设置系统提高安全

第一章设置系统提升安全——建立防御基地

操作系统是用户与电脑交流接口，是各应用软件在电脑中赖以生存、协调工作基地。操作系统安全关系到用户主要资料安全性以及整机系统稳定性。下面就来看看怎样提升操作系统安全防御能力。第1页第一节系统密码登录安全

系统密码主要包含系统登录密码、屏保密码、电源管理密码等，它们就像用户家里钥匙，只有拥有正确密码，才能进入系统中进行对应操作。所以登录密码是保护系统安全第一道屏障。第2页一、使用Windows登录账户

除BIOS密码外，登录密码是用户进入系统第一道防线。加强操作系统安全性，设置系统密码是必需，不然就等于为入侵者敞开了方便之门。windows／xP／Server／Vista用户登录密码设置方法类似，下面以在WindowsxP中设置用户登录密码为例进行介绍。

第1步，在桌面上用鼠标右键单击“我电脑”，选择“管理”菜单项，打开“计算机管理”窗口。

策2步，展开“当地用户和组”→“用户”，在窗口右侧选中登录用户，单击鼠标右键，选择“设置密码”菜单项，弹出密码设置窗口，两次输入将要设置密码，单击“确定”按钮退出即可。

第3步，重新开启电脑让设置密码生效。第3页二、屏幕保护程序密码

在网吧、学校机房等公共场所使用电脑，暂时离开电脑时，启用屏保程序能够预防他人使用电脑。Windows98／／XP／Server／Vista都提供了屏保功效，下面以在WindowsxP中设置屏保及屏保密码为例进行介绍。第4页1、在桌面上任意地方单击鼠标右键，选择“属性”菜单项，打开”显示属性”窗口。2、切换到“屏幕保护程序”选项卡，选择一个喜欢屏保程序，并设置用户在操作后等候多长时间启用屏保程序，提议等候时间设置短暂一些。3、勾选“在恢复时使用密码保护”复选框，即用户在恢复使用电脑时，需要输入登录密码才能进入系统。注：对使用Windows／XP／Server／Vista用户来说，当需要暂时离开电脑时，可按下“Ctrl+Alt+计DeI”组合键锁定电脑，对使用Windows98用户来说，则只能借助屏幕保护方法，确保自己在离开座位时候电脑不被他人使用。第5页三、电源管理密码

对Windows系统电源管理设置密码后，当系统从节能状态返回时，只有输入正确密码后，才能令电脑从“挂起”状态返回正常状态，这么才能深入地确保电脑安全。下面以在WindowsXP中设置电源管理密码为例进行介绍。第1步，单击菜单“开始”→“控制面板”，打开“控制面板”窗口。第2步，双击“电源选项”图标，打开“电源选项属性”窗口，切换到“电源使用方案”选项卡“系统待机”下拉列表中选择系统持机时间。第3步，切换到“高级”选项卡，在“选项”组合框中勾选“在计算机从待机状态恢复时，提醒输入密码”复选框。设置好后单击“确定”按钮返回即可。这么当电脑从节能状态返回时就会要求用户输入密码。第6页四、密码设置标准与技巧Windows操作系统密码(口令)十分主要，它是抵抗攻击第一道防线，用户必须把密码安全作为安全策略第一步。假如攻击者未能窃取到系统密码，那么采取入侵方法也就不多了，所以，必须设置安全系统密码。通常，用户在设置系统密码时应遵照以下标准：①密码字符数足够多，最好不少于8个字符。②不适应惯用单词、中英文昵称、生日、电话号码等作为系统密码。③密码中同时包含各种类型字符，比如大写字母(A，B，C，…，Z)、小写字母（a,b,c,...,z)、数字(0，1，2，…，9)、标点符号(@，#，!，$，%，&，…)。④密码中不含有重复字母或数字。⑤定时修改密码。第7页第二节安全设置

在病毒、木马、恶意软件盛行互联网上，确保电脑绝对安全即使难以做到，但配置相对安全系统能够最大程度降低系统被攻击几率。本节就来介绍操作系统惯用安全设置方法与技巧。第8页一、隐私保护

为系统设置密码当然主要，但也不是万事大吉。总有不法分子在千方百计地想攻克用户密码。所以加固系统密码，对保护自己隐私非常主要。

WindowsXP真正超级管理员账号是安全模式下“Administrator”账户，而不是正常模式下“Administrator”账户。在默认情况下，安全模式下“Administrator”密码为空。不论用户在正常模式下将“Administrator”密码设置得多么复杂，只要是没有设置安全模式下“Administrator”密码，该用户电脑就毫无秘密可言。

