当前位置：首页 > 实用文档 > 其他范文> Windows XP 组策略之安全篇服务器教程

Windows XP 组策略之安全篇服务器教程

时间：2024-04-02 07:37:04 其他范文收藏本文下载本文

Windows XP 组策略之安全篇服务器教程（合集7篇）由网友“天府公子”投稿提供，下面小编给大家整理后的Windows XP 组策略之安全篇服务器教程，欢迎阅读与借鉴!

篇1：Windows XP 组策略之安全篇服务器教程

有时候我们的电脑会被其他来用户使用，

或许你的某些资料不想被别人看到，

或者别人会在不经意间更改了你的系统设置，

有没有好的办法防止呢？

我们知道在注册表中我们可以更改系统的很多设置，

但修改起来很麻烦，而组策略把各种配置模块集中在一起，

方便了用户的设置，

打开方式：运行——gpedit.msc

界面：

需要说明的是这里的“计算机配置”是对整个计算机中的系统配置进行设置的，是对计算机中所有用户的运行环境起作用；而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用，步入正题，

1、隐藏电脑的驱动器

位置：用户配置管理模板Windows组件Windows资源管理器

启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址栏输入盘符就无法访问了，但在运行里直接输入cmd，在Dos下仍然可以看见，接下来就是把CMD命令也禁用了。

位置：用户配置管理模板系统

2、禁用注册表

位置：用户配置管理模板系统

篇2：windows xp 组策略之安全篇Windows安全

有时候我们的电脑会被其他来用户使用，

或许你的某些资料不想被别人看到，

或者别人会在不经意间更改了你的系统设置，

有没有好的办法防止呢？

我们知道在注册表中我们可以更改系统的很多设置，

但修改起来很麻烦，而组策略把各种配置模块集中在一起，

方便了用户的设置，

打开方式：运行――gpedit.msc

界面：

需要说明的是这里的“计算机配置”是对整个计算机中的系统配置进行设置的，是对计算机中所有用户的运行环境起作用；而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用，步入正题。

1、隐藏电脑的驱动器

位置：用户配置\管理模板\windows组件\windows资源管理器\

启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址栏输入盘符就无法访问了，但在运行里直接输入cmd，在dos下仍然可以看见，接下来就是把cmd命令也禁用了。

位置：用户配置\管理模板\系统\

2、禁用注册表

位置：用户配置\管理模板\系统\

3、禁用控制面板

位置：用户配置\管理模板\系统\

如果你只想显示隐藏某些配置，就选择下面的

如想在控制面板中隐藏internet选项，则在隐藏控制面板程序里添加inetcpl.cpl，具体名称可查看windows\system32里以cpl结尾的文件。

4、隐藏文件夹

平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：

位置：用户配置\管理模板\windows组件\windows资源管理器\

5、关闭缩略图缓存

有时我们在文件夹中放过图片，后来移除了，但以缩略图缓存仍然能被其他人读取。

位置：用户配置\管理模板\windows组件\windows资源管理器\

6、去除开始菜单中的“文档”菜单

开始菜单中的文档一栏，会记载我们曾经编辑过的文档，我们可以去掉这个菜单：

位置：用户配置\管理模板\windows组件\任务栏和“开始”菜单\

7、隐藏‘屏幕保护程序“”选项卡

有时我们设置了屏幕密码保护，但很容易被人修改，我们可以隐藏这一选项，

用户配置\管理模板\控制面板\显示、

8、禁止更改tcp/ip属性

我们设定的ip地址可能会被更改，那么只要关闭它的属性页就可以了。

位置：用户配置\管理模板\网络\网络连接

把下面两项设为启用：

关键字：Windows安全

篇3：Windows系统安全设置方法中级安全篇服务器教程

1．利用win的安全配置工具来配置策略

微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求，具体内容请参考微软主页：www.microsoft.com/windows2000/techi...y/sctoolset.asp

2．关闭不必要的服务

windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

3．关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

4．打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

策略设置

审核系统登陆事件成功，失败

审核帐户管理成功，失败

审核登陆事件成功，失败

审核对象访问成功

审核策略更改成功，失败

审核特权使用成功，失败

审核系统事件成功，失败

5.开启密码密码策略

策略设置

密码复杂性要求启用

密码长度最小值 6位

强制密码历史 5 次

强制密码历史 42 天

6．开启帐户策略

策略设置

复位帐户锁定计数器 20分钟

帐户锁定时间 20分钟

帐户锁定阈值 3次

7．设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问，

8．把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

9.不让系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName

把 REG_SZ 的键值改成 1 .

