设置系统提高安全

1、第一章 设置系统提高平安 建立防御基地 操作系统是用户与电脑交流的接口，是各运用软件在电脑中赖以生存、协调任务的基地。操作系统的平安关系到用户重要资料的平安性以及整机系统的稳定性。下面就来看看如何提高操作系统的平安防御才干。.第一节 系统密码登录平安 系统密码主要包括系统登录密码、屏严密码、电源管理密码等，它们就像用户家里的钥匙，只需拥有正确的密码，才干进入系统中进展相应的操作。所以登录密码是维护系统平安的第一道屏障。.一、运用Windows登录账户 除BIOS密码外，登录密码是用户进入系统的第一道防线。加强操作系统的平安性，设置系统密码是必需的，否那么就等于为入侵者敞开了方便之门。 wind

2、ows 2000 xPServer 2003Vista用户登录密码的设置方法类似，下面以在Windows xP中设置用户登录密码为例进展引见。 第1步，在桌面上用鼠标右键单击“我的电脑，选择“管理菜单项，翻开“计算机管理窗口。 策2步，展开“本地用户和组“用户，在窗口右侧选中登录用户，单击鼠标右键，选择“设置密码菜单项，弹出密码设置窗口，两次输入将要设置的密码，单击“确定按钮退出即可。 第3步，重新启动电脑让设置的密码生效。.二、屏幕维护程序密码 在网吧、学校机房等公共场所运用电脑，暂时分开电脑时，启用屏保程序可以防止他人运用电脑。Windows 982000XPServer 2003Vist

3、a都提供了屏保功能，下面以在Windows xP中设置屏保及屏严密码为例进展引见。.1、在桌面上恣意地方单击鼠标右键，选择“属性菜单 项，翻开显示属性窗口。2、切换到“屏幕维护程序选项卡，选择一个喜欢的屏保 程序，并设置用户在操作后等待多长时间启用屏保程序，建议等待时间设置短暂一些。3、勾选“在恢复时运用密码维护复选框，即用户在恢复 运用电脑时，需求输入登录密码才干进入系统。注：对运用Windows 2000XPServer 2005Vista 的用户来 说，当需求暂时分开电脑时，可按下“Ctrl+Alt+计DeI组合键锁定电脑，对运用Windows 98的用户来说，那么只能借助屏幕维护的方法

4、，保证本人在分开座位的时候电脑不被他人运用。.三、电源管理密码 对Windows系统的电源管理设置密码后，当系统从节能形状前往时，只需输入正确的密码后，才干令电脑从“挂起形状前往正常形状，这样才干进一步地保证电脑的平安。下面以在Windows XP中设置电源管理密码为例进展引见。 第1步，单击菜单“开场“控制面板，翻开“控制面板窗口。 第2步，双击“电源选项图标，翻开“电源选项属性窗口，切换到“电源运用方案选项卡“系统待机下拉列表中选择系统持机的时间。 第3步，切换到“高级选项卡，在“选项组合框中勾选“在计算机从待机形状恢复时，提示输入密码复选框。设置好后单击“确定按钮前往即可。这样当电脑从节

5、能形状前往时就会要求用户输入密码。.四、密码设置原那么与技巧 Windows操作系统的密码(口令)非常重要，它是抵抗攻击的第一道防线，用户必需把密码平安作为平安战略的第一步。假设攻击者未能窃取到系统密码，那么采取的入侵方法也就不多了，因此，必需设置平安的系统密码。通常，用户在设置系统密码时应遵照以下原那么： 密码字符数足够多，最好不少于8个字符。 不顺应常用的单词、中英文昵称、生日、号码等作为系统 密码。 密码中同时包含多种类型的字符，比如大写字母(A，B，C，Z)、小写字母 a,b,c,.,z)、数字(0，1，2，9)、标点符号(，#，!，$，%，&，)。 密码中不含有反复的字母或数字。 定

6、期修正密码。.第二节 平安设置 在病毒、木马、恶意软件盛行的互联网上，保证电脑绝对平安虽然难以做到，但配置相对平安的系统可以最大程度降低系统被攻击的几率。本节就来引见操作系统的常用平安设置方法与技巧。.一、隐私维护 为系统设置密码固然重要，但也不是万事大吉。总有不法分子在千方百计地想攻克用户密码。因此加固系统密码，对维护本人的隐私非常重要。 Windows XP真正的超级管理员账号是平安方式下的“Administrator账户，而不是正常方式下的“Administrator账户。在默许情况下，平安方式下的“Administrator密码为空。无论用户在正常方式下将“Administrator密

