·上一篇资料:揭露Windows中各种不老实的服务
·下一篇资料:去除赘肉 Windows XP完全减肥攻略
Windows系统之XP应用优化指南
作者:佚名 来源:转载
发布/更新时间:2006-04-14 20:06:00
7. 配置日志审核:微软默认的日志审核是关闭的,必须手动启动。打开“管理工具”“本地安全策略”“本地策略”“审核策略”和“管理工具”“事件查看器”设置如下:
审核策略更改——成功、失败
审核登录事件——成功、失败
审核对象访问——失败
审核目录服务访问——失败
审核特权使用——审核系统事件——成功、失败
审核帐户登录事件——成功、失败
审核帐户管理——成功、失败
8. 禁用NETBIOS接口:NETBIOS接口用来在两台或两台以上运行NETBIOS应用程序的计算机之间解吸名字,建立连接和支持可靠数据传输。他是为了兼容以前通用的CIFS/SMB协议。该协议会导致计算机信息泄露以致于建立空会话漏洞。可以在网络连接的属性中禁止“microsoft网络文件和打印机共享”。
选中图中的internet协议(TCP/IP)然后选“属性”“高级”然后选中“禁用TCP/IP上的NETBIOS”。
9. 保护系统帐号数据库:直接在开始运行中输入syskey指令,在出现的框中选择“起用加密”然后再选“更新”,然后出现选择项,你可以选择“密码启动”也可以选择“系统自动产生密码”。为防止原来的密码泄露,还要从WINNT/REPAIR目录中删除SAM文件。
10. 设置特权和权利:win 2000提供对用户权利设定的安全机制,使用他可以设置任意指定用户在操作系统拥有的可操作范围。我们可以在“控制面板”“管理工具”“本地安全策略”中对应用户权利指派的部分设置列表。具体设置大家一看就知道
11. 使用win2000的文件加密功能:直接在文件或文件夹上单击右键弹出属性对话框,在“常规”上选择“高级”,选择“加密内容以保护数据”。确定后退出。在最后确定时如果是应用在文件夹上,系统会提示是否包括文件夹中全部文件,推荐包括整个文件夹。注意,win2000文件加密并不能防止文件被相应权限的用户删除,为了资料数据的安全,建议还是经常备份。
12. 不记录系统失败的调试信息:系统失败的调试信息存储在内存转储文件中,当系统崩溃时可以为除错提供信息,不过转储文件的存在还会泄露其他的信息,列如应用程序的密码。在“我的电脑”点右键,弹出“属性”选项,在“高级”页选中“启动和故障恢复”,在“写入调试信息”中选“无”。
13. 配置TCP/IP筛选:win2000提供了一定的网络流量过滤功能来保障TCP/IP的安全,但需要手动设置。点网络连接的图标,选择“网络与拔号连接”,在常规中选择“internet协议(TCP/IP),然后点“属性”“高级”“选项”。点“TCP/筛选IP”“属性”,然后设置。选择“起用TCP/IP筛选(所有适陪器)”全部选择“只允许”,TCP端口添加80端口。
14. 禁止从光盘和软盘自动启动:主要是为了防止恶意用户里哟内微软的光盘自动启动执行非法文件和恶意访问系统,可以从BIOS设置中禁止光盘和软盘自动启动,并设置BIOS密码防止恶意修改。
15. 使用一个有密码的屏保:启动有密码的屏幕保护程序,防止管理员暂时离开时非法的物理访问,怎么设置我就不用多说了,相信都知道。
16. IE浏览器安全:取消浏览器自动完成功能,在“控制棉板”的“internet选项”的“内容”页,选择“自动完成”,取消表单和表单上的拥护名和密码部分,并清除下面的历史记录;同上,在“internet选项”上的“高级”页,选择“不将加密的也面存入硬盘”以及“关闭浏览器时清空internet文件夹”;在对应的目录中经常性的清除历史记录等。
17. Outlook Express安全:防止病毒调用运行.VBS,.JS等脚本文件,在运行分别运行以下两个命令:“regsvr32 /u wshom.ocx”和“regsvr32 /u wshext.dll”。恢复操作是把/U去除。
18. 删除所有网络资源共享:控制面板—计算机管理—共享文件夹—停止共享,然后把里面的所有默认共享全部停止,不过IPC共享服务器每启动依次都会打开,需要重新停止。
19. 系统启动时的等待时间设置为0秒:控制面板—系统---启动/关闭,将列表显示的默认值为30改为0或者在boot.ini里将TIMEOUT的值改为0。
20. 只开放必要端口:除必要端口外,关闭其他的端口,特别是139、445更危险端口,缺省下所有端口都是开放的。
21. 只保留TCP/IP协议:删除NETBEUI、IPX/SPX协议,只保留TCP/IP协议,网站需要的通讯协议只有TCP/IP协议,其他的协议没任何用处,放在网站上反而会被某些黑客工具利用。