10．禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。

11.到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。

责编：豆豆技术应用

篇4：Windows系统安全设置方法高级安全篇服务器教程

1. 关闭 DirectDraw

这是C2级安全标准对视频卡和内存的要求，关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。修改注册表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)为 0 即可。

2.关闭默认共享

win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享，打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录路径和功能

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

和Backup Operators组成员才可连接，Win2000 Server版本

Server Operatros组也可以连接到这些共享目录

ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都

指向Win2000的安装路径，比如 c:winnt

FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。

IPC$ 空连接。IPC$共享提供了登录到系统的能力。

NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处

理登陆域请求时用到

PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机

解决办法：

打开注册表编辑器。REGEDIT

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters

在右边建立一个名为AutoShareServer的DWORD键。值为0

3.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)，

然而，它也能够给提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。要用的时候，可以再重新打开它。

4.使用文件加密系统EFS

Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。有关EFS的具体信息可以查看 www.microsoft.com/windows2000/techi...ity/encrypt.asp

5.加密temp文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6.锁住注册表

在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限。

7.关机时清除掉页面文件

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表

HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management

把ClearPageFileAtShutdown的值设置成1。

8.禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

9.考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10.考虑使用IPSec

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

责编：豆豆技术应用

篇5：巧用组策略保障系统安全服务器教程

为了保护工作站系统的安全，不少朋友往往会下意识地想到使用系统自带的或第三方防火墙，来对系统进行多方面的安全“护卫”，可是在实际保护系统安全的过程中，我们有时会遇到系统防火墙因受到意外损坏而无法启用的现象，这样一来系统的安全就缺少了防火墙的“护卫”，那么系统受到非法攻击的可能性就会大大增加。事实上，在防火墙无法“护卫”系统安全的情况下，我们完全可以变换思路，从系统组策略出发，来让系统仍然享受防火墙级别的安全“护卫”!

1、预防远程入侵连接

为了有效制止非法攻击者通过网络随意攻击或访问本地工作站系统，第三方专业防火墙工具往往都会为我们提供关闭远程网络连接的功能，通过该功能我们可以随时阻止非法攻击者的入侵连接，从而保护系统的安全。但即使没有第三方专业防火墙的安全“护卫”，我们只要按照如下操作步骤修改系统的组策略，仍然能够让系统享受到这种安全“护卫”待遇：

首先依次单击本地工作站系统桌面中的“开始”、“运行”菜单命令，从弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开本地系统的组策略编辑窗口;

其次在该编辑窗口的左侧显示区域中，用鼠标逐一展开“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”分支选项，在“网络连接”分支选项所在的右侧显示区域中，找到“删除所有用户远程访问连接”项目，并用鼠标双击该项目，打开如图1所示的组策略属性设置对话框;

篇6：Windows 群集优点之(安装)服务器教程

window

群集功能是默认安装的，

Windows 2003群集优点之(安装)服务器教程

。您只需要启动群集管理器配置群集，或者使用 Cluster.exe 编写配置脚本。此外，您还可以事先安装第三方的仲裁资源，然后在服务器群集配置过程中选择它们，此时不必使用其它与资源有关的操作步骤。所有的服务器群集配置都可以用同一方式来部署。

优点・更方便的管理－您在安装服务器群集时不再需要提供媒体光盘。

・不用重新启动－您在安装或卸载群集服务后不再需要重新启动。

预配置分析分析和验证软、硬件配置，并查找可能的问题。在创建服务器群集之前，针对任何可能的配置问题提供一个全面而且易于阅读的报告。

优点・兼容性－确保在进行配置之前能检测到任何已知的不兼容问题。例如，Service for Macintosh （SFM）、网络负载平衡（NLB）、动态磁盘以及由 DHCP 授予的地址都是群集服务所不支持的。

默认值使用默认值或试探值创建最佳方式的服务器群集。大多数情况下，这些默认值对新创建的服务器群集而言都是最为适宜的配置。

优点・更方便的管理－在创建服务器群集时只会询问少量的配置问题，程序会根据所收集的数据作出配置决定。我们的目标是让您以默认方式创建并运行服务器群集，如果需要，此后您可以使用服务器群集管理工具对该服务器群集进行自定义。

添加多个节点允许在一次操作中向服务器群集添加多个节点。

优点・更方便的管理－这使得您可以更为方便快捷地创建多节点服务器群集。

可扩展的架构可扩展的架构允许应用程序和系统组件加入服务器群集配置。例如，在服务器群集化之前可以安装应用程序，并且这些应用程序可以参加（甚至阻碍）这个已加入服务器群集的节点。

优点・第三方支持－该功能允许应用程序在服务器群集安装期间（而不是通过服务器群集安装后的某个单独任务）设置服务器群集资源和/或更改它们的配置。

远程管理完全允许从远程创建和配置服务器群集。从远程管理站点可以创建新的服务器群集和在现有的服务器群集中添加节点。此外，还会根据终端服务器的客户端会话来更新驱动器盘符的变化和物理磁盘资源的故障转移，

