个人电脑安全设置手册

个人电脑安全设置手册前言本部个人电脑安全设置手册主要针对的对象是个人电脑一般操作用户而非专业人士，所针对的操作系统是Windows XP，所涉及的安全设置问题包括操作系统安全和常用软件应用安全两个大方面，在手册最后也献上了一些养成良好上网习惯的建议，希望该手册能为打造我们身边安全个人电脑环境贡献一点力量。一、操作系统安全安全一直是一个不容忽视的问题，如果发生了黑客攻击、被入侵、宝贵的资料被盗、密码被破解，想想这些事情就叫人害怕！应该说在默认情况下Windows XP是存在很多安全设计方面的缺陷的，而只要我们能够将这些缺陷弥补，对其进行正确的设置，是有可能提高系统安全性能的。用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。右击“我的电脑”-管理-计算机管理（本地）-系统工具-本地用户和组-用户，左击“用户”-guest-“属性”，将“用户不能更改密码”，“密码永不过期”，“账户已停用”这三项全部勾选上。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。2、限制不必要的用户同上在用户选项里把不用的用户给禁用或是删除了。这些用户很多时候都是黑客们入侵系统的突破口。3、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。同上在用户里单击右键-新用户，就可以创建新用户及创建密码了，同时把系统Administrator账号改名尽量把它伪装成普通用户并创建一个陷阱用户。4、创建一个陷阱用户创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图。5、不让系统显示上次登录的用户名1.单击开始-运行，在打开框中键入 mmc。2.在文件菜单上，单击“添加/删除管理单元”，单击添加。4.单击“组策略对象编辑器”，然后单击添加。5.单击目标组策略对象 (GPO)。默认 GPO 是本地计算机。单击浏览以选择所需的 GPO，然后单击完成。7.依次展开组策略对象、计算机配置、Windows 设置和安全设置。8.展开本地策略，然后单击安全选项。9.在右窗格中，双击“交互式登录:不显示上次的用户名”。10.单击以选中“定义这个策略设置”复选框（如果存在），然后单击启用-确定。6、要禁止计算机接受远程桌面连接1、右键点击我的电脑，选择属性打开系统属性对话框；2、在系统属性对话框打开远程选项卡；3、确保允许用户远程连接到这台计算机复选框没有被选中；4、点击选择远程用户.按钮，打开远程桌面用户对话框；5、从Remote Desktop Users用户组删除所有用户和用户组；7、把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。8、开启用户策略开始运行输入“GPEDIT.MSC”调出组策略编辑器，【计算机配置Windows设置安全设置帐户策略帐户锁定策略】，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。密码安全设置为什么要设置密码，很多用户都不去设置密码或设置简单。但是在实际情况中，用户拥有什么权限病毒木马就有什么样的权限。没有权限控制的的计算机也就对病毒木马开绿灯。最关键是用户不要以为有了安全软件和防火墙就可以不设置密码因为这是完全没有关系的两个安全体系。由于密码设置的特使原因无法对所有的密码管理都进行详尽的设置，用户最好根据自己的软、硬件使用说明以及自己的使用情况进行设置！（但是唯一要提醒用户你自己最好不要忘记自己设置的密码）1、使用安全密码对ADMINISTRATOR账户进行密码设置而且密码应该是12位以上（因为木马病毒都带有弱口令密码字典，而且黑客账户都带有各种密码字典在可接受的时间内它们可以暴力破解95%以上的用户密码）。而且在我的电脑管理计算机管理“本地用户和组”中用户应该停用除ADMINISTRATOR账外的所有账户比如GUEST账户，即使用户需要某些账户也应该对这些账户设置足够强健的密码。2、设置屏幕保护密码桌面单击“属性”屏幕保护程序，对屏幕保护进行密码设置。3、开启密码策略注意在组策略中应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。4、考虑使用智能卡来代替密码对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。系统安全设置1. 