安全设置(精选8篇)
windows2000.bat
regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
windows2003.bat
regsvr32/u C:WINDOWSSystem32wshom.ocx
del C:WINDOWSSystem32wshom.ocx
regsvr32/u C:WINDOWSsystem32shell32.dll
del C:WINDOWSsystem32shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit→回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application→查找下一个】
用这个方法能找到两个注册表项:
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application ,
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_nohack
第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,
改好的例子
建议自己改
应该可一次成功
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@=“Shell Automation Service”
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@=“C:WINNTsystem32shell32.dll”
“ThreadingModel”=“Apartment”
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@=“Shell.Application_nohack.1”
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@=“{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@=“1.1”
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@=“Shell.Application_nohack”
[HKEY_CLASSES_ROOTShell.Application_nohack]
@=“Shell Automation Service”
[HKEY_CLASSES_ROOTShell.Application_nohackCLSID]
@=“{13709620-C279-11CE-A49E-444553540001}”
[HKEY_CLASSES_ROOTShell.Application_nohackCurVer]
@=“Shell.Application_nohack.1”
老杜评论:
WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高, 入侵的可能性是非常低了,
注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。
一、禁止使用FileSystemObject组件
FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOTScripting.FileSystemObject
改名为其它的名字,如:改为 FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值
也可以将其删除,来防止此类木马的危害。
2000注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll
2003注销此组件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll
如何禁止Guest用户使用scrrun.dll来防止调用此组件?
使用这个命令:cacls C:WINNTsystem32scrrun.dll /e /d guests
二、禁止使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1
改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值
HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值
也可以将其删除,来防止此类木马的危害。
三、禁止使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOTShell.Application
及
HKEY_CLASSES_ROOTShell.Application.1
改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
也可以将其删除,来防止此类木马的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
2000使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests
2003使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效。
四、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:WINNTsystem32Cmd.exe /e /d guests
2003使用命令:cacls C:WINDOWSsystem32Cmd.exe /e /d guests
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本,之后可以直接设置密码)
先停掉Serv-U服务
用Ultraedit打开ServUDaemon.exe
查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P
修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
1. 帐户密码设置
1.1 关闭来宾帐户
来宾帐户即Guest帐户, 它可以访问计算机, 但受到限制。不幸的是, Guest帐户也为黑客入侵打开了方便之门。对于服务器来说, 不需要使用Guest帐户, 为了安全, 应该将Guest帐户关闭、停用、改名。在安全策略中, 将Guest帐户列入拒绝从“网络访问”名单中, 防止黑客利用Guest帐户从网络访问计算机。同时在计算机管理中把Guest帐户停用, 任何时候都不允许Guest帐户登录系统, 为了安全起见, 给Guest帐户设置一个复杂的密码。
