System32 文件夹下个别要移除的文件

　　我们就要删除另外600 个 system32 文件...我们要一次把它们全都解决掉.

　　以下是我所删除的 System32 文件列表, 另外还有相关的批处理文件.

　　我不会把自己用的批处理文件给别人的.我已经厌倦别人认为我的批处理文件就是最适合他们的. 其实并不是这么回事.

　　这里有个很简单的例子能够说明原因.我在我用的批处理文件中定义了要删除winfax.dll (Microsoft 传真 API 支持 DLL), 因为我没有传真机. 你直接用我的批处理文件的话, 就会把你的系统中的传真相关文件删掉. 这样, 你的传真机无法正常工作的话. 你就会骂我.

　　到底需要移除哪些 System32 文件, 这应该由你自己来决定. 我已经尽力把相关信息提供给你了, 这些应该可以帮助你决定应当删除哪些文件.

　　如果你想创建你自己的批处理文件的话,请仔细查看相关移除信息, 我会把相应部分的批处理脚本贴上去的, 然后你可以将其粘贴到你自己的批处理文件中.

　　我在我的批处理文件中添加了一个防止出现意外的功能...

　　这些文件会被移动并会被保存下来 (没有直接将其删除...) 备份至 C:/backup.

　　在这个backup 文件夹中有个名为"smart placement"的子文件夹. 其出现的顺序与 XP 中的顺序相同. 首先你会看到 WINDOWS 文件夹. 在 WINDOWS 文件夹中你可以看到 system32 文件夹.

　　我创建这个所谓的 ”smart placement” 就是为了让你明白相关备份文件的来源. 如你所见, 这些批处理文件也可用于其它文件夹中的文件. 反正, Backup 文件夹中的结构与 XP 的相同.

　　请确保在你使用任何注册表清理工具之前, 应当先把 Backup 文件夹中的文件临时删掉...注册表清理工具可能会把注册表中的路径指向 backup 文件夹中的相关路径.

　　将用得到的部分脚本复制粘贴到记事本中. 然后将其另存.

　　代码:

　　________________________________________

　　IF NOT EXIST "c:/backup/WINDOWS/system32" md c:/backup/WINDOWS/system32

　　MOVE c:/WINDOWS/system32/6to4svc.dll c:/backup/WINDOWS/system32/

　　MOVE c:/WINDOWS/system32/aaaamon.dll c:/backup/WINDOWS/system32/

　　MOVE c:/WINDOWS/system32/acledit.dll c:/backup/WINDOWS/system32/

　　MOVE c:/WINDOWS/system32/admparse.dll c:/backup/WINDOWS/system32/

　　________________________________________

　　C:/WINDOWS/system32:

　　12520437.cpx ...代码页转换表.

　　12520850.cpx ... 代码页转换表.

　　6to4svc.dll ....在 IP4网络上提供IPv6 连接的服务

　　aaaamon.dll ....Aaaa Monitor Dll

　　acledit.dll ....访问控制列表编辑器

　　ac3filter.cpl ..ac3filter 控制面板扩展

　　属于我所安装用于看电影的 AC3Filter 编解码器.

　　ahui.exe .......应用程序兼容用户界面

　　ALSNDMGR.CPL ...Realtek AC97 音频控制面板

　　我用 RTLCPL.EXE (Realtek 音频控制面板) 作为代替.

　　amcompat.tlb ...

　　ansi.sys .......

　　apcups.dll .....APC 智能提供程序

　　APPEND.EXE .....(Append). 允许应用程序在当前文件夹中打开指定目录中的数据文件. 此工具源于 MS-DOS 5.0.

　　asctrls.ocx ....Active Setup 控件

　　AT.EXE .........(AT). 用于设置在指定时间和日期执行任务. 需要运行计划任务服务.

　　atkctrs.dll ....Windows NT AppleTalk 性能计数器 dll

　　ATMADM.EXE .....(ATM). ATM 呼叫管理器.

　　auditusr.exe ... 设置每用户审核策略

　　atmfd.dll ......Windows NT OpenType/Type 1 字体驱动

　　atmlib.dll .....Windows NT OpenType/Type 1 API 库.

　　atmpvcno.dll ...Atm Epvc Install DLL

　　atrace.dll .....Async Trace DLL

　　ATTRIB.EXE .....(文件属性). 显示或更改文件属性 (只读, 存档, 隐藏, 或系统).

　　AUTOCONV.EXE ...(自动转换). 用于将 FAT 分区格式转为 NTFS.

　　autodisc.dll ...Windows AutoDiscovery API , 自动收取邮件

　　AUTOFMT.EXE ...(自动格式化). 用于转换文件系统的工具.

　　AUTOLFN.EXE ....长文件名转换工具. 用于 DOS模式下. 能够自动将长文件名转换为8.3 格式.

　　-------------------------------------------------------

　　batt.dll .......电池类安装程序

　　如果你使用笔记本的话, 那么设备管理器会需要这个文件来访问你的电池属性.

　　-------------------------------------------------------

　　bidispl.dll ....Bidispl DLL

　　bios1.rom ......

　　bios4.rom ......

　　bitsprx2.dll ...后台智能传输服务代理

　　bitsprx3.dll ... 后台智能传输服务 2.0 代理

　　blastcln.exe ...Blaster/Nachi 移除工具

　　BOOTOK.EXE .....(启动确认). 在一次成功地登录系统之后, “上次正确的配置” 会用它保存配置参数.

　　BOOTVRFY.EXE ...(启动验证). “上次正确的配置” 会用它验证一个引导选择.

　　browsewm.dll ...BrowseWM Player

　　bthci.dll ......蓝牙类别安装程序

　　bthprops.cpl ...蓝牙控制面板小程序 (无线公司)

　　bthserv.dll ....蓝牙支持服务

　　btpanui.dll ....蓝牙 PAN 用户界面

　-------------------------------------------------------

　　capesnpn.dll ...Microsoft 证书模板管理扩展

　　ccfgnt.dll .....Internet 配置库

　　certmgr.dll ....证书管理工具

　　certmgr.msc .... <-- 证书管理控制台.

　　cdosys.dll .....Microsoft CDO for Windows Library

　　cdfview.dll ....频道定义文件文件查看器

　　cewmdm.dll .....Windows CE WMDM 服务提供程序

　　CHarmAP.EXE ....(字符映射表). 用于显示某个字体所能显示的所有字符.

　　-------------------------------------------------------

　　以下文件没有用批处理文件删除. 需要手动删除它们:

　　cdplayer.exe.manifest

　　logonui.exe.manifest

　　ncpa.cpl.manifest

　　nwc.cpl.manifest

　　sapi.cpl.manifest

　　WindowsLogon.manifest

　　-------------------------------------------------------

　　ChCfg.exe ......?? (我拿它没办法.)

　　chcp.com .......用于更换系统代码页的工具

　　cmos.ram .......

　　CHKNTFS.EXE ....(NTFS 驱动器检查工具). 用于检查 NTFS 分区的完整性.

　　ckcnv.exe ......Cookie 转换工具

　　cnvfat.dll .....FAT 文件系统转换工具 DLL

　　comcat.dll .....Microsoft C 运行时库文件

　　comctl32.ocx ...Windows 通用控件 ActiveX 控件 DLL

　　COMP.EXE .......(比较). 用于比较两个文件之间的差别.

　　compatUI.dll ...CompatUI Module

　　compobj.dll ....OLE 2.1 16/32 互用性

　　-------------------------------------------------------

　　compstui.dll ...通用属性表用户界面DLL

　　没有这个文件的话, 你可能无法访问打印机属性或是打印机参数.

　　-------------------------------------------------------

　　CONFIG.TMP .....

　　confmsp.dll ....Microsoft IP 会议媒体服务提供程序

　　CONIME.EXE .....(输入法控制台). 这个输入法控制台用于转换字符.

　　console.dll ....控制面板控制台小程序

　　control.exe ....Windows 控制面板 (这个不是实际上的控制面板.)

　　CONVERT.EXE ....(转换). 用于将分区格式从 FAT 转为 NTFS 以及从 NTFSv4 转为 NTFSv5.

　　corpol.dll .....Microsoft COM 运行时执行引擎

　　country.sys ....

　　cryptdlg.dll ...Microsoft 通用证书对话框

　　cryptext.dll ...加密外壳扩展

　　cryptnet.dll ...加密网络相关 API

　　CSCRIPT.EXE ....(基于命令行的脚本宿主). 能让你通过命令行运行 VBScript 和 JScript 脚本.

　　ctfmon.exe ....CTF 加载器 (在你安装手写识别, 语音识别, 输入法编辑器之后, 就会在任务栏上显示一个语言栏. 还有, 如果你添加了第二种语言或是键盘布局, 也会导致显示语言栏的.)

　　ctl3d32.dll ....Ctl3D 3D Windows 控件

　　ctl3dv2.dll ....Ctl3D 3D Windows NT(WOW) 控件

　　Dcache.bin .....

　　dbgeng.dll .....符号调试引擎

　　DEBUG.EXE ......(调试程序). 命令行下的调试工具.

　　DEFRAG.EXE .....(磁盘碎片整理). 用于整理磁盘碎片的命令行工具.

　　desktop.ini ....

　　DFRGFAT.EXE ....(FAT 碎片整理工具). 用于整理 FAT 分区上的磁盘碎片.

　　dgnet.dll ......Dgnet Module

　　dgrpsetu.dll ...Digi RealPort? 驱动升级

　　dgsetup.dll ....DGSETUP DLL

　　dhcpmon.dll ....DHCP Monitor Dll

　　dhcpsapi.dll ...DHCP Server API Stub DLL

　　DIANTZ.EXE .....(Cab 打包程序). 用于将文件打包为 .cab 文件.

　　digest.dll .....Digest SSPI 认证包

　　DLLHOST.EXE ....(COM+ 服务器进程). COM+ 进程管理器.

　　DLLHST3G.EXE ...(COM 代替品). 一个 COM+ 进程组件.

　　dmconfig.dll ...逻辑磁盘管理器配置库

　　DOSKEY.EXE .....(DOS 键盘). MS-DOS 5.0 键盘输入历史记录器,能提供宏.

　　DOSX.EXE .......(DOS 扩展器). 一个 DOS 虚拟机 (VDM), 提供标准模式.

　　DRWATSON.EXE ...(Dr. Watson).16位的程序错误监测和记录工具.

　　DRWTSN32.EXE ...(Dr. Watson 32). 32位的程序错误监测和记录工具.

　　dsauth.dll .....用于服务的DS 认证

　　edit.com .......

　　edit.hlp .......

　　EDLIN.EXE ......(编辑行). 基于 DOS 的编辑器.

　　emptyregdb.dat ..

　　encdec.dll .....XDSCodec & Encypter/Decrypter 标识滤镜

　　EqnClass.Dll ...Equinox 多端口串行协同安装程序

　　esent97.dll ....Microsoft(R) Windows NT(TM) 服务器数据库存储引擎

　　esentprf.dll ... 服务器数据库存储性能库

　　esentprf.hxx ...

　　esentprf.ini ...

　　esentutl.exe ... 服务器数据库存储工具

　　EUDCEDIT.EXE ...(私有字符编辑器). 一个造字程序, 可让你创建大约6400 个私有字符.

　　EXE2BIN.EXE ....(Exe to Bin). 基于 DOS, 用于将 .exe 文件转为.bin 文件.