在安全模式下设置“Administrator”用户密码方法与正常模式下普通用户密码设置方法一样，可参考本章第一节相关内容。注：为了系统愈加安全，提议对系统默认超级用户名“Administrator”进行更名，然后再设置一个足够复杂密码。停用或删除一切无须要系统用户。第9页二、安全共享

共享文件／文件夹，为用户电脑互访提供了方便，同时也带来了一定安全隐患。下面就来看看怎样对系统中共享资源进行安全设置。(1)批处理自开启法打开记事本并输入以下内容：netshareC$／deletenetshareD$／delete……(依据实际盘符数进行输入)netshareipc$／deletenetshareadmin$／delete保留该文件为“*．bat”文件，然后把该文件添加到开启选项即可。(2)停顿共享服务第1步，在桌面上用鼠标右键单击“我电脑”，选择“管理”菜单项，打开“计算机管理”窗口。第2步，展开左侧“服务和应用程序”，→“服务”，在窗口右侧找到共享服务对应名称是“Server”(在进程中名称为“services”)。第3步，双击“Server”服务项，在弹出窗口中选择“常规”选项卡，把“开启类型”更改为“已禁用”。在“服务状态”区域单击“停顿”按钮。设置好后单击“确定”按钮即可。第10页

注：访问WindowsXP默认共享非常简单：单击菜单“开始”→‘“运行”，输入“＼＼计算机名或IP地址＼D$或admin$”即可。也可在IE等浏览器地址栏中输入上述命令或“File：／／10．80．34．55／d$”来进行访问。4、关闭不用共享端口139端口、445端口是惯用共享打印机、共享文件夹端口，假如用户不需要访问共享资源，可将这些端口关闭，预防黑客经过这些端口扫描到系统中共享资源。其关闭方法在本章第三节中详述。第11页三、注册表安全设置

注册表(Registry)整合、集成了全部系统和应用程序初始化信息。其中包含硬件设备说明、相互关联应用程序与文档文件、窗口显示方式、网络连接参数、甚至关系到电脑安全网络设置。病毒、木马、黑客程序等攻击用户电脑时，都会对注册表进行一定修改，所以注册表安全设置非常主要。第12页1、抵抗BackDoor(后门程序)破环

BackDoor是黑客程序中一个后门程序，专门针对系统漏洞进行攻击。为预防这种程序对系统造成破坏，用户有必要经过对应设置来进行预防。打开注册表编辑器。展开分支到“HKEY—LOCAL—MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”，假如在窗口右边发觉有“Notepad“键值，将它删除即可到达预防目标。第13页2、禁用控制面板

控制面板是Windows系统控制中心，能够对设备属性，文件系统，安全口令等系统关键属性进行修改。用户能够依据需要隐藏和禁止使用控制面板。打开注册表编辑器，展开“HKEY—CURRENT—USER＼Software＼Mlcrosoft＼Windows＼CurrentVersion＼Policies＼System”，在窗口右侧新建一个“DWORD”类型子健“NoDispCPL”，修改其值为“1”即可。第14页3、锁定桌面

桌面设置包含壁纸、图标以及快捷方式，它们设置普通都是用户经过精心选择才设定好。大多数情况下，用户都不希望他人随意修改桌面设置或随意删除快捷方式。那怎么办呢?其实，修改注册表就能够帮用户锁定桌面，这里“锁定”含义是对他人修改不做储存，不论他人怎么改，重新开启电脑后，用户原来设置就会原封不动地出现。打开注册表编辑器，展开“HKEY—CURRENT—USER＼Software＼Mlcrosoft＼Windows＼CurentVersion＼Polioies＼Explores”，双击子健“NoSaveSetting”，将其键值从“0”改为“1”既可。第15页4、禁止远程修改注册表

假如黑客能连接到用户电脑，而且电脑启用了远程注册表服务(RemoteRegistry)，那么黑客就可远程设置注册表中服务，所以远程注册表服务需要尤其保护。假如用户仅仅将远程注册表服务(RemoteRegistry)开启方式设置为“禁用”，黑客在入侵电脑后，依然能够经过简单操作将该服务从“禁用”改为“自动开启”。所以有必要将该服务删除。打开注册表编辑器，展开“HKEY—LOCAL—MACHINE＼SYSTEM＼CurrentControlSet＼Services”,找到“RemoteRegistry”项。右键单击该项，选择“删除”菜单项，将该键删除，这么，以后就无法开启该服务了。第16页5、禁止病毒开启服务

