个人电脑安全设置手册.docx

个人电脑安全设置手册.docx

《个人电脑安全设置手册.docx》由会员分享，可在线阅读，更多相关《个人电脑安全设置手册.docx（17页珍藏版）》请在冰豆网上搜索。

个人电脑安全设置手册

个人电脑安全设置手册

前言

本部个人电脑安全设置手册主要针对的对象是个人电脑一般操作用户而非专业人士，所针对的操作系统是WindowsXP，所涉及的安全设置问题包括操作系统安全和常用软件应用安全两个大方面，在手册最后也献上了一些养成良好上网习惯的建议，希望该手册能为打造我们身边安全个人电脑环境贡献一点力量。

一、操作系统安全

安全一直是一个不容忽视的问题，如果发生了黑客攻击、被入侵、宝贵的资料被盗、密码被破解，想想这些事情就叫人害怕！

应该说在默认情况下WindowsXP是存在很多安全设计方面的缺陷的，而只要我们能够将这些缺陷弥补，对其进行正确的设置，是有可能提高系统安全性能的。

★用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。

右击“我的电脑”-->管理-->计算机管理（本地）-->系统工具-->本地用户和组-->用户，左击“用户”-->guest-->“属性”，将“用户不能更改密码”，“密码永不过期”，“账户已停用”这三项全部勾选上。

为了保险起见，最好给Guest加一个复杂的密码。

你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

同上在用户选项里把不用的用户给禁用或是删除了。

这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。

同上在用户里单击右键---->新用户，就可以创建新用户及创建密码了，同时把系统Administrator账号改名尽量把它伪装成普通用户并创建一个陷阱用户。

4、创建一个陷阱用户

创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图。

5、不让系统显示上次登录的用户名

1.单击开始---->运行，在打开框中键入mmc。

2.在文件菜单上，单击“添加/删除管理单元”，单击添加。

4.单击“组策略对象编辑器”，然后单击添加。

5.单击目标组策略对象（GPO）。

默认GPO是本地计算机。

单击浏览以选择所需的GPO，然后单击完成。

7.依次展开组策略对象、计算机配置、Windows设置和安全设置。

8.展开本地策略，然后单击安全选项。

9.在右窗格中，双击“交互式登录:

不显示上次的用户名”。

10.单击以选中“定义这个策略设置”复选框（如果存在），然后单击启用---->确定。

6、要禁止计算机接受远程桌面连接

1、右键点击我的电脑，选择属性打开系统属性对话框；

2、在系统属性对话框打开远程选项卡；

3、确保允许用户远程连接到这台计算机复选框没有被选中；

4、点击选择远程用户...按钮，打开远程桌面用户对话框；

5、从RemoteDesktopUsers用户组删除所有用户和用户组；

7、把共享文件的权限从Everyone组改成授权用户

　任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

8、开启用户策略

　　〖开始〗→〖运行〗输入“GPEDIT.MSC”调出组策略编辑器，【计算机配置－→Windows设置－→安全设置－→帐户策略－→帐户锁定策略】，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

★密码安全设置

为什么要设置密码，很多用户都不去设置密码或设置简单。

但是在实际情况中，用户拥有什么权限病毒木马就有什么样的权限。

没有权限控制的的计算机也就对病毒木马开绿灯。

最关键是用户不要以为有了安全软件和防火墙就可以不设置密码因为这是完全没有关系的两个安全体系。

由于密码设置的特使原因无法对所有的密码管理都进行详尽的设置，用户最好根据自己的软、硬件使用说明以及自己的使用情况进行设置！

（但是唯一要提醒用户你自己最好不要忘记自己设置的密码）

1、使用安全密码

对ADMINISTRATOR账户进行密码设置而且密码应该是12位以上（因为木马病毒都带有弱口令密码字典，而且黑客账户都带有各种密码字典在可接受的时间内它们可以暴力破解95%以上的用户密码）。

而且在我的电脑→管理→计算机管理→“本地用户和组”中用户应该停用除ADMINISTRATOR账外的所有账户比如GUEST账户，即使用户需要某些账户也应该对这些账户设置足够强健的密码。

2、设置屏幕保护密码

桌面单击“属性”→屏幕保护程序，对屏幕保护进行密码设置。

3、开启密码策略

注意在组策略中应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。

如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

　　★系统安全设置

1.使用NTFS格式分区

强烈建议大家的把C,D两个盘符分成NTFS格式。

因为WINDOWS的安全全都是建立在NTFS基础之上的。

抛弃了NTFS也就不要谈什么安全了（大家注意的是使用NTFS格式后在DOS下是看不到NTFS分区的，你看到的C：

应该是NTFS分区之后的那FAT32个区，但是借助其它软件也可以查看DOS下的NTFS的数据）但是我也不推荐全部分区都使用NTFS，因为这样你备份以及一些其它的操作可能会受到一些影响。