1.2 限制用户数量
删除所有的测试帐户、共享帐户和普通部门帐户等。帐户是黑客入侵的突破口, 系统的帐户越多, 黑客得到合法权限的可能性就越大。对于Windows 2003系统来说, 要经常检查系统的帐户, 删除已经不使用的帐户, 如果系统帐户超过10个, 很容易找到弱口令帐户。
1.3 把管理员帐号改名
Windows 2003中的Administrator帐户是系统默认的安装账户, 是不能被停用的, 所以黑客可以不停地尝试去登录这个帐户。很多管理员安装系统后都没有把这个帐号改名, 这样非常容易成为受攻击的目标。因此, 安装系统应该重命名此帐号, 并设置高强度的口令。
1.4 设置陷进帐户
创建一个Administrator帐户, 将该用户隶属的组设为Guests组, 赋予最低权限, 并且设置一个包含字母、数字和特殊符号的超过10位的复杂密码, 这样黑客即使攻击该帐户, 也要费大量的时间。
1.5 设置安全密码
服务器帐户密码最好包括大小写字母、数字和特殊符号, 密码最好大于10位。用户名尽量不要用计算机名、单位名等比较容易猜到的字符。在控制面板中, 用户帐户里设置。
1.6 启用屏幕保护密码
设置屏幕保护密码可以有效防止内部人员破坏服务器。在桌面上单击鼠标右键, 选择属性, 在屏幕保护选项卡中设置。
2. 系统安全策略配置
2.1 关闭不必要的服务
2.1.1 Messenger:
这是发送和接收系统管理员或“警报器”服务消息的服务。自微软公司于90年代中期推出32位操作系统以来, 该服务就一直是windows操作系统中不可缺少的一部分。现在, 很多垃圾邮件发送者都利用这一功能向计算机用户发送垃圾信息, 建议大家禁用该服务。
2.1.2 Remote Registry Service:
该服务允许远程用户通过简单的连接就能修改本地计算机上的注册表设置。知道管理员帐号和密码的人远程访问注册表是很容易的。现在, 不少木马后门程序可以通过此服务来修改目标机器的注册表, 强烈建议大家禁用该项服务。
2.1.3 Clipbook:
这个服务允许任何已连接的网络中的其他用户查看本机的剪贴板。为了安全, 将该服务设置为手动。Clipbook所支持的Clipbook Viewer程序可以允许剪贴页被远程计算机上的Clipbook浏览, 可以使用户能够通过网络连接来剪切和粘贴文本和图形。
2.1.4 Computer Browser:
这个服务可以将当前机器所使用网络上的计算机列表提供给那些请求得到该列表的程序 (很有可能是恶意程序) , 很多黑客可以通过这个列表得知当前网络中所有在线计算机的标志并展开进一步的攻击。
2.1.5 Terminal Services:
该服务提供多会话环境, 允许客户端设备访问虚拟的系统桌面会话以及运行在服务器上的基于Windows的程序并打开默认为3389的对外端口, 允许外来IP的连接 (著名的3389攻击所依靠的服务就是它) 。
2.1.6 Indexing Service:
Indexing Service是一个搜索引擎。同时, 它也是很多蠕虫病毒爆发的罪魁祸首, 例如曾流行一时的红色代码就是利用IIS的缓冲区溢出漏洞和索引服务来进行传播的。
2.1.7 Error Reporting Service服务:
Error Reporting Service (错误报告服务) 的进程名是Svchost.exe。这个服务我们经常碰到, 当使用程序出错时会跳出对话框, 问你是否需要向微软发送报告, 就是这个服务的功能, 此服务也是攻击者的一个后门。
2.2 开启审核策略
开启安全审计策略是Windows的基本安全保障措施, 当有人尝试对系统进行某些方式入侵的时候, 都会被安全审计记录下来, 如果对系统的安全审计策略进行合理设置, 当有人尝试入侵时, 就可以从日志里看到。审核策略太多, 容易占用系统资源, 开启必要的策略即可。开启策略如表1所示。
2.3 开启帐户策略
开启帐户策略可以有效地防范字典式攻击。设置如表2所示。
2.4 关闭文件共享
对于服务器来说, 不需要共享文件, 可以直接把共享文件关。Windows 2003提供了默认的共享功能, 包括所有的逻辑盘和系统盘, 这些共享功能为黑客入侵带来了很大的方便。通过以下几种方式可以来关闭默认共享。
2.4.1 打开网络连接, 在网络连接属性中把“Mi-crosoft网络文件和打印机共享卸载”。
2.4.2 打开控制面板, 找到管理工具, 通过其中的计算机管理, 关闭默认共享。这种方法有个缺点, 当系统重新启动后, 这些默认共享又会重新启动。
2.4.3 通过批处理关闭。新建一个Shutdown Share.bat文件, 文件内容为:
…… (有几个硬盘分区就写几行命令)
2.5 关闭不必要的端口
关闭端口, 系统提供的服务会减少, 意味着被入侵的概率在降低。对于一台Web服务器来说, 只运行TCP的80端口通过就可以了。设置端口开放的方法如下:在IP地址设置窗口中单击“高级”按钮, 在出现的对话框中选择“选项”选项卡, 选中“TCP/IP筛选”, 单击“属性”按钮, 在弹出的对话框中设置允许通过的端口。
2.6 禁止建立空连接
默认情况下, 任何用户可通过空连接连上服务器, 进而枚举出帐号, 猜测密码。修改注册表来禁止建立空连接:将HKEY_LOCAL_MACHINESYS-TEMCurrent Control SetControlLSA中, Restrict Anonymous的值改成1即可。
2.7 不显示上次登录的用户名
默认情况下, 终端服务接入服务器时, 登录对话框中会显示上次登录的用户名, 本地的登录对话框也一样。修改注册表禁止显示上次登录名:将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中, Dont Display Last User Name的值改为1即可。
摘要:随着网络技术的发展, 网络攻击越来越多, 网络安全问题越来越严重。本文对学校Web服务器上使用的Windows 2003操作系统安全加固进行了详细研究, 给出了Windows 2003操作系统的安全加固方法, 成功提高了学校Web服务器的安全性。
关键词:服务器,Windows 2003,安全
参考文献
[1]陈学平.计算机网络安全与应用[M].北京:化学工业出版社, 2012.
1.最危险的密码
①用户名和密码相同;
②使用生日、身份证、英文、昵称、姓名拼音、公司名或部门名作为密码;
③使用英文单词或短信作为密码,比如superman、imissyou等:
④使用2222、bbbb这种简单的组合:
⑤单独使用数字;
⑥使用连续的数字或英文,比如654321,opqrst。
经过测试,像使用1111这类密码加密的DOC文档,瞬间就被Advanced Office PaSSWOrd Recov-ery暴力破解掉,而用2222作为密码的RAR文档,在RARKey的“暴力”面前同样不堪一击。对于superman这样的单词,只要加上适当的字典,都可以瞬间秒杀!
2.密码的设置技巧
知道了什么样的密码很差,那么我们需要注意些什么呢?