7、码设置得多么复杂，只需是没有设置平安方式下“Administrator的密码，该用户的电脑就毫无可言。 在平安方式下设置“Administrator用户密码的方法与正常方式下普通用户密码的设置方法一样，可参照本章第一节的有关内容。 注：为了系统更加平安，建议对系统默许的超级用户名“Administrator进展改名，然后再设置一个足够复杂的密码。停用或删除一切不用要的系统用户。.二、平安共享 共享文件文件夹，为用户电脑互访提供了方便，同时也带来了一定的平安隐患。下面就来看看如何对系统中的共享资源进展平安设置。(1)批处置自启动法 翻开记事本并输入以下内容： net share C$delete

8、 net share D$delete (根据实践盘符数进展输入) net share ipc$ delete net share admin$delete 保管该文件为“*bat文件，然后把该文件添加到启动选项即可。(2)停顿共享效力 第1步，在桌面上用鼠标右键单击“我的电脑，选择“管理菜单项，翻开“计算机管理窗口。 第2步，展开左侧的“效力和运用程序，“效力，在窗口的右侧找到共享效力对应的称号是“Server(在进程中的称号为“services)。 第3步，双击“Server效力项，在弹出的窗口中选择“常规选项卡，把“启动类型更改为“已禁用。在“效力形状区域单击“停顿按钮。设置好后单击“确

9、定按钮即可。. 注：访问Windows XP默许共享非常简单：单击菜单“开场“运转，输入“计算机名或IP地址D$或admin$即可。也可在IE等阅读器的地址栏中输入上述的命令或“File：10803455d$来进展访问。4、封锁不用的共享端口 端口、445端口是常用的共享打印机、共享文件夹端口，假设用户不需求访问共享资源，可将这些端口封锁，防止黑客经过这些端口扫描到系统中的共享资源。其封锁方法在本章第三节中详述。.三、注册表平安设置 注册表(Registry)整合、集成了全部系统和运用程序的初始化信息。其中包含硬件设备的阐明、相互关联的运用程序与文档文件、窗口显示方式、网络衔接参数、甚至关系到

10、电脑平安的网络设置。病毒、木马、黑客程序等攻击用户电脑时，都会对注册表进展一定的修正，因此注册表的平安设置非常重要。.1、抵御BackDoor(后门程序)破环 BackDoor是黑客程序中的一种后门程序，专门针对系统的破绽进展攻击。为防止这种程序对系统呵斥破坏，用户有必要经过相应的设置来进展预防。 翻开注册表编辑器。展开分支到“HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun，假设在窗口右边发现有“Notepad“键值，将它删除即可到达预防的目的。.2、禁用控制面板 控制面板是Windows系统的控制中心，可以对设备属性，文件系

11、统，平安口令等系统关键属性进展修正。用户可以根据需求隐藏和制止运用控制面板。 翻开注册表编辑器，展开“HKEYCURRENTUSERSoftwareMlcrosoftWindowsCurrentVersionPoliciesSystem，在窗口右侧新建一个“DWORD类型的子健“NoDispCPL，修正其值为“1即可。.3、锁定桌面 桌面设置包括壁纸、图标以及快捷方式，它们的设置普通都是用户经过精心选择才设定好的。大多数情况下，用户都不希望他人随意修正桌面设置或随意删除快捷方式。那怎样办呢?其实，修正注册表就可以帮用户锁定桌面，这里“锁定的含义是对他人的修正不做储存，无论他人怎样改，重新启动电

12、脑后，用户原来的设置就会原封不动地出现。 翻开注册表编辑器，展开“HKEYCURRENTUSERSoftwareMlcrosoftWindowsCurentVersionPolioiesExplores，双击子健“No Save Setting，将其键值从“0改为“1既可。.4、制止远程修正注册表 假设黑客能衔接到用户的电脑，而且电脑启用了远程注册表效力(Remote Registry)，那么黑客就可远程设置注册表中的效力，因此远程注册表效力需求特别维护。假设用户仅仅将远程注册表效力(RemoteRegistry)的启动方式设置为“禁用，黑客在入侵电脑后，依然可以经过简单的操作将该效力从“禁用

