系统初始化设置及安全策略

1、Windows 初始设置并不理想，有些需要打开， 有些需要关闭。 但重装系统之后，每每总记不 全需要修改哪些项目。以后重装系统，照此清单一一调整。本贴目的是为方便操作，对各项 设置按照操作步骤分类， 而非按照功能分类。 本贴来源于网络， 详细的设置利弊请参考相关 知识。一、安全第一，预防为主，清杀为辅 。二、及时下载并安装系统安全补丁。三、不浏览不健康、不明网站。四、不使用来历不明的程序。五、良好的操作习惯。一. 比较零碎的设置1. 更改浏览器临时文件路径In ternet 属性宀常规宀设置宀移动文件夹宀确定（需要重登录生效）2. 更改“我的文档”路径开始我的文档”属性t目标文件夹t设置路径t

2、移动t确定图片收藏、 我的音乐、我的视频，这三个文件夹可以剪贴到任一路径下，开始菜单会自动定 位快捷方式。3. 关机时清空页面文件控制面板T管理工具T本地安全策略T本地策略T安全选项T关机T清理虚拟内存页面文件T已启用T确定4.A、巧设埋伏，暗布陷阱第一步：首先确认你当前使用的操作系统是无毒的或全新安装的win2000/XP/2003 （最好是全新安装） 。立即打开：“开始程序管理工具计算机管理本地用户和组用户”，把超级管理员（ Administrator ）密码更改成十位数以上（密码要使用数字、大小写字母、 符号相组合）。第二步： 新建一个用户， 并设置十位数以上密码 （密码要求同第一步）

3、，在“组” 里面， 选 Administrators 组，将此用户账号添加到 Administrators 组。这样做的原因主要有二： 一是在忘记超管用户密码而被拒绝登录时， 可用此用户登录； 二是网上的黑客无法通过猜测 你的系统超管密码的方式远程获得你系统的控制权进行破坏。第三步：再新建两个用户如usel、use2，并指定他们属于 user组。到此请记住，今后除必要的计算机维护外就不要使用两个超级管理员和 use2 登录，只使用 use1 登录。B设置傀儡以 use1 用户登录系统后，在桌面建立 IE 快捷方式（桌面点击右键， 选择“新建快捷 方式”，在弹出窗口中选择 iexplore.ex

4、e ，位置在“ C:Program FilesInternet Exploreriexplore.exe ”，点击“下一步”完成。）然后鼠标右击该快捷方式，选择 “属性”， 再点击 “高级按钮” ，在“以其他用户身份运行” 前打上钩。要上网时就点此快捷方式， 它会要你输入用户名和密码， 这时候你就输入 use2 的用 户名的密码，使用打开的 IE 浏览器窗口去上网，你就可以放心地浏览任何恶毒的、恶意的 网站和网页，而不别再担心中招了。特别注意：不可使用 use2 用户登录系统，因如果用 use2 登录，则 use2 以前中过什么 网页病毒，就极有可能被激活。c、金蝉脱壳，摆脱中招干扰为了解决不

5、小心接收了别人发来的病毒文件而中毒的问题，就要采用金蝉脱壳的技术 了。当发现计算机中毒或怀疑中毒（如启动特别慢或运行程序剧慢的情况）。立即重新启动计算机，使用超级管理员登录，进入系统后什么程序都不要运行。打开：“开始程序管理工具计算机管理本地用户和组用户”，把里面的 use1 和 use2 两个用户全部删除。好了， 现在可以再重复开始的步骤重新建立 use1 和 use2 两个用户让他们复活， 用户建立完成后，立即注销超级管理员，转而使用 use1 登录，继续工作。但必须遵循两个原则：1）任何时间都不以超级管理员的身份登录系统， 除非要进行系统更新和维护、 需要使用 超管身份的时候或需要添加和

6、删除用户的时候。2）必须使用超管登录时候， 保证不使用和运行任何除了操作系统自带的工具和程序之外 的任何程序， 而且所有维护都只通过开始菜单里的选项来完成， 甚至连使用资源管理器去浏 览硬盘都不用，只做做用户和系统的管理和维护就立即退出，决不多停留。通过以上的方法，可以较好地防范计算机由于上网而中毒，从而确保系统正常运行。5. 优化“启动”组运行win+R t输入msconfig ”打开系统配置实用程序”宀启动宀配置启动组程序宀确 定一般保留四项： 1.ctfmon (输入法，必须) 2. 杀软 3.miniclock4. CalSprite注：确定后可选择 “退出而不重启” ，下次启动电脑后

