安全宝典之如何使 Windows 系统更安全.doc

安全宝典之如何使 Windows 系统更安全.txt单身很痛苦，单身久了更痛苦，前几天我看见一头母猪，都觉得它眉清目秀的什么叫残忍？ 是男人，我就打断他三条腿；是公狗，我就打断它五条腿！ 安全宝典之如何使 Windows 系统更安全目前越来越多的用户开始使用基于WindowsNT构架的Windows2000和Windowsxp操作系统,那如何使您的操作系统变得更加安全可靠呢?笔者归纳了以下几点供大家参考。 一、采用NTFS格式来分区NTFS的优势 1. 可为用户分配磁盘限额。所谓磁盘限额就是指对系统的每一位用户都分配一定数量的磁盘空间，并且可以选择在用户超出此磁盘空间的时候，是提出警告还是拒绝他使用更多的磁盘空间。右击NTFS格式分区，在快捷菜单中选择“属性”命令，点击“配额”选项卡，选择“启用配额管理”和 “拒绝将磁盘空间给超过配额限制的用户”两个复选项，然后可以为该卷上的新用户选择默认配额限制和警告等级，这里就不多说了。 2.压缩或加密文件/文件夹。如果选择了NTFS文件系统，那么不需要第三方工具即可实现压缩和加密功能。右击某文件夹，从“属性” 窗口中选择“高级”选项页，打开图5窗口，可以看到这里有一个“压缩或加密属性”小节，这就不用多说了吧？直接勾选即可，不过遗憾的是无法同时选择两项。 3.NTFS格式的分区在安全性方面更加有保障。 二、合理管理您的账号 1.停用Guest 帐号 在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给 guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。 2.创建2个管理员用帐号 虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。 3.合理设置密码不要使用简单的数字，字母作为管理员密码例如123456，abc. 密码的设置原则是数字和字母或者符号相结合。 三、停用一些不必要的Windows服务 Alerter 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts) 建议：停用 Application Layer Gateway Service 如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉 建议：手动 Application Management (应用程序管理) 软件安装变更的服务 建议： 手动 Automatic Updates 允许 Windows 于背景自动联机之下，到 Microsoft Servers 自动检查和下载更新修补程序 建议：停用 Background Intelligent Transfer Service 使用闲置的网络频宽来传输数据。 建议： 停用 ClipBook (剪贴簿) 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止，剪贴簿检视器将无法与远程计算机共享信息。建议： 停用 COM+ Event System (COM+ 事件系统) 有些程序可能用到 COM+ 组件，像 BootVis 的 optimize system 应用，如事件检视器内显示的 DCOM 没有启用 建议： 手动 COM+ System Application 管理 COM+ 组件的设定及追踪。如果停止此服务，大部分的 COM+ 组件将无法适当?#092;作。如果此服务被停用，任何明确依存它的服务将无法启动。 建议： 手动 Computer Browser (计算机浏览器) 一般家庭用计算机不需要，除非你的计算机应用在区网之上. 建议： 停用 Cryptographic Services 简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证，如果你有使用 Automatic Updates ，那你可能需要这个 建议： 手动 DHCP Client (DHCP 客户端) 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP 建议： 手动 Distributed Link Tracking Client (分布式连结追踪客户端) 维护区网内不同计算机之间的档案连结 建议： 停用 Distributed Transaction Coordinator (分布式交易协调器) 一般家庭用计算机用不太到，除非你启用的 Message Queuing 建议： 停用 DNS Client (DNS 客户端) 解析并快取这台计算机的网域名称系统 (DNS) 名称,IPSEC 需要用到建议： 手动 Error Reporting Service 微软的应用程序错误报告 建议： 停用 Event Log (事件记录文件) 启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视 建议： 自动 Fast User Switching Compatibility 在多使用者环境下提供应用程序管理,另外像是注销画面中的切换使用者功能 建议： 手动 Help and Support 让说明及支持中心能够在这台计算机上执行。如果这个服务停止，将无法使用说明及支持中心。 建议： 停用 Human Interface Device Access 启用对人性化接口装置 (HID) 的通用输入存取，HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。建议： 停用 IMAPI CD-Burning COM Service XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能，可惜比不上烧录软件，关掉还可以加快 Nero 的开启速度 建议：停用 Indexing Service (索引服务) 本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。 建议：停用 Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉 建议： 手动 IPSEC Services (IP 安全性服务) 协助保护经由网络传送的数据。