电脑的安全设置,个人电脑系统安全设置

1.怎样开启电脑的系统保护？

2.如何做好电脑安全防护措施？

3.操作系统安全设置最小化包括哪些内容

4.电脑如何启用系统保护

5.操作系统安全防范

6.win7系统怎么设置提高电脑安全性

不管是工作还是学习，现如今需要用到电脑的地方实在是太多了，在这个大前景下，数据的安全也就显得非常重要了。数据安全不单包括工作中的资料数据、私密文件，还包括商业聊天记录以及邮件的来往。不管这些数据是丢失还是损坏，或者是被**，都会给我们的工作带来不可估计的损失，那么为了保护我们电脑中重要信息数据的安全，我们该怎么办呢?很多windowsxp系统用户觉得不知所措,其实我们可以通过组策略设置把电脑硬盘锁住，避免他人访问我们的磁盘。现在小编就跟大家一起分享下具体的操作方法吧！

推荐：番茄花园xpsp3系统下载

操作方法如下：

1、鼠标点击“开始”菜单，选择“运行”选项，在打开的“运行”对话框中输入“gpedit.msc”字符命令；

2、在弹出的“本地组策略编辑器”窗口左侧依次展开“本地计算机策略”、“用户配置”、“管理模板”、“Windows组件”、“Windows资源管理器”选项；

3、在右侧中找到“防止从‘我的电脑’访问驱动器”选项，右击该选项的“未被配置”状态处，选择“属性”选项；

4、在弹出的对话框中，选择“已启用”选项，在下拉菜单列表中，选择要限制的驱动器后保存设置；

5、鼠标点击“我的电脑”图标，点击我们刚设置的限制驱动器时出现访问失败的提示。

大家在使用电脑办公时都有自己的秘密文件，为了避免信息的泄漏，只要将所有重要的文件放到一个分区并限制起来，就不怕他人有意或者无意看到我们的重要信息了。希望本教程对大家能够有所帮助。

怎样开启电脑的系统保护？

以下是个人电脑密码安全保护的建议：

1. 使用强密码：密码应该使用大小写字母、数字和符号组成，长度要大于8位，不要使用常见的词语或个人信息做密码，例如生日、名字等。

2. 定期更改密码：建议每个月更改一次密码，定期更改密码可以提高安全性。

3. 不要在公共场合使用密码：避免在公共场合例如咖啡馆、图书馆等地方使用个人电脑登陆账号，以免密码被窃取。

4. 使用密码管理器：使用密码管理器可以帮助生成强密码和随机更改密码，并且可以保存登录信息。

5. 多因素认证：启用多因素认证可以进一步提高电脑账户的安全性。例如Google Authenticator等应用都可以提供多因素认证服务，只有使用者在手持手机或其他设备进行认证后才可访问账户。

6. 及时更新电脑系统和应用软件: 更新可以修复漏洞，提高系统的稳定性和安全性。

7. 禁用自动登录：禁用自动登录避免密码被保存在电脑上，以免密码外泄。

个人电脑密码安全保护是非常重要的问题，需要认真对待。建议及时更新密码，开启多因素认证，使用密码管理器等措施提高电脑账户的安全级别。

如何做好电脑安全防护措施？

1、鼠标右击桌面的 此电脑（win7叫这台电脑），在弹出的菜单中选择 属性。

2、进入属性页面之后，点击 高级系统设置。

3、在打开的界面中点击系统保护选项。

4、如图所示，点击要保护的盘符，点击配置即可。

5、在打开的界面中，点击 启用系统保护?，并点击确定，此时电脑的系统保护已开启成功。

操作系统安全设置最小化包括哪些内容

1、不要轻易下载小网站的软件与程序。

2、不要光顾那些很诱惑人的小网站，因为这些网站很有可能就是网络陷阱。

3、不要随便打开某些来路不明的E-mail与附件程序。

4、安装正版杀毒软件公司提供的防火墙，并注意时时打开着。

5、不要在线启动、阅读某些文件，否则您很有可能成为网络病毒的传播者。

6、经常给自己发封E-mail，看看是否会收到第二封未属标题及附带程序的邮件

建议您可以安装腾讯电脑管家杀毒软件，可以全面的保护您的电脑安全！！上网安全。第一大防护体系：上网安全保护网购安全防护：实时保护您在网购时不中招，保障支付安全，网页防火墙：拦截挂马和欺诈网站，保护上网安全