7、会询问是否启用 “系统配置使用程序” 打勾确定。二. 服务(控制面板T管理工具T服务)1. 可设置为自动的服务Application Layer Gateway ServiceDCOM Server Process LauncherEvent LogHelp and SupportNetwork ConnectionsNetwork Location Awareness (NLA)Plug and PlayRemote Access Connection ManagerRemote Procedure Call (RPC)TCP/IP NetBIOS HelperTelephonyThemes

8、Windows AudioWindows Image Acquisition (WIA)Windows Management InstrumentationWindows Firewall/Internet Connection Sharing (ICS)2. 需禁用的服务AlerterAutomatic Updates*ClipBook (启用“剪贴簿查看器”储存信息并与远程计算机共享)COM+ Event SystemFast User Switching CompatibilityHuman Interface Device AccessIndexing Service*Messenge

9、rNetwork DDE Network DDE DSDM Print Spooler (将文件加载到内存中以便迟后打印)Protected Storage*Remote Registry （远程修改注册表）*Routing and Remote Access （在局域网以及广域网环境中为企业提供路由服务）Security Center （安全中心）ServerShell Hardware DetectionSSDP Discovery ServiceSystem Event Notification*Telnet （远程登录）Terminal ServicesWindows TimeSyst

10、em Event Notification注：所列都是我机器上禁用的服务。带 *号的潜在安全隐患，建议坚决禁用。其余或阻碍系 统流畅性，或增加 LJ文件。总之大家自行取舍。三. 在“系统属性”中的设置 注：要打开“系统属性”可按组合键 Ctrl+Pause Break1. 关掉未用设备（可减少启动自检时间）系统属性T硬件T设备管理器我通常停用1.端口（ COM和LPT）2.软盘控制器2. 驱动程序签名系统属性t硬件t驱动程序签名t警告t确定注：所有驱动程序当中似独 AC97 驱动没有 MS 签名，但不影响使用。4. 禁用错误报告系统属性t高级t错误报告t禁用错误汇报但在发生严重错误时通知我 注

11、：不管看不看得懂，总觉得错误报告实在没有必要，还是关了最好。5. 关闭系统还原系统属性t高级t系统还原t在所有驱动器上关闭系统还原 注：除非你明确知道自己的行为后果必须依靠系统还原来纠正，否则实在没必要打开。四. 在“组策略”中的设置注：要打开组策略”可按组合键 win+R打开运行”t输入gpedit.msc ”1. 自动播放组策略T计算机配置T管理模板T系统T关闭自动播放T已启用T确定2. 关于 IE删除桌面上的IE图标,创建一个快捷方式t点击浏览”按钮t C:Program FileslnternetExploreriexplore.exe双击t确定IE快捷方式t击右键T “属性” t “

12、高级” t勾选“以其他用户身份运行”确定如果你打开IE不想要任何主页出现：IE快捷方式t击右键t “属性” t “快捷方式”选项卡t在“目标（T）” 文本框中有C:Program FilesInternet Exploreriexplore.exe,请在后面加上代码 -nohome 即 ： C:Program FilesInternetExploreriexplore.exe-nohome （注意-nohome是加在引号后面，并且要有一个空格），当你打开 IE 时没有任何主页，为空白页。组策略t用户配置t管理模板twi ndows组件t In ternet Explorert禁用更改高级页设置

13、t确定组策略t用户配置t管理模板twi ndows组件t In ternet Explorert禁用更改主页设置t确定注：此处还有许多项目可以配置，大家酌情而定。3. 系统自动更新 一定要开启系统自动更新我建议设置成“有可用下载时通知我，但不要自动下载或安装更新”4. 最近打开文档的记录组策略t用户配置t管理模板t任务栏和开始菜单t不要保留最近打开文档的记录5. 通用打开文件对话框组策略t用户配置t管理模板t windows组件t windows资源管理器t通用打开文件对话框t位置栏中显示的项目 注：这是个非常有用的策略。在任一应用程序中点击“文件 / 打开”弹出的对话框里，左侧 导航栏中一般