IPSec 为一重要环节，为虚拟私人网络 (VPN) 中提供安全性，而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要，但是一般使用者大部分是不太需要的 建议： 手动 Logical Disk Manager (逻辑磁盘管理员) 磁盘管理员用来动态管理磁盘，如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能 建议： 自动 Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务) 设定硬盘磁盘及磁盘区，服务只执行设定程序然后就停止。 建议： 手动 Messenger 允许网络之间互相传送提示讯息的功能，如 net send 功能，如不想被骚扰话可关了 建议：停用 MS Software Shadow Copy Provider 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务，就无法管理以软件为主的磁盘区阴影复制. 建议：停用 Net Logon 一般家用计算机不太可能去用到登入网域审查这个服务 建议：停用 NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享) 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络，由远程访问这部计算机,如果你重视安全性不想多开后门，就关了吧. 建议：停用 Network Connections (网络联机) 控制你的网络联机 建议： 手动 NetworkDDE(网络 DDE) 为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。建议：停用 Network DDE DSDM (网络 DDE DSDM) 讯息动态数据交换 (DDE) 网络共享。 建议：停用 Network Location Awareness (NLA) 如果不使用 ICF 和 ICS 可以关了它 建议：停用 NT LM Security Support Provider (NTLM 安全性支持提供者) 如果不使用 Message Queuing 或是 Telnet Server 那就关了它 建议：停用 Performance Logs and Alerts (效能记录文件及警示) 基于事先设定的排程参数，从本机或远程计算机收集效能数据建议：停用 Plug and Play 启用计算机以使用者没有或很少的输入来识别及适应硬件变更，停止或停用这个服务将导致系统不稳定。 建议： 自动 Portable Media Serial Number 透过联机计算机重新取得任何音乐拨放序列号建议：停用 Print Spooler (打印多任务缓冲处理器) 将档案加载内存中以待稍后打印。如果没有打印机，可以关了 建议：停用 Protected Storage (受保护的存放装置) 用来储存你计算机上密码的服务，像 Outlook、拨号程序、其它应用程序、主从架构等等 建议： 自动 QoS RSVP (QoS 许可控制，RSVP) 用来保留 20% 频宽的服务，如果你的网络卡不支持 802.1p 或在你计算机的网域上没有 ACS server ，那么不用多说，关了它 建议：停用 Remote Access Auto Connection Manager (远程访问自动联机管理员) 当程序参照到远程 DNS 或 NetBIOS 名称或地址时，建立远程网络的联机。 建议： 手动 Remote Access Connection Manager (远程访问联机管理员) 建立网络联机建议： 手动 Remote Desktop Help Session Manager 管理并控制远程协助。如上说的管理和控制远程协助，如果不使用可以关了 建议：停用 Remote Procedure Call (RPC) (远程过程调用，RPC) 提供结束点对应程序以及其它 RPC 服务。 建议： 自动 Remote Procedure Call (RPC) Locator (远程过程调用定位程序) 管理 RPC 名称服务数据库。 建议： 停用 Remote Registry (远程登录服务) 启用远程使用者修改这个计算机上的登录设定。建议最好关了它，除非你需要远程协助修改你的登录设定 建议： 停用 Removable Storage (卸除式存放装置) 除非你有 Zip 磁盘驱动器或是 USB 之类可携式的硬件或是 Tape 备份装置，不然可以尝试关了 建议：停用 Routing and Remote Access (路由和远程访问) 提供连到局域网络及广域网络的公司的路由服务。 如上说的，提供拨号联机到区网或是 VPN 服务，一般用户用不到 建议： 停用 Secondary Logon 启用在其它认证下的起始程序。允许多个使用者处理程序，执行分身等 建议：自动 Security Accounts Manager (安全性账户管理员) 储存本机账户的安全性信息。 管理账号和群组原则(gpedit.msc)应用 建议： 自动 Server (服务器) 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务，将无法使用这些功能。简单的说就是档案和打印的分享，除非你有和其它计算机分享，不然就关了 建议：停用 Smart Card (智慧卡) 管理这个计算机所读取智能卡的存取。如果这个服务被停止，这个计算机将无法读取智能卡。如果你不使用 Smart Card ，那就可以关了 建议： 停用 Smart Card Helper (智能卡协助程序) 启用对这个计算机使用的旧版非随插即用智能卡读取头的支持建议： 停用 SSDP Discovery Service 在您的家用网络上启用通用随插即用装置的搜索。 如上说的，通用随插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置，经由网络联机透过 TCP/IP 来搜索装置，像网络上的扫瞄器、数字相机或是打印机，亦即使用 UPnP 的功能，基于安全性没用到的大可关了 建议： 停用 System Event Notification (系统事件通知) 追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。 