文件下载保护：拦截下载文件中的木马，防止病毒入侵，搜索保护：自动识别搜索结果中的风险、欺诈网站

第二大防护体系：应用入口保护桌面图标防护：拦截恶意程序篡改桌面图标，防止系统被破坏

摄像头保护：防止摄像头被偷偷打开，保护您的隐私安全

U盘防火墙：实时监控U盘，防止病毒通过U盘感染系统，ARP防护： 拦截局域网木马攻击，防止系统被控制

希望可以帮到您了

电脑如何启用系统保护

操作系统安全设置最小化 是自己设置安全级别和参数

操作系统是你使用计算机的起点，所有对资料、文件的操作都需要通过操作系统来协同完成。由于操作系统本身所存在的一些缺陷，使得黑客能在你的计算机系统中随意进出。配置一个安全的计算机系统，将黑客“拒之门外”。

（一）Windows 2000服务器安全配置

1. 定制自己的Windows 2000 Server

（1）版本的选择：Windows 2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版。强烈建议，在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug & Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况）。

（2）组件的定制：Windows 2000在默认情况下会安装一些常用的组件。但是，正是这个默认安装是极度危险的你应该确切地知道你需要哪些服务，而且仅仅安装你确实需要的服务。根据安全原则，最少的服务+最小的权限=最大的安全。典型的Web服务器需要的最小组件选择是：只安装IIS的ComFiles、IIS Snap-In、WWW Server组件。如果你确实需要安装其他组件，请慎重，特别是Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager（HTML）这几个危险服务。

（3）管理应用程序的选择：选择一个好的远程管理软件是非常重要的事，这不仅仅是安全方面的要求，也是应用方面的需要。Windows 2000的终端服务是基于RDP（远程桌面协议）的远程控制软件，它速度快，操作方便，比较适合用来进行常规操作。但是，终端服务也有其不足之处，由于它使用的是虚拟桌面，当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操作时，往往会出现哭笑不得的现象，例如，使用终端服务重启微软的认证服务器（Compaq， IBM等）可能会直接关机。所以，为了安全起见，建议再配备一个远程控制软件作为辅助，与终端服务互补，如PcAnyWhere就是一个不错的选择。

2. 正确安装Windows 2000 Server

（1）分区和逻辑盘的分配。有一些朋友为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C盘上。建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取Admin。推荐的安全配置是建立三个逻辑驱动器，第一个大于2GB，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。

（2）安装顺序的选择：Windows 2000在安装中有几个顺序是一定要注意的：

首先，何时接入网络。Windows 2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Windows 2000之前，一定不要把主机接入网络。

其次，补丁的安装。补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如，IIS的HotFix就要求每次更改IIS的配置都需要安装。

3. 端口

端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。一般来说，仅打开你需要使用的端口会比较安全，配置的方法：打开“本地连接属性”对话框，依次点击“Internet协议（TCP/IP）→高级→选项→TCP/IP筛选→属性”，在打开的对话框中启用TCP/IP筛选。

4. IIS

IIS是微软的组件中漏洞最多的一个，所以IIS的配置是我们的重点：

（1）将＼Inetpub目录彻底删掉，然后在D盘建一个Inetpub目录，在IIS管理器中将主目录指向D:＼Inetpub。

（2）将IIS安装时默认的Scripts等虚拟目录一概删除，如果你需要什么权限的目录可以自己建（特别注意写权限和执行程序的权限，没有必要千万不要给）。

（3）应用程序配置：在IIS管理器中删除必须之外的任何无用映射。

（4）为了保险起见，你可以使用IIS的备份功能，将上面的设定全部备份下来，这样就可以随时恢复IIS的安全配置。如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。

