⑴ 為什麼我的手機換了個新電池還是那麼耗電快
影響耗電的原因一般有電池容量、屏幕顯示、應用運行、通信連接等原因,不同的使用狀態耗電情況也不同。
如果您使用的是華為手機,可以通過以下方法優化電池續航能力:
1.使用一鍵省電或一鍵優化自動診斷優化
EMUI 10.X及以下版本:進入設置 > 電池,點擊一鍵省電,系統會自動幫您找到可能造成耗電的一些功能,您可以手動選擇優化。
EMUI 11.0&Harmony OS:進入手機管家應用,點擊一鍵優化,根據結果優化可省電的設置。
2.點擊耗電排行,查看耗電高的應用:
進入設置 > 電池 > 耗電排行,查看哪些軟體耗電較多,如暫時不需要使用可點擊應用並結束運行。
3.開啟省電模式
進入設置 > 電池,開啟省電模式,降低手機功耗。
4.開啟智能解析度,有助於省電
進入設置,在上方搜索屏幕解析度,根據提示進入屏幕解析度設置界面,選擇智能或智能解析度。
若嘗試以上方法後仍未解決您的問題,建議您備份好數據(QQ、微信等第三方應用需單獨備份),攜帶購機憑證前往華為客戶服務中心檢測。
相關鏈接如下:寄修服務預約服務華為客戶服務中心維修備件價格查詢
⑵ 手機為什麼突然發燙
手機在使用過程中發熱的原因:
1. 受限於機身尺寸,手機不能像電腦等設備一樣通過風扇散熱,手機運行時,CPU、內存等產生的熱量一般通過機身向外傳導。
2. 在一些高功耗的場景下,如玩手機游戲、連續攝像、升級手機系統等,機身發熱是正常現象,當停止高功耗應用後,手機機身溫度能快速恢復正常。
3. 手機發熱的程度,與環境溫度、使用場景、散熱條件等多方因素有關。
降低功耗減少發熱常用方法:
1. 一鍵省電,手機自主進行耗電分析並提供優化建議
EMUI10.X或以下版本:點擊設置 > 電池 > 一鍵省電,根據結果優化可省電的設置。
EMUI 11.0&Harmony OS:打開手機管家app,點擊一鍵優化,根據結果優化可省電的設置。
2. 開啟省電模式,降低手機功耗:
點擊設置 > 電池開啟省電模式。
3. 及時清理後台程序:
(1)如果您使用的是虛擬導航鍵,可點擊屏幕下方導航欄的「方塊按鈕」,然後點擊「垃圾桶按鈕」清理。
(2)如果您使用的是手勢導航,可從屏幕底部邊緣上滑並停頓,點擊「垃圾桶按鈕」清理。
(3)如果您使用的是屏幕外物理導航,可以左右滑動導航鍵顯示最近使用的應用,點擊「垃圾桶按鈕」清理。
(4)如果您使用的是懸浮導航,可先點住導航鍵,再左右滑動以顯示最近使用的應用,點擊「垃圾桶按鈕」清理。
4. 日常使用建議
(1)建議您盡量避免將手機放置在高溫或陽光直射的地方。
(2)請您盡量避免將手機放置在被子、毯子等散熱不好的地方。
(3)盡量避免邊充電邊使用手機。
(4)建議您及時清理後台應用,如果您的手機有高耗電應用在後台運行,會持續佔用CPU資源,容易導致發熱和耗電快。
如果以上操作無法解決,請您重啟手機以後再嘗試;如果仍然發熱嚴重,請您提前備份好數據(QQ、微信等第三方應用需單獨備份),攜帶相關購機憑證前往華為客戶服務中心檢測。
相關鏈接如下:華為客戶服務中心維修備件價格查詢寄修服務預約服務
⑶ iQOO7如何開啟Super Audio
您可以進入設置--聲音與振動--(音質音效)--找到Super Audio即可進行相應的操作和了解,若該路徑中沒有Super Audio,則代表該機型不支持此功能。
開啟Super Audio後,能提升揚聲器播放音樂、視頻的音效,使得外放的音場變得更為廣闊,聲音豐富的層次感,但也會增加一定電量的消耗,部分機型Super Audio功能支持智能、電影、游戲、音樂等模式。
註:Super Audio音效在揚聲器(外放)模式下默認開啟。
⑷ 怎樣更改bios設置
這個給你參考下吧~~~IBM ThinkPad筆記本BIOS設置手冊
BIOS(Basic Input Output System)控制了整個計算機的所有硬體設置。對於不了解Bios的朋友會覺得設置很難,其實只要學會了,都很簡單。好了切入正題,其實目前IBM ThinkPad的XTRA四大系列的BIOS設置是基本上一樣的,在這里,我們就以T系列為樣本,詳盡介紹筆記本電腦的Bios設置。當我們開啟T-series時,屏幕下方出現"Press F1 for IBM BIOS Setup Utility"時,同時按下F1,將會進入Bios設置界面。再Bios設置界面中,Config、Date/time、Password、Startup、Restart分別為設置項,除了這些項目外,其他所顯示的為本機的系統信息。
首先介紹本機的系統信息。
Bios Version 1.04c(1AET47WW) 這個是機身BIOS版本
Bios Date (Year-Month-Day) 2001-11-16 BIOS版本發布日期
Embedded Controller Version 1.0c 內嵌控制器的版本