优点・更方便的管理－可以通过终端服务实现更佳的远程管理。

命令行工具服务器群集的创建和配置可以通过 cluster.exe 命令行工具以脚本方式完成。

优点・更方便的管理－可以更方便地实现群集创建过程的自动化。

更方便的卸载若要从节点卸载群集服务，现在只需执行一个收回该节点的步骤。而在以前的版本中，则需要先收回，再卸载。

优点・更方便的管理 C 卸载群集服务的操作变得更有效率，因为您只需通过群集管理器或 Cluster.exe 收回节点，即可取消该节点的群集支持配置。Cluster.exe 还提供了一个新开关。该开关在您进入群集服务器有困难时可以强制执行卸载操作，其命令为：cluster node %NODENAME% /force

仲裁日志大小仲裁日志的大小已增加为 4096 KB（过去是 64 KB）。

优点・允许大量共享 C 4,096 KB 的仲裁日志允许大量的文件或打印机共享（比如 200 个打印机共享）。在以前的版本中，如此多的共享会用完仲裁日志的空间，从而导致资源故障转移的不一致性。

本地仲裁如果未将节点附加到共享磁盘，该节点会自动配置一个“本地仲裁”资源。在群集服务运行时也有可能创建本地仲裁资源。

优点・创建测试性群集 C 这使得用户可以非常容易地在本地 PC 上创建测试性群集来测试群集应用程序或熟悉群集服务。用户不需要 Microsoft 群集 HCL 中认可的专门群集硬件即可运行测试性群集。

注意：只有单节点群集（lonewolf）才支持本地仲裁。另外，在生产环境中不支持使用那些尚未在 HCL 中认证的硬件。

・实现恢复 C 如果您丢失了所有的共享磁盘，则让临时群集工作的一种方法是使用 cluster.exe /fixquorum 开关启动该群集，然后创建本地仲裁资源并将它设为您的仲裁资源。如果是打印群集，您可以将 spool 文件夹指向本地磁盘。如果是文件共享，您可以将文件共享资源指向已在其中恢复了备份数据的本地磁盘。显而易见的是，这并未提供任何故障转移，因此只能将此视作一个临时措施。

仲裁选择您不再需要选择将哪个磁盘用作仲裁资源。仲裁资源将在容量大于 50 MB 而且格式为 NTFS 的最小磁盘上自动配置。

优点・更方便的管理 C 最终用户不必再关心哪个磁盘将用作仲裁资源。

注意：在设置过程中或者已配置了群集之后，可以选择将仲裁资源转移到其它的磁盘。

篇7：服务器安全之iis权限设置篇服务器教程

IIS Web 服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上，

服务器安全之iis权限设置篇服务器教程

。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。

IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：

脚本资源访问

读取

写入

浏览

记录访问

索引资源

6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这两个权限的设置。

另外在这 6 个选项下面的执行权限下拉列表中还有：

无

纯脚本

纯脚本和可执行程序

3 个选项。

而网站目录如果在 NTFS 分区（推荐用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都介绍设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASP.NET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出，没有明确指出的都是指设置 IIS 属性面板上的权限。

例1 ―― ASP、PHP、ASP.NET 程序所在目录的权限设置：

如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入”权限。

IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理，对于普通网站，一般情况下这个权限是不打开的。

IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就非常危险了。

执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。

对于 ASP.NET 程序的目录，许多人喜欢在文件系统中设置成 Web 共享，实际上这是没有必要的，

只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录，只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限，可能会造成不安全因素。

总结:也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.

例2 ―― 上传目录的权限设置：

用户的网站上可能会设置一个或几个目录允许上传文件，上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里就触发执行。

同样，如果不需要用户用 PUT 指令上传，那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序的上传目录是 IIS_WPG 组）的写权限。

如果下载时，是通过程序读取文件内容然后再转发给用户的话，那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开，除非你就是希望用户可以浏览你的上传目录，并可以选择自己想要下载的东西。

总结:一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).

例3 ―― Access 数据库所在目录的权限设置：

许多 IIS 用户常常采用将 Access 数据库改名（改为 asp 或者 aspx 后缀等）或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上，这是不必要的。其实只需要将 Access 所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限，你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。

总结:Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了

例4 ―― 其它目录的权限设置：

你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不需要设置。

上面的几个例子已经包含了大部分情况下的权限设置，只要掌握了设置的基本原理，也就很容易地完成能其它情况下的权限设置。

★ windows xp 组策略之安全篇Windows安全

★ Windows系统安全设置方法中级安全篇服务器教程

★ 读《晁错论》有感

★ 魏征《谏太宗十思疏》的阅读答案及原文翻译赏析