5. 账号安全

Windows 2000的账号安全是另一个重点，首先，默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表HKEYLOCALMACHINE＼System＼CurrentControlSet＼Control＼LSA-RestrictAnonymous=1来禁止139空连接，实际上Windows 2000的本地安全策略就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：

0：None. Rely on default permissions（无，取决于默认的权限）。这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等，对服务器来说这样的设置非常危险。

1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享）。这个值是只允许非NULL用户存取SAM账号信息和共享信息。

2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）。这个值是在Windows 2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋，所以我推荐你还是设为1比较好。

好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了……慢着，至少还有一个账户是可以跑密码的，这就是系统内建的Administrator。怎么办？在“计算机管理→用户账号”中右击Administrator，然后改名。然后再来把HKEYLOCALMACHINE＼Software＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon项中的“Don＇t Display Last User Name”串数据改成1，这样系统不会自动显示上次的登录用户名。

将服务器注册表＼HKEYLOCALMACHINE＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon项中的Don＇t Display Last User Name串数据修改为1，隐藏上次登陆控制台的用户名。

6．安全日志

Windows 2000的默认安装是不开启任何安全审核的。请你到“本地安全策略”的“审核策略”中打开相应的审核。推荐的审核是：

账户管理 成功/失败

登录事件 成功/失败

对象访问 失败

策略更改 成功/失败

特权使用 失败

系统事件 成功/失败

目录服务访问 失败

账户登录事件 成功/失败

与之相关的是在“账户策略”的“密码策略”中设定：

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5次

最长存留期 30天

在”账户策略”的“账户锁定策略”中设定：

账户锁定 3次错误登录

锁定时间 20分钟

复位锁定计数 20分钟

7.目录和文件权限

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵，我们还必须设置目录和文件的访问权限，Windows 2000的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户是完全敞开的，你需要根据应用的需要进行权限重设。

在进行权限控制时，请记住以下几个原则：

（1）权限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

（2）拒绝的权限要比允许的权限高。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也不能访问这个资源。

（3）文件权限比文件夹权限高。

（4）仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。

8. 预防DoS

在注册表＼HKEYLOCALMACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters中更改以下值可以帮助你防御一定强度的DoS攻击：

名称 类型 值

SynAttackProtect REGDWORD 2　

EnablePMTUDiscovery REGDWORD 0　

NoNameReleaseOnDemand REGDWORD 1　

EnableDeadGWDetect REGDWORD 0　

KeepAliveTime REGDWORD 300，000　

PerformRouterDiscovery REGDWORD 0　

EnableICMPRedirects REGDWORD 0　

9. ICMP攻击

ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，Windows 2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

（二）Windows 98安全配置

有时候，可能会有很多人共用一台计算机。每个使用者都不愿意将包含自己隐私的文件让其他人看到，但每个人又都有使用计算机的权利。这个时候，如何保证每个用户系统和文件的安全就显得十分重要，下面我们来告诉你如何解决这个问题。

1. 设置用户权限

对不同的用户设置不同的使用权限，限制一些用户对系统文件的修改权，将大大地提高系统的安全性。其具体步骤如下（这里以设立“管理员”和“用户”两个级别为例）：

（1）依次点击“控制面板→密码→用户配置文件”，选择“用户可自定义首选项及桌面设置。登录时，Windows自动启用个人设置（C）”选项。单击“确定”按钮，按照屏幕提示设置“管理员”用户及密码。如图1所示。

（2）重启计算机后，以“管理员”身份进入Windows 98。依次点击“控制面板→用户”。按向导提示，设置用户及密码。此时要根据需要设置“用户”级别所需项目。

2. 防止非法用户进入

为防止非法用户以系统默认配置进入Windows 98，可采用以下措施：运行“Regedit”，打开注册表编辑器。在＼HKEYUSER＼Default＼Software ＼Micorosoft＼Windows＼CurrentVersion＼Run中创建新“字符串值”，串值名为“用户非法，退出”。编辑字符串值为“rundll.exe user.exe， EXITWINDOWS”。这样，当非法用户试图进入你的Windows 98系统时，计算机便会自动关机。