13、改为“自动启动。因此有必要将该效力删除。 翻开注册表编辑器，展开“HKEYLOCALMACHINESYSTEMCurrentControlSetServices,找到“RemoteRegistry项。右键单击该项，选择“删除菜单项，将该键删除，这样，以后就无法启动该效力了。.5、制止病毒启动效力 目前，病毒不但可以经过注册表的“RUN或“MSCONFIG中的工程进展加载，而且部分高级病毒会经过系统效力进展加载。那么，我们能不能使病毒或木马没有启动效力的相应权限呢?当然可以。 单击菜单“开场“运转，输入“regedt32启用带权限分配功能的注册表编辑器。展开“HKEYLOCALMACHINESY

14、STEMCurrentControlSetServices分支， 用鼠标右键单击“Services，选择“权限菜单项，弹出“Services权限设置窗口。单击“添加按钮，添加“Everyone账号。选中“Everyone账号，将该账号的“读取权限设置为“允许，并取消“完全控制权限。如今任何木马或病毒都无法自行启动系统效力了。.6、制止病毒自行启动 很多病毒都是经过注册表中的“RUN值进展加载而实现随操作系统的启动而启动的，用户可以按照“制止病毒启动效力“中引见的方法将病毒和木马对该键值的修正权限去掉。 运转“regedt32命令，启动注册表编辑器。展开“HKEYCURRENTMACHINESO

15、FTWAREMicrosoftWindowsCurrentVersionRUN分支，将“Everyone对该分支的“读取权限设置为“允许，取消对“完全控制权限的选择。这样病毒和木马就无法经过该键值启动本身了。.四、组战略平安设置 Windows 2000XPServer 2003Vista自带“本地平安战略，是一个不错的系统平安管理工具，经过对账户、密码、平安选项的合理设置，可以提供系统的高平安性。下面以Windows xP为例引见最主要的平安设置。.1、密码平安战略 密码是系统平安的一大隐患，经过组战略可以设置更平安的系统密码。 第1步，单击菜单“开场“运转，在弹出的窗口中输入 “gpedi

16、t.msc命令，翻开“组战略窗口。 第2步，展开“计算机配置“Windows设置“平安设置“账户战略“密码战略，在窗口右侧会出现一系列的密码设置项，经过这里的配置，可以建立一个完备的密码战略，使密码得到最大限制地维护。 .(1) 强迫密码历史。 该设置项决议了保管用户曾经用过的密码个数。经常改换密码可以提高密码的平安性，但由于个人习惯，经常换来换去就是有限的几个密码。配置该战略就可以让系统记住用户曾经运用过的密码，假设改换的新密码与系统“记忆中的反复，系统就会给出提示。默许情况下，这个战略不保管用户的密码，可以根据本人的习惯进展设置，建议保管5个以上(最多可以保管24个)。(2) 密码最长存留

17、期。 这个战略决议了一个密码可以运用多久，之后就会过期，密码过期时系统会要求用户改换密码。假设设置为“0，那么密码永不过期。普通情况下可设置为3060天，最长可以设置999天。.(3) 密码最短存留期 这个战略决议了一个密码要在运用多久之后才干被修正。设置为“0“表示一个密码可以被无限制地反复运用，最大值为“999。这个战略与“强迫密码历史结合起来，可以得知新的密码能否是以前运用过的，假设是，那么不能继续运用这个密码。假设“密码最短存留期为“0天，即密码永不过期，这时设置“强迫密码历史那么无效。要使“强迫密码历史有效，应该将“密码最短存留期的值设为大于“0。(4) 密码长度最小值 这个战略决议

18、了一个密码的长度，有效值在“0到“14之间。假设设置为“0，那么表示不需求密码，为系统的默许值。从平安角度来思索，建议密码长度不小于6位。. (5) 密码必需符合复杂性要求 假设启用了这个战略，那么在设置和更改一个密码时，系统将会按照下面的规那么检查密码能否有效： 密码不能包含全部或者部分的用户名。 最少包括6个字符。 密码必需包含以下四个类别中的三个类别：大写英文字母Az、小写英文字母az、数字09、特殊字符，例如“!，“$等。 启用该战略，设置的密码会比较平安，由于系统会强迫用户运用这种平安性高的密码。假设在创建或修正密码时没有到达这个要求，系统会给出提示并要求重新输入符合要求的平安密码。

19、.2、用户权限指派 在“组战略窗口中展开“计算机配置“Windows设置“平安设置“本地战略“用户权益指派，在窗口右边便能看到“用户权益指派下的一切设置。 例如，回绝某个用户从网络访问这台计算机，那么双击“回绝从网络访问这台计算机设置项，在弹出对话框中选中该用户，如“guest，然后单击“删除按钮进展删除即可。此外，在这里还可给用户添加许多权限，例如给“guest添加远程关机权限、给普通用户添加更改系统时间的权限等。. 3、重命名和禁用默许的账户 安装好Windows后，系统会自动建立两个账户：“Administrator和“Guest，其中“Administrator拥有最高权限，“Gues