System-unit serial number 27I541234567 27為機型。I54為Model,1234567為機身序列號
Cpu Type Mobile Intel Pentiumn III Processor-M 移動型奔騰3處理器,CPU型號
Cpu Speed 866Mhz CPU最高時鍾頻率866Mhz
Installed memory 128MB 已裝載的內存為128兆
UUID 編號
Mac Address(Internal Lan) 00 00 00 00 00 00 內置網卡的Mac地址(網卡的物理地址)Config 配置選項將高亮度條選擇到Config,按回車進入Config設置項,分別有以下子選項:
1.Network
繼續按回車進入詳細設置
(1) Wake On Lan 如果Enabled這一項,那麼可以在區域網中,通過區域網中的其他計算機將筆記本電源打開,並且啟動筆記本。Disabled則禁止這項功能.
(2) Flash Over Lan 允許可以從一個可用的區域網中,通過網線,來升級BIOS. Disable則禁止這項功能
2.RFID Security
3.IBM Security
以上2項由於只有少部分機型有這個功能且幾乎不在中國銷售,故掠過
4.Serial Port
如果要啟動串口,請選擇Enabled。Base I/O address和Interrupt使用默認設置就可以使用。如果以其他硬體有沖突,可以自行更改。Disabled則禁止這項功能.
5.Infrared
啟動紅外介面,選擇Enabled。Base I/O address和Interrupt、DMA使用默認設置就可以使用。如果以其他硬體有沖突,可以自行更改。Disabled則禁止這項功能.
6.Parallet port
啟動並口(列印口),選擇Enabled。Base I/O address和Interrupt使用默認設置就可以使用。
Mode分別有4種可選模式,Bi-directional、Output only、EPP、ECP
7.PCI
這項中可以設置PCI的中斷地址。默認即可。
8.USB
如果不啟用USB,將無法使用任何USB界面之設備,例如:外置USB界面之軟碟機,光碟機。
一般我們都要Enabled
9.Floppy Drivers
Legacy Floppy Drivers 如果禁用這項只能啟用USB界面之軟碟機,而無法使用內置之軟碟機。
Super Disk Boot Enabled後,可以使用Super Disk來引導計算機。
10.Keyboard/Mouse
TrackPoint 一直使用IBM TrackPoint滑鼠,請選擇Enabled。不使用,請選擇Disabled.如果選擇了AutoDisable的話,當介入PS/2界面或USB界面之滑鼠時,TrackPoint滑鼠將會自動停用。
Fn key Lock Enabled:例如我們使用FN+F3的組合鍵時,按下FN鍵2次時,就可以不需要一直按住FN鍵,直接選擇F3。就可以關閉LCD.Disabled:必須同時FN鍵+F3才能啟動關閉LCD的功能。
11.Display
Default Primay Video Device [PCI]如果塢站裝載了一張PCI界面之顯示卡,那麼它將作為第一個顯示設備。[AGP]內置的AGP界面之顯示卡成為第一個顯示設備。
Boot Display Deice 可選擇LCD是第一顯示設備,還是CRT是第一顯示設備,還是LCD、CRT同時顯示。
HV expansion 選擇On.LCD的畫面將會自動調節垂直和水平的大小。Off則反之。即屏幕是否擴展拉伸。
Brightness 選擇LCD的明亮度,High高亮度。Normal普通亮度。使用電池情況下,High高亮度情況,將會減少電池壽命。
12.Power
(1)Power Mode for AC ,這種情況下選擇Maximum Performance,因為是用交流電,不在乎時間,當然要啟動最佳性能。
(2)Power Mode for Battery 選擇Maximum Battery Life.因為使用電池,盡可能要讓電池省電。
(3)Customize 當然以上2項選擇了customized時,這個選項才會生效。分別可以設置:
Processor Speed[Max(最快) or Medium(中等) or Slow(慢速)]
Suspend Timer(一定的時間內自動掛起)[1分鍾至60分鍾or 禁用]
LCD off(一定的時間內自動關閉LCD)[ 1分鍾至60分鍾or 禁用]
HDD off(一定的時間內自動關閉硬碟)[立即關閉 or 3~20分鍾 or 禁用]
(4)Hibernate By timer 啟動這個選項後,Suspend timer時間一到,執行的是Hibernate而不是Suspend
(5)Low battery Action,當電池處於低電壓的狀況下,可選執行Hibernate或者是Suspend兩個動作