①密码越长越好,最短也要在8个字符;
②最好不要有明显含义,不要使用生日、电话、身边亲友的名字的缩写等;
③要能够记住,如果连你自己都没办法记住,也就失去了密码的意义;
④最好使用英文、数字、特殊字符交错的密码;
⑤尽量不要将密码记在纸上,可以保存到文件中,如果实在需要,可以将密码“加密”后保存;
⑥一般只使用多个密码,重要系统使用不同密码。
3.弄出好密码的小技巧
0123456789
OINMAVGTBP
oizwtfbseq
上面这些数字和下面的字母是不是很像?这样当你想用全是数字密码的时候,就可以考虑一下字母、数字混编了。而且就像是存折这类纯数字密码,如果怕忘了,记到纸上的时候只是一个单词或是字母的话,相信也没有人会去多想什么。
ABCDEFGHUKLMNOPQ…
简单的换位,就可以将将原本简单的一句话变得面目全非。而且移动的位数全由你定。比如移动四位,将F变成B,将A变成W等等。如果和上面的技巧合用的话,相信没人能看懂你记在纸上的密码了。
按照键盘上的排列规则,就可以把英文字母向上或往下移一排,就可以变成一个全新的密码了。把C变成D,把J变成M,是不是更难让人想到?
Harry Potter and the Prisoner of A zkaban
↓↓↓↓↓↓↓
H P a t P o A
HPatPoA,可和HP没什么关系,这种密码有人知道是什么吗?至于原型,就是《哈利波特3》中名字的首字母。
数字变符号,用Shift加上數字键,可以将数字键变成特殊字符,比如123! @#这样的组合密码。
1.防火墙设置
1)常规中选中启用(推荐)选项
2)例外中添加端口号eg:17999
3)高级中 点击第一个设置,服务选项卡选中“FTP 服务器”和“远程桌面”,ICMP
选项卡选中“允许传入响应请求”
4)我的电脑属性远程远程桌面 勾选允许用户远程连接此计算机
注:打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp],看见PortNamber值了吗?其默认值是:0xd3d,这个是16进制,点击右边的十进制,显示的就是3389了,修改成所希望的端口即可,例如6111。
再打开
[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal
ServerWinStationsRDP-Tcp],将PortNumber的值(也是3389)修改成端口6111。
更改后注意开放防火墙6111端口,否则重起后连不上
2.防火墙软件安装(eg:360安全卫士)
1)打上补丁,修补漏洞
2)关闭自动更新
3.更改虚拟内存
1)电脑高级第一个设置高级更改2000M到5000M
4.本地安全策略
1)管理工具本地安全策略新建
5.数据库安装
1)确保Tcp/Ip启用
SQL server configuration manager SQL server 2005 网络配置 MSSQLSERVER的协议 TCP/IP启动
3)新项目数据库 代理必须启动
6.JDK 安装
环境变量配置:
Eg: java_home:D:Program FilesJavajdk1.6.0_10 classpath:.;%java_home%lib;%java_home%lib tools.jarpath设置%java_home%bin;%java_home%jre6bin;
7.tomcat 安装
8.apache安装
9.负载均衡
10.项目部署
1)数据库还原,附加或数据库新建sql
2)netfee,feecfg,push
注:域名指向
一、禁止默认共享,
方法一:
建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
方法二:修改注册表,(注意修改注册表前一定要先备份一下注册表,备份方法。在 运行>regedit,选择 文件》导出 ,取个文件名,导出即可,如果修改注册表失败,可以找到导出的注册表文件双击运行即可。)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”
二、远程桌面连接配置。
开始 > 程序 > 管理工具 > 终端服务配置 > 连接
选择右侧”RDP-tcp”连接右击 属性 > 权限 删除(除system外)所有用户组 添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。
三、serv_u安全设置(注意一定要设置管理密码,否则会被提权)
打开serv_u,点击“本地服务“,在右边点击”设置/更改密码“,如果没有设置密码,”旧密码为空,填好新密码点击”确定“。
四、关闭139、445端口
①控制面板-网络-本地链接-属性(这里勾选取消“网络文件和打印机共享”)-tcp/ip协议属性-高级-WINS-Netbios设置-禁用Netbios,即可关闭139端口.