为了防止非法用户按F8键调出Windows 98的启动菜单，以安全方式进入系统，我们还需编辑Msdos.sys文件。在该文件的［option］小节中加入如下几行：

BootMulti＝0：设置系统不能进行多重引导。

BootGUI＝1：在启动时直接进入Windows 98图形用户界面。

BootDelay＝0：设置在启动时“Staring Windows 98……”信息停留的时间为0秒。

BootKeys＝0：设置在启动过程中F4、F5、F6、F8功能键失效。

3.“用户”级别用户新建使用权限

使用“用户”身份进入Windows 98，此时你可以通过修改文件注册表来限制“用户”级用户的使用权限。

（1）隐藏“开始”菜单的部分内容：打开注册表，在＼HKEYCURRENTUSER＼Software＼Micorsoft＼Windows ＼Current Version＼Policies＼Explorer中新建一个DWORD值“NoSetFolders”，键值为“1”。这样，用户便不能使用“控制面板”和“设置”中的“打印机”。

在该分支下新建一个DWORD值“NoSetTaskbar”，键值为“1”，则“任务栏属性”功能被禁止；在该分支下新建一个DWORD值“NoFind”，键值为“1”，则“查找”功能被禁止；在该分支下新建一个二进制值“NoRun”，键值为“0x00000001”，则“运行”菜单项被关闭。

（2）禁用“活动桌面”：在关闭了“控制面板”和“打印机”功能后，普通用户可以通过“活动桌面”更改显示属性，因此要关闭“活动桌面”，在＼HKEYCURRENTUSER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System中新建DWORD值“NoDispCPL”，键值为“1”。这样“活动桌面”也被禁用。

（3）禁用注册表编辑器：为了防止普通用户使用注册表，我们可以用如下的方法禁止普通用户使用注册表：

在＼HKEYCURRENTUSER＼Software＼Micorsoft＼Windows＼CurrentVersion＼Policies＼System中新建DWORD值“DisableRegistryTools”，键值为“1”。

（4）禁用MS-DOS方式：隐藏了驱动器后，普通用户还可以通过MS－DOS方式进入任何驱动器，为了限制用户进入，可关闭MS-DOS功能：＼HKEYCURRENTUSER＼Software＼Micorsoft＼Windows＼CurrentVersion＼Policies中新建“WinOldApp”主键，在其下新建一个DOWRD值“Disabled”，键值为“1”。

（5）隐藏口令文件：在Windows 98系统中，用户设置的口令都被存放于Windows子目录中，其文件名为xxx.pwl。普通用户可以方便地找到你设置的口令文件，并将其删除。这样，他便能顺利地以管理员身份进入系统。为此，你有必要将口令文件隐藏起来。在System.ini文件中的［Password Lists］中将存放口令文件的存放位置修改到你隐藏的驱动器下的目录中。这样，普通用户便无法找到口令文件，也无法将它删除了。

（6）禁止光盘的自动运行功能

为屏幕保护设置了密码后，你是否就认为万无一失了吗？不！光盘的自动运行功能会给我们带来麻烦。众所周知，Windows 98具有自动运行光盘的功能，当我们在光驱中插入CD之后，CD会自动进行播放，而当我们插入根目录中带有Autorun.inf文件的光盘后，光盘也会自动运行。Windows 98的屏幕保护功能并没有禁止光盘的自动运行功能，也就是说即使处于屏幕保护程序密码控制之下，用户在插入一个根目录中含有Autorun.inf文件的光盘之后，系统仍会自动运行，这就给恶意攻击者带来了可乘之机。目前市面上出现了一种专门用于破解屏幕保护程序的自动运行光盘，为此我们必须关闭系统的光盘自动运行功能。有两种方法可以关闭光驱的自动运行功能：