　　EXPAND.EXE .....(Expand). 用于展开 Cab 压缩包中的某些文件.

　　expsrv.dll .....Visual Basic 运行时文件

　　extmgr.dll .....扩展管理器

　　EXTRAC32.EXE ...(CAB 文件提取工具). 用于解压缩 Cab 压缩包

　　exts.dll .......调试器扩展

　　FASTOPEN.EXE ...(快速打开). 一个 DOS 工具, 用于改善系统性能, 加速访问经常用到的文件.

　fc.exe .........文件比较工具

　　fe客户端.dll ...Windows NT 文件加密客户端接口

　　find.exe .......查找字符串 (Grep) 的工具

　　findstr.exe .... 查找字符串 (QGrep) 的工具

　　FIXMAPI.EXE ....(MAPI 修复工具). 探测并解决 (MAPI) 文件出现的问题.

　　fldrclnr.dll ...桌面清理向导

　　fltlib.dll .....筛选库

　　fltMc.exe ......筛选管理器控制程序

　　fontsub.dll ....字体设置DLL

　　FORCEDOS.EXE ...(强制 DOS). 强制在 Windows XP 下将包含 OS/2 和 DOS 代码的程序运行在 DOS 模式下.

　　format.com .....Disk Format Utility格式化命令

　　fsmgmt.msc .....Microsoft 通用控制台文档 (共享文件夹)

　　fsquirt.exe ....(属于蓝牙)

　　fsusd.dll ......摄像头设备 DLL

　　FSUTIL.EXE .....(FSUtil). 一个卷管理工具. 重分析点管理和稀疏文件控制

　　FTP.EXE ........(FTP). 命令行模式下的 FTP 工具.

　　ftsrch.dll .....Microsoft? 文本搜索

　　g711codc.ax ....Intel G711 CODEC

　　gcdef.dll ......游戏控制器的默认表

　　GDI.EXE ........(物理设备接口). 一个核心系统组件, 可以提供 Win16 图形设备接口API l库, 以实现向后兼容.

　　glmf32.dll .....OpenGL Metafiling DLL

　　gpkcsp.dll .....Gemplus 加密服务提供程序

　　gpkrsrc.dll ....Gemplus 加密服务提供程序资源文件

　　graftabl.com ...代码页工具

　　graphics.com ...

　　h323.tsp .......

　　h323msp.dll ....Microsoft H.323 媒体服务提供程序

　　hccoin.dll .....USB 协同安装程序

　　HELP.EXE .......(帮助). 显示 Windows XP 命令的基本常规帮助信息.

　　hidphone.tsp ...

　　hlink.dll ......Microsoft 超链接库

　　hnetmon.dll ....家庭网络监视 DLL

　　hnetwiz.dll ....网络安装向导

　　homepage.inf ...

　　hotplug.dll ....用于安全移除硬件, 比如, U 盘

　　HSFCISP2.dll ...HSF 协同安装程序

　　httpapi.dll ....HTTP 协议堆栈 API

　　iccvid.dll .....(Cinepak? Codec) 用于显示 ’’Cinepak’’ 格式的媒体文件. (非常古老的 AVI 编解码格式.)

　　IE4UINIT.EXE ...(IE 安装工具). IE 5.0 每用户安装工具.

　　iedkcs32.dll ...Microsoft Internet Explorer 定制 DLL

　　ieencode.dll ...Microsoft 字符编码

　　iernonce.dll ...带用户界面的扩展 RunOnce 处理库

　　iesetup.dll ....IOD 版本映射

　　ieuinit.inf ....

　　IEXPRESS.EXE ...(自解压和自安装创建程序). 用于创建自解压包或是自安装程序包.

　　ifmon.dll ......IF Monitor DLL

　　igmpagnt.dll ...Microsoft IGMP subagent

　　ils.dll ........用户位置服务组件模块

　　imeshare.dll ...Microsoft Office IME 共享属性库

　　inetmib1.dll ...Microsoft MIB-II subagent

　　initpki.dll ....Microsoft 受信赖的安装和设置

　　input.dll ......(文本输入 DLL). 语言和区域设置需要这个文件来显示相关对话框

　　inseng.dll .....(安装引擎). Active Setup 安装引擎, 允许打开或执行 cab 文件. 用于控制安装.

　　instcat.sql ....用于安装编录

　　intl.cpl .......区域和语言设置

　　iologmsg.dll ...IO 日志 DLL

　　ipconf.tsp .....

　　iprop.dll ......OLE 属性集

　　ir32_32.dll ....

　　ir41_32.ax .....Intel Indeo? Video 4.5

　　ir41_qc.dll ....Intel Indeo? 视频快速压缩编码器 (文件版本: 4.30.62.2)

　　ir41_qcx.dll ...Intel Indeo?视频快速压缩编码器 (文件版本: 4.30.62.2)

　　ir50_32.dll ....Intel Indeo? video 5.10 (文件版本: 5.2562.15.55)

　　ir50_qc.dll ....Intel Indeo? 5.10视频快速压缩编码器(文件版本: 5.0.63.48 )

　　ir50_qcx.dll ...Intel Indeo? 5.10 视频快速压缩编码器 (文件版本: 5.0.63.48 )

　　irclass.dll ....Infrared Class 协同安装程序

　　isrdbg32.dll ...ISR 32 位调试引擎

　　ivfsrc.ax ......Intel Indeo? 视频IVF 源滤镜 5.10

　　itircl.dll .....Microsoft? InfoTech IR Local DLL

　　itss.dll .......Microsoft? InfoTech 存储系统库文件

　　iyuv_32.dll ....Intel Indeo(R) Video YUV Codec (文件版本: 5.1.2600.2180)

　　jet500.dll .....JET 引擎 DLL

　　jgaw400.dll ....JG 音频接口 DLL (AOL 文件)

　　jgdw400.dll ....JG ART DLL (AOL 文件)

　　jgmd400.dll ....JG MIDI Player DLL (AOL 文件)

　　jgpl400.dll ....JG ART Player DLL (AOL 文件)

　　jgsd400.dll ....JG ART DLL (AOL 文件)

　　jgsh400.dll ....JG 幻灯片播放器 DLL (AOL 文件)

　　jobexec.dll ....Active Setup 任务执行程序

　　joy.cpl ........游戏控制器控制面板小程序

　　jsproxy.dll ....JScript 代理自动配置

　　kd1394.dll .....核心调试程序IEEE 1394 HW Extension DLL

　　kb16.com .......

　　key01.sys ......

　　keyboard.sys ...

　　keymgr.dll .....存储的用户名和密码

　　kmddsp.tsp .....

　　KRNL386.EXE ....(Kernel 386). 包含了用于 Win16 增强模式下的核心Kernel 例程.

　　l3codecp.acm ...MPEG Audio Layer-3 Codec for MSACM (系统默认的 MP3 解码器)

　　LABEL.EXE ......(卷标). 用于显示, 编辑, 或更改驱动器的卷标.

　　lanman.drv .....

　　laprxy.dll .....Windows Media Logagent Proxy

　　licmgr10.dll ...ActiveX 许可管理器

　　LIGHTS.EXE .....(Lights). 在 Win 9x 下通过监视 COM 端口来提供对于调制解调器状态的设置.

　LNKSTUB.EXE ....(Win95-Winnt 迁移工具). 用于把 Windows 95 升级至 Windows.

　　loadfix.com ....

　　localui.dll ....本地监视用户界面 DLL

　　LOCATOR.EXE ....(Locator). 向 Windows XP 的环境添加对于 Remote Procedure Calls (RPCs) 的支持.

　　loghours.dll ...计划对话框

　　lpk.dll ........会话注销工具

　　lusrmgr.msc ....lusrmgr.msc = 本地用户和用户组. 无法在 Home 版 XP上使用这个管理工具. 用于管理电脑上的用户帐号.

　　MAKECAB.EXE ....(Cab 文件创建工具). 用于创建 .cab 压缩包文件.

　　mapi32.dll .....Extended MAPI 1.0 for Windows NT

　　mcastmib.dll ...Microsoft 多播子代理

　　mcd32.dll ......OpenGL MCD 客户端 DLL

　　mcdsrv32.dll ...MCD 服务器

　　mchgrcoi.dll ...中级更改器协同安装程序

　　mciavi32.dll ... Windows MCI 视频驱动

　　mciole16.dll ...MCIOLE16 - OLE Handler DLL for MCI Objects

　　mciole32.dll ...MCI OLE DLL

　　mciwave.dll ....MCI 波形音频驱动

　　mdhcp.dll ......Microsoft MDHCP 客户端 COM 接口

　　mdwmdmsp.dll ...用于 MDM 驱动的WMDM 服务提供程序驱动

　　MEM.EXE ........(Memory). 一个用于显示当前内存状态的命令行工具.

　　mf3216.dll .....32 位至 16 位元文件的转换 DLL

　　mfc40.dll ......MFCDLL 共享库 – 零售版

　　mfc40u.dll .....MFCDLL 共享库 – 零售版

　　mfcsubs.dll ....

　　MSCTFIME.IME ...

　　mgmtapi.dll ....Microsoft SNMP 管理器 API (使用 WinSNMP)

　　mib.bin ........

　　MIGPWD.EXE .....(迁移 dll). 用于 Windows 95 至 Windows NT 的迁移工具.

　　miglibnt.dll ...NT 迁移支持 dll

　　mlang.dat ......

　　mll_hp.dll .....HP 媒体卷标库

　　mll_mtf.dll ....MTF (Microsoft 磁带格式) 媒体卷标库

　　mll_qic.dll ....QIC113媒体卷标库

　　mmdrv.dll ......多媒体核心支持驱动

　　mobsync.dll ....Microsoft 同步管理器

　　MOBSYNC.EXE ....(脱机工作同步程序). 同步脱机网站.

　　mode.com .......DOS 命令

　　modex.dll ......ModeX 显示驱动

　　more.com .......Dos 命令

　　moricons.dll ...Windows NT 安装图标资源库

　　MOUNTVOL.EXE ...(卷加载器). 创建, 列出以及修改你的存储卷加载点.

　　mpg4ds32.ax ....(文件版本: 8.0.0.4487). Microsoft MPEG-4 视频解码器

　　mplay32.exe ....Windows Media Player 5.1 (非常古老的媒体播放器.)

　　MRINFO.EXE .....(多播信息). 用于查询多播路由器接口的命令行工具.

　　msacm.dll ......Microsoft 音频压缩管理器

　　msaatext.dll ... Active Accessibility 文本支持

　　msadds32.ax ....(文件版本: 8.0.0.4487). Windows Media 音频解码器

　　msafd.dll ......Microsoft Windows Sockets 2.0 服务提供程序

　　msapsspc.dll ...32 位平台下的 DPA 客户端

　　msaudite.dll ...安全审核事件 DLL

　　mscat32.dll ....MSCAT32 Forwarder DLL

　　MSCTFP.dll .....MSCTFP Server DLL

　　msdadiag.dll ...Microsoft Data Access – 内建诊断

　　msdart.dll .....Microsoft Data Access - OLE DB 例行运行时

　　msdatsrc.tlb ...

　　msdtcprf.ini ...

　　msencode.dll ...Microsoft 字符编码器

　　msieftp.dll ....Microsoft Internet Explorer FTP 文件夹外壳扩展

　　msimsg.dll .....Windows? Installer 国际消息

　　mslbui.dll .....

　　msnsspc.dll ....MSN Internet Access

　　msobjs.dll .....系统对象审核名称

　　MsPMSNSv.dll ...Microsoft 媒体设备服务提供程序

　　msr2c.dll ......Microsoft Forms DLL

　　msr2cenu.dll ...Microsoft Forms DLL

　　msratelc.dll ...Internet 分级和本地用户管理DLL

　　msrating.dll ...Internet 分级和本地用户管理DLL

　　msrclr40.dll ...Microsoft Jet公文包调解程序

　　msrd2x40.dll ...Microsoft (R) Red ISAM

　　msrd3x40.dll ...Microsoft (R) Red ISAM

　　msrecr40.dll ...Microsoft Jet公文包调解程序资源库

　　msrepl40.dll ...Microsoft 复制库

　　msrle32.dll ....Microsoft RLE 压缩器

　　msscds32.ax ....(文件版本: 8.0.0.4487). Microsoft 屏幕视频解压器

　msscript.ocx ...Microsoft (r) 脚本控件

　　mssign32.dll ...Microsoft 受信赖签证 APIs

　　mssip32.dll ....MSSIP32 Forwarder DLL

　　mstime.dll .....Microsoft (R) 用于 HTML 的定时交互多媒体扩展

　　msswch.dll .....(屏幕键盘). 用于 msswchx.exe.

　　msswchx.exe ....msswchx (属于屏幕键盘.)

　　msutb.dll ......MSUTB 服务器 DLL

　　-------------------------------------------------------

　　msvbvm50.dll ...Visual Basic 虚拟机 (文件版本: 5.2.82.44)

　　这是个老版本的 VB 虚拟机. msvbvm60.dll (也是 VB 虚拟机)文件版本: 6.0.96.90

　　----------------------------------------------

　　msvcirt.dll ....Windows NT IOStreams DLL

　　msvcp50.dll ....Microsoft (R) C++ 运行时库文件

　　msvcrt20.dll ...Microsoft? C运行时库文件

　　msvcrt40.dll ...VC 4.x CRT DLL (向后兼容 msvcrt.dll)

　　msvideo.dll ....Microsoft Video for Windows DLL

　　msxml.dll ......XML OM for Win32

　　msxml2.dll .....XML OM for Win32

　　msxml2r.dll ....XML2 资源文件

　　msxmlr.dll .....XML 资源文件

　　msyuv.dll ......Microsoft UYVY 视频解压器

　　mtxoci.dll .....对于Oracle 的 Microsoft 数据库支持 DLL

　　mydocs.dll .....我的文档文件夹用户界面

　　ncxpnt.dll .....Netork (不是 Network) 安装向导支持 DLL

　　ndptsp.tsp .....