22. _blank">防火墙和杀毒软件要经常开着,作为网管的安全人员要经常浏览一些安全站点,关注最新漏洞,及时更新最新的补丁
审核策略更改——成功、失败
审核登录事件——成功、失败
审核对象访问——失败
审核目录服务访问——失败
审核特权使用——审核系统事件——成功、失败
审核帐户登录事件——成功、失败
审核帐户管理——成功、失败
8. 禁用NETBIOS接口:NETBIOS接口用来在两台或两台以上运行NETBIOS应用程序的计算机之间解吸名字,建立连接和支持可靠数据传输。他是为了兼容以前通用的CIFS/SMB协议。该协议会导致计算机信息泄露以致于建立空会话漏洞。可以在网络连接的属性中禁止“microsoft网络文件和打印机共享”。
选中图中的internet协议(TCP/IP)然后选“属性”“高级”然后选中“禁用TCP/IP上的NETBIOS”。
9. 保护系统帐号数据库:直接在开始运行中输入syskey指令,在出现的框中选择“起用加密”然后再选“更新”,然后出现选择项,你可以选择“密码启动”也可以选择“系统自动产生密码”。为防止原来的密码泄露,还要从WINNT/REPAIR目录中删除SAM文件。
10. 设置特权和权利:win 2000提供对用户权利设定的安全机制,使用他可以设置任意指定用户在操作系统拥有的可操作范围。我们可以在“控制面板”“管理工具”“本地安全策略”中对应用户权利指派的部分设置列表。具体设置大家一看就知道
11. 使用win2000的文件加密功能:直接在文件或文件夹上单击右键弹出属性对话框,在“常规”上选择“高级”,选择“加密内容以保护数据”。确定后退出。在最后确定时如果是应用在文件夹上,系统会提示是否包括文件夹中全部文件,推荐包括整个文件夹。注意,win2000文件加密并不能防止文件被相应权限的用户删除,为了资料数据的安全,建议还是经常备份。
12. 不记录系统失败的调试信息:系统失败的调试信息存储在内存转储文件中,当系统崩溃时可以为除错提供信息,不过转储文件的存在还会泄露其他的信息,列如应用程序的密码。在“我的电脑”点右键,弹出“属性”选项,在“高级”页选中“启动和故障恢复”,在“写入调试信息”中选“无”。
13. 配置TCP/IP筛选:win2000提供了一定的网络流量过滤功能来保障TCP/IP的安全,但需要手动设置。点网络连接的图标,选择“网络与拔号连接”,在常规中选择“internet协议(TCP/IP),然后点“属性”“高级”“选项”。点“TCP/筛选IP”“属性”,然后设置。选择“起用TCP/IP筛选(所有适陪器)”全部选择“只允许”,TCP端口添加80端口。
14. 禁止从光盘和软盘自动启动:主要是为了防止恶意用户里哟内微软的光盘自动启动执行非法文件和恶意访问系统,可以从BIOS设置中禁止光盘和软盘自动启动,并设置BIOS密码防止恶意修改。
15. 使用一个有密码的屏保:启动有密码的屏幕保护程序,防止管理员暂时离开时非法的物理访问,怎么设置我就不用多说了,相信都知道。
16. IE浏览器安全:取消浏览器自动完成功能,在“控制棉板”的“internet选项”的“内容”页,选择“自动完成”,取消表单和表单上的拥护名和密码部分,并清除下面的历史记录;同上,在“internet选项”上的“高级”页,选择“不将加密的也面存入硬盘”以及“关闭浏览器时清空internet文件夹”;在对应的目录中经常性的清除历史记录等。
17. Outlook Express安全:防止病毒调用运行.VBS,.JS等脚本文件,在运行分别运行以下两个命令:“regsvr32 /u wshom.ocx”和“regsvr32 /u wshext.dll”。恢复操作是把/U去除。
18. 删除所有网络资源共享:控制面板—计算机管理—共享文件夹—停止共享,然后把里面的所有默认共享全部停止,不过IPC共享服务器每启动依次都会打开,需要重新停止。
19. 系统启动时的等待时间设置为0秒:控制面板—系统---启动/关闭,将列表显示的默认值为30改为0或者在boot.ini里将TIMEOUT的值改为0。
20. 只开放必要端口:除必要端口外,关闭其他的端口,特别是139、445更危险端口,缺省下所有端口都是开放的。
21. 只保留TCP/IP协议:删除NETBEUI、IPX/SPX协议,只保留TCP/IP协议,网站需要的通讯协议只有TCP/IP协议,其他的协议没任何用处,放在网站上反而会被某些黑客工具利用。
22. _blank">防火墙和杀毒软件要经常开着,作为网管的安全人员要经常浏览一些安全站点,关注最新漏洞,及时更新最新的补丁
[]