20、t那么只需根本的权限，且默许是禁用的。这样的账户设置虽然方便，但却严重危害到了系统的平安。假设黑客入侵或者遭遇其他恶意破坏，系统的超级用户名会立刻暴显露来，破坏者会马上有针对性地寻觅密码。 为系统平安起见，可以更改“Administrator账户称号，然后建立一个几乎没有任何权限的假“Administrator账户。详细的方法如下。 在“组战略窗口中展开“计算机配置“Windows设置“平安设置“本地战略“平安选项，在窗口右边双击“账户：重命名系统管理员账户战略，在弹出的窗口中为“Administrator重新设置一个平淡的用户名。然后新建一个称号为“Administrator的受限制用户，以

21、迷惑入侵者。.4、制止访问注朋表编辑工具 该战略将禁用“Regeditexe，以禁用Windows注册表编辑器。这样可以在很大程度上防止网页上的恶意代码篡改IE。 在“组战略窗口中，展开“用户配置“管理模板“系统，双击“阻止访问注册表编辑工具，在弹出的窗口中选中“已启用单项选择项，单击“确定“按钮即可。.5、锁定无效登录 为了防止他人进入电脑时，反复用猜测密码的方式登录，用户可以锁定无效登录，当密码输入错误达设定次数后，便锁定此账户，在一定时间内不能再以该账户登录。 在“组战略窗口中展开“计算机配置“Windows设置“平安设置“账户战略“账户锁定战略，在窗口右边双击“账户锁定阀值，在弹出的设

22、置对话框中输入无效登录的次数(普通设3次为宜)，单击“确定按钮，系统自动将锁定时间和计数器清零的时间设置为“30分钟。，用户可以根据需求翻开这两个战略修正时间。经过以上设置，就可以阻止靠猜密码登录的非法用户了。. 6、设置账户严密 默许情况下，在系统登录框中会保管上次登录的用户名，这方便了该用户的登录，但却留下了平安隐患，特别是对管理员账户，暴露账户称号非常危险。在组战略中隐藏上次登录账户的设置方法如下： 在“组战略窗口中展开“计算机配置“Windows设置“平安设置“本地战略“平安选项，在窗口右边找到“在登录屏幕上不要显示上次登录的用户名，双击此战略，在弹出的窗口中将其设置为“已启用。进展此

23、项设置后，系统启动或注销后，登录框中用户名为空，必需输入完好有效的用户名和密码才干登录。.五、系统防火墙设置 为添加系统的平安性，抵御病毒、黑客的攻击，Windows 2000 xPServer 2003Vista都带有防火墙功能。安装好操作系统后，系统防火墙默许被启动，是电脑抵御攻击的有效防护措施。下面以设置Windows xP SP3防火墙为例进展引见。 第1步，翻开“控制面板窗口，双击“Windows防火墙，翻开“防火墙窗口。 第2步，在“常规选项卡下有三个选项：启用(引荐)、不允许例外和封锁(不引荐)，默许选择“启用。假设勾选了“不允许例外复选框，Windows防火墙将拦截一切的衔接到

24、用户计算机的网络恳求，包括在“例外选项卡中列表的运用程序和系统效力。另外，防火墙也将拦截文件和打印机共享，以及网络设备的侦测。运用“不允许例外选项的Windows防火墙比较适用于衔接在公共网络上的个人电脑，比如在宾馆和机场等公共场所运用的电脑。. 第3步，切换到“例外选项卡，在“程序和效力列表中显示了衔接到网络上的一切运用程序。用户可以手动设置允许衔接的网络的程序：包括添加程序、添加端口、编辑、删除。 假设用户希望网络中(防火墙外)的其他客户端可以访问本地的某个特定程序或效力，而又不知道这个程序或效力将运用哪一个端口和哪一类型端口，这时可以将这个程序或者效力添加到Windows防火墙的例外项中