(6)Suspend when LCD is closed 當LCD關閉的同時決定是否同時掛起,或者不掛起。
(7)Suspend /Hibernate While docked 當連接塢站時,是否掛起或者休眠
(8)RediSafe 啟動時,這個功能將會讓你在suspend或者休眠的狀態的文件變得快速和安全
(9)Resume on time 自動開機選項
Resume time 一個特定的時間
Resume date 一個特定的日期
(10)Resume on Modem Ring 當有一個來電時是否喚醒計算機
(11)Intel? SpeedStep technology Intel的CPU自動調頻技術,通常這個是一定要啟動的
Mode for AC 可選Maximum Performance CPU總是高速運行;Battery Optimized CPU總是低速運行;Maximum Battery 最節省的電量來運行CPU Automatic 自動調整
Mode for Battery 同上選項。
(12)Screen Blanking 是否使用空屏
(13)Power Switch Mode [On/Off]按下電源鍵後切斷電源。[Hibernate] 按下電源鍵後進入休眠狀態。
(14)Suspend to Hibernate 如果掛起很長一段時間,是否轉入休眠狀態。
(15)CDROM Speed 可選擇Slient,其實就是低速。Normal 普通速度。High 高速
(16)CPU Power Management 啟動CPU電源管理
(17)PCI bus Power Management PCI匯流排電源管理
(16)(17)這2項正常情況下選擇自動。
13.Alarm
Power Control Beep,啟用後,當筆記本進入掛起/休眠/連接交流電等狀態時,都會發出b一聲的提示音
Low Battery Alarm 電池進入低電壓狀態時,將會發出警告聲。
Volume Beep啟用後,當你按音量控制按鈕改變音箱音量時,會發出bb的聲音
14.Memory
Extended Memory Test 擴展內存測試 啟動這項後,啟用了內存測試,同時啟動時間也延長。Data/Time 日期/時間
System Date 系統日期 月/日/年
System Time 系統時間 小時/分鍾/秒Password 密碼選項
Power-On Password 啟動該項後,每次開機時候,需要你要鍵入正確密碼才能引導系統
Supervisor Password啟動該項後,可阻止未授權用戶訪問BIOS 設置
Lock Bios setting啟動該項後,可以阻止其他用戶更改BIOS設置,除了supervisor用戶才可更改
Hard Disk1 Password 這個設置可以阻止未授權的用戶訪問硬碟上的所有數據,只有輸入正確的密碼才能訪問。通常是在開機時要求輸入。Startup 啟動選項
1. Boot
Hard Drive
CD-ROM Driver
Removable Devices
IBA 4.0.18 slot 0208
按F5/F6可以更改硬碟/光碟機/軟碟機這些設備的啟動順序 。
2. Network啟動順序選項。
Boot Mode [Quick]快速模式[diagnostics]排錯模式
Bios Setup Prompt (F1 Key message) [Enabled]將會在開機顯示 提示鍵入F1進入BIOS設置界面。[Disabled]在開機時則不會顯示該提示。IBM Proct Recovery Program Prompt (F11 Key message) [Enabled] 將會在開機顯示 提示鍵入F11進入系統恢復界面。[Disabled]在開機時則不會現實。
Boot device List F12 Option 啟用後,可以在開機時按下F12臨時更改硬碟/光碟機/軟碟機這些設備的啟動順序。
Flash BIOS Updating By End-users [Enabled]可以寫入新版本BIOS。[Disable]則會禁止寫入新版本BIOS。
Restart 重新啟動
Exit Saving Changes 退出並且保存剛才所更改的BIOS設置
Exit Discarding Changes退出並且不保存剛才所更改的BIOS設置
Load Setup Defaults 讀取默認的BIOS設置
Discard Changes 取消所所更改的BIOS設置
Save Changes 保存剛才所更改的BIOS設置
另外有幾項快捷鍵:設置過程中,按F9則可以把原廠預設好的設置Load恢復,按F10則保存設置重新啟動。 電源充電機制
從A,T,X系列開始,TP筆記本的充電機制已經變得更智能化。平時,隨著時間過去,筆記本的電源都會自動放電,TP筆記本只會在電池電量低於95%的時候才會自動進行充電。