14、有“我最近的文档”、“桌面”、“我的文档”、“我的电脑”、“网上邻居”这几个快捷位置。 但在此策略里，你可以根据自己的习惯指定本地或远程的任意位置。五. 需要重启或整理磁盘的设置1. 网络连接设置控制面板t网络连接t本地连接属性t常规选项卡tIn ternet 协议（TCP/IP）属性宀使用下面的IP地址T填写IP地址和子网掩码T确定注：Windows进入桌面会有一分钟时间的假死，在此设置便可解决。2. 虚拟内存系统属性t高级t性能设置T高级T禁用T确定注：先禁用，重启后整理磁盘，然后设置。就日常使用来说512M物理内存是个分水岭。v384M必须虚拟内存，否则有些应用程序不肯启动，设置为min

15、=1.5倍max=2倍即可。沁512M可禁用虚拟内存但性能不会有明显改善，因此设置为min=0.5倍max=1倍即可。768M完全可以禁用虚拟内存，据说性能会明显提升。但本人没有经验，不敢妄断。3. 睡眠功能桌面属性t屏幕保护程序t电源T休眠t启用休眠桌面属性t屏幕保护程序t电源T高级t在按下计算机睡眠按钮时t选择“休眠”注：多数“减肥帖”都建议去掉休眠以腾出空间，个人觉得有些削足适履。用休眠比挖空心 思减少系统启动时间有效得多。六. 备份1. 注册表运行win+R t输入“ regedit ”打开“注册表编辑器” t导出2. c:windowssystem32下的 dll 文件和 exe 文

16、件新建 x.bat 文件，输入以下命令保存dir c:windowssystem32*.dllx:dllback.txtdir c:windowssystem32*.exex:exeback.txt运行一次，可备日后查找可疑文件。友情提示：1. 以上设置主要针对系统安全和流畅性， 都是经过本人验证行之有效的。 网上流传的一些诸 如加速系统启动、优化网速之类的“高招”，相信只是误导大家。且不说是否可以减少启动时间，就说快了那 几秒钟，有多大意义？何况还可能引起潜藏的危险。2. 一些常用功能在 windows 中都可以找到相应设置。 要实现先考虑配置“组策略”。 不要轻 易修改注册表。尽量少用第三

17、方软件。比如禁止更改 IE 设置，按照上面提到的方法可以防 范 99%的恶意修改，有些人偏要用一键恢复之类的第三方软件，觉得没有必要。3. 不要在“什么软件占资源少”的问题上纠缠。软件占用资源有它的道理，要都不占资源，岂不是可以把CPU和内存扔掉了？所以该开的咚咚都开着，花点银子把内存搞大一些才是正理。4. 建议软件：瑞星卡卡防火墙。系统自带的足矣。若实在不放心就装个天网5. 此帖并非给出一套方案教你照搬， 只是觉得这些设置都有必要， 指出在哪里修改什么， 设 置什么去哪里找， 集中起来方便对照而已。 所有机器的设置大同小异， 只不过依配置不同而 略有差别。机器配置如下，请大家根据情况自行调整

18、。用组策略提升系统性能80%的连接带宽之内，这对带让我们的上网速率提高 20%!QoS数据包调度程序”并启用0%即可，然后按确定退出，1让 Windows 的上网速率提升 20%( Windows XP/2003 ) 默认情况下，Win dows网络连接数据包调度程序将系统限制在 宽较小的网络来说， 无疑是笔不小的开支。 我们可以通过组策略设置来替代默认值，打开“组策略控制台t计算机配置t管理模板t网络”中的“此策略，然后使用下 面“带宽限制”框来调整系统可保留的带宽比例，将它设置为之后我们就可以使用 另外 20%的带宽了。2关闭缩略图的缓存( Windows XP/2003 )Windows

19、XP/20003 系统具有缩略图视图功能，且为了加快那些被频繁浏览的缩略图显示速 度，系统会将这些被显示过的图片进行缓存， 以便下次打开时直接读取缓存中的信息， 从而 达到快速显示的目的。但如果我们不希望系统进行缓冲的话(比如只浏览一次的图片)，则可以利用组策略关闭缩略图缓存的功能，这样第一次浏览速度反而会大大加快(因为不进行缓存处理)。打开组策略控制台t用户配置t管理模板tWindows组件宀Windows资源管理器”中的关闭缩略图的缓存”并启用此策略。3. 屏蔽系统自带的 CD刻录功能(Windows XP/2003 )Windows XP/2003系统自带 CD刻录功能，如果你有 CD刻录机接在计算机