使用NTFS格式分区强烈建议大家的把C,D两个盘符分成NTFS格式。因为WINDOWS的安全全都是建立在NTFS基础之上的。抛弃了NTFS也就不要谈什么安全了（大家注意的是使用NTFS格式后在 DOS下是看不到NTFS分区的，你看到的C：应该是NTFS分区之后的那FAT32个区，但是借助其它软件也可以查看DOS下的 NTFS的数据）但是我也不推荐全部分区都使用NTFS，因为这样你备份以及一些其它的操作可能会受到一些影响。所以个人的意见是把最后一个区也就是备份区分成 FAT32。2. 到微软网站下载最新的补丁程序俗话说的好“病从口入”，要想把家里的蚊子消灭干净，必须要先把门窗把好，要想自己电脑没有病毒，就要先把补丁打好，打补丁不要认为是很轻松的事情，一款软件是搞不定的。必须将几款软件相结合，才能稳固系统。一、安全卫士360 下载地址：/ 用以上软件把查到的补丁全部打上，注：有些补丁失败的需要在带网络的安全模式下，（开机一直按F8 然后选择带网络的安全模式）补丁完毕，重启，然后卸载掉360。二、金山清理专家 下载地址：/zt/ksc/down.shtml 升级为最新，然后点“漏洞补丁“打上所有补丁后重启，注（先打独立安装，其次在打非独立安装的，）一切搞定后点，在线系统听诊-隐藏所有已知安全项-启动项管理：发现自己不熟悉的就勾选上，然后点修复选中项。浏览器修复：熟悉的留不熟悉的修复网页防挂马：开启。安全工具箱：1、U盘病毒免疫：全选-启用；2、历史痕迹：全选-清理（有些小流氓软件会住在这里面清理了就搞定）；3、垃圾文件：全选清理。3. 禁止默认共享1）察看本地共享资源： 运行-cmd-输入net share 2）删除共享(每次输入一个） net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e,f,可以继续删除）3）修改注册表删除共享 运行-regedit ：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 把AutoShareServer（DWORD）的键值改为0000000。 如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。 5. 锁住注册表进入组策略按照如图的路径进行配置阻止访问注册表：图1图2 6. 利用Windows XP的安全配置工具来配置安全策略1) 开始运行输入“GPEDIT.MSC”调出组策略编辑器，【用户配置管理模板任务栏和开始菜单】： 不要保留最近打开文档的记录已启用 退出时清除最近打开的文档的记录已启用 阻止在任务栏上对项目分组已启用2).禁止他人ping你的电脑第一步:添加管理单元按下Win+R组合键，打开“运行”，输入:mmc，启动打开“控制台”窗口。再点选“控制台”菜单下的“添加/删除管理单元”，单击“添加”按钮，在弹出的窗口中选择“IP安全策略管理”项，单击“添加”按钮。在打开窗口中选择管理对象为“本地计算机”，单击“完成”按钮，同时关闭“添加/删除管理单元”窗口，返回主控台。第二步:创建IP安全策略右击刚刚添加的“IP安全策略管理单元”，选择“创建IP安全策略”，单击“下一步”，然后输入一个策略描述，如“禁止Ping”。单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。开始设置身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，然后随便输入一些字符(下面还会用到这些字符)。单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。第三步:配置安全策略单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。单击“下一步”，并选择“所有网络连接”以保证所有的计算机都Ping不通（超时）。单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。单击“下一步”，在打开窗口中单击“添加”按钮，打开“IP筛选器列表”窗口。单击“添加”，单击“下一步”，设置源地址为“我的IP地址”，单击“下一步”，设置目标地址为“任何IP地址”，单击“下一步”，选择协议为ICMP，现在就可依次单击“完成”和“关闭”按钮返回。此时，可以在IP筛选器列表中看到刚刚创建的筛选器，将其选中之后单击“下一步”，选择筛选器操作为“要求安全设置”选项，然后依次点击“完成”、“关闭”按钮，保存相关的设置返回管理控制台。