因此你不用擔心平時使用時它會自動進行充電,這比過去的600系列是好多了。過去一年多的一台T20實踐證明,T系列的充電機制是完全可以依賴的。不用擔心電池過充的問題。
充電過程
A、T、X系列充電時,充電器會先進行快速充電,這時開機顯示的二極體(即左邊第一個)是黃色的;充至80%的時候轉入涓細電流慢充,這里二極體的顏色變得閃動的綠色;一直充滿100%之後,就變成正常的穩定綠色了。鋰電池的充電過程是恆壓方式,開始充電 不久即電壓即會穩定下來,而電流則越來越小。
第二部分 基本知識
對應解析度
VGA:0x480SVGA:800x600XGA:1024x768SXGA:1280x1024SXGA+:1400x1050UXGA:1600x1200QXGA:2048x1536HalfXGA:1024x512Appl e:1152x8
IBM的編號規則
如T23-5KU-78-CYWWV,說明:它是屬於T23系列的,27是機型(MachineType),5KU是模型(Model),其它的最後一個字母代表專屬的市場范圍,已知的有C中國大陸,H香港,T台灣,A東南亞(如馬來西亞,越南,新加坡等等),U美國,J日 本等等;最後的7或12位則是機身的序列號了。不過我是想不明白IBM怎麼會編得那麼復雜就是了。
如何設置ThinkPad鍵
先安裝IBM的OnScreenDisplay,重新啟動後,運行注冊表編輯器,找到HKEY_LOCAL_MACHINESOFTWARE IBMTPHOTKEY8001,點菜單「編輯」>「增加數值」,「數值名」填:file,按「確認」,在「字元串」欄填上:你要運行的程序路徑和文件名,如e:foxmailfoxmail.exe,點「確認」退出注冊表編輯器,即時生效!
查詢你的機器是否經IBM正規銷售渠道
點 http://www.pc.ibm.com/support?lang=...下面選中。按Continue就會查詢出來了,如果是正常的話,後面的頁面會告訴你的機器 是不否列入IBM的保修范圍內了。補充:Model這個框可以不填的。
IBMThinkPad:XTRA編號含義
2001年10月IBM宣布將ThinkPad的產品編號更改為"X、T、R、A"四大系列,IBM為了湊夠在英文里表示"額外的、更佳的、更好的"的XTRA,將i系列更改為R系列。據說,這次不僅僅是型號的改變,而且是一種理念的突破。下表是XTRA的具體含義: XExtremeportability超輕、便攜面對很少在辦公室的超級移動客戶
TThinandlightforTravel性能與便攜性的完美結合面對在辦公室或隨地辦公室的高級移動客戶
RReliable,AffordableMobility經濟易用面對需要便攜、易用以及合適價格的客戶
AAlternativetoDesktop功能強大,高性能,桌面機的替代品面對追求卓越性能的客戶
如何使用數字鍵盤
按Shift+NumLk/ScrLk就可以激活數字鍵盤,即jkluio789這些按鍵對應的數字鍵。
雙屏顯示的使用(屏幕擴展)
T23等機型是可以使用雙屏顯示功能的,即屏幕擴展,但IBM提供的WIN2000的T23顯卡驅動程序並不支持,而XP的驅動則可以。因此目前T23的機型只能在XP下使用雙屏顯示,具體做法就是(並不一定要這樣的步驟,可以自己根據情況調整): 先連接好外接顯示器,打開外接的顯示器,然後把T23開機,在桌面點顯示屬性,在Settings一欄可以看到1,2這樣的字樣,選2即外接顯示器,然後在下面的打 上鉤,然後調整好解析度和顏色,點擊Apply就可以了。使用時打開程序窗口,把這個窗口拉到筆記本顯示屏之外,就會在外接顯示器上顯示出來了。 至於T22,21,20的機型應該跟這類似,各位可以根據自己的情況實踐。
IBM快捷熱鍵表
Fn+F3:關閉屏幕,StandBy模式(待機),顯示器、硬碟、音頻被關閉,移動滑鼠或按任意鍵解除。
Fn+F4:進入待機,Suspend模式(掛起),所有的任務都被停止並且保存到內存中,除了內存之外所有的設備都被停止,按下Fn鍵一秒鍾以上解除。 Fn+F7:切換顯示輸出(LCD,或外接,或同時顯示),這是一個循環轉換的過程。
Fn+12:Hibernate模式(休眠),所有的任務被停止,並且內存和當前狀態被保存到硬碟中,系統關機。
Fn+Home/End:增大/減少屏幕亮度,共有七檔。
Fn+PgUp:開關屏幕燈。
某些機型按Fn+F3不能關閉屏幕
在一些機型上如T22,運行WIN2000時按Fn+F3不能關閉屏幕,主要原因是Modem的驅動程序版本太低,把它升級到5.95以上通常會解決問題
如何連接到電視機上觀看
連好S端子線(建議先連接好再開筆記本),在本本的顯示屬性中打開TV輸出(這一點非常重要),電視上會出現與筆記本同樣的圖像,不過筆記本的1024X768的解析度在電視上不能完全顯示,可以將其成800X600,搞定!