当前，病毒不但能够经过注册表“RUN”或“MSCONFIG”中项目进行加载，而且部分高级病毒会经过系统服务进行加载。那么，我们能不能使病毒或木马没有开启服务对应权限呢?当然能够。

单击菜单“开始”→“运行”，输入“regedt32”启用带权限分配功效注册表编辑器。展开“HKEY—LOCAL—MACHINE＼SYSTEM＼CurrentControlSet＼Services”分支，用鼠标右键单击“Services”，选择“权限”菜单项，弹出“Services权限设置”窗口。单击“添加”按钮，添加“Everyone”账号。选中“Everyone”账号，将该账号“读取”权限设置为“允许”，并取消“完全控制”权限。现在任何木马或病毒都无法自行开启系统服务了。第17页6、禁止病毒自行开启

很多病毒都是经过注册表中“RUN”值进行加载而实现随操作系统开启而开启，用户能够按照“禁止病毒开启服务“中介绍方法将病毒和木马对该键值修改权限去掉。·运行“regedt32”命令，开启注册表编辑器。展开“HKEY—CURRENT—MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RUN”分支，将“Everyone”对该分支“读取”权限设置为“允许”，取消对“完全控制”权限选择。这么病毒和木马就无法经过该键值开启本身了。第18页四、组策略安全设置

Windows／XP／Server／Vista自带“当地安全策略”，是一个不错系统安全管理工具，经过对账户、密码、安全选项合理设置，能够提供系统高安全性。下面以WindowsxP为例介绍最主要安全设置。第19页1、密码安全策略

密码是系统安全一大隐患，经过组策略能够设置更安全系统密码。第1步，单击菜单“开始”→“运行”，在弹出窗口中输入“gpedit.msc”命令，打开“组策略”窗口。第2步，展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”，在窗口右侧会出现一系列密码设置项，经过这里配置，能够建立一个完备密码策略，使密码得到最大程度地保护。

第20页(1)强制密码历史。

该设置项决定了保留用户曾经用过密码个数。经常更换密码能够提升密码安全性，但因为个人习惯，经常换来换去就是有限几个密码。配置该策略就能够让系统记住用户曾经使用过密码，假如更换新密码与系统“记忆”中重复，系统就会给出提醒。默认情况下，这个策略不保留用户密码，能够依据自己习惯进行设置，提议保留5个以上(最多能够保留24个)。(2)密码最长存留期。

这个策略决定了一个密码能够使用多久，之后就会过期，密码过期时系统会要求用户更换密码。假如设置为“0”，则密码永不过期。普通情况下可设置为30—60天，最长能够设置999天。第21页(3)密码最短存留期

这个策略决定了一个密码要在使用多久之后才能被修改。设置为“0“表示一个密码能够被无限制地重复使用，最大值为“999”。这个策略与“强制密码历史”结合起来，能够得知新密码是否是以前使用过，假如是，则不能继续使用这个密码。假如“密码最短存留期”为“0”天，即密码永不过期，这时设置“强制密码历史”则无效。要使“强制密码历史”有效，应该将“密码最短存留期”值设为大于“0”。(4)密码长度最小值

这个策略决定了一个密码长度，有效值在“0”到“14”之间。假如设置为“0”，则表示不需要密码，为系统默认值。从安全角度来考虑，提议密码长度大于6位。第22页

(5)密码必须符合复杂性要求假如启用了这个策略，则在设置和更改一个密码时，系统将会按照下面规则检验密码是否有效：

①密码不能包含全部或者部分用户名。②最少包含6个字符。③密码必须包含以下四个类别中三个类别：大写英文字母A—z、小写英文字母a—z、数字0—9、特殊字符，比如“!”，“$”等。启用该策略，设置密码会比较安全，因为系统会强制用户使用这种安全性高密码。假如在创建或修改密码时没有到达这个要求，系统会给出提醒并要求重新输入符合要求安全密码。第23页2、用户权限指派在“组策略”窗口中展开“计算机配置”→“Windows设置”→“安全设置”→“当地策略”→“用户权利指派”，在窗口右边便能看到“用户权利指派”下全部设置。比如，拒绝某个用户从网络访问这台计算机，则双击“拒绝从网络访问这台计算机”设置项，在弹出对话框中选中该用户，如“guest”，然后单击“删除”按钮进行删除即可。另外，在这里还可给用户添加许多权限，比如给“guest”添加远程关机权限、给普通用户添加更改系统时间权限等。第24页