　　NET.EXE ........(Network). 用于管理, 配置和查看与网络相关的信息, 例如 net use, net print, net user, 等等.

　　net.hlp ........

　　NET1.EXE .......(Network). 与 NET.EXE 的功能相同.

　　netapi.dll .....Microsoft 网络动态链接库

　　neth.dll .......网络帮助消息 DLL

　　netplwiz.dll ...映射网络驱动器向导

　　netsetup.cpl ...网络安装向导控制面板小程序

　　NETSETUP.EXE ...(网络安装向导). 通过软盘帮你配置电脑网络.

　　netui0.dll .....NT LM UI Common Code - GUI Classes (文件版本: 5.1.2600.2180)

　　netui1.dll .....NT LM UI Common Code - GUI Classes (文件版本: 5.1.2600.2180)

　　netui2.dll .....NT LM UI Common Code - GUI Classes (文件版本: 5.1.2600.0) <-- 版本要比 netui1.dll 老?

　　netrap.dll .....网罗远程管理协议DLL

　　所有的 "noise", "wbcache" 和 "wbdbase" 文件 (不同语言下的文件) 都可被删除.

　　(它们大都是索引服务用到的文件, 可通过 nLite 删除)

　　(下列文件列在了注册表中的这个位置:

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/ContentIndex/Language)

　　noise.chs <<简体中文

　　noise.cht <<繁体中文

　　noise.dat

　　noise.deu <<...注意: ...DEU = 这是德国的

　　noise.eng

　　noise.enu <<英文

　　noise.esn < noise.fra < noise.ita < noise.nld < noise.sve < noise.tha

　　wbcache.deu

　　wbcache.enu <<英文

　　wbcache.esn < wbcache.fra < wbcache.ita < wbcache.nld < wbcache.sve <

　　wbdbase.deu

　　wbdbase.enu <<英文

　　wbdbase.esn < wbdbase.fra < wbdbase.ita < wbdbase.nld < wbdbase.sve <

　　-------------------------------------------------------

　　npptools.dll ...NPP 工具助手 DLL

　　nscompat.tlb ...

　　NSLOOKUP.EXE ...(域名服务器查寻). 用于显示 DNS 服务器的诊断和统计信息.

　　ntlsapi.dll ....Microsoft? 许可服务器接口 DLL

　　ntdos404.sys ...

　　ntdos411.sys ...

　　ntdos412.sys ...

　　ntdos804.sys ...

　　ntimage.gif ....

　　ntio404.sys ....

　　ntio411.sys ....

　　ntio412.sys ....

　　ntio804.sys ....

　　ntlanman.dll ...Microsoft? 局域网管理器

　　ntlanui.dll ....

　　ntlanui2.dll ...网络对象外壳用户界面

　　NTSD.EXE .......(符号调试器). 系统出问题时, 这个疑难解答工具就会详细列出系统状态.

　　ntsdexts.dll ... Windows 2000 下的符号调试工具

　　nwprovau.dll ...用于 NetWare 提供程序和认证的客户端服务

　　NTVDM.EXE ......(NT DOS 虚拟机). 提供用于 DOS 程序和Windows-on-Windows (WOW—支持 Win16) 的虚拟机.

　　ntvdmd.dll .....NTVDMD.DLL

　　oakley.dll .....Oakley 键盘管理器

　　objsel.dll .....对象挑选对话框

　　occache.dll ....对象控件查看器

　　OSUNINST.EXE ....(卸载工具). 用于卸载Windows XP, 并将其还原到升级前使用的Windows 操作系统. 可在安全模式下运行于命令行模式.

　　-------------------------------------------------------

　　oembios.bin ....

　　oembios.dat ....

　　oembios.sig ....

　　删掉 oembios.sig 的话, 可能会导致系统栏提示 "还剩下X 天用于激活 Windows". 这个可能会发生在 OEM 版 Windows 中. 如果出现了这种情况, 请将其放回.

　　-------------------------------------------------------

　　ole2.dll .......OLE 2.1 16/32相互操作库

　　ole2disp.dll ...OLE 2.1 16/32相互操作库

　　ole2nls.dll ....OLE 2.1 16/32相互操作库

　　oleprn.dll .....Oleprn DLL

　　p2p.dll ........点对点群

　　p2pgasvc.dll ... 点对点群认证服务

　　p2pgraph.dll ... 点对点图形

　　p2pnetsh.dll ... 点对点NetSh 助手

　　p2psvc.dll ..... 点对点服务

　　PACKAGER.EXE ...(Object Packager). 用于在文档中创建嵌入数据的图标链接.

　　panmap.dll .....PANOSE(tm) 字体映射器

　　paqsp.dll ......PaqSP Module

　　pautoenr.dll ...自动注册 DLL

　　pcl.sep ........

　　PENTNT.EXE .....(NT Pentium 测试工具). 一个用于检测你的系统是否有Pentium 浮点运算错误的命令行工具. (我还把在 “性能” 中的快捷方式删掉了).

　　pifmgr.dll .....Windows NT PIF 管理器图标资源库

　　pjlmon.dll .....PJL 语言监视器

　　plustab.dll ....效果控制面板扩展

　　pmspl.dll ......Microsoft 局域网管理器 2.1 网络动态

　　polstore.dll …策略存储 dll

　　powercfg.exe ...电源设置命令行工具

　　pnrpnsp.dll ....PNRP 命名空间提供程序

　　proctexe.ocx ...Intel 程序纹理

　　prodspec.ini ...

　　PROGMAN.EXE ....(程序管理器). 可用于替换 Windows XP 资源管理器的外壳. 它的主界面基于 Windows 3.x, Windows for Workgroups, 和 Windows NT 3.51.

　　pschdcnt.h .....

　　pschdprf.dll ...Microsoft? Windows(TM) PSched 性能监视器

　　pschdprf.ini ...

　　pscript.sep ....

关于 SYN_RECV 的杂七杂八的东西

Posted by kreny at September 8, 2004 10:38 PM | Trackback URL: http://weblog.dalouis.com/cgi-bin/mt-tb.cgi/147

网页在翻页到一个特定的页面的时候，和服务器80端口的连接被中止。

查看了netstat -anlp 发现有类似以下的记录，而IP就是我的。

tcp 0 2560 61.152.251.68:80 60.26.156.241:1523 SYN_RECV -

由于可能是程序的问题，因为仅仅在浏览这张网页的时候会出现这个问题，但是还是在netstat里面偶尔会看到几个 SYN_RECV ,所以就google了一下，在此总结一下。

1.对于大量的 SYN_RECV

若怀疑是SYN Flood攻击，有以下建议:

这个攻击的解决方法如下：

1，增加未完成连接队列（q0)的最大长度。

echo 1280>;/proc/sys/net/ipv4/tcp_max_syn_backlog

2, 启动SYN_cookie。

echo 1>;/proc/sys/net/ipv4/tcp_syncookies

这些是被动的方法，治标不治本。而且加大了服务器的负担，但是可以避免被拒绝攻击（只是减缓） 治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中,如果对 /proc/sys/net/ipv4 下的配置文件进行解释，可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。

关于 syn cookies， 请参阅 <>; http://cr.yp.to/syncookies.html,也许使用mod_limitipconn.c来限制apache的并发数 也会有一定的帮助。最终，仅仅修改了这个参数，但是也加上了iptables的防火墙规则，问题解决。

2.什麼是 TCP SYN Flood 攻擊

TCP SYN Flood是一種常見，而且有效的遠端(遠程)拒絕服務(Denial of Service)攻擊方式，它透過一定的操作破壞TCP三次握手建立正常連接，佔用並耗費系統資源，使得提供TCP服務的主機系統無法正常工作。 由於TCP SYN Flood是透過網路底層對服務器Server進行攻擊的，它可以在任意改變自己的網路IP地址的同時，不被網路上的其他設備所識別，這樣就給防範網路犯罪部門追查犯罪來源造成很大的困難。 在國內內外的網站中，這種攻擊屢見不鮮。在一個拍賣網站上，曾經有犯罪分子利用這種手段，在低價位時阻止其他用戶繼續對商品拍賣，干擾拍賣過程的正常運作。

系統檢查

一般情況下，可以一些簡單步驟進行檢查，來判斷系統是否正在遭受TCP SYN Flood攻擊。

1、 服務端無法提供正常的TCP服務。連接請求被拒絕或超時。

2、透過 netstat -an 命令檢查系統，發現有大量的SYN_RECV連接狀態。

3. iptables的设置，引用自CU

防止同步包洪水（Sync Flood）

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

也有人写作

#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改

防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

附：

Iptables 指南 1.1.19

防火墙例子：

在Linux上使用iptables命令，建立一个个人防火墙

参阅：

proc文件系统面面谈

http://www.linuxaid.com.cn 02-01-16 21:34 5467p ideal

----------------------------------------------------------------------

什么是proc文件系统

proc文件系统是一个伪文件系统，它只存在内存当中，而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过proc得到系统的信息，并可以改变内核的某些参数。由于系统的信息，如进程，是动态改变的，所以用户或应用程序读取proc文件时，proc文件系统是动态从系统内核读出所需信息并提交的。它的目录结构如下：

目录名称 目录内容

apm 高级电源管理信息

cmdline 内核命令行

Cpuinfo 关于Cpu信息

Devices 可以用到的设备（块设备/字符设备）

Dma 使用的DMA通道

Filesystems 支持的文件系统

Interrupts 中断的使用

Ioports I/O端口的使用

Kcore 内核核心印象

Kmsg 内核消息

Ksyms 内核符号表

Loadavg 负载均衡

Locks 内核锁

Meminfo 内存信息

Misc 杂项

Modules 加载模块列表

Mounts 加载的文件系统

Partitions 系统识别的分区表

Rtc 实时时钟

Slabinfo Slab池信息

Stat 全面统计状态表

Swaps 对换空间的利用情况

Version 内核版本

Uptime 系统正常运行时间

并不是所有这些目录在你的系统中都有，这取决于你的内核配置和装载的模块。另外，在/proc下还有三个很重要的目录：net，scsi和sys。Sys目录是可写的，可以通过它来访问或修改内核的参数（见下一部分），而net和scsi则依赖于内核配置。例如，如果系统不支持scsi，则scsi目录不存在。

除了以上介绍的这些，还有的是一些以数字命名的目录，它们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在/proc下，以进程的PID号为目录名，它们是读取进程信息的接口。而self目录则是读取进程本身的信息接口，是一个link。Proc文件系统的名字就是由之而起。进程目录的结构如下：

目录名称 目录内容

Cmdline 命令行参数

Environ 环境变量值

Fd 一个包含所有文件描述符的目录

Mem 进程的内存被利用情况

Stat 进程状态

Status 进程当前状态，以可读的方式显示出来

Cwd 当前工作目录的链接

Exe 指向该进程的执行命令文件

Maps 内存映象

Statm 进程内存状态信息

Root 链接此进程的root目录

用户如果要查看系统信息，可以用cat命令。例如：

# cat /proc/interrupts  
CPU0  
0: 8728810 XT-PIC timer  
1: 895 XT-PIC keyboard  
2: 0 XT-PIC cascade  
3: 531695 XT-PIC aha152x  
4: 2014133 XT-PIC serial  
5: 44401 XT-PIC pcnet_cs  
8: 2 XT-PIC rtc  
11: 8 XT-PIC i82365  
12: 182918 XT-PIC Mouse  
13: 1 XT-PIC fpu PS/2  
14: 1232265 XT-PIC ide0  
15: 7 XT-PIC ide1  
NMI: 0
 
用户还可以实现修改内核参数。在/proc文件系统中有一个有趣的目录：/proc/sys。它不仅提供了内核信息，而且可以通过它修改内核参数，来优化你的系统。但是你必须很小心，因为可能会造成系统崩溃。最好是先找一台无关紧要的机子，调试成功后再应用到你的系统上。