②关闭445端口(注意修改注册表前一定要先备份一下注册表,备份方法。在 运行>regedit,选择 文件》导出 ,取个文件名,导出即可,如果修改注册表失败,可以找到导出的注册表文件双击运行即可。)
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesetBTParameters
新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”
五、删除不安全组件
WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。
方法:在“运行”里面分别输入以下命令
①regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
②regsvr32/u shell32.dll 卸载Shell.application 组件。
③regsvr32 /u %windir%system32Wshext.dll
六、设置iis权限。
针对每个网站单独建立一个用户。
①首先,右击“我的电脑”》管理》本地计算机和组》用户,在右边。右击“新用户”,建立新用户,并设置好密码。如图:
例如:添加test为某一网站访问用户。
②设置站点文件夹的权限
然后,打开internet信息服务管理器。找到相应站点。右击,选择“权限”如图:
选择权限后,如下图:
只保留一个超级管理员administrator(可以自己定义),而不是管理员组administrators,
和系统用户(system),还有添加访问网站的用户。可以点击“添加”将刚才在系统创建的用户(如test)添加里面。然后勾选该用户(test)读取和运行、列出文件夹目录、读取、写入的权限。超级管员(administrator)”完全控制”,系统用户(system) “完全控制”权限。并且选择用户(test)?“高级”出现如下图
点击“应用”后,等待文件夹权限传递完毕。
然后点“确定”。
注意:
③设置访问用户。
右击 站点 属性==》目录安全性==》编辑, 将刚才添加的用户(如test)添加到匿名访问用户。密码和添加用户时密码一致。
④设置站点访问权限。
右击要设置的站点。属性==》主目录本地路径下面只选中 读取记录访问索引资源
其它都不要选择。执行权限 选择 “纯脚本”.不要选择“脚本和可执行文件”。如图所示:
其它设置和就是iis站点的一般设置,不再多说。
注意:对于 ASP.NET 程序,则需要设置 IIS_WPG 组的帐号权限、上传目录的权限设置。这时需要注意,一定要将上传目录的执行权限设为“无”,将文件夹的写入权限选上,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序,也不会在用户浏览器里触发执行,
对于纯静态网站(全部是html)将(纯脚本)改成(无)。
对于某些程序可能要求everyone有完全控制的权限,可以将网站访问用户(如test用户)对文件夹设置完全控制的权限就行了,并不需要添加everyone来设置完全控制。
七、数据库安全设置
一定要设置数据库密码。
另外。对于sql数据库建议卸载扩展存储过程xp_cmdshell
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:
use master
sp_dropextendedproc xp_cmdshell
如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc xp_cmdshell, xpsql70.dll
八、防止access数据库被下载
在IIS属性 ――主目录――配置――映射――应用程序扩展那里添加。mdb文件的应用解析。注意这里的选择的D LL不要选择asp.dll,找一个映射里面不使用的dll文件。
九、利用防火墙限制端口。
对外只打开自己需要的端口,对于vps用户,需要打开网站服务端口80,远程登录端口3389,景安公司提供的密码修改服务端口6088,如果使用的有serv_u等ftp服务软件,需要打开21端口。
具体打开端口请参考下面:
1、 右击网上邻居选择“属性”,===>本地连接==?属性==?高级?设置
选中”启用”按钮.
2、 点击“例外”==》添加端口。根据自己需要添加对外的端口。注意在添加的端口前面勾选上
3、 添加完端口,点击”确定”?确定
十、防止列出用户组和系统进程
如果上传asp木马用户列表可能会被 利用,我们应当隐藏起来,方法是:
【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。
十一、安装杀毒软件
1总则
1.0.1为了合理的设置消防安全疏散标志,保障人身安全、减少火灾危害和方便救援,制定本标准。
1.0.2本标准适用于新建、改建、扩建的民用建筑和平战结合的人民防空工程中消防安全疏散标志的设计、施工、验收与维护。1.0.3消防安全疏散标志的设计与施工应符合国家有关方针政策及有关工程建设和质量管理法规的规定,做到安全适用,技术先进、经济合理。
1.0.4设计选用的消防安全疏散标志产品必须经过国家有关消防产品质量监督检验测试中心认证合格。
1.0.5消防安全疏散标志的设计与施工、验收及维护管理,除应符合标准的规定外,尚应符合国家现行其他有关标准和规范的要求。2术语
