一、用户名及口令的安全保护
1、修改超级用户名
WINDOWS系统默认的用户名都是administrator,为了安全起见,我们可以自定义超级用户名,方法如下:
打开“控制面板”,进入“管理工具”,打开“本地安全策略”,点击“安全设置”下的“本地策略”里
的“安全选项”,找到“帐户:重命名系统管理员帐户”,双击打开它,把里面的“administrator”修改成自己想要的,如“pcjiaahdzwsy"
2、修改超级用户密码
超级用户有计算机的绝对使用权,所以要妥善的保护起密码,密码设置繁杂一些。操作如下:
同时按下CTRL+ALT+DEL键,选择“更改密码”项,首先输入旧密码,然后输入新的密码,密码不建议少于八位,用数字字母及标点共同组成,如“bd43%.as8q”,然后在确定密码。
3、来宾用户的关闭
来宾用户Guest关闭的方法:打开“控制面板”进入“管理工具”,打开“计算机管理”,在“系统工具”下的“本地用户和组”找到“用户”一项,里面“Guest”,双击打开它,把“用户已禁用”打上勾。这样GUEST用户就被禁用了。
4、删除多余的管理员用户
一般系统安全完成以后,会默认多一个管理员用户,这个多出来的管理员用户就是自定义用户的,实则没什么必要存在,我们完全可以把它删除掉。删除方法:
我们重新注销用户,以administrator(这里可能是第一项所修改的用户名pcjiaahdzwsy,这里还是以administrator用户 名为例)用户登陆,然后打开“控制面板”进入“管理工具”,打开“计算机管理”,在“系统工具”下的“本地用户和组”找到“用户”一项,删除多余的用户。 然后点击“我的电脑”右键“属性”,点击“高级”,点击“用户配置文件”下的“设置”,把未知名帐户配置给删除掉。
这样就删除了多余的管理员帐户,同理也可以用这种方法删除其它不必要的帐户。
5、密码策略的应用
计算机内密码的设置通常是不受限制的,也就是说,你设置两位数或是一位数的密码都是可以的,我们可以通过修改密码策略来定制密码的最小长度,方法如下:
打开“控制面板”,进入“管理工具”,打开“本地安全策略”,点击“安全设置”下的“帐户策略”里的“密码策略”,它的里面有个“密码长度最小值”,这里可以设置为6或是8,不能太短。同时可启用“密码必须符合复杂性要求”。
二、删除系统的默认共享
目前删除系统默的共享(ipc$/admin$/C$……)通常有四种方法:
1、批处理方法:
编辑一个批处理文件,内容如下:
@echo off
net share ipc$ /del
net share admin$ /del
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
'(如果你还有其它的盘符,可以接着添加)
:END
把这个批处理保存为一个名为"delshare.bat"文件
然后单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”,双击登录项,然后添加“delshare.bat”(参数不需要添加),从而删除Windows 2003默认的共享。
2、注册表修改法:
点击 开始-〉运行,键入 regedit , 点击确定。
在注册表编辑器中找到并选中以下键
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters] 如果AutoShareServer 或 AutoShareWks 项不存在,请按照步骤3新建注册表值。右键单击右部面板,选择 新建-〉双字节值, 根据您的操作系统来命名该新值”AutoShareServer”双击键值,将数值数据设为0
然后打开hkey_local_machine\system\carrentcontrolset\control\lsa下修改restrictanonymous的值为00000001
这样就把默认共享给删除掉了。
3、组策略的权限分配法:
首先在“开始”菜单中,执行“运行”命令,在弹出的系统运行设置框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,再从弹出的组策略编 辑窗口中,用鼠标逐一展开“计算机配置”文件夹、“Windows设置”文件夹、“安全设置”文件夹、“本地策略”文件夹、“用户权限分配”文件夹;