第四步:指派安全策略 最后只需在“控制台根节点”中右击配置好的“禁止Ping”策略，选择“指派”命令使配置生效。经过上面的设置，当其他计算机再Ping该计算机时，就不再相通了。但如果自己Ping本地计算机，仍可相通。此法对于Windows 2000/XP均有效。在组策略用户配置管理模板中，用户可以对系统、Windows组建中的Windows资源管理器进行一些项目设置来达到自己想要的电脑保护措施，如删除缩略图缓存，隐藏有重要文件的磁盘，“最近的文档”最大数目的控制、不要将删除的文件移到回收站、关闭自动播放等等，可以根据自己的需要进行相关设置，打造属于自己的安全系统。服务安全以及进程设置1. 关闭不必要的进程右击“任务栏” 任务管理器进程，除了一下八个基本进程以外其他能关闭的进程都将其关闭以提升电脑自身的运转速率。Csrss.exe：这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。System Idle Process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。Smss.exe：这是一个会话管理子系统，负责启动用户会话。Services.exe：系统服务的管理工具。Lsass.exe：本地的安全授权服务。Explorer.exe：资源管理器(这个进程不能结束，若不小心结束了可打开资源管理器，在文件中选择新建任务，把这一项添加即可)。Spoolsv.exe：管理缓冲区中的打印和传真作业。Svchost.exe：这个进程要着重说明一下，有不少朋友都有这种错觉：若是在“任务管理器”中看到多个Svchost.exe在运行，就觉得是有病毒了。其实并不一定，系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表，如果多个Svchost.exe同时运行，则表明当前有多组服务处于活动状态；多个DLL文件正在调用它。2. 把敏感文件存放在另外的文件服务器中，一定要注意养成重要文件多地点备份的习惯。3. 禁止建立空连接默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接： Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。4、启动项的管理启动项目就是开机的时候系统会在前台或者后台运行的程序。当Windows（操作系统）完成登录过程，进程表中出现了很多的进程！Windows在启动的时候，自动加载了很多程序。许多程序的自启动，给我们带来了很多方便，这是不争的事实，但不是每个自启动的程序对我们都有用；更甚者，也许有病毒或木马在自启动行列！所以我们要把不用的程序给禁止了。1、开始-运行-Msconfig 2、在启动项里选择你不需要的程序给禁用了，一般系统里的程序不要禁用。 IMJPMIG：微软输入法编辑程序的一部分，使计算机能够输入亚洲的字符，建议不要禁用。 TINTSETP：微软新注音输入法程序，建议不要禁用。 一般应用软件开机只需要启动上面两个程序，其他一些应用程序的开机进程尽量都给禁用以提高开机运行速率。二、常用应用软件安全IE的安全设置 大家平时在上网的过程中接触的最多的就是浏览器了，浏览器的安全设置也十分重要。对于IE我们可以打开属性面的安全选项来进行IE的安全设置。在这个面板中我们可以设置受信任位置和安全级别，默认的安全级别是中级，可以适应大部分的需要，也可以根据自己的需要进行调整。在自定义级别中我们还可以对ActiveX控件，Microsoft VM和脚本等做具体的安全设置（如图3、4）。同时，在IE窗口“工具”选项管理加载项，对多余的加载项进行管理，尽量使加载项减少从而加快IE的启动速度。其实所谓消除潜在威胁无非是定期清除一下internet临时文件夹、历史纪录、自动完成和cookie，但有两处我认为一些符合我描述条件的朋友需要注意：若你是使用页面模式进行登录的管理员或者你的邮箱非常的重要，例如论坛版主或邮件服务，如果黑客想窃取你们的权限搞破坏或窃取个人资料，那么机器中存留的cookie会成为黑客得逞的助手之一，所以如果有必要，可以将需要输入用户名和密码的页面放入编辑cookie策略中。打开IE-工具-Internet选项-高级，在打开的菜单栏里有一项“关闭浏览器时清空Internet临时文件夹”（如图3），要禁止掉。 