2.0.1消防安全疏散标志Fire safety evacuation sign
用于火灾时人员安全疏散时有指示作用的标志。
2.0.2疏散标示指示Evacuation indicator sign
用于指示疏散方向和(或)位置、引导人员疏散的标志,一般由疏散通道方向标志、疏散出口标志或两种标志组成。
2.0.3.疏散导流标志Evacuation guiding strip
疏散指示标志的一种,能保持疏散人员视觉连接并引导人员通向疏散出口和安全出口的疏散指示标志。
2.0.4警示标志Prohibiting and inducing or warning sign
警告和提示疏散人员采取合适安全疏散行为的标志。
2.0.5电光源型消防安全疏散标志Electricity luminglighting fire safety evacuation sign
通过电源场致发光方式发光显示的消防安全疏散指示标志。
2.0.6蓄光型消防安全疏散标志Light-cumulating fire evacuation indicator sign
通过光源照射,并在光源消失后仍能在规定时间内自发光的消防安全疏散标志。
3设置要求
3.1一般规定
3.1.1消防安全疏散标志的设置应根据建筑物的用途、建筑规模、使用人员特点和室内环境等因素选用。
3.1.2设置消防安全疏散标志时,标志内容应清晰、简洁、明确,并与所要表达的内容相一致,不应相互矛盾或重复。
3.1.3消防安全疏散标志应设在醒目位置,不应设置在经常被遮挡的位置(本标准另有规定者除外),疏散出口、安全出口等疏散指示标志不应设置在可开启的门、窗扇上或其它可移动的物体上。
3.1.4当正常照明电源中断时,应能在5s内自动切换成应急照明电源,且标志表面的最低平均照度和照度均匀度仍应符合日常情况下的要求。
3.1.5疏散导流标志应沿疏散通道和通向安全出口或疏散出口的设计路线设置。
3.1.6在联合设置电光源型和蓄光型等其他类型的消防安全疏散标志系统中,蓄光型等其他类型的消防安全疏散标志宜用作辅助标志。
3.2设置场所
3.2.1下列建筑和场所应设置消防安全疏散标志:
a)高层民用建筑(二类高层组合式单元住宅除外);
b)影剧院、体育馆、展览馆、礼堂、公共娱乐场所、建筑面积大于1000m2的商店(开敞、半开敞式菜市场除外)、建筑面积大于500m2的餐饮服务场所等人员聚集的单层、多层公共建筑或场所;
c)医院、疗养院、康复中心、幼儿园、托儿所、养老院(老年公寓)等单层、多层医疗保健和婴幼老弱残障人员服务设施;d)候机楼、长途汽车客运站、公共交通枢纽、火车站、地铁车站等公共服务设施;
e)车位不少于50辆的单建、附建汽车库;
f)综合楼、写字(办公)楼、旅馆、图书馆、档案馆、教学楼、科研楼、学生宿舍楼等其他多层公共建筑或场所;
g)地下、半地下民用建筑(包括地下、半地下室)及平战结合的人民防空工程。
3.3消防安全标志设置
3.3.1设置电光源型消防安全疏散标志时,应符合下列要求:
a)电光源型消防安全疏散标志应采用不间断电源(UPS)供电、并宜采用相对集中的供电方式(可按楼层、防火分区等划分供电区域),当数量较少、分置分散时可采用自带电源供电;
b)对于一类高层民用建筑、候机楼、公共交通枢纽、火车站、地铁车站、大中型体育馆和商店及每层建筑面积大于3000m2的其他大型公共建筑,地下建筑、人防工程,其应急电源的连续供电时间不应小于30min;对于其他建筑,不应小于20min;
c)标志表面的平均亮度宜为17~34cd/m2,但任何小区域内的亮度不应大于300cd/m2且不应小于15cd/m2,最大亮度与最小亮度之比不应小于5:1;
d)设置间距不应大于20m。
3.3.2设置蓄光型消防安全疏散标志时,应符合下列要求:
a)设置场所和部位的正常电光或日光照度,对于荧光灯,不应低于25lx;对于白炽灯,不应低于40lx;
b)消防安全疏散标志表面的归低照度不应小于51x;
c)应满足正常电源中断30min后其表面任一发光面积的亮度不小于0.1cd/m2.3.3.3本规定第3.2.1条规定应设置消防安全疏散标志的建筑和场所,应在其安全出口上设置电光源型安全出口标志。
3.3.4候机楼、长途汽车客运站、公共交通枢纽、火车站、地铁车站等人员密集场所,旅馆、学生宿舍以及平战结合的人民防空工程和其它地下民用建筑内,应在其疏散走道和主要疏散路线的地面或靠近地面的墙上设置电光源型和蓄光型疏散指示标志或疏散导流标志。
3.3.5歌舞厅、卡拉OK厅、夜总会、录像放映厅、桑拿浴室、游艺厅、保龄球馆、网吧等公共娱乐场所,医院的病房楼等医疗保健和婴幼老弱残障人员设施,商店、礼堂、体育馆、影剧院等人员密集的公共建筑和场所,当疏散走道为长度超过20m的内走道时,除设置疏散指示标志外,还应设置疏散导流标志。
3.3.6塔式及一类通廊式高层住宅的疏散直道或楼梯间入口处应设置电光源型疏散指示标志。
3.3.7高层建筑或多层建筑中建筑面积大于300m2的会议室、多功能厅等公共活动用房、地下建筑中各房间总面积超过200m2且经常有人停留的活动场所的疏散出口处,应设置电光源型或蓄光型疏散指示标志。
3.3.8车库的车辆和人员疏散通道和疏散出口上应分别设置消防安全疏散指示标志。
3.4其他要求
3.4.1安全出口和疏散出口指示标志宜设在靠近其出口一侧的门上方或门洞两侧的墙面上,标志的下边缘距门的上边缘不宜大于30cm。在远离安全出口的地方,应将“安全出口”和“疏散通道方向”标志联合设置,箭头必须指向最近的安全出口。