25、，以保证它能被外部访问。假设知道程序所用的端口，也可为程序开启所需的端口。当然，假设需求制止某程序访问网络，直接删除此规那么即可。 第4步，切换到“高级选项卡，在这里，用户可以为每个衔接设置不同的规那么，以顺应不同的要求。.第三节 系统破绽 从微软推出Windows操作系统到windows vista系统， 系统本身存在不可防止的破绽，不断困扰着宽广用户。由于各种黑客、病毒、木马程序侵入电脑，经常是利用系统破绽来进展的。一旦用户的系统在管理上出现了问题，就很容易被黑客光临。因此，维护系统平安，抵御系统破绽就显得尤为重要。.一、为系统突破绽补丁程序 随着电脑技术的不断开展，病毒、木马程序的危害性

26、也在不断晋级，黑客们总在千方百计寻觅Windows系统的破绽，并利用发现的破绽，对用户电脑进展攻击。为修复Windows新出现的破绽，微软公司会不定期为操作系统推出补丁程序，以添加系统的平安性。目前，微软各操作系统的最新补丁程序如表1一1所示。表11 Windows操作系统补丁程序： 为系统安装补丁程序，用户可选择在互联网上下载最新的补丁程序，然后进展安装，也可利用Windows提供的在线更新功能，在线更新补丁程序。.1在线更新Windows xp 第1步，单击菜单“开场“WindowsUpdate，翻开在线更新网页。单击“快速按钮开场搜索最新的补丁程序。 策2步，单击“立刻下载和安装按钮，开

27、场下载最新补丁程序。安装完成后，安装程序提示已胜利更新系统，单击“封锁按钮即可。.2、下载安装Windows Vista SP1 第1步，到互联网上下载Windows Vista SP1。然后运转下载的程序包，安装程序开场自解压紧缩包。直接单击“Next按钮。 第2步，在随后出现的窗口中单击“Next按钮，出现安装答应协议窗口，勾选“I accept the temsof the licens agremment复选框，单击“Next按钮继续安装。 第3步，安装过程中安装程序会对操作系统进展更新，安装完成后单击“Finsh按钮即可。.二、系统端口破绽防御 除了为系统安装最新的补丁程序来抵御系统

28、破绽外，在日常运用过程中，用户还需求采取一定的防御措施来堵住系统破绽，如封锁不常用的效力端口。 1、封锁不用的端口 每一项效力都对应相应的端口，比如“WWW效力的端口是80端口，SMTP效力的端口是25端口，FTP效力的端口是21端口。在Windows系统安装过程中，在默许情况下这些效力端口都是自动开启的。对于个人用户来说，有些效力端口根本都用不上，开启端口反而引起黑客的留意，所以用户可以把无用的效力端口封锁掉。. 第1步，翻开“控制面板窗口，双击“网络衔接，翻开“网络衔接窗口。用鼠标右键单击“本地衔接，选择“属性菜单项，翻开该衔接的属性窗口。 第2步，选择“Internet协议(TCPIP)

29、，单击“属性按钮，弹出“Internet协议(TCPIP)窗口。单击“高级按钮，弹出“高级TCPIP设置窗口。切换到“选项选项卡，单击“属性按钮，弹出“TCPIP挑选窗口。 第3步，勾选“启用TCPIP挑选(一切适配器)复选框。假设希望开放112端口，那么在TCP端口上选择“只允许选项，单击“添加“按钮，在弹出的“添加挑选器对话框中输入要添加的112端口。 UDP端口设置同上，这样黑客要想入侵，必需从用户所允许开放的端口里侵入，其他封锁端口是无法入侵的。.2、远程效力尽量屏蔽 Windows 2000 xPServer 2003Vista系统在缺省形状下会自动启用一些远程效力，而有的远程效力，

30、用户平常很少会用到。假设不及时屏蔽这些效力，黑客就能够利用这些效力来远程攻击用户系统。 翻开“控制面板窗口，双击“管理工具，双击“效力，翻开“效力窗口，选中不需求的远程效力工程，如“Task Schedule效力Task Scheduler效力那么允许他在计算机上配置和制定自动义务的日程； 、“Remote Registry Service效力使远程用户能修正此计算机上的注册表设置 、“Telnet效力允许用户登录进入远程主机系统等。双击选中的效力选项，弹出效力设置窗口。将“启动类型设置为“已禁用。设置好后单击“确定按钮，使设置生效。.3、封锁端口 用鼠标右键单击桌面上的“网上邻居，选择“属性菜单，翻开“网络衔接窗口。用鼠标右键单击“本地衔接，翻开其属性窗口。选择“Internet协议(TCPIP)，单击“属性按钮，在翻开的窗口中单击“高级按钮，弹出“高级TCPIP设置窗口。选择“WINS选项卡，选择“禁用TCPIP的NETBIOS单项选择项