图3 图4 图5IM软件的安全设置 IM软件即即时通讯软件的发展给我们带来了很多便利，如何根据自己的需要对他们进行设置是十分重要的，下面我们以QQ和MSN为例来介绍IM软件的安全设置。 QQ的配置面板在设置面板中，我们可以通过单击自己的头像来打开配置面板，在这里我们可以进行各种设置即个人设置、系统设置和安全设置，在个人设置和系统设置中我们可以对QQ的各种功能进行调整，在安全设置中我们可以设置各种安全策略，密码安全、木马查杀、自动更新、聊天记录和文件接收。如图6图6我们需要注意的主要是查杀木马和文件接收，查杀木马可以根据自己的实际情况选择，文件接收推荐设置为中级，在需要时再改成高级。 MSN的选项我们可以通过菜单栏里的工具-选项打开，在里面对MSN进行各种设置，在共享文件夹面板可以对共享文件夹进行设置，在文件传输菜单中对文件传输的权限路径和病毒扫描进行设置，在安全菜单中对密码策略、语音收发、链接和加密进行设置，在不需要的时候应该设置高安全级别。如图7、8 图7图8下载工具的安全设置 迅雷是我们常用的下载工具，它在网络上有个公共的称号“网络吸血鬼”对迅雷进行必要的配置是很重要的。迅雷的配置页面可以通过工具-配置选项卡打开在高级选项中可以对更新和消息设置进行配置，在下载安全选项中对杀毒和预警功能进行配置，在我们日常应用中应该开启杀毒功能。如图9我们可以下载迅雷的安全杀毒模块来提高迅雷的安全性能下载地址为：/dl/ThunderKAV0.exe。图9 迅雷在使用过程中会占用大量的网络资源，这也许会影响到我们其他的工作，可以通过配置迅雷的“全局最大链接数”和限速来解决，这两个选项都能在配置面板中找到。最关键的是将上传速度限制设置为0，可以减小下载资源时对网络带宽的占有率从而提高上网速度。office的安全设置 微软自带的安全功能可以在一定程度上确保office文档安全，也可以防止宏病毒的危害。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会 “感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。对Word文档来说，最大的敌人当然就是宏病毒了。对于来源不明的文档，坚决拒之门外，以防止宏病毒混水摸鱼，当然我们也要恩怨分明，对于已经确信是“根正苗红”的宏，大可不必一棍子打死。在Word里设置防范措施十分简单，单击“工具”菜单“宏”“安全性”，打开如图1所示的对话框，确保选中其中的“高”或“中”单选按钮即可。还可以用文档中的加密功能进行加密操作来防止病毒威胁。 针对病毒、木马、流氓软件、攻击等使用的防护软件杀毒软件 一般我们用的都是瑞星， 这就不多说了， 在官方网站上下载可升级的最新版本的瑞星杀毒软件。还有几款我们常用的如江民、金山毒霸、麦咖啡等，您在下载这些软件时都有一些附带的使用说明，在这里我们就不多介绍了。要强调的一点就是在使用这些杀毒软件的时候最好设置每天定时杀毒和即时升级病毒库才可以更好的保证电脑的安全。木马专杀大师本软件采用了先进的程序行为智能判断技术。软件通过分析每个程序的机理来判断木马，不需要木马的特征码，可查杀未知木马。实时扫描内存中的每个程序，一旦发现木马，即时查杀。强力保障您的计算机、网络游戏帐号、qq和邮箱帐号等不被木马侵害下载地址：/08/0801/19671/19671_4.shtml防止ARP攻击在360安全卫士中有一项“保护”，打开，在“开启实时保护”中的一项“局域网ARP攻击拦截”将此项开启可有效的拦截ARP攻击。还有几款软件也可以防止ARP攻击，就是 MAC地址绑定工具(防ARP攻击工具）下载地址/soft/2008-07-16/17439.html 应用软件给我们的应用带来了很大的方便，但是应用软件也容易成为各种病毒、木马攻击的目标，因此我们要及时更新应用软件以保持最新版本，补上已知的漏洞，才能使我们有一个安全的网络环境。三、建议养成良好的上网习惯一、要及时更新操作系统目前使用微软Windows操作系统的用户占了绝大多数，但微软操作系统的安全漏洞一再被发现，通过这些漏洞，远程黑客可以将宽带用户的电脑完全控制，就像操作自己的机器一样。所以，要利用自动更新功能及时升级操作系统。二、要安装防病毒软件并及时更新病毒代码。目前计算机病毒的传播手段越来越复杂多变，通过软盘、光盘、邮件、浏览网页都能传播，而且，即使你不做任何操作，只要接入宽带网，有的病毒就能摧毁你的计算机。前两年风靡一时的震荡波病毒就是典型的例子。三、分类设置密码并使密码设置尽可能复杂在不同的场合使用不同的密码。