要改变内核的参数，只要用vi编辑或echo参数重定向到文件中即可。下面有一个例子：

# cat /proc/sys/fs/file-max  
4096  
# echo 8192 >; /proc/sys/fs/file-max  
# cat /proc/sys/fs/file-max  
8192
 
如果你优化了参数，则可以把它们写成添加到文件rc.local中，使它在系统启动时自动完成修改。

/proc文件系统中网络参数
在/proc/sys/net/ipv4/目录下，包含的是和tcp/ip协议相关的各种参数，下面我们就对这些网络参数加以详细的说明。

ip_forward 参数类型：BOOLEAN

0 - 关闭(默认值)

not 0 - 打开ip转发

在网络本地接口之间转发数据报。该参数非常特殊，对该参数的修改将导致其它所有相关配置参数恢复其默认值(对于主机参阅RFC1122，对于路由器参见RFC1812)

ip_default_ttl 参数类型：INTEGER

默认值为 64 。表示IP数据报的Time To Live值。

ip_no_pmtu_disc 参数类型：BOOLEAN

关闭路径MTU探测，默认值为FALSE

ipfrag_high_thresh 参数类型：整型

用来组装分段的IP包的最大内存量。当ipfrag_high_thresh数量的内存被分配来用来组装IP包，则IP分片处理器将丢弃数据报直到ipfrag_low_thresh数量的内存被用来组装IP包。

ipfrag_low_thresh 参数类型：整型

参见ipfrag_high_thresh。

ipfrag_time 参数类型：整型

保存一个IP分片在内存中的时间。

inet_peer_threshold 参数类型：整型

INET对端存储器某个合适值，当超过该阀值条目将被丢弃。该阀值同样决定生存时间以及废物收集通过的时间间隔。条目越多﹐存活期越低﹐GC 间隔越短

inet_peer_minttl 参数类型：整型

条目的最低存活期。在重组端必须要有足够的碎片(fragment)存活期。这个最低存活期必须保证缓冲池容积是否少于 inet_peer_threshold。该值以 jiffies为单位测量。

inet_peer_maxttl 参数类型：整型

条目的最大存活期。在此期限到达之后﹐如果缓冲池没有耗尽压力的话(例如﹐缓冲池中的条目数目非常少)﹐不使用的条目将会超时。该值以 jiffies为单位测量。

inet_peer_gc_mintime 参数类型：整型

废物收集(GC)通过的最短间隔。这个间隔会影响到缓冲池中内存的高压力。 该值以 jiffies为单位测量。

inet_peer_gc_maxtime 参数类型：整型

废物收集(GC)通过的最大间隔，这个间隔会影响到缓冲池中内存的低压力。 该值以 jiffies为单位测量。

tcp_syn_retries 参数类型：整型

对于一个新建连接，内核要发送多少个 SYN 连接请求才决定放弃。不应该大于255，默认值是5，对应于180秒左右。

tcp_synack_retries 参数类型：整型

对于远端的连接请求SYN，内核会发送SYN ＋ ACK数据报，以确认收到上一个 SYN连接请求包。这是所谓的三次握手( threeway handshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的 SYN+ACK 数目。

tcp_keepalive_time 参数类型：整型

当keepalive打开的情况下，TCP发送keepalive消息的频率，默认值是2个小时。

tcp_keepalive_probes 参数类型：整型

TCP发送keepalive探测以确定该连接已经断开的次数，默认值是9。

tcp_keepalive_interval 参数类型：整型

探测消息发送的频率，乘以tcp_keepalive_probes就得到对于从开始探测以来没有响应的连接杀除的时间。默认值为75秒，也就是没有活动的连接将在大约11分钟以后将被丢弃。

tcp_retries1 参数类型：整型

当出现可疑情况而必须向网络层报告这个可疑状况之前﹐需要进行多少次重试。最低的 RFC 数值是 3 ﹐这也是默认值﹐根据RTO的值大约在3秒 - 8分钟之间。

tcp_retries2 参数类型：整型

在丢弃激活的TCP连接之前﹐需要进行多少次重试。RFC1122规定，该值必须大于100秒。默认值为15，根据RTO的值来决定，相当于13-30分钟，

tcp_orphan_retries 参数类型：整型

在近端丢弃TCP连接之前﹐要进行多少次重试。默认值是 7 个﹐相当于 50秒 - 16分钟﹐视 RTO 而定。如果您的系统是负载很大的web服务器﹐那么也许需要降低该值﹐这类 sockets 可能会耗费大量的资源。另外参的考 tcp_max_orphans 。

tcp_fin_timeout 参数类型：整型

对于本端断开的socket连接，TCP保持在FIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值为 60 秒。过去在2.2版本的内核中是 180 秒。您可以设置该值﹐但需要注意﹐如果您的机器为负载很重的web服务器﹐您可能要冒内存被大量无效数据报填满的风险﹐FIN-WAIT-2 sockets 的危险性低于 FIN-WAIT-1 ﹐因为它们最多只吃 1.5K 的内存﹐但是它们存在时间更长。另外参考 tcp_max_orphans。

tcp_max_tw_buckets 参数类型：整型

系统在同时所处理的最大timewait sockets 数目。如果超过此数的话﹐time-wait socket 会被立即砍除并且显示警告信息。之所以要设定这个限制﹐纯粹为了抵御那些简单的 DoS 攻击﹐千万不要人为的降低这个限制﹐不过﹐如果网络条件需要比默认值更多﹐则可以提高它(或许还要增加内存)。

tcp_tw_recycle 参数类型：布尔

打开快速 TIME-WAIT sockets 回收。默认值是1。除非得到技术专家的建议或要求﹐请不要随意修改这个值。

tcp_max_orphans 参数类型：整型

系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量﹐那么不属于任何进程的连接会被立即reset，并同时显示警告信息。之所以要设定这个限制﹐纯粹为了抵御那些简单的 DoS 攻击﹐千万不要依赖这个或是人为的降低这个限制

tcp_abort_on_overflow 参数类型：布尔

当守护进程太忙而不能接受新的连接，就象对方发送reset消息，默认值是false。这意味着当溢出的原因是因为一个偶然的猝发，那么连接将恢复状态。只有在你确信守护进程真的不能完成连接请求时才打开该选项，该选项会影响客户的使用。

tcp_syncookies 参数类型：整型

只有在内核编译时选择了CONFIG_SYNCOOKIES时才会发生作用。当出现syn等候队列出现溢出时象对方发送syncookies。目的是为了防止syn flood攻击。默认值是false。

注意：该选项千万不能用于那些没有收到攻击的高负载服务器，如果在日志中出现synflood消息，但是调查发现没有收到synflood攻击，而是合法用户的连接负载过高的原因，你应该调整其它参数来提高服务器性能。参考: tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow.

syncookie严重的违背TCP协议，不允许使用TCP扩展，可能对某些服务导致严重的性能影响(如SMTP转发)。

tcp_stdurg 参数类型：整型

使用 TCP urg pointer 字段中的主机请求解释功能。大部份的主机都使用老旧的 BSD解释，因此如果您在 Linux 打开它﹐或会导致不能和它们正确沟通。默认值为为﹕FALSE

tcp_max_syn_backlog 参数类型：整型

对于那些依然还未获得客户端确认的连接请求﹐需要保存在队列中最大数目。对于超过 128Mb 内存的系统﹐默认值是 1024 ﹐低于 128Mb 的则为 128。如果服务器经常出现过载﹐可以尝试增加这个数字。警告﹗假如您将此值设为大于 1024﹐最好修改 include/net/tcp.h 里面的 TCP_SYNQ_HSIZE ﹐以保持 TCP_SYNQ_HSIZE*16<=tcp_max_syn_backlog ﹐并且编进核心之内。

tcp_window_scaling 参数类型：布尔

正常来说，TCP/IP 可以接受最大到65535字节的 windows。对于宽带网络，该值可能是不够的，通过调整该参数有助于提高宽带服务器性能。

tcp_timestamps 参数类型：布尔

Timestamps 用在其它一些东西中﹐可以防范那些伪造的 sequence 号码。一条1G的宽带线路或许会重遇到带 out-of-line数值的旧sequence 号码(假如它是由于上次产生的)。Timestamp 会让它知道这是个 ''旧封包''。

tcp_sack 参数类型：布尔

使用 Selective ACK﹐它可以用来查找特定的遗失的数据报--- 因此有助于快速恢复状态。

tcp_fack 参数类型：布尔

打开FACK拥塞避免和快速重传功能。

tcp_dsack 参数类型：布尔

允许TCP发送"两个完全相同"的SACK。

tcp_ecn 参数类型：布尔

打开TCP的直接拥塞通告功能。

tcp_reordering 参数类型：整型

TCP流中重排序的数据报最大数量默认值是 3 。

tcp_retrans_collapse 参数类型：布尔

对于某些有bug的打印机提供针对其bug的兼容性。

tcp_wmem - 三个整数的向量： min, default, max

min：为TCP socket预留用于发送缓冲的内存最小值。每个tcp socket都可以在建议以后都可以使用它。默认值为4K。

default：为TCP socket预留用于发送缓冲的内存数量，默认情况下该值会影响其它协议使用的net.core.wmem_default 值，一般要低于net.core.wmem_default的值。默认值为16K。

max: 用于TCP socket发送缓冲的内存最大值。该值不会影响net.core.wmem_max，今天选择参数SO_SNDBUF则不受该值影响。默认值为128K。

tch_rmem - 三个整数的向量： min, default, max

min：为TCP socket预留用于接收缓冲的内存数量，即使在内存出现紧张情况下tcp socket都至少会有这么多数量的内存用于接收缓冲，默认值为8K。

default：为TCP socket预留用于接收缓冲的内存数量，默认情况下该值影响其它协议使用的 net.core.wmem_default 值。该值决定了在tcp_adv_win_scale、tcp_app_win和tcp_app_win:0是默认值情况下，tcp 窗口大小为65535。

max：用于TCP socket接收缓冲的内存最大值。该值不会影响 net.core.wmem_max，今天选择参数 SO_SNDBUF则不受该值影响。默认值为 128K。默认值为87380*2 bytes。

tcp_mem - 三个整数的向量： low, pressure, high

low：当TCP使用了低于该值的内存页面数时，TCP不会考虑释放内存。

pressure：当TCP使用了超过该值的内存页面数量时，TCP试图稳定其内存使用，进入pressure模式，当内存消耗低于low值时则退出pressure状态。

high：允许所有tcp sockets用于排队缓冲数据报的页面量。

一般情况下这些值是在系统启动时根据系统内存数量计算得到的。

tcp_app_win - 整数

保留max(window/2^tcp_app_win, mss)数量的窗口由于应用缓冲。当为0时表示不需要缓冲。默认值是31。

tcp_adv_win_scale - 整数

计算缓冲开销bytes/2^tcp_adv_win_scale(如果tcp_adv_win_scale >; 0)或者bytes-bytes/2^(-tcp_adv_win_scale)(如果tcp_adv_win_scale <= 0），默认值为2。

ip_local_port_range - 两个整数

定于TCP和UDP使用的本地端口范围，第一个数是开始，第二个数是最后端口号，默认值依赖于系统中可用的内存数：

>; 128Mb 32768-61000

< 128Mb 1024-4999 or even less.

该值决定了活动连接的数量，也就是系统可以并发的连接数

icmp_echo_ignore_all - 布尔类型

icmp_echo_ignore_broadcasts - 布尔类型

如果任何一个设置为true(>;0)则系统将忽略所有发送给自己的ICMP ECHO请求或那些广播地址的请求。

icmp_destunreach_rate - 整数

icmp_paramprob_rate - 整数

icmp_timeexceed_rate - 整数

icmp_echoreply_rate - 整数(not enabled per default)

限制发向特定目标的ICMP数据报的最大速率。0表示没有任何限制，否则表示jiffies数据单位中允许发送的个数。

icmp_ignore_bogus_error_responses - 布尔类型

某些路由器违背RFC1122标准，其对广播帧发送伪造的响应来应答。这种违背行为通常会被以告警的方式记录在系统日志中。如果该选项设置为True，内核不会记录这种警告信息。默认值为False。

(1) Jiffie: 内核使用的内部时间单位，在i386系统上大小为1/100s，在Alpha中为1/1024S。在/usr/include/asm/param.h中的HZ定义有特定系统的值。

conf/interface/*:

conf/all/*是特定的，用来修改所有接口的设置，is special and changes the settings for all interfaces.

