对于Windows 2000 Server，该值项默认值为100。对于Windows 2000 Professional，该值项默认值为500。Professional之所以比Server的值高，是因为Professional通常不用作服务器，也就不会受到SYN淹没攻击。

　　TcpMaxHalfOpenRetried，该值项的默认值为80或者40，表示定义了在重新发送连接请求后，仍然处于 SYN_RECEIVED状态的TCP连接的数目。当这种状态的TCP连接的数目超过该值项的定义时，系统认为SYN淹没攻击发生了，自动启用保护特性。

　　对于Windows 2000 Server，该值项默认值为80。对于Windows 2000 Professional，该值项默认值为400。

　　TcpMaxPortsExhausted，该值项的默认值为5，表示定义了系统拒绝连接请求的次数。当系统保留的连接端口都被使用掉时，系统将拒绝所有的连接请求。SYN淹没攻击通常会发生这种情况，因此保护特性将该值作为SYN淹没攻击发生的一个征兆。当被拒绝的连接请求的数目超过该值项的定义时，系统认为SYN淹没攻击发生了，自动启用保护特性。

7.检查Windows启动时的程序(适用范围:Windows 2000/XP)

　　在Windows环境下，由于病毒必须获得CPU的控制权，因此很多病毒都需要在Windows启动后，自动地运行起来。另一方面，越来越多的病毒采用了高级语言的形式，象宏病毒，采用的是VB语言，本身不能直接由CPU来执行，必须由相关程序解释执行，因此它们必须在操作系统正常启动后，才能加载自身，进行病毒传播。因此说，很多病毒必须在Windows启动后自动地运行起来，并且是依赖于Windows的自动启动程序的功能。这是这些病毒的一个特点，也是一大弱点。我们可以根据这个特点，分析Windows启动时有那些程序自动运行，通过检查这些程序来防范病毒的侵袭。

　　(1)注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

　　该项下存放了Windows NT/2000/XP的服务程序。下面的每一个子项对应于一个服务:

　　ImagePath值项存放了该服务的程序文件路径。这些服务都有一个Start值项。值为0，表示由核心装载器装载;值为1，表示由I/O子系统装载。Start值为0和1的，都是非常低级和关键的Windows服务，它们必须正常启动，Windows NT/2000/XP才能继续启动。通常病毒不会将自己放在这里面，因为这时候WindowsNT/2000/XP只装载了核心部分，只有最基本的功能。 Start值为2，表示自动启动，值为3，表示手工启动，值为4，表示禁止启动。这三类服务，可以在"控制面板"→"管理工具"→"服务"中查看到。

　　我们需要检查的是，那些Start值为2的服务，其对应的程序文件(ImagePath值项定义)是否可疑。

　　(2)注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager

　　该项下存放了