3.4.2在疏散走道或主要疏散路线的墙面或地面上设置的疏散导流标志,应符合下列要求:
a)设置在地面上时,宜沿疏散走道或主要疏散路线的中心线布置;
b)设置在墙面上时,其中心线距地面高度不应小于50cm;
c)疏散导流标志宜连续布置,标志的宽度不宜小于8cm,长度不宜小于30cm;
d)当间断布置时,蓄光型疏散导流标志间距不应超过1m;电光源型疏散导流标志间距不宜大于2m,不应超过3m;
e)当疏散导流标志遇到的门不是疏散出口或安全出口时,宜在该处的地面连续指示。
3.4.3疏散走道上的消防安全疏散指示标志(不含设置在地面上的消防安全疏散指示疏散导流带)宜设在疏散走道及其转角处距地面高度1.0m以下的墙面或地面上,且应符合下列要求:
a)当设置在墙面上时,其间距不应大于10m;
b)当设置在地面上时,其间距不应大于5m;
c)当与疏散导流标志联合设置时,其底边应高于疏散导汉标志上边缘5cm;
d)当联合设置电光源型和蓄光型标志时,灯光型标志的间距应符合本规定第3.3.1条的规定,蓄光型标志的间距应符合视觉连续的要求。
3.4.4设置在顶棚下的疏散指示标志,应采用电光源型消防安全疏散指示标志,其下边缘距地面的高度不应小于2.0m,且不宜大于2.5m,间距不应大于20m。
疏散指示标志的正面或其邻近不宜有妨碍公众视读的障碍物。若无法避免时,应在障碍物上增设标记。
3.4.5安全出口、疏散出口或通向安全区域、避难区域的门,宜在门扇距地面1.1m~1.5m范围内,设置“推开”标志。
安全出口、疏散出口或疏散通道中的门为单向时,必须在顺疏散方向一面的门上设置“推开”标志,在其反面设置“拉开”标志。
3.4.6安全出口或疏散通道中的门扇应设置“禁止锁闭”标志,并宜设“推开”标志。室内疏散走道或室外通道的醒目处应设置“禁止阻塞”的标志。
3.4.7在电梯及自动扶梯入口处,应设置明显的电光源型或蓄光型指示警告标志,标示火灾时不得使用。
3.4.8消防安全疏散标志的尺寸应与疏散人员的观察距离相适应,并应符合表3.4.8的要求:
表3.4.8最小消防安全疏散标志尺寸(m)
注:观察距离应从最远疏散点至最近标志的距离计算。
4.施工、验收与维护
4.1施工要求
4.1.1消防安全疏散标志的固定牢固。安装时,可采用粘贴、县挂、铆嵌等固定方式。
4.1.2消防安全疏散标志的安装固定应符合下列规定:
a)附着设置消防安全疏散标志用钉子固定时,对于三角形标志,其固定点不应少于3个;对于圆形、正
方形和长方形标志,其固定点不应少于4个。固定点宜选在边缘衬底色部位;
b)采用粘贴方式固定时,应将标志的背面均匀满涂胶粘剂或在其边缘、中心点上均匀涂胶固定;
c)采用悬挂方式固定时,悬挂杆(线)不应少于2根,悬挂后不得倾斜。较轻的标志应考虑其固定后,不易晃动,宜采用支架悬挂;d)采用柱式设置的消防安全标志应用螺栓、管箍等与标与杆可靠固定。
4.1.3当在平整、干燥的物(墙、地)面上安装消防安全疏散标志时,可采用双面胶带将标志或疏散导流标志直接粘贴固定。当不适合粘贴时,宜采用铆固或悬挂方式固定。
4.2验收要求
4.2.1消防安全疏散指示标志的验收应按建设主管部门和消防主管部门的有关规定进行。
4.2.2消防安全疏散指示标志的验收应检查下列内容;
a)消防安全疏散指示标志的外观检查,设置位置、数量及其合理性;
b)建设单位自检自验报告、产品合格证明和国家相关消防产品检验测试中心出具的合格的型式检验报告等有关资料。
4.2.3消防安全疏散指示标志的验收检查应符合下列要求:
a)外观应完整、无明显缺陷、安装牢固;对于同一疏散路线上的非线性指示标志,其间距应均匀;
b)对于电光源型消防安全疏散指示标志,应按不小于安装总数的10%进行主、备电源切换试验;
c)对开蓄光型消防安全疏散指示标志,使用环境的照度值,应不低于国家消防质量监督检验测试中心检测合格时使用的试验激发照度值;对于电光源型消防安全疏散指示标志,应通电检查其亮度性能,亮度性应符合本标准第3.3.1条的规定;
d)电光源型消防安全疏散指示标志的应急电源,其连续供电时间应满足本规定第3.3.1条的要求。
4.3维护
4.3.1电光源型消防安全疏散指示标志安装验收合格后,每月应至少进行1次视觉检查并做记录;有损失、损坏或不能继续使用的标志,应及时更换。
4.3.2蓄光型消防安全疏散标志及其照明灯具等安装验收合格后,每半年应至少检查一次,出现下列情况之一时应及时修整、更换或重新设置:
a)破损或丢失;
(1)鼠标右键点击“我的电脑”→“属性”→“高级”→“性能”项下的“设置”,“视觉效果”选择“调整为最佳性能”,“高级”→“虚拟内存”→“更改”,驱动器C:自定义大小修改为最大值,点设置,确定;
(2)鼠标右键点击“我的电脑”→“属性”→“高级”→“启动和故障修复”项下的“错误报告”,选择“禁用错误汇报”、“但在发生严重错误时通知我”;
(3)鼠标右键点击“我的电脑”→“属性”→“高级”→“启动和故障修复”项下的“设置”,去掉“将事件写入系统日志”,“发送管理警报”,“自动重新启动”选项;将“写入调试信息”设置为“无”;
(4)鼠标右键点击“我的电脑”→“属性”→“远程”,将“远程协助”和“远程桌面”上的勾都去掉,确定。
2 禁用多余的服务