關閉顯示屏長時間未使用恢復時花屏或黑屏
通常可以按Fn+F7切換顯示輸出模式可以解決;另外檢查一下機器的BIOS版本是否太低,升級BIOS有時候也可以避免類似問題。
USB軟碟機不能啟動
通常是BIOS中Config菜單下FloppyDrivers被設置為Disable了,把這個選項設置為Enable即可。
⑸ 榮耀30怎麼使用OTG功能
榮耀30設備有OTG功能無需額外打開,只需要通過OTG數據線進行連接即可,具體的方式如下:
1.手機充電:手機A插OTG線,另一端通過數據線連接手機B,A可以為B充電。
2.連接滑鼠鍵盤:連接時,通過OTG轉接線,一端插入手機介面,另一端連接滑鼠鍵盤。
3.傳輸文件:通過OTG線將手機連接到USB存儲設備,然後進入「文件管理」的「本地」標簽選擇「USB」,就可以在手機和USB存儲設備間傳輸文件。
詞條解釋:OTG是一種USB傳輸技術,通過 OTG 轉接線,可以讓手機直接訪問U盤或數碼相機等設備中的文件,還可以連接到鍵盤、滑鼠等外接設備。
⑹ 怎麼評價動畫電影《名偵探柯南:零的執行人》
《名偵探柯南:零的執行人》就是今年《名偵探柯南》推出的劇場版電影,已經在日本受到了極大的歡迎,將會在在2018年11月9日在中國大陸上映,而就目前來看,這部電影受大家喜愛的可能不是很大。
《名偵探柯南:零的執行人 名探偵コナン ゼロの執行人 2018》網路網盤高清免費資源在線觀看
鏈接:https://pan..com/s/1lRZmrozKdDdofFeN-dydew?pwd=zkeq
提取碼:zkeq
東京峰會召開在即,為了確保會議順利進行,日本警方出動約兩萬名警力對位於東京灣的超大設施「海洋邊緣」進行安保工作。可就在嚴密的防控下,此地已然發生了爆炸案。令柯南(高山南 配音)等人始料未及的是,現場居然留下了對毛利小五郎(小山力也 配音)極其不利的證據。在此之後,小五郎 遭到逮捕。柯南則發現安室透曾出現在爆炸現場,並且負了傷。為了還毛利叔叔的清白,柯南和阿笠博士以及少年偵探團的小夥伴們聯合起來勘察現場,搜集證據。隨著調查的深入,柯南發現這起爆炸案隱藏著包括恐怖分子、公安在內多方的復雜關系,而真相更令所有人瞠目結舌。
⑺ 電腦什麼牌子的好
電腦品牌推薦:蘋果Apple、華碩ASUS、ThinkPad、惠普HP、戴爾DELL。
1、蘋果Apple
蘋果筆記本電腦設計人性化,操作很簡單不,功能性強,蘋果系統運行穩定,很少出現死機的情況。蘋果筆記本電腦的外形設計時尚新穎,在眾多電腦中脫穎而出。不過,蘋果筆記本電腦在格式兼容上性能不是很高。
⑻ 我是中國聯通非5G套餐用戶 請問我購買5G手機使用非5G套餐聯通卡 是否能享有5G上網速率
聯通3G、4G用戶,不換卡不換號不換套餐,拿了5G手機在有5G網路覆蓋的地區,打開5G/SA開關,就可以登錄使用5G網路(下行速率最高300Mbps)。不過如果辦理5G套餐可以享受到更高的速率。
⑼ windows 2003伺服器各種服務如何設置
第一步:
一、先關閉不需要的埠
我比較小心,先關了埠。只開了3389 21 80 1433(MYSQL)有些人一直說什麼默認的3389不安全,對此我不否認,但是利用的途徑也只能一個一個的窮舉爆破,你把帳號改
了密碼設置為十五六位,我估計他要破上好幾年,哈哈!辦法:本地連接--屬性--Internet協議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上 然後添加你需要的埠即可。PS一句:設置完埠需要重新啟動!
當然大家也可以更改遠程連接埠方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存為.REG文件雙擊即可!更改為9859,當然大家也可以換別的埠, 直接打開以上注冊表的地址,把值改為十進制的輸入你想要的埠即可!重啟生效!