网上需要设置密码的地方很多，如网上银行、上网账户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码，以免因一个密码泄露导致所有资料外泄。对于重要的密码（如网上银行的密码）一定要单独设置，并且不要与其他密码相同。设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码，最好采用字符与数字混合的密码。不要贪图方便在拨号连接的时候选择“保存密码”选项;如果您是使用Email客户端软件（Outlook Express、Foxmail、The bat等）来收发重要的电子邮箱，如ISP信箱中的电子邮件，在设置账户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的，但是这样的加密往往并不保险，一些初级的黑客即可轻易地破译你的密码。定期地修改自己的上网密码，至少一个月更改一次，这样可以确保即使原密码泄露，也能将损失减小到最少。四、不下载来路不明的软件及程序，不打开来历不明的邮件及附件 不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件（尤其是可执行文件），在给你带来方便和快乐的同时，也会悄悄地把一些你不欢迎的东西带到你的机器中，比如病毒。因此应选择信誉较好的下载网站下载软件，将下载的软件及程序集中放在非引导分区的某个目录，在使用前最好用杀毒软件查杀病毒。有条件的话，可以安装一个实时监控病毒的软件，随时监控网上传递的信息。不要打开来历不明的电子邮件及其附件，以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行，有些病毒就是通过电子邮件来传播的，这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件，如果您抵挡不住它的诱惑，而下载或运行了它的附件，就会受到感染，所以对于来历不明的邮件应当将其拒之门外。五、警惕“网络钓鱼”目前，网上一些黑客利用“网络钓鱼”手法进行诈骗，如建立假冒网站或发送含有欺诈信息的电子邮件，盗取网上银行、网上证券或其他电子商务用户的账户密码，从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕，防止上当受骗。! 目前“网络钓鱼”的主要手法有以下几种方式：（1）发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。（2）建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。（3）利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。（4）利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。（5）利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。实际上，不法分子在实施网络诈骗的犯罪活动过程中，经常采取以上几种手法交织、配合进行，还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。反网络钓鱼组织APWG（Anti-Phishing Working Group）最新统计指出，约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备，但今年国内的众多银行已经多次被Phishing过了。可以下载一些工具来防范Phishing活动，如Netcraft Toolbar，该软件是IE上的Toolbar，当用户开启IE里的网址时，就会检查是否属于被拦截的危险或嫌疑网站，若属此范围就会停止连接到该网站并显示提示。六、防范间谍软件!最近公布的一份家用电脑调查结果显示，大约80%的用户对间谍软件入侵他们的电脑毫无知晓。间谍软件（Spyware）是一种能够在用户不知情的情况下偷偷进行安装（安装后很难找到其踪影），并悄悄把截获的信息发送给第三者的软件。它的历史不长，可到目前为止，间谍软件数量已有几万种。间谍软件的一个共同特点是，能够附着在共享文件、可执行图像以及各种免费软件当中，并趁机潜入用户的系统，而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯，有些间谍软件还可以记录用户的键盘操作，捕捉并传送屏幕图像。间谍程序总是