3、重命名和禁用默认账户

●安装好Windows后，系统会自动建立两个账户：“Administrator”和“Guest”，其中“Administrator”拥有最高权限，“Guest”则只有基本权限，且默认是禁用。这么账户设置即使方便，但却严重危害到了系统安全。假如黑客入侵或者遭遇其它恶意破坏，系统超级用户名会立刻暴露出来，破坏者会马上有针对性地寻找密码。

●为系统安全起见，能够更改“Administrator”账户名称，然后建立一个几乎没有任何权限假“Administrator”账户。详细方法以下。

●在“组策略”窗口中展开“计算机配置”→“Windows设置”→“安全设置”→“当地策略”→“安全选项”，在窗口右边双击“账户：重命名系统管理员账户”策略，在弹出窗口中为“Administrator”重新设置一个平淡用户名。然后新建一个名称为“Administrator”受限制用户，以迷惑入侵者。第25页4、禁止访问注朋表编辑工具

●该策略将禁用“Regedit．exe”，以禁用Windows注册表编辑器。这么能够在很大程度上预防网页上恶意代码篡改IE。

●在“组策略”窗口中，展开“用户配置”→“管理模板”→“系统”，双击“阻止访问注册表编辑工具”，在弹出窗口中选中“已启用”单项选择项，单击“确定“按钮即可。第26页5、锁定无效登录

●为了预防他人进入电脑时，重复用猜测密码方式登录，用户能够锁定无效登录，当密码输入错误达设定次数后，便锁定此账户，在一定时间内不能再以该账户登录。

●在“组策略”窗口中展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”，在窗口右边双击“账户锁定阀值”，在弹出设置对话框中输入无效登录次数(普通设3次为宜)，单击“确定”按钮，系统自动将锁定时间和计数器清零时间设置为“30分钟。，用户能够依据需要打开这两个策略修改时间。经过以上设置，就能够阻止靠猜密码登录非法用户了。第27页

6、设置账户保密

●默认情况下，在系统登录框中会保留上次登录用户名，这方便了该用户登录，但却留下了安全隐患，尤其是对管理员账户，暴露账户名称非常危险。在组策略中隐藏上次登录账户设置方法以下：

●在“组策略”窗口中展开“计算机配置”→“Windows设置”→“安全设置”→“当地策略”→“安全选项”，在窗口右边找到“在登录屏幕上不要显示上次登录用户名”，双击此策略，在弹出窗口中将其设置为“已启用”。进行此项设置后，系统开启或注销后，登录框中用户名为空，必须输入完整有效用户名和密码才能登录。第28页五、系统防火墙设置为增加系统安全性，抵抗病毒、黑客攻击，Windows／xP／Server／Vista都带有防火墙功效。安装好操作系统后，系统防火墙默认被开启，是电脑抵抗攻击有效防护办法。下面以设置WindowsxPSP3防火墙为例进行介绍。

第1步，打开“控制面板”窗口，双击“Windows防火墙”，打开“防火墙窗口”。

第2步，在“常规”选项卡下有三个选项：启用(推荐)、不允许例外和关闭(不推荐)，默认选择“启用”。假如勾选了“不允许例外”复选框，Windows防火墙将拦截全部连接到用户计算机网络请求，包含在“例外”选项卡中列表应用程序和系统服务。另外，防火墙也将拦截文件和打印机共享，以及网络设备侦测。使用“不允许例外”选项Windows防火墙比较适合用于连接在公共网络上个人电脑，比如在宾馆和机场等公共场所使用电脑。第29页第3步，切换到“例外”选项卡，在“程序和服务”列表中显示了连接到网络上全部应用程序。用户可以手动设置允许连接网络程序：包含添加程序、添加端口、编辑、删除。如果用户希望网络中(防火墙外)其他客户端能够访问本地某个特定程序或服务，而又不知道这个程序或服务将使用哪一个端口和哪一类型端口，这时可以将这个程序或者服务添加到Windows防火墙例外项中，以保证它能被外部访问。如果知道程序所用端口，也可为程序开启所需端口。当然，如果需要禁止某程序访问网络，直接删除此规则即可。第4步，切换到“高级”选项卡，在这里，用户可认为每个连接设置不一样规则，以适应不一样要求。第30页第三节系统漏洞