還有一點,在2003系統里,用TCP/IP篩選里的埠過濾功能,使用FTP伺服器的時候,只開放21埠,在進行FTP傳輸的時候,FTP 特有的Port模式和Passive模式,在進行數據傳輸的時候,需要動態的打開高埠,所以在使用TCP/IP過濾的情況下,經常會出現連接上後無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火牆能很好的解決這個問題,所以都不推薦使用網卡的TCP/IP過濾功能。所做FTP下載的用戶看仔細點,表怪俺說俺寫文章是垃圾...如果要關閉不必要的埠,在\\system32\\drivers\\etc\\services中有列表,記事本就可以打開的。如果懶惰的話,最簡單的方法是啟用WIN2003的自身帶的網路防火牆,並進行埠的改變。功能還可以!Internet 連接防火牆可以有效地攔截對Windows 2003伺服器的非法入侵,防止非法遠程主機對伺服器的掃描,提高Windows 2003伺服器的安全性。同時,也可以有效攔截利用操作系統漏洞進行埠攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火牆功能,能夠對整個內部網路起到很好的保護作用。
二、關閉不需要的服務 打開相應的審核策略
我關閉了以下的服務
Computer Browser 維護網路上計算機的最新列表以及提供這個列表
Task scheler 允許程序在指定時間運行
Routing and Remote Access 在區域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件載入到內存中以便以後列印。要用列印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序
Distributed Link Tracking Client 當文件在網路域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機並運行程序
把不必要的服務都禁止掉,盡管這些不一定能被攻擊者利用得上,但是按照安全規則和標准上來說,多餘的東西就沒必要開啟,減少一份隱患。
在"網路連接"里,把不需要的協議和服務都刪掉,這里只安裝了基本的Internet協議(TCP/IP),由於要控制帶寬流量服務,額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項里,使用"Internet連接防火牆",這是windows 2003 自帶的防火牆,在2000系統里沒有的功能,雖然沒什麼功能,但可以屏蔽埠,這樣已經基本達到了一個IPSec的功能。
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那麼要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件,你需要根據情況在這二者之間做出選擇。
推薦的要審核的項目是:
登錄事件 成功 失敗
賬戶登錄事件 成功 失敗
系統事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗
特權使用 失敗
三、磁碟許可權設置
1.系統盤許可權設置
C:分區部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創建文件/寫入數據(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數據
讀取屬性
創建文件夾/附加數據
讀取許可權
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改許可權
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改許可權
2.網站及虛擬機許可權設置(比如網站在E盤)
說明:我們假設網站全部在E盤wwwsite目錄下,並且為每一個虛擬機創建了一個guest用戶,用戶名為vhost1...vhostn並且創建了一個webuser組,把所有的vhost用戶全部加入這個webuser組裡面方便管理。
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3.數據備份盤
數據備份盤最好只指定一個特定的用戶對它有完全操作的許可權。比如F盤為數據備份盤,我們只指定一個管理員對它有完全操作的許可權。
4.其它地方的許可權設置
請找到c盤的這些文件,把安全性設置只有特定的管理員有完全操作許可權。
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述。
四、防火牆、殺毒軟體的安裝
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序。這樣的話,「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟體+blackice防火牆
五、SQL2000 SERV-U FTP安全設置
SQL安全方面
1.System Administrators 角色最好不要超過兩個
2.如果是在本機最好將身份驗證配置為Win登陸
3.不要使用Sa賬戶,為其配置一個超級復雜的密碼
4.刪除以下的擴展存儲過程格式為:
use master
sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入操作系統的最佳捷徑,刪除
訪問注冊表的存儲過程,刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5.隱藏 SQL Server、更改默認的1433埠
右擊實例選屬性-常規-網路配置中選擇TCP/IP協議的屬性,選擇隱藏 SQL Server 實例,並改原默認的1433埠
serv-u的幾點常規安全需要設置下:
選中"Block "FTP_bounce"attack and FXP"。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個"PORT"命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
六、IIS安全設置
IIS的相關設置:
刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關的連接數限制,帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對於php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對於資料庫,盡量採用mdb後綴,不需要更改為asp,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止資料庫被下載。設置IIS的日誌保存目錄,調整日誌記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面,將其轉向到其他頁,可防止一些掃描器的探測。另外為隱藏系統信息,防止telnet到80埠所泄露的系統版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關軟體如banneredit修改。
對於用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,資料庫備份和該站點的日誌。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的許可權,圖片所在的目錄只給予列目錄的許可權,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入許可權。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步,更多的只能在方法用戶從腳本提升許可權:
ASP的安全設置:
http://www.knowsky.com/system.asp
設置過許可權和服務之後,防範asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法:可取消以上文件的users用戶的許可權,重新啟動IIS即可生效。但不推薦該方法。
另外,對於FSO由於用戶程序需要使用,伺服器上可以不注銷掉該組件,這里只提一下FSO的防範,但並不需要在自動開通空間的虛擬商伺服器上使用,只適合於手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組,對於需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行許可權,不需要的不給許可權。重新啟動伺服器即可生效。
對於這樣的設置結合上面的許可權設置,你會發現海陽木馬已經在這里失去了作用!