所以个人的意见是把最后一个区也就是备份区分成FAT32。

　　2.到微软网站下载最新的补丁程序

俗话说的好“病从口入”，要想把家里的蚊子消灭干净，必须要先把门窗把好，要想自己电脑没有病毒，就要先把补丁打好，打补丁不要认为是很轻松的事情，一款软件是搞不定的。

必须将几款软件相结合，才能稳固系统。

一、安全卫士360

下载地址：

用以上软件把查到的补丁全部打上，注：

有些补丁失败的需要在带网络的安全模式下，（开机一直按F8然后选择带网络的安全模式）补丁完毕，重启，然后卸载掉360。

二、金山清理专家

下载地址：

/ksc/down.shtml

升级为最新，然后点“漏洞补丁“打上所有补丁后重启，注（先打独立安装，其次在打非独立安装的，）一切搞定后点，在线系统听诊---隐藏所有已知安全项---启动项管理：

发现自己不熟悉的就勾选上，然后点修复选中项。

浏览器修复：

熟悉的留不熟悉的修复网页防挂马：

开启。

安全工具箱：

1、U盘病毒免疫：

全选---启用；2、历史痕迹：

全选---清理（有些小流氓软件会住在这里面清理了就搞定）；3、垃圾文件：

全选—清理。

3.禁止默认共享

1）察看本地共享资源：

运行-cmd-输入netshare

2）删除共享（每次输入一个）

netshareipc$/deletenetshareadmin$/delete

netsharec$/deletenetshared$/delete（如果有e,f,……可以继续删除）

3）修改注册表删除共享

运行-regedit：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer（DWORD）的键值改为0000000。

如果上面所说的主键不存在，就新建（右击-新建-双字节值）一个主健再改键值。

5.锁住注册表

进入组策略按照如图的路径进行配置阻止访问注册表：

图1

图2

　6.利用WindowsXP的安全配置工具来配置安全策略

1）       〖开始〗→〖运行〗输入“GPEDIT.MSC”调出组策略编辑器，【用户配置－→管理模板－→任务栏和「开始」菜单】：

不要保留最近打开文档的记录－→已启用

退出时清除最近打开的文档的记录－→已启用

阻止在任务栏上对项目分组－→已启用

2）.禁止他人ping你的电脑

　　第一步:

添加管理单元

　　按下Win+R组合键，打开“运行”，输入:

mmc，启动打开“控制台”窗口。

再点选“控制台”菜单下的“添加/删除管理单元”，单击“添加”按钮，在弹出的窗口中选择“IP安全策略管理”项，单击“添加”按钮。

在打开窗口中选择管理对象为“本地计算机”，单击“完成”按钮，同时关闭“添加/删除管理单元”窗口，返回主控台。

　　第二步:

创建IP安全策略

　　右击刚刚添加的“IP安全策略管理单元”，选择“创建IP安全策略”，单击“下一步”，然后输入一个策略描述，如“禁止Ping”。

单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。

开始设置身份验证方式，选中“此字符串用来保护密钥交换（预共享密钥）”选项，然后随便输入一些字符（下面还会用到这些字符）。

单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。

　　第三步:

配置安全策略

　　单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。

单击“下一步”，并选择“所有网络连接”以保证所有的计算机都Ping不通（超时）。

单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换（预共享密钥）”并填入与刚才相同的内容。

单击“下一步”，在打开窗口中单击“添加”按钮，打开“IP筛选器列表”窗口。

单击“添加”，单击“下一步”，设置源地址为“我的IP地址”，单击“下一步”，设置目标地址为“任何IP地址”，单击“下一步”，选择协议为ICMP，现在就可依次单击“完成”和“关闭”按钮返回。

此时，可以在IP筛选器列表中看到刚刚创建的筛选器，将其选中之后单击“下一步”，选择筛选器操作为“要求安全设置”选项，然后依次点击“完成”、“关闭”按钮，保存相关的设置返回管理控制台。

第四步:

指派安全策略　　

最后只需在“控制台根节点”中右击配置好的“禁止Ping”策略，选择“指派”命令使配置生效。

经过上面的设置，当其他计算机再Ping该计算机时，就不再相通了。

但如果自己Ping本地计算机，仍可相通。

此法对于Windows2000/XP均有效。

在组策略－→用户配置－→管理模板中，用户可以对系统、Windows组建中的Windows资源管理器进行一些项目设置来达到自己想要的电脑保护措施，如删除缩略图缓存，隐藏有重要文件的磁盘，“最近的文档”最大数目的控制、不要将删除的文件移到回收站、关闭自动播放等等，可以根据自己的需要进行相关设置，打造属于自己的安全系统。

　　★服务安全以及进程设置

1.关闭不必要的进程

右击“任务栏”→任务管理器→进程，除了一下八个基本进程以外其他能关闭的进程都将其关闭以提升电脑自身的运转速率。

Csrss.exe：

这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

SystemIdleProcess：

这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

　　Smss.exe：

这是一个会话管理子系统，负责启动用户会话。

　　Services.exe：

系统服务的管理工具。

　　Lsass.exe：

本地的安全授权服务。

　　Explorer.exe：

资源管理器（这个进程不能结束，若不小心结束了可打开资源管理器，在文件中选择新建任务，把这一项添加即可）。

　　Spoolsv.exe：

管理缓冲区中的打印和传真作业。

　　Svchost.exe：

这个进程要着重说明一下，有不少朋友都有这种错觉：

若是在“任务管理