一:Windows安装
在说Windows优化之前我先问问大家两个问题,我们平常是如何安装我们的机器的(服务器、PC)?基于这样的一个前提我又问,我们目前的上网方法有?下面我给大家先说说我们上网的方法是:
1》拨号
2》ADSL
3》光纤
4》有线
5》DDN
6》ISDN
我们现在一般采用是AD和光纤了,在这样的一个广播域中我们要安装系统,大家认为安全吗?答案可想而知了~~所以我们在安装系统时候是:
1》拨出网线(防止局域网中的病毒进入你的计算机)
2》安装windows和驱动程序
3》安装杀软和防火墙
4》插网线,升级(windows和病毒库)
5》安装常用工具(作为一个合格的管理员这是必须的,让财务的去安装?呵呵,人家保证不给你发错工资就行了)
6》禁用不必要的服务
二:关闭不必要的服务
Computer Browser:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
Task scheduler:使用户能在此计算机上配置和制定自动任务
Routing and Remoie Access:在局域网和广域网提供路由服务
Removable storage : 管理可移动媒体和库
Remote Registry Service: 允许原创注册表操作
Print Spooler:打印文件加入内存(如果有打印机。开启)
Distribured Link Tracking client:在计算机内 NTFS 文件之间保持链接或在网络域中的计算机之间保持链接。
com+Event system:支持系统事件通知服务(SENS),此服务为订阅组件对象模型(COM)组件事件提供自动分布功能,如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务将无法启动。
Alerter:通知所选用户和计算机有关系统管理级警报。
Error Reporting Service:服务和应用程序在非标准环境下运行时允许错误报告。
Messenger:传输客户端和服务器之间的 NET SEND 和 Alerter 服务消息。此服务与 Windows Messenger 无关。
Telnet:允许远程用户登录到此计算机并运行程序
这里给大家列举了一些服务,看看是不是启动有所加快?嘿嘿
三:停用guest用户和修改管理员名
guest是我们所敏感的用户,匿名访问,且不需要密码就可以访问你滴机器,这个不停,那就让大罗神仙教你如何确保安全吧。
修改Adminstrator名称主要是为了有人会趁你不在,跑到你机器,就用你的Administrator用户然后不停的试密码(服务器就完了吧)还有密码够复杂哈,一般规则是:足够长度(也表太长,不是越长越安全)、复杂性、可记忆性(你到是猛设,设定完后机器跑不起来了)
四:关闭默认共享,设定共享权限
大家都知道,默认共享就是你可以运行要访问点的IP加盘符$就可以访问,并且直接就是它的本地磁盘,如果这样的话是不是很不安全?默认共享就是在计算机管理――共享文件夹――共享中
设定权限的话就简单了,所给权限越好当然越好了,这个得看实际需要了
五:设定组策略
运行gpedit.msc(组策略编辑器)
我主要针对安全策略说说。打开“本地计算机”策略――计算机配置――windows设置――安全设置
1》密码策略
最好是把密码必需符合复杂性要求启用(我前面也提到过复杂性)启用之后就是看你的长度值什么了。
2》账户锁定策略
账户锁定策略,这就是防止有某些人不道德,趁你不在随便试密码。这样你可以设定成几次上不去我就锁定这个账户,并且还可以设定自动解锁时间
3》本地策略
在这里我们可以记录很多事情了,大家看看
如审核账户登录(设定成成功)
审核账户管理(设定成成功)
简而言之就是,添加删除对象的时候生效记录
审核策略更改(成功)
如果有人更改你的策略,你可以发现
审核特权使用
审核系统事件
可以看到系统开机和重启的时间
4》IP安全策略
安全设置――IP安全策略
windows自带的网络层安全组件,实现IP访问限制
譬如我们经常使用的Telnet操作,下面我给大家做个演示看看
我们先看看我们的端口是不是开启
开启了139端口。。。
我们来新建一个IP安全策略
开始IP策略向导
给这个策略定义一个简单的描述
完成配置策略“向导”还没有真的完成配置任务
指定隧道,我们这里没有隧道就不指定了
选择一个网络连接类型
添加身份验证方法
由于我的机器不是域成员,所以会有下面提示,无碍,不打扰我们实验
定在筛选器
指定源IP地址(你也不知道会是谁的IP对你进行连接,就选任何IP。这样是不是更安全?)
目标IP地址――肯定是本身了
协议我们刚刚看到了是TCP传输的
指定IP协议端口号
配置IP筛选完成
设置安全规则向导
为这个安全规则再次设定筛选
起个名字,我们要限制进行Telnet,就命名禁止Telnet
当然是阻止了。。。
IP安全筛选完成
勾选@禁止telnet,单击下一步
下一步之后我们看到我们建立的ip安全规则了
好了我们来测试一下,首先看这两天机器是不是相通滴
恩,没有问题,我们在进行Telnet(上不去就对了,说明我做的策略生效了)
IP安全策略相当于我们windows自带的防火墙,一个防火墙的功能的好坏,关键看你的策略的好坏。
六:安全配置和分析
通过MMC控制台可以打开它看看
运行mmc添加“安全配置和分析”
单击安全配置和分析右键――打开数据库
为这个库命名一个名字
选择一个安全模版
建好的这个过程飞快,可以进行分析了。。
选择个错误日志路径
点击查看一下内容
这里简单说一下,这些符号的意思
红叉:安全设置与默认不匹配
绿叉:设置匹配
问号:模版中没有此内容
叹号:模版中定义了内容,但是系统中不存在
七:安装一些常用的软件进行优化
如:windows系统优化大师、超级兔子、Z武器、360安全卫士组件(本人提倡)