鼠标右键“我的电脑”→“管理”→“服务和应用程序”→“服务”,将不需要的服务禁用。选中禁用程序,点右键,选“属性”→“停止”,将“启动类型”设置为“手动”或“已禁用”。
注意:有些服务是WINDOWS XP必需的,关闭后会造成系统崩溃。
3 将重要数据存储路径转移到系统分区以外的分区
3.1 将“我的文档”文件夹转到其它分区
在桌面“我的文档”图标上右击鼠标,选择“属性”→“移动”,按图1设置。
3.2 将IE临时文件夹转到其它分区
打开IE浏览器,选择“工具”->“internet选项”→“常规”→“设置”,在弹出的设置对话框中按图2设置。
3.3 将Outlook Express邮件存放路径转到其它分区
打开Outlook Express,“工具”→“选项”→“维护”→“存储文件夹”→“更改”,选择要转到的存储路径,确定。
3.4 把“我的文档”、“我的电脑”、“Internet Explorer”在桌面显示
桌面上点鼠标右键,选“属性”→“桌面”→自定义桌面,把“我的文档”、“我的电脑”、“Internet Explorer”勾上。
3.5 显示包括系统文件在内的所有隐藏文件及文件扩展名
双击打开“我的电脑”→“工具”→“文件夹选项”→“查看”,选择“显示所有文件和文件夹”并把“隐藏已知文件类型的扩展名”、“隐藏受保护的操作系统文件”前的勾去掉。
4 通过调整注册表提高性能
4.1 登录画面时打开数字键
“HKEY_USERS”→“.Default”→“Control Panel”→“Keyboard”→将数值名称“InitialKeyboardIndicators”资料值更改为2。
4.2 关闭自动重新启动功能
当Windows XP遇到严重问题时便会突然重新启动,按如下更改可以取消此功能:
“HKEY_LOCAL_MACHINE”→“SYSTEM”→“CurrentControlSet”→“Control”→“CrashControl”,将“AutoReboot”dword值更改为“0”,重新启动生效。
4.3 加快关机速度
“HKEY_CURRENT_USER”→“Control Panel”→“Desktop”,把AutoEndTasks的键值设置为1;然后在此分支下有个“HungAppTimeout”,把值改为“500”,默认为50000;最后再找到“HKEY_LOCAL_MACHINE”→“System”→“CurrentControlSet”→“Control”,同样把WaitToKill ServiceTimeout设置为“500”。
4.4 让IE可以同时下载更多文件
一般,Internet Explorer 6同时最多只可以下载两个文件,按下面的修改可同时下载多达十个文件:
“HKEY_CURRENT_USER”→“Software”→“Microsoft”→“Windows”→“CurrentVersion”→“InternetSettings”,在右边窗口增加下列两个“Dword”值,“MaxConnectionsPer1_0Server”数值数据为“0000000a”即十进制“10”,“MaxConnectionsPerServer”数值数据为“0000000a”即十进制“10”,重新启动即可。
4.5 在Windows XP中正确配置CPU二级缓存
Windows XP系统中,默认状态下CPU二级缓存并未打开。为了提高系统性能,可以通过修改注册表来开启它。
“HKEY_LOCAL_MACHINE”→“System”→“CurrentControlSet”→“Control”→“Session Manager”→“Memory Management”分支,双击右侧窗口中的“SecondLevelDataCace”,然后在弹出的窗口中直接填入当前计算机所使用的CPU的二级缓存容量即可。
赛扬处理器的二级缓存为128KB,应将其值设置为80(16进制,下同)。PⅡ、PⅢ、P4均为512KB二级缓存,应设置为200;PⅢ(EB)、P4 Willamette只有256KB二级缓存,应设置为100;AMD Duron只有64KB二级缓存,应设置为40;K6-3拥有256KB二级缓存;Athlon拥有512KB二级缓存;Athlon XP拥有256KB二级缓存;Athlon XP(Barton核心)拥有512KB二级缓存。
目前Intel的双核心CPU主要有Pentium D、Pentium EE、Core Duo三种,其中Pentium D、Pentium EE的二级缓存方式完全相同。Pentium D和Pentium EE的二级缓存都是CPU内部两个内核具有互相独立的二级缓存。
5 其它优化
5.1 优先使用物理内存
在拥有512M以上内存的机器上,在System.ini中的“[386enh]”底部加入一句,ConservativeSwapfileUsage=1,让Windows优先使用物理内存,以加快系统运行速度。
5.2 取消休眠功能
“我的电脑”→“电源管理”→“休眠”,将“启用休眠”前的勾去掉,约能节省200MB系统硬盘空间。
摘要:Windows XP系统在初始安装后,性能并没有达到最优。通过对虚拟内存、保留带宽等修改,关闭不需要的系统服务设置,提高系统运行的效率、稳定性和数据的安全性。
关键词:Windows XP,系统优化,数据安全
参考文献
[1]高皓.Windows XP中文版完全自学手册.北京:中国青年出版社,2006-11.