PHP的安全設置:
默認安裝的php需要有以下幾個注意的問題:
C:\winnt\php.ini只給予users讀許可權即可。在php.ini里需要做如下設置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
MySQL安全設置:
如果伺服器上啟用MySQL資料庫,MySQL資料庫需要注意的安全設置為:
刪除mysql中的所有默認用戶,只保留本地root帳戶,為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop許可權的時候,並限定到特定的資料庫,尤其要避免普通客戶擁有對mysql資料庫操作的許可權。檢查mysql.user表,取消不必要用戶的shutdown_priv,relo
ad_priv,process_priv和File_priv許可權,這些許可權可能泄漏更多的伺服器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶,該用戶只對mysql目錄有許可權。設置安裝目錄的data資料庫的許可權(此目錄存放了mysql資料庫的數據信息)。對於mysql安裝目錄給users加上讀取、列目錄和執行許可權。
Serv-u安全問題:
安裝程序盡量採用最新版本,避免採用默認安裝目錄,設置好serv-u目錄所在的許可權,設置一個復雜的管理員密碼。修改serv-u的banner信息,設置被動模式埠范圍(4001—4003)在本地伺服器中設置中做好相關安全設置:包括檢查匿名密碼,禁用反超時調度,攔截「FTP bounce」攻擊和FXP,對於在30秒內連接超過3次的用戶攔截10分鍾。域中的設置為:要求復雜密碼,目錄只使用小寫字母,高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶:在系統中新建一個用戶,設置一個復雜點的密碼,不屬於任何組。將servu的安裝目錄給予該用戶完全控制許可權。建立一個FTP根目錄,需要給予這個用戶該目錄完全控制許可權,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的許可權,否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取許可權,否則會在連接的時候出現530 Not logged in, home directory does not exist.比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取許可權,為了安全取消d盤其他文件夾的繼承許可權。而一般的使用默認的system啟動就沒有這些問題,因為system一般都擁有這些許可權的。
七、其它
1.隱藏重要文件/目錄可以修改注冊表實現完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」,滑鼠右擊 「CheckedValue」,選擇修改,把數值由1改為0
2.啟動系統自帶的Internet連接防火牆,在設置服務選項中勾選Web伺服器;
3.防止SYN洪水攻擊:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協議:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務埠:
運行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右邊的PortNumber了嗎?在十進制狀態下改成你想要的埠號吧,比如7126之類的,只要不與其它沖突即可。
第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的埠號和上面改的一樣就行了。
8.禁止IPC空連接:
cracker可以利用net use命令建立空連接,進而入侵,還有net view,nbtstat這些都是基於空連接的,禁止空連接就好了。打開注冊表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成」1」即可。
9.更改TTL值:
cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦。
10. 刪除默認共享:
有人問過我一開機就共享所有盤,改回來以後,重啟又變成了共享是怎麼回事,這是2K為管理而設置的默認共享,必須通過修改注冊表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接:
默認情況下,任何用戶通過通過空連接連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。
12.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。
13. 賬戶安全
首先禁止一切賬戶,除了你自己,呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什麼許可權都沒有的那種,然後打開記事本,一陣亂敲,復制,粘貼到「密碼」里去,呵呵,來破密碼吧~!破完了才發現是個低級賬戶,看你崩潰不?
創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 創建一個一般許可權帳號用來收信以及處理一些日常事物,另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作,以方便管理
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為這樣,出錯了自動轉到首頁。
15.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了,可以這樣恢復成它的默認值
打開 %SystemRoot%\Security文件夾,創建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全資料庫並將其改名,如改為"Secedit.old"
啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制台,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上
右擊"安全配置和分析"->"打開資料庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開"
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開",如果系統提示"拒絕訪問資料庫",不管他,你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全資料庫,在"C:\WINNT\security"子文件夾下重新生成了log文件,安全資料庫重建成功。
16.禁用DCOM:
運行中輸入 Dcomcnfg.exe。 回車, 單擊「控制台根節點」下的「組件服務」。 打開「計算機」子文件夾。對於本地計算機,請以右鍵單擊「我的電腦」,然後選擇「屬性」。選擇「默認屬性」選項卡。清除「在這台計算機上啟用分布式 COM」復選框。
第二步:
盡管Windows 2003的功能在不斷增強,但是由於先天性的原因,它還存在不少安全隱患,要是不將這些隱患「堵住」,可能會給整個系統帶來不必要的麻煩;下面筆者就介紹Windows2003中不常見的安全隱患的防堵方法,希望能對各位帶來幫助!