Change special settings per interface.

log_martians - 布尔类型

记录带有不允许的地址的数据报到内核日志中。

accept_redirects - 布尔类型

收发接收ICMP重定向消息。对于主机来说默认为True，对于用作路由器时默认值为False。

forwarding - 布尔类型

在该接口打开转发功能

mc_forwarding - 布尔类型

是否进行多播路由。只有内核编译有CONFIG_MROUTE并且有路由服务程序在运行该参数才有效。

proxy_arp - 布尔类型

打开proxy arp功能。

shared_media - 布尔类型

发送(路由器)或接收(主机) RFC1620 共享媒体重定向。覆盖ip_secure_redirects的值。默认为True。

secure_redirects - 布尔类型

仅仅接收发给默认网关列表中网关的ICMP重定向消息，默认值是TRUE。

send_redirects - 布尔类型

如果是router，发送重定向消息，默认值是TRUE

bootp_relay - 布尔类型

接收源地址为0.b.c.d，目的地址不是本机的数据报。用来支持BOOTP转发服务进程，该进程将捕获并转发该包。默认为False，目前还没有实现。

accept_source_route - 布尔类型

接收带有SRR选项的数据报。对于主机来说默认为False，对于用作路由器时默认值为True。

rp_filte 参数类型

1 - 通过反向路径回溯进行源地址验证(在RFC1812中定义)。对于单穴主机和stub网络路由器推荐使用该选项。

0 - 不通过反向路径回溯进行源地址验证。

默认值为0。某些发布在启动时自动将其打开。

WARNING<10307> - Replication - conn=-1 op=-1 msgId=-1 - Configuration warning Tombstone purging internal search is unindexed in replica

This is a known problem (bug 6175472) and the fix is already available in 5.2p6. Look for the script called

<serverroot>/bin/slapd/admin/bin/ActivateFix6175472. Run it as:

# <server root>/bin/slapd/admin/bin/ActivateFix6175472 <server-root>/slapd-whatever

This will shutdown the instance, modify dse.ldif, define and create a vlv index (for the tombstone entries) and

start the instance back up. Beware that if any of your entries have the objectclass definition in mixed case

(objectClass etc), the script might not work as expected.

Easiest way to check is:
# cd <server-root>/slapd-whatever/config
# grep -i objectclass dse.ldif | grep -v objectclass

If nothing is returned, then you're all set to run the script. If not, you'll have to contact Sun Support (quoting

bug 6692944) for a fix to the script that handles entries in a case insensitive manner.

/var/Sun/mps/bin/slapd/admin/bin/ActivateFix6175472 /var/Sun/mps/slapd-whatever

    偶然在网上看到了耶鲁大学的网上公开课程录像，非常过瘾。然后发现美国几家顶级名校都有自己的网上公开课。其中耶鲁口碑最佳，皆因其录像制作精良，令观者感觉犹如置身课堂。大学做到这个份上，太伟大了。

    《FT》网站上的一篇文章评论说：“如果大学的使命是通过研究创造知识，通过教学传播知识，那么以互联网为载体，突破地域和时间限制，向更广泛的人群撒播知识，应该是大学的终极使命了。值得留意的是，在免费网络高等教育中开先河的，都是著名的私立大学。也就是说，在这些大学里就读的大多数佼佼者们，都必须付出高昂的学费；而这些宝贵的免费网络资源，也不是免费得来的。耶鲁的每门网络公开课，都需要三到四万美金的制作费，这些钱大多来自休利特（Hewlett）基金。虽然公开课的目的并不是“复制耶鲁教育”，也就是说尽管资源丰富，像我这样的学生，既没有同学，也无法和教员保持密切联络，更不能参加任何耶鲁考试以此获得任何学分，但耶鲁公开课程始终以“质量保证”作为准则，所有公开课程几乎都是本就在耶鲁校园广受欢迎的“好课”，教授也几乎都是在本领域颇有建树的专家。这个秋季，耶鲁的网络公开课将增扩至36门，正是耶鲁四年前创建网络公开课时的预定目标。”

    以下是美国几大名校公开课程的网址。如果链接不上，可以到电驴上去下载。

耶鲁大学公开课程：http://oyc.yale.edu/

麻省理工大学公开课程：http://ocw.mit.edu/

斯坦福大学公开课程：http://itunes.stanford.edu/

加州大学伯克利分校公开课程：http://webcast.berkeley.edu/courses.php

卡内基·梅隆大学公开课程：http://oli.web.cmu.edu/openlearning/

ITUNES U 和 YOUTUBE.COM/EDU——通过这两家媒体，可以找到众多录像和录音课程。其中YOUTUBE已有300家大学的200门课程和六万堂录像课。

Academicearth.org——拥有十所顶尖大学，130门课程，3,500堂录像课。同样附有收费网络大学学位的咨询，多为著名学府如哈佛网大等。

Ocwconsortium.org——搜罗了全世界250所大学的13,000网络课程。

1Kerberos的原理

Kerberos采用可信赖第三方服务器进行密钥分发和身份确认，包括：

① 对用户认证
② 对应用服务的提供者进行认证。

此外，还可根据用户要求提供客户/服务器间的数据加密与完整性服务。

RFC1510协议文件对V5作了如下说明：

Kerberos提供了在开放型网络中进行身份认证的方法，认证实体可以是用户或用户服务。这种认证不依赖宿主机的操作系统或主机的IP地址，不需要保证网络上所有主机的物理安全性，并且假定数据包在传输中可被随机窃取篡改。

2Kerberos的主要概念及一个工作模型

DES：对信息加密的算法。V4只支持这一DES(数据加密标准)算法，V5采用独立的加密模块，可用其它加密算法替换。

主体Principal:用户或服务，具体格式为〈登录名Primary name，实体名lnstance,域名realm〉

许可证Ticket:向Kerberos server认证的凭证。

格式〈Primary name,会话密钥Sessionkey，时间戳Timestamp〉会话密钥Session key:两个主体通信的临时密钥。

KDC(密钥发送中心)：包括认证服务器AS(Authenticatin server)

用于用户的初始认证服务。

和TGS(Ticket Granting server)许可证认证服务器。

AS和TGS同驻于一台主机上。

认证符Authenticator.用户创建的令牌。发送给服务器用于证明用户身份
格式〈primary name ,timestamp>

一个Kerberos服务器也称为密钥分发中心KDC，维护着一个数据库.里面保存着所辖域内的用户及服务器的DES密钥。DES密钥基于用户口令而生。用户首次注册时，系统根据用户口令生成密钥。应用服务器向KDC注册也生成密钥，这个密钥既存放在KDC上，也存于该服务器的主机上。

现在假定一用户需要某应用服务器提供服务，工作模型如下：

(电子版中略）

从此例可以看出，基于Needham-schroeder密钥协议的Kerberos系统保障了网络传输和通信的安全。

但用户的负担十分繁重：用户的目的是得到应用服务器S的服务，却不得不积极地申请许可证!

在KerberosV4版里，为防止“重放”攻击，nonce由时间戳实现，这就带来了时间同步问题。即使利用网络时间协议(Network Time Protocol)或国际标准时间(Coordinated universal time)能在一定程度上解决时间同步问题，用户需要承担的责任也令人忍受。

Kerberos V5 版允许nonce可以是一个数字序列，但要求它唯一。由于服务器无法保证不同用户的nonce不冲突，偶然的冲突可能将合法用户的服务器申请当作重放攻击而拒之门外。

简言之，从没有网络安全知识的用户角度来看，Kerberos以加大用户参与安全保证的力度（而他们并不具备这方面的知识更没有耐心）来保障通信的安全，这种做法并不可行。

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/zns2002/archive/2006/02/07/593872.aspx

Kerbose 学习 
 
这是MIT（Massachusetts Institute of Technology）为了帮助人们理解Kerberos的原理而写的一篇对话集。里面有两个虚构的人物：Athena和Euripides，通过Athena不断的构思和Euripides不断的寻找其中的漏洞，使大家明白了Kerberos协议的原理。
　　Athena: 雅典娜，智慧与技艺的女神。
　　Euripides:欧里庇得斯, 希腊的悲剧诗人。
译文如下：
第一幕
在一个小工作间里。Athena和Euripides正在相邻的终端上工作。
Athena: 嗨，这个分时操作系统实在太慢了。我根本无法工作，因为每个人都登上去了。