随着电信等lSP的推广,无线ADSL猫正在很多家庭及SOHO、办公用户中普及。无线ADSL猫在方便用户网络搭建的同时,安全因素也日益暴露出来,这是因为很多用户都采用了出厂默认的无线ADSL猫安全设置,这些设置能让你很便捷地使用无线ADSL猫,但安全防护能力很弱。
一、分久必合的产物
无线ADSL猫是什么呢?无线ADSL猫是分久必合的产物,是电子产品高度集成化后的产物,其集ADSLMODEM和无线AP或无线路由器功能与一身,可大大减少设备的空间占用、连接使用复杂度(省去了多条电源线的麻烦)及成本。当然,与宽带路由器或无线路由器相比,无线ADSL猫只能用于电信、铁通、网通等等ADSL线路,其他线路不支持。
无线ADSL猫市场报价在150-300元左右,可满足中、高阶层住宅和小型企业桥接器与路由器市场的需求,并且为安全性、防火墙和高速网络应用等提供一个理想的作业平台。具备丰富的功能。一般包括整合式的10/100Mbits以太网PHY芯片以及电话线路接口,支持以太网网桥过滤和高级的DMA功能,可运行高级桥接和路由软件,以及管理和控制功能,如嵌入式Web管理和UPnP软件。
运营商一般会提供一些档次较低的无线ADSL猫供用户选择。如中兴531B无线ADSL猫便是中国电信我的E家套餐配送的设备之一,集合了ADSLMODEM、4口交换、路由、54M无线AP四种功能于一体,把原来需要4种设备才可实现的功能集成到一台设备上。
该设备全速率条件下可以提供下行8Mbps,上行1Mbps的传输速率;G.Iite模式下可以提供下行1.5Mbps,上行512Kbps的传输速率。支持HPAuto-MDIX侦测,可自动适配交叉网线;支持DHCP服务器功能,可以动态分配IP地址;支持NAT功能,允许局域网用户同时接入因特网;支持TFTP升级。
二、主流的无线ADSL猫
目前主流的无线ADSL猫都支持ADSL2+,可提供最高达24Mbps的下载速度。
以华为的无线ADSL猫为例,该猫集ADSL猫+无线路由+有线路由+无线AP于一体,支持ADSL2+、内置防火墙,为PC、STB、J-AD、EPHONE提供4个Ethernet接口,只用一个设备就可以多台无线、有线电脑同时上网。支持NAT/防火墙技术和TR069,具有灵活的网络配置和QoS策略;支持家长控制功能;支持数据、通讯和娱乐服务,适合有多台笔记本、台式机的家庭及办公用户。
TP-LINK的TD-W8910G 54M无线ADSL2+路由器也是这样的产品,其集ASDL接人、有线/无线网络连接于一体,允许企业、办公室或家庭中多台PC共享1条ADSL线路、一个Internet ISP账户上网,内置的4个交换端口方便你在无线之外,用有线方式直接连接4台计算机。
最高下行速率可达24Mbps,最高上行速率1Mbps。可对DHCP服务器、虚拟服务器、DMZ主机、静态路由表、DDNS、端口映射等进行管理,同时提供全中文Web配置界面,用户界面友好,配置简单易用,支持软件升级,是一款能让你同时体验有线和无线上网冲浪的产品。
三、无线用户组的安全
无线ADSL猫标示着未来家用网络设备的一个发展方向,在带给用户方便的同时,安全性问题也日益暴露。比如很多用户会发现。在无线信号覆盖区内的未经授权的用户也能通过无线ADSL猫共享上网或进入局域网内部等等。对此该怎么防范呢?
笔者认为可从以下几点入手来进行必要的安全设置。
首先,耍想杜绝其他未经授权的用户轻松地接入无线ADSL猫,可不广播SSlD。SSID(Servlce Set Identifier)也可以写为ESSlD,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSlD就好比有线网络的工作组名称。
默认情况下,无线ADSL猫已启用无线功能,并将SSlD号通过无线信号广播出去,这样凡是在其无线信号覆盖的范围内的具备无线网卡的电脑就能无需任何设置进八该网络。所以。要想获得无线网络的基本安全。就需要将允许广播SSlD前的钩去掉。不广播SSID后,用户要想接入该无线ADSL猫组成的网络就必需输入正确的SSlD号才行。
此外,细心的用户还会发现,同型号乃至同厂家的无线ADSL猫其出厂SSID名称都是一样的。这样,稍有经验的用户在其电脑上也可输入几个大厂出厂默认的SSID名称,一一试之,轻易地进入你的网络。所以,在修改时不要忘了将这个名称改一下,如将TP-LINK无线ADSL猫默认的“TP-LlNK”改为其他易记的名称,如“666888”,必要时还可做定期修改。
四、进一步的安全设置
无线ADSL猫在进行设置时,都是通过WEB界面和其网关地址进行的,而同型号乃至同厂家的无线ADSL猫其出厂IP地址(网关)名称都是一样的,如常见的192.168.1.1或192.168.0.1之类。这样。很多稍有经验的用户就可轻松通过该地址进入你的网络,所以,你可进入无线ADSL猫的WAN或NAT设置选项,将其修改为非厂家出厂默认的JP,如1921681 2或192168 0 3之类。
【安全设置】推荐阅读:
招牌设置安全承诺书09-15
1.建立设置安全管理机构、配备安全管理人员管理制度05-27
2.3关于设置安全管理机构和配备安全管理人员的通知07-08
请柬打印设置07-13
设置动画效果教案05-26
两新党组织设置06-07
秘书机构的设置06-08
炸药库设置方案06-09
问题情境的设置06-21
心理咨询室设置06-21
