示感谢中石油为股东们所做的"巨大贡献"后，就因政治问题减持的传言再次强调，他的减持行为和政治无关。
　　25日，中石油董秘李怀奇对记者称：巴菲特减持属于正常的商业行为。
　　对于有意入股中国人寿、此次访问将与中国人寿洽谈的传言，巴菲特在大连则明确予以了否认。而中国人寿一经理级高层25日也对本报表示，巴菲特此次未与公司接触。
　　据悉，巴菲特与中国人寿的传言由来已久。2004年11月，巴菲特全球代言人罗伯特曾赴中国人寿考察；而巴菲特本人与中国人寿高层关系亦非同一般。中国人寿上市第二年，市场曾传出有人见到有伯克希尔·哈撒威高层在中国人寿总部出现。
　　尽管巴菲特断然否定，上述分析人士仍认为，巴菲特与中国人寿下一步合作的大门仍未关闭，何况伯克希尔·哈撒威公司投资的保险业务比例非常重，这符合巴菲特集中投资理念。
　　如果猜测仅仅是猜测，那么被巴菲特高调推上资本前台的IMC投资中国计划，会不会预示着"巴氏战车"全球收购启动后，终于标志性地来到了中国？
　　就算没有任何秘密安排，股神巴菲特人到了中国，各种"意思"也就到了。
　　在去年5月完成IMC收购之后巴菲特曾表示："收购海外资产比进行短期的证券投资更有意义，收购IMC只是我们收购海外资产的开始。"
　　"中国是个有着巨大机会的市场，我很感兴趣，我们也会考虑在这里寻找更多适合的机会。"巴菲特24日称，特别看好中国的制造业市场，而他会坚持来做长期的股权投资者。
　　据悉，截至6月30日，伯克希尔·哈撒威公司共拥有近470亿美元的现金和现金等价物；除此之外，该公司还持有约740亿美元的股票和270亿美元的债券。拥有太多现金的巴菲特投资意向强烈。

　　本月中旬，上海市普陀区人民法院宣判了一起特殊的案子：一位张姓女士因网上开店未缴税而获罪两年，缓刑两年执行，法院同时还对其处罚了相当高的罚金。而几乎同时，一篇名为《淘宝衣服利润大曝光！》的帖子在网上开始流传，该帖指责不少网店的商品价格比实体店的高。
　　琳琅满目的商品、没有实体店铺的租金和水电成本、可以提供送货上门等快捷服务……网上交易的低成本所引发的低价格，一直以来都是吸引网络消费者的主要原因。尽管近年来网上交易安全问题频发，却并没有给网上交易泼上多少冷水。倒是近日爆出的网络交易商偷税以及网店暴利的新闻，重重地给了网上交易一个耳光。
　　网络商人同时面临着国家税收部门和网络消费者的拷问。但更值得我们深思的是：作为一种为国家鼓励、社会提倡、网民喜爱的商务模式，网上交易市场缺乏规范，是不是一直以来是我们过于纵容了呢？
　　根据我国税法规定，凡是从事应征税商品、服务的交易都得缴税，网上交易显然也包括在内。商务部曾发布《商务部关于网上交易的指导意见》的征求意见稿，对于个人开网店提出了需在工商注册，并需缴纳一定数量增值税的意见。但事实上，我国现行税收法律法规对网上交易的缴税并没有专门规定。
　　网上交易需要电子商务网站充当交易平台。但到目前为止，淘宝、当当以及一些提供交易平台的论坛所承担的义务，都仅仅是一个网络交易的平台，它们对网络交易商的认证简单到网络商人只需发送自己的身份证复印件等简单手续就可以申请成为正式用户。而部分电子商务网站在商家评级制度方面的不透明，以及对商家售后服务监督的不力，再加上网上交易实物无法确认的现实，更容易助长网络交易商的暗箱操作，以至于出现以次充好情况甚至假冒伪劣商品的泛滥。
　　这种局面造成的后果是，国家网上交易税收的流失，甚至有人在从事网上交易的同时，将实体销售收入转移到网上避税；消费者购物遭受了不公正待遇，网上交易的体验感和满意度的丧失，影响的将是整个网上交易产业。
　　有关部门该对网上交易“拨云见日”了。国家对尚处在市场培育阶段的网上交易，除了更多的法规约束，更应对网商给予一定的税收优惠。而电子商务平台应发挥作为交易平台的监督、服务义务，对交易方式的合法性、规范性进行提醒。
　　应该承认，要有效地监控管理网上交易纳税非常困难。目前从事网络交易的企业和个人数以千万计，监管成本非常高；网络交易的交易金额、手段更难以统计。要从源头堵住监管漏洞，还得加快发展电子发票、电子税单、电子签名等认证方式。这是一个需要动员通讯、电子、税务、银行、审计等各个部门协同作战的浩大工程。