选择“我的电脑→属性”，打开“系统属性”对话框，单击“设备管理器”标签；展开“CDROM”分支，从中选择用户所用光驱。单击“属性”按钮，打开光驱属性对话框，单击“设置”标签，取消“自动插入功能”即可。这一方法可有效的禁止光盘的自动运行功能，但它同时也将CD的自动播放功能禁止了。

第二种方法是：打开注册表在＼HKEYCURRENTUSER＼Software＼Micorsoft＼Windows＼CurrentVersion＼Policies＼Explorer，创建一个DWORD值“NoDriveTypeAutoRun”，键值为“1”。

这样光盘的自动运行功能将被禁止，插入根目录中含有Autorun.inf文件的光盘后将不会发生任何作用，而CD的自动播放功能将不受影响。

经过上面的设置，你的Windows 98系统的安全性将大大提高，你不必再担心非法用户的进入，也不用担心普通用户误操作毁坏你的系统了，你要做的就是牢记你的密码。

最后，再谈谈用户设置的删除问题。首先，在“控制面板→用户”中选中用户设置，单击“删除”按钮，删除用户。然后在注册表＼HKEYLOCALMACHINE中将Network主键删除，在＼HKEYCURRENTUSER＼Software＼Micorsoft＼Windows＼CurrentVersion中将ProfileList主键删除。重启计算机，在进入Windows 98的“输入Windows密码”提示框中的用户栏输入用户名，但一定不要输入密码，单击“确定”按钮。则将用户设置删除了，以后启动时将不再出现“输入Windows密码”的提示框了。

操作系统安全防范

方法如下，有点多请耐心看完！

希望能帮助到你，还请及时采纳谢谢！

系统保护功能在Windows系统中，大多数默认是开启的，有些是关闭的。以下为开启系统保护功能的方法操作方法

1. 右击开始菜单，选择列表中的“文件资源管理器”选项。2. 小编的电脑是win10系统，打开以后显示的是“最近使用”的界面。点击左侧的“此电脑”。3. 可以看到电脑中的磁盘大小，剩余空间等信息。右击鼠标，点击“属性”。4. 在“系统”界面中可以看到计算机的基本信息。点击左侧列表中的“高级系统设置”选项。5. 接着，在界面中弹出了“系统属性”设置面板。6. 默认显示的是“高级选项”，在面板的上方切换到“系统保护”选项。7. 在“系统保护”的“保护设置”中，选择需要设置的驱动盘，一般针对c盘进行设置。8. 选择好驱动器以后，点击下方的“配置”按钮。9. 接着弹出了“系统保护”设置面板，在“还原设置”中选择“启动系统保护”。10. 在下方设置系统保护的最大磁盘空间，如果超出所设置的空间以后，将删除之前的还原点，所以，最好设置多点。设置完成以后，点击“确定”按钮即可。另外关于如何保护电脑安全，个人总结了下，希望对你有帮助了。

如何保护电脑安全？

硬件

1. 定期开机，特别是潮湿的季节里，否则机箱受潮会导致短路，经常用的电脑反而不容易坏。但如果家居周围没有避雷针，在打雷时不要开电脑，并且将所有的插头拔下。

2. 夏天时注意散热，避免在没有空调的房间里长时间用电脑，冬天注意防冻，电脑其实也怕冷的。 可以用腾讯电脑管家——首页——工具箱——硬件检测，随时观察温度，注意调节。

3. 不用电脑时，要用透气而又遮盖性强的布将显示器、机箱、键盘盖起来，能很好的防止灰尘进入电脑。

4. 每过半年，对电脑进行一次大扫除，彻底清除内部的污垢和灰尘，尤其是机箱，但要在有把握的前提下进行，如果对硬件不熟悉，还是少碰为妙。（另外品牌机不适合这样做，因为会毁坏封条，从而失去保修资格）

软件

1. 电脑垃圾清理，腾讯电脑管家——清理垃圾（它有“自动清理”功能，该功能可帮助用户更加及时的“扫一扫”电脑中的各种垃圾，简单，省事儿。），插件清理。开机加速等等，都整理下。