堵住自動保存隱患
Windows 2003操作系統在調用應用程序出錯時,系統中的Dr. Watson會自動將一些重要的調試信息保存起來,以便日後維護系統時查看,不過這些信息很有可能被黑客「瞄上」,一旦瞄上的話,各種重要的調試信息就會暴露無疑,為了堵住Dr. Watson自動保存調試信息的隱患,我們可以按如下步驟來實現:
1、打開開始菜單,選中「運行」命令,在隨後打開的運行對話框中,輸入注冊表編輯命令「ergedit」命令,打開一個注冊表編輯窗口;
2、在該窗口中,用滑鼠依次展開HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在對應AeDebug鍵值的右邊子窗口中,用滑鼠雙擊Auto值,在彈出的參數設置窗口中,將其數值重新設置為「0」,
3、打開系統的Windows資源管理器窗口,並在其中依次展開Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾、DrWatson文件夾,最後將對應DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。
完成上面的設置後,重新啟動一下系統,就可以堵住自動保存隱患了。
堵住資源共享隱患
為了給區域網用戶相互之間傳輸信息帶來方便,Windows Server 2003系統很是「善解人意」地為各位提供了文件和列印共享功能,不過我們在享受該功能帶來便利的同時,共享功能也會「引狼入室」,「大度」地向黑客們敞開了不少漏洞,給伺服器系統造成了很大的不安全性;所以,在用完文件或列印共享功能時,大家千萬要隨時將功能關閉喲,以便堵住資源共享隱患,下面就是關閉共享功能的具體步驟:
1、執行控制面板菜單項下面的「網路連接」命令,在隨後出現的窗口中,用滑鼠右鍵單擊一下「本地連接」圖標;
2、在打開的快捷菜單中,單擊「屬性」命令,這樣就能打開一個「Internet協議(TCP/IP)」屬性設置對話框;
3、在該界面中取消「Microsoft網路的文件和列印機共享」這個選項;
4、如此一來,本地計算機就沒有辦法對外提供文件與列印共享服務了,這樣黑客自然也就少了攻擊系統的「通道」。
堵住遠程訪問隱患
在Windows2003系統下,要進行遠程網路訪問連接時,該系統下的遠程桌面功能可以將進行網路連接時輸入的用戶名以及密碼,通過普通明文內容方式傳輸給對應連接端的客戶端程序;在明文帳號傳輸過程中,實現「安插」在網路通道上的各種嗅探工具,會自動進入「嗅探」狀態,這個明文帳號就很容易被「俘虜」了;明文帳號內容一旦被黑客或其他攻擊者另謀他用的話,呵呵,小心自己的系統被「瘋狂」攻擊吧!為了杜絕這種安全隱患,我們可以按下面的方法來為系統「加固」:
1、點擊系統桌面上的「開始」按鈕,打開開始菜單;
2、從中執行控制面板命令,從彈出的下拉菜單中,選中「系統」命令,打開一個系統屬性設置界面;
3、在該界面中,用滑鼠單擊「遠程」標簽;
4、在隨後出現的標簽頁面中,將「允許用戶遠程連接到這台計算機」選項取消掉,這樣就可以將遠程訪問連接功能屏蔽掉,從而堵住遠程訪問隱患了。
堵住用戶切換隱患
Windows 2003系統為我們提供了快速用戶切換功能,利用該功能我們可以很輕松地登錄到系統中;不過在享受這種輕松時,系統也存在安裝隱患,例如我們要是執行系統「開始」菜單中的「注銷」命令來,快速「切換用戶」時,再用傳統的方式來登錄系統的話,系統很有可能會本次登錄,錯誤地當作是對計算機系統的一次暴力「襲擊」,這樣Windows2003系統就可能將當前登錄的帳號當作非法帳號,將它鎖定起來,這顯然不是我們所需要的;不過,我們可以按如下步驟來堵住用戶切換時,產生的安全隱患:
在Windows 2003系統桌面中,打開開始菜單下面的控制面板命令,找到下面的「管理工具」命令,再執行下級菜單中的「計算機管理」命令,找到「用戶帳戶」圖標,並在隨後出現的窗口中單擊「更改用戶登錄或注銷的方式」;在打開的設置窗口中,將「使用快速用戶切換」選項取消掉就可以了。