第四章 账号密码的安全原则

首先禁用guest帐号，将系统内建的administrator帐号改名（控制面板—管理工具—本地安全策略—本地策略—安全选项—帐户：重命名系统管理员帐户，改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。如果你使用的是其他帐号并加入administrators组，一定也要设置一个足够安全的密码，设置adminstrator的密码时，一定要在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。（更改用户开机登陆是否需要输入密码：安全模式下：开始—运行—control userpasswords2）下面是我建议的设置：
打开控制面板--管理工具--本地安全策略—帐户策略--密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用

本地策略 ：这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的) 。
打开管理工具—本地安全策略--本地策略--审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆事件 成功失败
9.审核帐户管理 成功失败

然后再到控制面板--管理工具--事件查看器
应用程序：右键 属性 设置曰志大小上限，我设置了51200kb，选择不覆盖事件
安全性：右键 属性 设置曰志大小上限，我也是设置了51200kb，选择不覆盖事件
系统：右键 属性 设置曰志大小上限，我都是设置了51200kb，选择不覆盖事件

管理工具—本地安全策略--本地策略--安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [启用比较好，但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.不允许SAM帐户和共享的匿名枚举 启用
4.网络访问.可匿名的共享 将后面的值删除
5.网络访问.可匿名的命名管道 将后面的值删除
6.网络访问.可远程访问的注册表路径 将后面的值删除
7.网络访问.可远程访问的注册表的子路径 将后面的值删除
8.网络访问.限制匿名访问命名管道和共享
9.帐户.（前面已经详细讲过）
用户权限分配策略： 打开管理工具--本地安全策略--本地策略--用户权利指派
1.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务
2.从远端系统强制关机，Admin帐户也删除，一个都不留
3.拒绝从网络访问这台计算机 将ID删除
终端服务配置： 打开管理工具--终端服务配置 （我的机子就没这一项，可能版本不同吧，暂时保留！）
1.打开后，点连接，右键，属性，远程控制，点不允许远程控制
2.常规，加密级别，高，在使用标准Windows验证上点√!
3.网卡，将最多连接数上设置为0
4.高级，将里面的权限也删除.[我没设置]
再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话

用户和组策略：
打开管理工具--计算机管理--本地用户和组--用户：删除Support_388945a0用户等等，只留下你更改好名字的adminisrator权限或者还有你新建的现在使用中的同样拥有管理员权限的用户，当然Guest帐户也是无法删除的；计算机管理--本地用户和组--组：我们就不分组了，没必要吧，呵呵！！

　　　　　　　　　　　　　　　　　　　　第五章 其它

修复磁盘错误
除运行磁盘清理工具和磁盘碎片整理程序来优化计算机性能外，还可以运行错误检查实用工具来检查硬盘上存储的文件的完整性。 在使用硬盘驱动器时，可能会出现坏扇区。坏扇区会降低硬盘性能，有时还会导致难以甚至无法执行数据写入操作(如文件保存)。错误检查实用工具可以扫描硬盘驱动器中是否存在坏扇区，并扫描文件系统错误以了解是否某些文件或文件夹放错位置。 如果每天都使用计算机，那么应尝试每周运行一次此实用工具，以帮助您防止数据丢失。运行错误检查实用工具之前，确保关闭所有文件。
　　1.单击“开始”，然后单击“我的电脑”。
　　2.在“我的电脑”窗口中，右键单击要搜索是否存在坏扇区的硬盘分区盘符，然后单击“属性”。
　　3.在“属性”对话框中，单击“工具”选项卡。
　　4.单击“开始检查”按钮。
　　5.在“检查磁盘”对话框中，选中“扫描并试图恢复坏扇区”复选框，然后单击“开始”。
　　大多数情况下，请选中“扫描并试图恢复坏扇区”
　　6.如果发现有坏扇区，请选择进行修复。
　　提示:如果认为磁盘包含坏扇区，请仅选中“自动修复文件系统错误”复选框。

通过修改Hosts文件，来达到阻止网页自动弹出的目的：Hosts是一个没有扩展名的系统文件，可以用记事本等工具打开，其作用就是将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”，当用户在浏览器中输入一个需要登录的网址时，系统会首先自动从Hosts文件中寻找对应的IP地址，一旦找到，系统会立即打开对应网页，如果没有找到，则系统再会将网址提交DNS域名解析服务器进行IP地址的解析。
举例说明：
例一：前些天登录了几次搜狐的站点，可首页就是打不开，于是便料定搜狐可能由于内部什么调整而将服务器关了，笔者甚至还幸灾乐祸的发短信向朋友们报告自己发现的“惊爆新闻”！当笔者知道在其他几乎所有的电脑上均能打开传说中的搜狐网站而只有自己打不开时，笔者傻了，难道真的是朋友们说的“人品问题”……按照解决问题的常规，在运行框中输入“ping www.sohu.com”，发现其返回的IP地址不是搜狐对应的“220.181.26.133”，而是莫名其妙的“127.0.0.1”!至此真相大白，原来一些网页恶意脚本将笔者的Hosts文件进行了修改，即在Hosts文件中添加了一条“127.0.0.1 www.sohu.com ”记录，当笔者在地址栏中输入搜狐的网址时，被系统解析出来的IP地址不是正确的“220.181.26.133”而是“127.0.0.1”，所以自然就打不开了。解决方法：在c:\windows\system32\drivers\etc文件夹中找到Hosts文件并用记事本打开，将其中的错误记录(如“127.0.0.1 www.sohu.com”)删去，保存文件退出，这时再登录搜狐的站点就畅通无阻了。
例二：大家是否经历过这样的怪事：在正常浏览网页或进行其他办公操作的过程中，IE每隔一段时间就会自动弹出整屏的网页广告并且这些网页广告内容还会自动随机变换！不过网址的形式比较固定：比如http://www.52joke.cn、http://www.52joke.cn和http://www.52joke.cn/new／等，其实这是一种类似“Win32.Troj.PopWeb”的系列木马病毒。解决方法：我们可以打开系统文件夹中的Hosts文件（c:\windows\system32\drivers\etc），在文件中新开启一行，输入“0.0.0.0 http://www.5xt.net”，（输入内容没有引号，但IP地址与网址间有空格），接下来将文件保存退出，当浏览器试图打开http://www.5xt.net 页面时，系统会自动将其解析到“０.０.０.０”这样一个不可能存在的IP地址上，这样也就屏蔽了该网页插件。
当然：最好的方法还是将木马程序从你的系统中清楚。

如果操作系统为NTFS格式，可以通过修改权限防止病毒或木马等破坏系统，因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话，那么,它们就没有办法写在里面了：
A命令： cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录
    cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录
如果觉得还不安全，我们还可以修改C盘的权限，但对c盘修改后，安装软件时需先把权限恢复过来才行；
B命令： cacls C: /G administrator:R 禁止修改、写入C盘
cacls C: /G administrator:F 恢复修改、写入C盘

　　　　　　　　　　　　　　　　　　　第六章 建议
安装必要的安全软件：杀毒软件和防火墙是必备的，还有下载下来的东西并不一定都是干净的，最好杀完毒后再运行！

经验教训：
①一定不要在U盘上面粉碎文件，特别是病毒文件，那样很容易损坏模块，导致永久无法使用；
②如果系统盘为NTFS格式，其他盘为FAT32格式，一定不要在常规DOS下，采用“format c：”，这样格式化是你的D盘，D盘的数据将会全部丢失，此时不要在D盘进行任何读写操作，使用硬盘数据修复软件EasyRecovery可找回丢失的数据，具体教程到网上搜一下，切记！！！

上一页  [1] [2]