2. 多余的同类软件尽量不要重复安装，（腾讯电脑管家里面的软件管理——软件卸载，找到重复不要的，就卸载了）比如：播放器重复或有相似的，杀毒，浏览器，游戏，输入法有同类多余的，卸载多余的，只留一款！

3. 经常杀毒，避免电脑被病毒木马侵害。腾讯电脑管家杀毒

拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量。而且操作也很简单，板块明确，新手一试就会。

怎样为电脑设置系统或硬盘保护？

设置开机BIOS密码。

使用BIOS支持对硬盘加密的主板。

win7系统怎么设置提高电脑安全性

个人电脑详细的安全设置方法由于现在家用电脑所使用的操作系统多数为Win XP 和Win2000 所以后面我将主要讲一下基于这两个操作系统的安全防范。

谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种：

(1) 被他人DaoQu Mima；

(2) 系统被木马攻击；

(3) 浏览网页时被恶意的java scrpit程序攻击；

(4) QQ被攻击或泄漏信息；

(5) 病毒感染；

(6) 系统存在漏洞使他人攻击自己。

(7) 黑客的恶意攻击。

下面我们就来看看通过什么样的手段来更有效的防范攻击。

本文主要防范方法 :

1.察看本地共享资源

2.删除共享

3.删除ipc$空连接

4.账号密码的安全原则

5.关闭自己的139端口

6. 445端口的关闭

7.3389的关闭

8.4899的防范

9. 常见端口的介绍

10.如何查看本机打开的端口和过滤

11.禁用服务

12.本地策略

13. 本地安全策略

14. 用户权限分配策略

15. 终端服务配置

16.用户和组策略

17. 防止rpc漏洞

18.自己动手DIY在本地策略的安全选项

19.工具介绍

20. 避免被恶意代码 木马等病毒攻击

1.察看本地共享资源

运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

2.删除共享(每次输入一个）

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e，f，……可以继续删除）

3.删除ipc$空连接

在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA

项里数值名称RestrictAnonymous的数值数据由0改为1。

4.关闭自己的139端口，ipc和RPC漏洞存在于此。

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

5．防止rpc漏洞

打开管理工具——服务——找到RPC(Remote Procedure Call (RPC)

Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。

　XP SP2和2000 pro sp4，均不存在该漏洞。

6．445端口的关闭

修改注册表，添加一个键值

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了

7．3389的关闭

XP：我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

Win2000server 开始-->程序-->管理工具-->服务里找到Terminal

Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）

使用2000 pro的朋友注意，网络上有很多文章说在Win2000pro

开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。

8．4899的防范

网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9、禁用服务

打开控制面板，进入管理工具——服务，关闭以下服务

1.Alerter[通知选定的用户和计算机管理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享

4.Distributed Link Tracking Server[适用局域网分布式链接 倏突Ф朔?馷

5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]

6.IMAPI CD-Burning COM Service[管理 CD 录制]

7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]

8.Kerberos Key Distribution Center[授权协议登录网络]

9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]

10.Messenger[警报]

11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]

14.Print Spooler[打印机服务，没有打印机就禁止吧]

15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]

16.Remote Registry[使远程计算机用户修改本地注册表]

17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]

19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]

20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS

名称解析的支持而使用户能够共享文件、打印和登录到网络]

21.Telnet[允许远程用户登录到此计算机并运行程序]

22.Terminal Services[允许用户以交互方式连接到远程计算机]

23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端

10、账号密码的安全原则

首先禁用guest帐号，将系统内建的administrator帐号改名～～（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。

(让那些该死的黑客慢慢猜去吧～）

如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置（关于密码安全设置，我上面已经讲了，这里不再罗嗦了。

打开管理工具.本地安全设置.密码策略

　 1.密码必须符合复杂要求性.启用

　 2.密码最小值.我设置的是8

　 3.密码最长使用期限.我是默认设置42天

　 4.密码最短使用期限0天

　 5.强制密码历史 记住0个密码

　 6.用可还原的加密来存储密码 禁用

11、本地策略:

这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。

(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)