在对应“用户权限分配”文件夹右侧的子窗口中,选中“拒绝从网络访问这台计算机”项目,并用鼠标双击之,在其后出现的“拒绝从网络访问这台计算机”属 性窗口中,单击一下“添加”按钮,然后再从弹出的帐号选择窗口中,选中并导入合法用户的登录帐号,而把那些不信任的用户帐号统统排除在外,接着再单击“确 定”按钮,如此一来那些不信任的用户日后就无法通过网络方式,来访问到服务器中的所有内容了。相反,那些被导入的用户帐号,仍然可以正常地通过默认共享文 件夹,来高效地管理和维护服务器。
这样也可以达到同样的效果。
4、禁用SERVER服务法:
进入“控制面板”,打开“管理工具”里面的“服务”,先后禁用“Computer Browser”、“Distributed File System”和“Server”服务。禁用的顺序不要搞错了。
这样就完全的禁掉默认共享服务了。
注意:禁用了默认共享,很可以造成了内网不能访问,请先确认网的访问在来选择哪种方法修改。
三、禁止从网上匿名获得本机信息
这个可以通过修改注册来实现,防止别人从网上获得本机信息,注册表文件如下:
-----------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
-----------------------------------------------------------
把它中存为REG文件,导入注册表(不包含虚线部份,下面如果出现,同样)。
它还可以改成00000002或是00000003,级别过高可能造成内网无法正常访问。如果想恢复的话,把它改成“00000000”就可以了。
四、登陆时不显示上一次的登陆名
系统默认登陆会保留上一次的登陆名的,如上次用administrator用户登陆的话,下次开机,它还地保留这个用户名的,这个方法就是用来登陆时不显示上次的登陆名,方法如下:
----------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000001
----------------------------------------------------------------
把上面这段文件用记事本保存为reg文件,导入注册表里去,这样下次登陆就不夫显示了,如果想要还原的话,就把dword值改为:00000000即可。
五、隐藏已知的扩张名
打开“我的电脑”在“工具栏”里找到“工具”选项里的“文件夹选项……”,在查看栏里有一项为“隐藏已知文件类型的扩展名”,把它前面的勾打上,确定即可。
第五条 有什么用?
还是喜欢把扩展名打开,放心,避免病毒执行文件选个文本文件的图标
六、TCP/IP协议的阻击
1、打开“网上邻居”的“属性”,然后打开“本地连接”的“属性”,找到“Microsoft网络的文件和打印机的共享“把这个协议给删除掉。
2、同上,打开“Internet 协议(TCP/IP)”属性,点击下方的“高级”选项,找到最后一栏里的“选项”,选择“TCP/IP 筛选”的“属性”,选择“启用TCP/IP 筛选(所有适配器)”,在下方开启TCP你需要使用的端口,如:FTP端口21,WEB端口80,SQL端口1433,远程服务端口1433……等等,具 体端口,可以自行查询。
七、系统防火墙的使用
其它2003 server SP1的系统防火墙也是非常不错的保护伞,你可以开启它,通过它可以帮到保护的作用。当然特殊使用的时候还需要对外特别开外端口,具体使和方法这里不多做说明,可以参考MS的文档。不是很难的。
八、使用USER用户
USER的权限非常有限,可以有效的保护系统文件,日常使用完全有必要创建一个USER用户来使用,它没有安装软件权限,也没有向系统盘写入文件权限。只是在安装文件或修改系统文件的时候会麻烦些,需要注销到管理员用户下操作。
九、禁止安装垃圾软件和插键
现在网上流行的垃圾软件有很多,如:3721、一搜、天下搜索……等等,这些东西的功能基本上都是无用的,还会给系统留下可怕的后门,可以使用工具来屏蔽它的,网上类似的工具有很多,如Upiea,它是一款不错的屏蔽工具。
十、免费的Microsoft大餐
Microsoft的在线升级系统,可以有效的保证你的系统安全,建议开启在线更新功能,这样能第一时间更新MS的系统,从而有效的防止恶意病毒及黑客的攻击。不花钱的东西不一定就是垃圾哦,记得时刻更新你的系统。
就写到这里吧,希望对大家有帮助,同时有什么不正确的地方请指教,同时希望大家对以经内容进行补充。