Euripides: 不要对我报怨。我只是在这工作。
Athena: 你知道我们需要什么吗？我们需要给每一个人一台工作，这样大家就不会担心计算机的速度了。并且，我们需要一个网络把所有的计算机都联起来。
Euripides: 好。那么我们差不多要一千台工作站？
Athena: 差不多吧。
Euripides: 你知道一台普通的工作站的硬盘有多大吗？那里放不下所有的软件。
Athena: 我已经有主意了。我们可以把系统软件放到服务器上。当你登录到工作站的时候，工作站会通过网络与其中一台服务器上的系统软件联系。这样的设置让一组工作站都使用同一份系统软件，并且利于系统软件的升級。只需改动服务器就可以了。
Euripides: 好的。个人的文件怎到办呢？在分时操作系统上，我可以登录并从终端上取走我的文件。我能到工作站上取我的文件吗？我要象PC用户一样把我的文件放到磁盘上去吗？我希望不。
Athena: 我想我们可以其它机器来存文件。你可以到任何一台机器上登录去取你的文件。
Euripides: 打印怎么办呢？每个工作站都要有自已的打印机吗？谁来付钱？电子邮件呢？你怎么把邮件送到所有的工作站上去呢？
Athena: 啊.....很明显我们没钱为每个人配一台打印机，但我们有专门的机器做打印服务。你把请求送到服务器，它就为你打印。邮件也可以这样做。专门有一台邮件服务器。你如果想要你的邮件，就联系邮件服务器，取走你的邮件。
Euripides: 你的工作站系统听起来很不错。如果我有一台，你知道我要做什么吗？我要找出你的用户名，让我的工作站认为我就是你。然后我就去邮件服务器取走你的邮件。我会联上你的文件服务器，移走你的文件，然后－－
Athena: 你能做得到吗？
Euripides: 当然！这些网络服务器怎么会知道我不是你?
Athena: 嗯，我不知道.我想我需要认真思考一下.
Euripides: 好吧。你想出来后告诉我.
第二幕
Euripides的办公室，第二天早上。Euripides坐在他的桌子旁边，读着他的邮件。Athena来敲门.
Athena: 我已经想出怎样保护一个开放的网络系统，使象你那样不道德的人不能用别人的名字使用网络服务。
Euripides: 真的吗？坐吧。
她坐下了。
Athena: 在我开始描述之前，我可以为我们的讨论先做一个约定吗？
Euripides: 什么约定？
Athena: 好，假设我这样说:"我想要我的邮件，于是我与邮件服务器联系，请求它把邮件送到我的工作站上来。"实际上我并没有联系服务器。我用一个程序来与服务器联系并取得我的邮件，这个程序就是这个服务的客户端。 但我不想每次与服务器交互的时侯说:"客户端怎样怎样".我只想说:"我怎样怎样,"记住，客户端在代表我做所有的事。这样可以吗？
Euripides: 当然。没问题.
Athena: 好。那么我要开始阐述我所解决的问题了。在一个开放的网络环境中，提供服务的机器必须能够识别请求服务的实体的身份。如果我去邮件服务器申请我的邮件，服务程序必须能够验证我就是我所申明的那个人。
Euripides: 没错.
Athena: 你可以用一个笨办法解决这个问题：服务器让你输入你的口令。通过输口令的办法我可以证明我是谁。
Euripides: 那确实很笨拙。在像那样的系统里面，每一个服务器必须知道你的口令。如果网络有一千个用户,那每个服务器就要知道一千个口令。如果你想改变口令，你就必须联系所有服务器，通知它们修改口令。我想你的系统不会那么笨。
Athena: 我的系统没那么笨。它是象这样工作的：不光人有口令，服务也有口令。每个用户知道他们自已的口令，每个服务也知道它自已的口令。有一个认证服务知道所有的口令，用户的和服务的。认证服务把口令保存在一个单独的中央数据库中。
Euripides: 这个认证服务有一个名字吗？
Athena: 我还没想好。你想一个吧？
Euripides: 把死人送过冥河的人是谁？
Athena: Charon?
Euripides: 对，就是他。如果他不能证实你的身份的话，他就不会把你送过河。
Athena: 你瞎编，是不是想重写希腊神话。Charon不关心你的身份，他只是确定你死了
没有。
Euripides: 你有更好的名字吗？
停了一下。
Athena: 没有，真的没有。
Euripides: 好，那我们就把这个认证服务“Charon”。
Athena: 好，我猜我该描述一下这个系统了吧，嗯?
比如说我们想要一种服务：邮件。在我的系统里面你无法使用一种服务，除非Charon告诉服务你确实是你所申明的人。也就是说你必须得到Charon的认证才能使用服务。当你向Charon请求认证的时候，你必须告诉Charon你要使用哪一个服务。如果你想用邮件，你要告诉Charon。 Charon请你证明你的身份。于是你送给它你的密码。Charon把你的密码和它数据库中的密码相比较。如果相等，Charon就认为你通过了验证。 Charon现在就要让邮件服务知道你通过了验证。既然Charon知道所有服务的密码，它也知道邮件服务的密码。Charon把邮件服务的密码给你，你就可以使用这个密码使邮件服务相信你已通过验证。 问题是，Charon不能直接给你密码，因为你会知道它。下次你想要邮件服务的时候，你就会绕过Charon使用邮件服务而不需要认证。你也可以假装某人来使用邮件服务。 所以不是直接给你邮件服务的密码，Charon给你一张邮件服务的“票”。这张票含有你的名字，并且名字是用邮件服务的密码加密的。 拿到票，你就可以向邮件服务请求你的邮件。你向邮件服务提出请求，并用你的票来证明你的身份。 服务用它自已的密码来把票解密，如果票能被正确的解密，服务器将票里的用户名取出。服务把这个名字和随票一起送上的用户名进行比较。如果相符，服务器就认为你通过了验证，就把你的邮件发给你。
你认为怎么样？
Euripides: 我有些问题。
Athena: 我猜到了。请讲。
Euripides: 当服务解密一张票的时候，它如何知道它是被正确的解密的？
Athena: 我不知道。
Euripides: 也许你应该在票里包含有服务的名字。这样当服务解密票的时候，它就可以通过能否在票中找到自已的名字来判断解密是否正确。
Athena: 很好。那票就应该是这个样子：
(她把下面的东西写在了一张纸上)
票-{用户名：服务名}
Euripides: 那票就只包含用户名和服务名？
Athena: 用服务的口令加密。
Euripides: 我不认为这些信息就可以让票安全。
Athena: 什么意思？
Euripides: 假设你向Charon请求一张邮件服务的票。Charon准备了一张有你名字“tina”
的票。假设在当票从Charon传给你的过程中我拷了一份。假设我让我的工作站相信我的用户名是”tina“。邮件客户程序认为我就是你。用你的名字邮件客户程序用偷来的票向邮件服务器提出请求。邮件服务器把票解密，认为它是合法的。票里的用户名和发送该票的用户名是匹配的。邮件服务器就会发给 我你的邮件。
Athena: 喔!那可不太好。
Euripides: 但是我想到了一个办法来解决这个问题。或者说部分解决。我想Charon应该在票中包含更多的信息。除了用户名，票还应包含请求票的用户的IP地址。这将给你增加一层安全性。 我来演示。假设现在我偷了你的票。这票有你工作站的IP地址，并且这地址配不上我的
工作站的地址。用你的名字我把偷来的票送给邮件服务器。服务程序把用户名和网络地址从票中解出，并试图匹配用户名和网络地址。用户名匹配可网络地址不匹配。服务器拒绝了这张票，因为它明显是偷来的。
Athena: 英雄，英雄!我怎么会没想到。
Euripides: 好了，这就是我要表述的。
Athena: 那么票应该是这个样子的。
她把下面的东西写在了黑板上。
票-{用户名：地址：服务名}
Athena: 现在我真的很激动。让我们来建一个Charon系统看看它是否工作!
Euripides: 没那么快。对于你的系统我还有些问题。
Athena: 好吧。(Athena从她的椅子上探出了身子)快说。
Euripides: 听起来好像每次我想要得到服务我都要去取一张新票。如果我整天的工作，我可能不只一次的要取我的邮件。我每次取邮件都要去取一张新票吗？如果真是这样，我不喜欢你的系统。
Athena: 啊。。。我不明白为什么票不能被重用。如果我已经得到了一张邮件服务的票，我可以一次又一次使用它。当邮件客户程序用你的名字请求了服务，它就传了一份票的拷贝给服务。
Euripides: 好一些。但我仍有问题。你似乎暗示我每次使用还没有票的服务时，我都必须给Charon我的密码我登录后想取我的文件。我向Charon请求我的票，这意味着我不得不使用我的密码。然后我想读我的邮件。又向Charon发一次请求，我又要输一次我的密码。现在假设我想把我的邮件送去打印。我又要向Charon发一次请求。你知道了吧？
Athena: 啊，是的，我明白了。
Euripides: 并且如果这还不够糟的话，想想看：它好像是这样，当每次你要向Charon认证的时候，你就要用明文在网络上传输你的口令。像你这样的聪明人可以监视网络并且得到别人的口令。如果我得到你的口令，我就可以用你的名字来使用任何服务。
Athena叹了口气。
Athena: 确实有严重的问题。我想我该回设计室去了。
第三幕
第二天一早，Athena在咖啡间遇上了Euripides。在Euripides倒咖啡的时候，Athena拍了
拍Euripides.
Athena: 我有了一个新的Charon的版本来解决我们的问题。
Euripides: 真的吗？好快呀。
Athena: 好，你看，这些问题困扰了我一夜。
Euripides: 一定是你良心发现了。我们去那边的小会议室吧？
Athena: 好的。
两人去了小会议室。
Athena: 我要重新描述问题，但我要根据我们的需要进行适当的转换。
Athena清了清嗓子。
Athena: 第一个限制：用户只输一次口令，在他们工作站启动的时候，这意味着当你需要申请新的服务的票时，不需输入你的口令。第二个限制：口令不能在网络上进行明文传输。
Euripides: 好的。
Athena: 我以第一项限制开始：你只需要输入你的口令一次。我创造了一个新的网络服务来解决这个问题。 它叫做“票据授权”服务，这个服务把Charon的票给用户。使用它必须要有票：票据授权的票。 票据授权服务其实只是Charon的一个版本，它可以存取Charon的数据库。它是Charon的一部分，可以让你通过票而不是口令来进行认证。 总之，认证系统现在是象这样工作的：你登录到一个工作站，用一个叫kinit的程序与Charon 服务器通讯。你向Charon证明你的身份，kinit程序取得一张票据授权票。 现在你想从邮件服务器上取你的邮件。你还没有邮件服务器的票，所以你用“票据授权”票去取邮件服务的票。你不需要使用口令去取新的服务票。
Euripides: 每次我想要另一种网络服务的时候，我都要去取一张“票据授权”票吗？
Athena: 不。记住，上次我们已经同意票是能被重用的。一旦你要用到票据授权票，直接用就可以了。
Euripides: 好，有道理。既然你能重用票，一旦你得到了某个服务的票，你就无需再去取了。
Athena: 对啊，那不好吗？
Euripides: 好的，我没话说，只要你在取得票据授权票的时候没有用明文在网上传输你的口令。
Athena: 如我所说，我已解决了这个问题。听起来好像是，当我说我要和Charon联系取
得票据授权票的时候，你就要在网络上传输明文密码。但其实不是这样的。 实际上是，当你用kinit程序取得票据授权票的时候，kinit没有把你的口令送
给Charon服务器，kinit只送你的用户名。
Euripides: 很好。
Athena: Charon用用户名去查找你的口令。然后Charon就会组一个包含票据授权票的包。在送给你之前，Charon用你的口令去把这个包加密。 你的工作站收到了包。你输入你的口令。kinit用你的口令对这个包进行解密。如果成功你就向Charon成功的进行了认证。你现在有了票据授权票，你可以用这张票来取得其它的票。
这些奇思妙想怎么样？
Euripides: 我不知道...我正在思考。你知道你的系统一部分工作得很好。你的系统只需要我认证一次。以后，Charon会给我服务的票而我需要关心。天衣无缝，天衣无缝。但服务票的设计还是有一些困扰我。服务票是可重用的。我同意它们应该能被重用，但重用的服务票，由于它们自身的性质，是非常危险的。
Athena: 什么意思？
Euripides: 这样看。假设你正在用一个不安全的工作站。在你登入后，你需要邮件服务票，打印票，和文件服务票。假设你无意中在你退出后留下了那些票。 现在假设我登录到那个工作站并且发现了那些票。我想制造一些麻烦，于是我就用你的名字登录了。既然那些票上是你的名字，那我就可以取你的邮件，打大量的文件。这些完全是因为这些票被偶然的放在了那里。 并且我还可以把这些票拷走，永远的使用它们。
Athena: 但是这很好解决。我们可以写一个程序，在用户退出的时候把票销毁掉，这些
票也主不能再用了。
Euripides: 那么很明显你的统应该有一个票据销毁程序，让用户依赖这样的机制是非常愚蠢的。你不能指望用户在他们退出的时候会销毁票据。并且甚至不能依赖销毁票据本身，看下面的情况。 我有一个程序可以监视网络并且拷内别人的服务票据。假设我想牺牲你。我等你登到工作站的时候，打开我的程序并拷贝一份你的票。 我等你退出并离开。我把我的工作站的地址调整为你登录时用的地址。我让工作站认为我是你。我有你的票，你的用户名，你的地址。我可以用这些票来使用你的服务。
你离开工作站时销毁你的票已没并系。这些我偷来的票可以一直使用下去，因为你现在的票并没有可以使用多少次的期限，或可以使用多长的时间。
Athena: 哦，我明白你所说的了！票不能是永远合法的，因为它可能是一个非常大的安全隐患。我们应该限制每一张票可以用多长的时间，也许可以给每张票设一个有效期。
Euripides: 非常正确。我想票需要增加两项信息：生存期表示票多长时间内是合法的，和一个时间标记来说明Charon是什么时候发出这张票的。
　Euripides走到了黑板写下了如下的内容：
　　票｛用户名：地址：服务名：有效期：时间戳｝
Euripides: 现在当服务解开票时，它检查票的用户名，地址是否与发送者匹配，然后它
用有效期和时间戳来检查票是否有效。
Athena: 很好。典型的票使用哪长的有效期呢？
Euripides: 我不知道。也许是一个典型工作站的工作周期。就八小时吧。
Athena: 那如果我在工作站呆的时间超过八小时，所有的票将会失效。包括票据授权票。那我就要重新向Charon作认证，在八小时以后。
Euripides: 是不是不合理？
Athena: 我想不是。好我们就定下来吧－－票在八小时后失效。现在我有一个问题问你。假设我从网络上拷了　你的票－－。