打开管理工具

找到本地安全设置.本地策略.审核策略

　 1.审核策略更改 成功失败

　 2.审核登陆事件 成功失败

　 3.审核对象访问 失败

　 4.审核跟踪过程 无审核

　 5.审核目录服务访问 失败

　 6.审核特权使用 失败

　 7.审核系统事件 成功失败

　 8.审核帐户登陆时间 成功失败

　 9.审核帐户管理 成功失败

　 &nb sp;然后再到管理工具找到

　 事件查看器

　 应用程序：右键>属性>设置日志大小上限，我设置了50mb，选择不覆盖事件

　 安全性：右键>属性>设置日志大小上限，我也是设置了50mb，选择不覆盖事件

　 系统：右键>属性>设置日志大小上限，我都是设置了50mb，选择不覆盖事件

12、本地安全策略:

打开管理工具

找到本地安全设置.本地策略.安全选项

　 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登陆的]

　 2.网络访问.不允许SAM帐户的匿名枚举 启用

　 3.网络访问.可匿名的共享 将后面的值删除

　 4.网络访问.可匿名的命名管道 将后面的值删除

　 5.网络访问.可远程访问的注册表路径 将后面的值删除

　 6.网络访问.可远程访问的注册表的子路径 将后面的值删除

　 7.网络访问.限制匿名访问命名管道和共享

　 8.帐户.（前面已经详细讲过拉 ）

13、用户权限分配策略:

打开管理工具

找到本地安全设置.本地策略.用户权限分配

　 1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属于自己的ID

　 2.从远程系统强制关机，Admin帐户也删除，一个都不留　　　　

　 3.拒绝从网络访问这台计算机 将ID删除

　 4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务

　 5.通过远端强制关机。删掉

附： 那我们现在就来看看Windows

2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents

and settings、Program files和Winnt。对于Documents and

settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Power

users拥有读&运，列和读权限；SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program

files，Administrators拥有完全控制权；Creator owner拥有特殊权限ower

users有完全控制权;SYSTEM同Administrators;Terminal server

users拥有完全控制权，Users有读&运，列和读权限。对于Winnt，Administrators拥有完全控制权；Creator

owner拥有特殊权限ower

users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！

14、终端服务配置

打开管理工具

终端服务配置

　1.打开后，点连接，右键，属性，远程控制，点不允许远程控制

　2.常规，加密级别，高，在使用标准Windows验证上点√!

　3.网卡，将最多连接数上设置为0

　4.高级，将里面的权限也删除.[我没设置]

　再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话

15、用户和组策略

打开管理工具

计算机管理.本地用户和组.用户;

　删除Support_388945a0用户等等

　只留下你更改好名字的adminisrator权限　　

计算机管理.本地用户和组.组

　组.我们就不分组了，每必要把

16、自己动手DIY在本地策略的安全选项

　1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.

　2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户名.让他去猜你的用户名去吧.

　3）对匿名连接的额外限制

　4）禁止按 alt+crtl +del(没必要）

　5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]

　6）只有本地登陆用户才能访问cd-rom

　7）只有本地登陆用户才能访问软驱

　8）取消关机原因的提示

　 A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面；

　 B、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框；

　 C、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机；

　D4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。

　9）禁止关机事件跟踪

开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择

”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative

Templates）-> ”系统“（System），在右边窗口双击“Shutdown Event Tracker”

在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows

2000的关机窗口

1、打开“控制面板”，在控制面板选项中找到 “Inter GMA Driver”选项点击进入设置界面。2、切换至“显示”，选择“一般设置”选项卡对屏幕分辨率进行设置。3、切换至3D选项卡，通过对3D首选项进行设置，可选择显卡的性能特征以及显卡的重点优化部分。4、切换到“媒体”选项止，选择“颜色增强”项，通过勾选“覆盖应用程序设置”选项卡，然后就可以调整“亮度”、“对比度”、“色调”和“饱和度”。5、点击“电源”选项卡，在电源计划中选择一种优化电源的设置方案。比如想在节省和使用性能上取得平衡，则选择“平衡”项。