从微软推出Windows操作系统到windowsvista系统，系统本身存在不可防止漏洞，一直困扰着广大用户。因为各种黑客、病毒、木马程序侵入电脑，经常是利用系统漏洞来进行。一旦用户系统在管理上出现了问题，就很轻易被黑客光临。所以，保护系统安全，抵抗系统漏洞就显得尤为主要。第31页一、为系统打漏洞补丁程序伴随电脑技术不停发展，病毒、木马程序危害性也在不停升级，黑客们总在千方百计寻找Windows系统漏洞，并利用发觉漏洞，对用户电脑进行攻击。为修复Windows新出现漏洞，微软企业会不定时为操作系统推出补丁程序，以增加系统安全性。当前，微软各操作系统最新补丁程序如表1一1所表示。表1—1Windows操作系统补丁程序：为系统安装补丁程序，用户可选择在互联网上下载最新补丁程序，然后进行安装，也可利用Windows提供在线更新功效，在线更新补丁程序。第32页1．在线更新Windowsxp

第1步，单击菜单“开始”→“WindowsUpdate”，打开在线更新网页。单击“快速”按钮开始搜索最新补丁程序。策2步，单击“马上下载和安装”按钮，开始下载最新补丁程序。安装完成后，安装程序提醒已成功更新系统，单击“关闭”按钮即可。第33页2、下载安装WindowsVistaSP1

第1步，到互联网上下载WindowsVistaSP1。然后运行下载程序包，安装程序开始自解压压缩包。直接单击“Next”按钮。第2步，在随即出现窗口中单击“Next”按钮，出现安装许可协议窗口，勾选“Iacceptthetemsofthelicensagremment”复选框，单击“Next”按钮继续安装。第3步，安装过程中安装程序会对操作系统进行更新，安装完成后单击“Finsh”按钮即可。第34页二、系统端口漏洞防御

除了为系统安装最新补丁程序来抵抗系统漏洞外，在日常使用过程中，用户还需要采取一定防御办法来堵住系统漏洞，如关闭不惯用服务端口。

1、关闭不用端口每一项服务都对应对应端口，比如“WWW服务”端口是80端口，SMTP服务端口是25端口，FTP服务端口是21端口。在Windows系统安装过程中，在默认情况下这些服务端口都是自动开启。对于个人用户来说，有些服务端口根本都用不上，开启端口反而引发黑客注意，所以用户能够把无用服务端口关闭掉。第35页

第1步，打开“控制面板”窗口，双击“网络连接”，打开“网络连接”窗口。用鼠标右键单击“当地连接”，选择“属性”菜单项，打开该连接属性窗口。

第2步，选择“Internet协议(TCP／IP)”，单击“属性”按钮，弹出“Internet协议(TCP／IP)”窗口。单击“高级”按钮，弹出“高级TCP／IP设置”窗口。切换到“选项”选项卡，单击“属性”按钮，弹出“TCP／IP筛选”窗口。

第3步，勾选“启用TCP／IP筛选(全部适配器)”复选框。假如希望开放112端口，则在TCP端口上选择“只允许”选项，单击“添加“按钮，在弹出“添加筛选器”对话框中输入要添加112端口。UDP端口设置同上，这么黑客要想入侵，必须从用户所允许开放端口里侵入，其它关闭端口是无法入侵。第36页2、远程服务尽可能屏蔽Windows／xP／Server／Vista系统在缺省状态下会自动启用一些远程服务，而有远程服务，用户平时极少会用到。假如不及时屏蔽这些服务，黑客就可能利用这些服务来远程攻击用户系统。打开“控制面板”窗口，双击“管理工具”，双击“服务”，打开“服务”窗口，选中不需要远程服务项目，如“TaskSchedule”服务（TaskScheduler服务则允许你在计算机上配置和制订自动任务日程；）、“RemoteRegistryService”服务（使远程用户能修改此计算机上注册表设置）、“Telnet”服务（允许用户登录进入远程主机系统）等。双击选中服务选项，弹出服务设置窗口。将“开启类型”设置为“已禁用”。设置好后单击“确定”按钮，使设置生效。第37页3、关闭139端口

●用鼠标右键单击桌面上“网上邻居”，选择“属性”菜单，打开“网络连接”窗口。用鼠标右键单击“当地连接”，打开其属性窗口。选择“Internet协议(TCP／IP)”，单击“属性”按钮，在打开窗口中单击“高级”按钮，弹出“高级TCP／IP设置”窗口。选择“WINS”选项卡，选择“禁用TCP／IPNETBIOS”单项选择项即可关闭139端口。

●