Euripides: (眨了眨眼睛）啊，Tina!你不会真的这样做吧？
Athena: 这只是为了讨论。我拷了你的票。现在我等你退出并离开。假设你有一个医生的约会或聚会要参加，你在两个小时后退出，并且你在退出之前销毁了你的票。
但我已经偷了你的票，它们还可以使用六小时。这给了我足够的时间用你的名义去取你的文件并打印一千份什么东西。 你看，时间戳工作的很好如果小偷选择在它失效以后来用的话。如果小偷能在它失效之前用...。
啊，好...当然，你是对的。
Athena: 我想我们遇上了一个大问题了。(她叹了口气)
停了一下。
Euripides: 我想这意味着你今晚要忙了。再来点咖啡？
Athena: 为什么不。
第四幕
第二天早上在Euripides的办公室。Athena来敲门。
Euripides: 你今早有黑眼圈了。
Athena: 好了，你知道的。又是一个漫漫长夜。
Euripides: 你解决了重演的问题了吗？
Athena: 我想是的。
Euripides: 请坐。
她坐下了。
Athena: 照旧，我重申一下问题。票是可重用的，在一个限定的时间内（八小时）。如果谁偷了你的票并在它失效之前使用，我们毫无办法。
Euripides: 确实如此。
Athena: 我们可以把这个问题理解为设计一种别人无法重用的票。
Euripides: 但这样的话你每次用新服务时都要取一张新票。
Athena: 对。但那是很笨的解决办法。（稍顿。）啊，我怎样继续我的讨论呢？（她沉思了一会儿）。
好的，我要重述一个问题，看有什么必须条件。网络服务必须能够证明使用票的人就是票上所申明的人。 我来顺着认证的过程再走一遍，这样我就可以演示我的解决方案。 我现在想用一个网络服务。我通过启动工作站上的客户端来使用它。客户端送三样东西给服务器：我的名字，我的工作站的网络地址，适当的服务票据。 这张票包含了申请这张票的人的名字和他（她）申请时所使用的工作站的地址。它也包含了票的有效期和时间戳。所有这些信息都被服务的密码加密了。
我们现在的认证模式基于以下的测试：
服务能对票解密吗？
票在有效期以内吗？
票中的名字和地址与申请者的名字和地址匹配吗？
这些测试证明了什么？
第一个测试证明了票是不是来自Charon.如果票不能被适当的解密，说明票不是来自真正
的Charon.
真正的Charon会用服务的票来加密票。Charon和服务是唯一知道服务密码的两个实体。
如果票被成功的解密，服务知道它来自于真的Charon.这个测试防止了有人伪造假票。
第二项测试检查票是否在有效期以内。如果过期，服务拒绝。这项测试阻止使用旧票，
因为票可能是偷来的。
第三项测试检查票的用户名和地址是否匹配请求者的用户名和地址。如果测试失败，说
明使用者使用了别人的票。这张票当然被拒绝。
如果名字和地址匹配，这个测试证明了什么？什么也没有。票可以被偷走，用户名和网
络地址都可以被改变，如果需要的话。正如我昨天指出的那样，票可以在有效期内被盗用。
因为服务不能确定票的发送者是不是合法用户。
服务之所以无法判断是因为它没有与用户共享一个秘密。这样看。假如我正在埃尔斯诺
尔（哈姆雷特中的城堡）值勤，你打算来和我换班。但除非你说出正确的口令，否则我不
会与你换班的。我们共享了一个秘密。它可能是某人为所有值勤的人所设的。
于是昨晚我就在想，为什么Charon不能为合法用户与服务之间设一个口令呢？Charon发
一份口令给服务，同时发一份给用户。当服务从用户那里收到一张票，它可以用这个口令
检验用户的合法性。
Euripides: 等一下。Charon如何同时发两份口令？
Athena: 票据的拥用者从Charon的回应中得到口令，像这个样子：
她在黑板上写下了：
Charon的回应－[口令｜票]
服务从票中获取口令。票的格式如下：
票－｛口令：用户名：地址：服务名：有效期：时间戳｝
当你要请求服务时，客户端程序生成一个‘验证器’。验证器包含了你的名字和你工作站的地址。客户端用口令把这些信息加密，口令是你请求票据时得到的。
　验证器－｛用户名：地址｝用口令加密。
生成验证器以后，客户端把它和票一起送给服务。因为服务没有口令，所以它不能解密
验证器。口令在票中，于是服务先解开票。
解开票以后，服务得到以下的东西：
票的有效期和时间戳；
票的拥有者的名字；
票拥有者的网络地址。
口令。
服务检查票是否过期。如果一切正常，服务就用口令去解验证器。如果解密没有问题，服务将会得到一个用户名和网络地址。服务用它们去和票里的用户名和网络地址去匹配，如果正确，那么服务认为票的发送者确实是票的真实拥有者。
Athena暂停了一下，清了清喉咙，喝了点咖啡。
我认为口令验证器的机制解决了盗用的问题。
Euripides: 也许。但我想。。。攻击这个系统我必须有验证器。
Athena: 不。你必须同时拥有验证器和票。没有票，验证器是没有用的。解开验证器必须要有口令，服务必须解开票才会有口令。
Euripides: 好，我明白了，你是说当客户程序联系服务时，它同时送上票和验证器？
Athena: 是的，我就是这个意思。
Euripides: 如是真是这样，什么可以阻止我把票和验证器都偷走呢？我可以写一个程序，如果我拥有了票和验证器，我就可以一直使用它至有效期结束。我只需改变我的用户名和工作站的地址。不是吗？
Athena: (咬了咬她的嘴唇）是的。多沮丧啊。
Euripides: 等等，等等，等等！这不难解决。票在有效期内是可重用的，但那并不意味着验证器是可重用的。假设我们设计了验证器只可以被用一次。这可以吗？
Athena: 好，也许。我样来想一下，客户端程序生成验证器，然后把它和票一起送给服务。真的票和验证器比你拷贝的要先到。如果验证器只能被用一次，你的拷贝就失效了。 啊，这就对了。我样现在需要做的就是发明一和方法使得验证器只能被用一次。
Euripides: 没问题。我们把有效期和时间戳放在上面。假设每个验证有两分钟的有效期。当你想用一个服务时客户端生成验证器，标上当前的时间，把它和票一起送给服务。 服务器收到了票和验证器，服务器解开验证器，它检查验证器的时间戳和有效期。如果验证器还没失效，所有其它的检查都通过了，那么服务器就认为你通过了认证。 假设我通过网络拷贝了一份验证器和票，我必须改变我的工作站的网络地址和我的用户名，这差不多要用几分钟。那是非常苛刻的要求，我不认为是可能的，除非。。。 嗯，有一个潜在的问题。假设不是在网络的转输中拷贝到票和验证器，我拷贝了一份原始的从Charon而来的包，这个包是你向Charon请求时的回应。 这个包，有两个口令在里面：一个是你的，一个是服务的。服务的口令隐藏在票中，我取不到，但另一个呢？那个你用来生成验证器的？ 如果我得到了口令，我就用它来建自已的验证器，如果我能建自已的验证器，我就能攻破你的系统。
Athena: 这就是我昨晚所想的，但是当我顺着票的处理过程一想，发现那样偷走验证器是不可能的。
你在一台工作站坐下，用kinit程序得到你的票据授权票。kinit要求输入用户名，你输入以后，kinit把它送给Charon.Charon用你的名字查找你的口令，然后生成一张票据授权票。作为处理的一部分，Charon生成了一个你与票据授权服务共享的口令。Charon把口令和票据授权票一起送给你，并且在发关之前用你的口令将它加密。
Charon送出了包。某人取得了这个包，但他们无能为力因为它是用你的口令加过密的。特别是，无人可以偷走票据授权服务的口令。 kinit收到了票据包并要求你输入你的口令。如果你输入正确的口令，kinit解开包取出了口令。 现在你注意kinit的处理，你去取你的邮件。你打开邮件客户端。这个程序查找一张邮件服务的票但没有找到（你还没取过你的邮件）。客户端用票据授权票去申请一张邮件服务的票。 客户端为票据授权的过程生成了一个验证器，并用票据授权的口令把验证器加密。客户端把验证器送给了Charon，票据授权票，你的名字，你的工作站的地址，邮件服务的名字。票据授权服务收到了这些东西，并通过了认证检查。如果一切都通过，票据授权服务将会得到那个与你共享的口令。现在票据授权服务为你生成了一张邮件服务的票，在这个过程中生成了一个你与邮件服务共享的口令。票据授权服务把这些东西打成包送给你的工作站。包里有票和口令。在送包之前，票据授权服务用票据授权的口令把包加密。做完以后，包被送出去。 这样邮件服务票的包通过网络被送了出来。假设网络上的某人将它复制了一份。他不幸的发现包是用票据认证的口令加过密的。既然无法解密，他就不能得到邮件口令。没有口令，他就不能使用任何在网络上传送的邮件服务的票。 现在我觉得我们是安全的。你认为呢？
Euripides: 也许吧。
Athena: 也许！你就只会说这个吗！
Euripides: (大笑）别在意。你现在应该知道我处理问题的方式了。我猜我和你昨晚都工
作到了半夜。
Athena: 哼！
Euripides: 好的，大半夜。实际上，这个系统似乎是完全可行的。口令的方案解决了我
昨晚想到的一个问题：相互验证的问题。
稍顿。
我说一下好吗？
Athena: (有点冷淡）请便。
Euripides: 你真好。(Euripides清了清自已的嗓子）昨晚，当口令和验证器在我脑子里转的时候，我想去找出这个系统新的问题，我想我发现了一个很严重的问题。我下面就演示一下。
假设你厌倦了现在的工作，决定换一个。你想用公司的激光打印机打印求职信，把它们送给猎头和其它的雇主。于是你输入打印命令，命令去取得服务票，然后把票送到打印机。这是你认为它应该被送到的地方。实际上你并不知道你的请求被送到了正确的打印服务器。 假设一些无耻的人－－比如说你的老板－－调整了系统，把你的请求送到了他办公室的打印机。他的打印服务不关心票的内容。它告诉你的工作站服务已准备好打印你的文件。打印命令被送到了假的打印服务器，你有麻烦了。 我从相反的方向表达了相同的问题。用口令和验证器，Charon能够保护的它的服务器防止错误的用户使用，但它不能保护它的用户使用错误的服务器。系统需要为客户端程序提供一种验证服务器的方法，在它向服务器发送敏感信息之前。系统必须允许交互验证。 但口令的方案解决了这个问题。让我们回到打印服务器的场景。我想要打印客户程序确
认它送交的服务是合法的服务。 这就是程序要做的。我输入打印命令并给出一个文件名。这时我已经有了打印服务票和口令。客户程序用密码生成了一个验证器，然后把验证器和票送给了假设的打印服务器。客户端这时还没有送打印文件，它在等待从服务的返回。 真的服务收到票和验证器，把票解密并得到口令，然后用口令解开验证器。这样服务端做完了所有的认证。 测试已经确认了我的身份。现在服务程序要准备一个响应包来证实它自已的身份。它用口令加密了返回包，并把包送给了等待的客户端。 客户端收到了包并试图用口令把它解开。如果包被正确的解开得到了正确的服务器响应信息，客户端程序就知道了这个服务器是合法的服务器。然后这时客户端向它发出打印命令。 假设我的老板改变了一下系统使得他的打印机看起来好像是我想要用的那个。我的客户端送了票和验证器给它并等待它的响应。假冒的打印服务无法生成正确的响应因为它无法把票解开并得到口令。这样的话客户端就不会送打印命令给它因为客户端没有得到正确的
响应。最后客户端放弃等待并退出。我的打印没有完成，但至少我的求职信不会放在我的
对头的桌子上。
好啊，我想我们有了Charon认证系统的坚实的基础。
Athena: 也许。不管怎么说，我不喜欢Charon这个名字。
Euripides: 你不喜欢吗？什么时候？
Athena: 我从来都不喜欢，因为它的名字听起来没意义。有一天我和我荷迪斯（冥王)叔
叔
谈到了这个，他推荐了另一个名字：冥王的三个头的看门狗。
Euripides: 啊，你是说“Cerberus".
Athena: 你说什么语言啊！"Cerberus"实际上是。。。
Euripides: 哦，不叫这个吗？
Athena: 当然，谁让你是罗马人！而我是希腊人，它是一条希腊的看门狗，它的名字是
”
Kerberos“，”Kerberos“是‘K’打头的。
Euripides: 好吧，好吧，别发火。我同意这个名字。实际上，它有一个好的脖环。再见
吧，Charon,欢迎你，Kerberos.
后记
这篇对话是于1988年写的，是为了帮助读者理解Kerberos V4的运行方式。经过了这么多年，它仍然非常好的服务于此。当我把这篇文章转换成HTML的时候，我惊讶的发现这个文档对Kerberos　V5仍然非常有用。虽然很多东西改变了，但核心概念并没有变。实际上，Kerberos V5对Kerberos只做了两处改变。
第一处改变是因为意识到验证器用少于五分钟的有效期不足以防止攻击者进行重演，如果攻击者是用一个程序自动的截取票和验证器并进行重演的话。 在Kerberos V5中，验证器真正的只能用一次因为服务器用‘重演缓冲区’保存了最近一次提交的验证器的信息。如果攻击者试图截取验证器并重用它，‘重演缓冲区’会发现验证器已经被提交了。
第二个主要改变是Kerberos送给kinit服务票的时候，票不再是用用户的口令加密。它已经用票据授权服务的口令加过密了。票据授权服务的票被用来获取其它票的时候，它直接就被传输了。因此票不需要再用用户的口令加密一次。（服务器响应的其它部分，如口令，仍然是用用户的口令加密的。） 一个类似的改变也应用到票据授权服务协议；从票据授权服务返回的票也不再用票据授
权服务的口令来加密了，因为它所包含的票已经被对应的服务的口令加过密了。举例来说
，
Kerberos V4的包像这样：
KDC_REPLY = {TICKET, client, server, K_session}K_user
意思是：｛｝中的内容是用K_user来加密的。
TICKET = {client, server, start_time, lifetime, K_session}K_server
在Kerberos V5中，KDC_REPLY现在看起来像这样：
KDC_REPLY = TICKET, {client, server, K_session}K_user
(注意：票已经不再用K_user来加密了)
当然，Kerberos V5中还有许多新特性。用户可以在另一个网络中安全的提交他们的票；并且，用户可以把他们的一部分认证权转给服务器，这样服务器就可以作为用户的代理。其它的新特性包括：用更好的加密算法替换了DES加密算法，如三重DES加密。读者如果对V
4
与V5的变化感兴趣的话，可以读一下"The Evolution of
the Kerberos Authentication System",作者是Cliff Neumann和Theodore Tso. 我希望你能对这篇介绍Kerberos协议的文章感兴趣。我祝愿你在未来的探索中更进一步
本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/zns2002/archive/2006/02/07/593872.aspx