建议： 自动 System Restore Service 执行系统还原功能。若要停止服务，从我的计算机-内容，系统还原 中关闭系统还原 建议：停用 Task Scheduler (工作排程器) 让使用者能够在这个计算机上设定和排定自动的工作。设定排定自动的工作，像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等 建议： 自动 TCP/IP NetBIOS Helper(TCP/IP NetBIOS 协助程序) 启用 NetBIOS over TCP/IP (NetBT) 服务及 NetBIOS 名称解析的支持。 建议：停用 Telephony (电话语音) 为本机计算机上及经由局域网络连接到正在执行此服务的服务器上，控制电话语音装置和 IP 为主语音联机的程序，提供电话语音 API (TAPI) 支持。 建议： 手动 Telnet 启用一个远程使用者来登入到这台计算机和执行应用程序，以及支持各种 TCP/IP Telnet 客户端，包含以 UNIX 为基本和以 Windows 为基本的计算机。允许远程使用者用 Telnet 登入本计算机，一般人会误解关了就无法使用BBS，这其实和BBS无关，基于安全性的理由，如果没有特别的需求，建议最好关了 建议： 停用 Terminal Services (终端机服务) 允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。 建议：停用 Themes 提供使用者经验主题管理。 建议： 自动 Uninterruptible Power Supply (不断电供电系统) 微软： 管理连接到这台计算机的不断电电源供应 (UPS)。 建议：停用 Universal Plug and Play Device Host 提供主机通用随插即用装置的支持。 建议： 停用 Volume Shadow Copy 管理及执行用于备份和其它目的的磁盘区卷影复制。 建议： 停用 WebClient 使用 WebDAV 将档案或数据夹上载到所有的 Web 服务，基于安全性的理由，你可以尝试关闭 。建议： 停用 Windows Audio 管理用于 Windows 为主程序的音讯装置。 建议： 自动 Windows Image Acquisition (WIA) (Windows影像取得程序) 为扫描仪和数字相机提供影像撷取服务。如果扫描仪和数字相机内部具有支持WIA功能的话，那就可以直接看到图档，不需要其它的驱动程序，所以没有扫描仪和数字。相机的使用者大可关了 建议： 停用 Windows Installer (Windows 安装程序) 根据包含在 .MSI档案内的指示来安装，修复以及移除软件。 建议： 手动 Windows Management Instrumentation (WMI) 提供公用接口及对象模型，以存取有关操作系统、装置、应用程序及服务的管理信息。建议： 自动 Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸) 提供系统管理信息给予/取自驱动程序。 建议： 手动 Windows Time (Windows 时间设定) 维护在网络上所有客户端及服务器的数据及时间同步处理。建议：停用 Wireless Zero Configuration 为802.11 适配卡提供自动设定。 建议：停用 WMI Performance Adapter 提供来自 WMIHiPerf 提供者的效能链接库信息。 建议： 停用 Workstation (工作站) 建立并维护到远程服务器的客户端网络联机。建议： 自动 宽带用户防范“黑客”攻击的十大招式一、隐藏IP地址黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用代理猎手等工具来查找。二、关闭不必要的端口黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序(比如Netwatch)，该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。三、更换管理员帐户Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。四、杜绝Guest帐户的入侵 Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。五、封死黑客的后门俗话说“无风不起浪”，既然黑客能进入，那我们的系统一定存在为他们打开的后门，我们只要将此堵死，让黑客无处下手，岂不美哉!1.删掉不必要的协议对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，可以将绑定在TCP/IP协议的NetBIOS给关闭，避免针对NetBIOS的攻击。2.关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能，但在我们不需要它的时候，它也是引发黑客入侵的安全漏洞。所以在没有必要文件和打印共享的情况下，我们可以将其关闭。即便确实需要共享，也应该为共享资源设置访问密码。3.禁止建立空连接在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。因此我们必须禁止建立空连接。方法有以下两种:方法一是修改注册表:到注册表 HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA下，将DWORD值RestrictAnonymous的键值改为1即可。方法二是修改Windows 2000/XP的本地安全策略为“不允许SAM帐户和共享的匿名枚举”。4.关闭不必要的服务服务开得多可以给管理带来方便，但也会给黑客留下可乘之机，因此对于一些确实用不到的服务，最好关掉。比如在不需要远程管理计算机时，我都会将有关远程网络登录的服务关掉。去掉不必要的服务停止之后，不仅能保证系统的安全，同时还可以提高系统运行速度。六、做好IE的安全设置 ActiveX控件和Java Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此