CSS3 技术

不确定你可以利用CSS3吗？再想想。网络先锋如Andy Clarke 和 Jeremy Keith一直提倡网页设计要“逐步加强”。

逐步增强是指在网站设计师时要兼顾到旧版浏览器的可用性，而“增强”则是针对喜欢最新技术的用户。

在这样的设计阵营，你利用可以尽情利用CSS3属性的优势，如圆角，边框背景和文本框阴影。新版浏览器用户会看到一个很好的版本，并且对旧版本用户（ IE6同学，我就不每次都点名了）将看到较为基本的版本。

CSS3 动画
在网络上动画经历了很多阶段。起初，我们只能用GIF动画图片。然后，我们又几乎限于Flash。现在，我们可以选择的有Flash，Silverlight，以及GIF，JavaScript和甚至乎CSS3。CSS3更轻量，更易用，可创造令人难忘的微妙的动画。




   圆角
在2005年和2006年的Web 2.0风格，使得圆角大受欢迎，恼人的问题是，在当时要实现这些可不容易。有没有固定可行的方法来建立真正的圆角。退而求其次的，大多都是利用CSS，JavaScript和图像来模拟。

现在CSS3允许浏览器直接生成圆角，不仅创建轻松，而且更有效率，因为用户不必下载额外的图片或JavaScript文件。

2010年，设计师正越来越多地利用浏览器的这些新功能优势。




图框和文本阴影
在网络的早期，利用阴影创造一种立体感是早已有之（甚至有时是用过头了）。但其实并不总是那么好搞的，要给文本添加阴影，你得使用的图片，从而增加加载时间，并且维护更加困难。框架阴影需要一些图片和CSS技巧，如“滑动门”。

CSS3具有阴影高度可定制的能力，这对于创新影响十分巨大，不仅包括阴影，还有内阴影。有创意设计师已经开始使用这些CSS3效果，模拟浮雕和压印的效果。








RGBa和半透明
多年来，使用不透明性和透明度，在网络上技术上是不可能的。你有三种选择：使用平面图像模拟的透明度，使用不能跨浏览器兼容的PNG格式，或者去折腾CSS基本的透明选择器和滤镜。

CSS3使得设计师在使用RGBa不透明属性时，更加稳定和自由。你可以在很多方面利用半透明的优点，其中之一就是使用半透明的颜色叠加到复杂背景时起到特别作用。之前，这种效果如果没有使用PNG是不切实际，也是不可能达到的。
  





手机兼容设计
移动网络让成千上万的用户在排队等候（无事可做）时能够检查他们的银行帐户，在地铁里可以查看最新分数，在开车时更新自己的Twitter的情况（这是一个危险的习惯？），移动网络正在茁壮成长。

据我们所知，很多公司都都在考虑他们的网站是否要加入移动网络，如果是的话又会怎么样。而创新公司则已经投入巨资在开发高效的用户友好的移动版本网站。






   创新
社交媒体使用率的爆炸性增长证明，人们对连接和共享东西总是热情有加的。

在设计领域，我们已经看浏览和分享别人作品的趋势正在增长。作为设计师，现在我们感受着别人创造力的冲击。这不仅提高了设计质量的标准，还鼓励了共享精神，也促进了创造力和创新文化理念。
清新的插画
如果你像我一样，看着迪斯尼电影长大，你会欣赏动画里面每一帧的效果。我们早已淡忘了墨水和马克笔画插画的日子，工具的演变产生了一些非常有创意的方法去实现设计。

很多设计师正在学习使用光滑，干爽，清晰的插图创建一个独特的感觉，这不是摄影或简单的剪贴画可以达到的。结果是出现了很多美丽动人富有吸引力的专业插画设计。






纹理背景
纹理图案背景在网络上没有什么新鲜的。但是，最近几个月这种技术已经出现了有趣的变化。我指的是“微型纹理”， 是微妙的，几乎不明显的背景纹理。






缩略图
你可能会说，“缩略图从网络出世那天早就有了。怎样么会是趋势呢？”是的，它们一直被使用，但普遍很简单。有一个缩略图，点击一下就可以看得更大的图片。需要的功能就是这样，不过很无聊。

在最近几个月，设计师们开始探讨，“怎样才能使缩略图更精彩？”这些探讨导致了缩略图在智能和可用性方面大大增强。










水彩效果
随着网络的发展，我们看到越来越多的设计师正从各种媒体来源获取灵感。毫不奇怪，艺术就是来源于此。

最近出现风格之一是模拟水彩。这种轻柔优雅风格看起来总是那么清晰和平静。






手写
手写字体和草稿字体一直滥用得很厉害。基于这个原因，许多设计师避开这两种类型，出于厌恶或者因为看起来很业余的感觉。不过最近，许多设计师都发现，如果使用得当，手写风格可以传达手工艺和策划的意识。在结合上下文环境使用，会是一个功能强大的表达方式。








社交媒体
现在人们在Facebook和Google上花更多的时间，设计师正用创新的方法来把社交媒体整合到网站上。

有些设计师竟然在社交媒体网络上发布内容，然后利用他们的网站聚合。

可以很有把握的说随着2010年的进一步发展，我们将看到更多的设计师创造性地整合社交媒体到网站，以更好的吸引用户。




固定元素
现在，浏览器可以更好地支持元素position: fixed属性，我们看到这个属性的一些巧用。

很多情况下，固定的元素（如固定不动的导航条）可以为目标客户更好服务，网站也更加实用。

固定元素令人难忘且增强用户体验，有无数的创意用途，我们将会看到设计师利用这些优点。







那些流行趋势是你在追随的？还有其他什么样的新兴的趋势？欢迎讨论

来源：webdesignerdepot
编译：Mazingtech（只欢迎带链接的转载）
 

纯粹主义者会说，伟大的设计是永恒的。是的，在一个理想世界中，我们可以忽视趋势与流行。
但是实事求是地讲，跟踪和融入设计的趋势是很有价值的，尤其是网站方面。让我们面对现实：网络时刻在迅速变化，而不像其他媒体，网站设计的趋势不再仅仅受美学驱动。技术是不断变化的，媒介的能力和手段都在随之而发生巨大变化。2010年，我们看到设计师在网页设计方面不断推陈出新，形成了以下明显的趋势...
 

 
印刷式设计
印刷设计一直都是网页设计的灵感来源。网页设计已经有了一段的历史，足够形成一个强劲的没有印刷设计经验的设计师核心。而结果我们看到更多的灵感是来自于印刷，似乎这些设计师不仅仅是网站设计。
   衬线字体
印刷的最重要问题之一是可读性。印刷设计师们总是倾向于衬线字体，因为这种字体边缘明显，提高可视效果，使字形更容易识别。

无衬线字体，一般认为它更容易在屏幕上阅读。但是，随着越来越多的用户浏览分辨率的提高和字体平滑技术的改进，衬线字体显示正文文本可读性十分良好。






大标题
印刷设计师一直使用的大标题，以吸引不同年龄层的注意。如果期望别人来读，印刷材料的形式已经有很深的影响。如果你看到一个沉闷的小册子赖在办公桌上，你都懒得捡起来？不是吗？

这一趋势开始于2009年，目前在普及。大标题已证明更有吸引力和明晰沟通。








多列布局
设计人员的工作往往受限于手段和媒介。跟印刷不同，网页是可以滚动的，因为它没有纸张尺寸的限制。因而使用多列可让你在同一空间呈现更多的内容。

现在，屏幕分辨率在增加，网格布局已到来，更多的设计师正在网页设计上适应这种方法，使得网站更易用，容纳的内容也更加多。






   大幅配图
一张好图片胜过千言万语。因为在网络之前，印刷品的图片（分辨率更高）已经有了相当的影响，现在宽带接入使得大图片的使用更具可行性。

我们看到越来越多的网站使用大幅的，给人印象深刻的图片来吸引用户，创造一个身临其境的体验。
  







   图表和资讯图
印刷设计师多年来一直使用图形来传达复杂的信息。最为普遍常见就在杂志和年度报告。

对于那些复杂的关系和比例，纯文本是很难表达的，图形是一种很好的沟通的方式。资讯图像往往有一个简单而丰富的视觉外观，越来越多更多的设计师都采用资讯图像，或者模仿这种设计风格。
  







简约
安东尼·德·圣-埃克苏佩里曾说过，“完美就是多一点则太多，少一点则太少。” 简洁设计的优点很多。

希克斯定律告诉我们，多出的每一个选择，都需要增加时间来做决定。此外，信号噪音的理论告诉我们，给网站（信号）的信息和功能添加额外的东西，只能令到网站设计效果更差（噪音）。

简单的设计更容易使用和理解，信息传播也更加明确。
极简和网格设计
极简主义是功能强大，但难以掌握。它仅仅包含的基本要素，多余的一切都抛弃，结果是呈现出元素的最大影响力。

极简设计需要一个强大的行之有效的网格系统。一般的，设计会留有足够的空白，所以如果没有这种网格，一个简约的设计会让人感到截断的和草率的。网格就是赋予它组织和结构。






单页布局
有几种方法可以简化设计。单页布局展示了其中两种方法：隐藏和删除。

有效的单页布局会隐藏掉那些次要的元素。如果用户希望看到这些元素之一，只需点击一下就呈现出来。这比什么都显示出来更有效果，因为那样会使页面复杂和压抑。

同样，单页布局背后的原则决定了那些额外的页面是没必要的。随着强大的JavaScript库兴盛和网络速度提高，许多网站现在已经没必要使用几个页面。设计人员可以轻松地将信息容纳到一个页面上，不会让用户为层层分级的页面感到厌烦。






巨型的留白空间
在网站设计之初，我们没有太多的屏幕可以工作，所以并没有表现出很大的空白。如果你曾经尝试为640 × 480分辨率的网站做设计，我说的是什么，你懂的。

现在我们有了更高的分辨率，还可以使用JavaScript隐藏和显示元素，利用留白空间已经容易得多。

空间留白是良好设计至关重要的一部分。给眼睛一个休息的地方。很自然的就提高了设计质量。而且通过元素间距也更容易表达它们之间的关联性。








   版式布局
在以前，我们在控制展示内容的时候，仅仅限于少数可选择“网页安全字体“，现在我们有了更广泛的工具来丰富我们的排版。

Web设计者一直喜欢使用型式作为沟通信息的一个微妙工具。随着控制和能力的增强，我们将看到更多的设计师会把印刷样式的排版的作为设计元素重点。






（待续）

来源：webdesignerdepot
编译：Mazingtech
 

1. 配置交换机所有链路成中继链路
2. 配置交换机2900C为VLAN1的根网桥
3. 查看交换机各端口在不同VLAN的的STP状态
4. 交换机D上的端口情况如何，如何修改配置，使端口状态变化
5. 配置三台交换机的三种时间参数不一致，在交换机上分别使用命令：

1. 查看交换机使用哪个时间参数来发送BPDU

实验拓扑：

2、导入注册表法
　　首先打开记事本之类的文本编辑界面，并在其中输入下面的批处理命令代码:
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Reliability]
　　"ShutdownReasonUI"=dword:00000000
　　"ShutdownReasonOn"=dword:00000000
　　输入上面的代码后，再依次单击记事本编辑界面中的“文件”/“保存”菜单项，在随后弹出的文件保存对话框中，将文件保存成扩展名为“reg”的注册表文件，并将文件名称设置为Noshutdown.reg;
　　下面打开系统的资源管理器窗口，找到前面保存好的Noshutdown.reg注册表文件，再用鼠标右键单击该文件，从随后弹出的右键菜单中执行“合并”命令(如图1所示)，当系统弹出是否要将该文件内容合并到系统注册表时，我们只要单击一下“是”按钮，这样一来上面的代码就会被自动导入到系统注册表中;以后当我们再次尝试关闭计算机系统时，系统就不需要我们输入关机原因了。

　　当然，倘若我们没有按照正常关机方法来关闭Windows 2003操作系统，那么下次再次登录Windows系统时，系统仍然还会强制我们输入意外关闭系统的原因;要想将这样的关机原因提示窗口关闭掉的话，我们可以通过记事本文件创建如下的注册表文件:
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\system]
　　"disablecad"=dword:00000001
　　然后将上面的代码内容保存成注册表文件，再用鼠标双击该注册表文件将代码内容导入到系统注册表中，最后重新启动一下计算机系统，就可以将非法关机的原因提示窗口给屏蔽掉了。