电脑安全方案.docVIP

2传统的系统安全保护方法 我们平时常用的客户端安全保护措施包括：停止Guest帐号、限制用户数量、创建多个管理员帐号、管理员帐号改名、设立陷阱帐号、设置安全口令、更改默认权限、开启屏幕保护密码、使用NTFS分区、开启系统防火墙和运行防病毒软件等方面。 3操作系统安全策略配置 其实除了以上我们常用的一些做法，Windows操作系统还为我们提供了许多更高级的安全防护方法，主要包括：安全策略配置、关闭不必要的服务、关闭不必要的端口、开启审核策略、开启密码策略、开启帐户策略、不显示上次登陆名和禁止空连接等方面。 3.1安全策略配置 利用Windows的安全配置工具来配置安全策略，在控制面板→管理工具中可以找到“本地安全策略”，可以配置帐户策略、本地策略、公钥策略和IP安全策略。默认情况下这些策略都没有开启。 3.2关闭不必要的服务 Windows终端服务和IIS服务等都可能给系统带来安全漏洞， 有些恶意的程序也可以运行服务器上的终端服务，所以要经常检查服务器，关闭不必要的服务。 3.3关闭不必要的端口 用端口扫描器扫描所开放的端口，在Windows\system32\drivers\etc\下的services文件中有知名端口和服务的对照表可供参考。用记事本打开该文件，如图1所示。 设置本机开放的端口和服务，在地址设置窗口中选择“高级”按钮，在出现“TCP/IP设置”对话框中选择“选项”选项卡，选择“TCP/IP筛选”，单击“属性”按钮，如图2、图3所示。 3.4开启审核策略 安全审核是Windows最基本的入侵检测方法，当有人尝试对系统进行某种方式（如尝试用户密码、未经许可的文件访问等）入侵时，都会被安全审核记录下来。审核策略在控制面板→管理工具→本地安全策略→本地策略→审核策略下配置。双击列表的某一项，出现设置对话框，选中“成功”和“失败”，如图4、图5所示。 3.5开启密码策略 密码对系统安全非常重要。默认情况下，本地安全设置中的密码策略并没有开启。 1 密码必须符合复杂性要求;2 密码长度最小值为6位; 密码使用超过15天后，就自动要求用户修改密码; 4 要求当前设置的密码不能和前面5次的密码相同。设置选项如图6。3.6开启帐户策略 开启帐户策略可以有效防止字典式攻击，如图7。 3.7不显示上次登陆名 默认情况下，登陆对话框中会显示上次登陆的帐户名称，黑客可以得到系统的一些用户名，进而做密码猜测。 修改注册表可以禁止显示上次登陆名，在HEKY_LO-CAL_MACHINE主键下修改或新建子键SOFTWARE\Mi- crosoft\WindowsNT\CurrentVersion\Winlogon\DontdisplayLastuser-Name，将键值改为1。 3.8禁止建立空连接 默认情况下，任何用户通过空连接连上服务器，就可以枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接。在HEKY\LOCAL_MA-CHINE主键下修改子键SYSTEM\CurrentCon-trolset\Control\Lsa\restrictanonymous，将键值改为1即可禁止建立空连接。 4系统高级安全配置 Windows高级安全配置包括关闭默认共享、禁用Dump文件、加密Temp文件夹、锁定注册表、关机时清除文件、使用IPSec等方面。4.1关闭默认共享 Windows安装完成以后，系统会创建一些隐藏的共享，例如C$、D$、Admin$等，可以在DOS提示符下输入NetShare命令查看， 要禁止这些共享。 4.2禁用Dump文件 在系统崩溃和蓝屏时，Dump文件是一份很有用的资料，可以帮助查找问题，也能给黑客提供一些敏感信息，比如一些应用程序的密码等。可以打开控制面板→系统属性的“高级”选项卡，选择“启动和故障恢复”，在打开的对话框中，把写入调试信息改为“无”。4.3加密Temp文件夹 一些应用程序在安装和升级时，会把内容复制到Temp文件夹，但是当程序升级完毕或关闭时，并不会删除Temp文件夹的内容。所以，给Temp文件夹加密可以给文件多一层保护。 4.4锁定注册表 在Windows系统中，只有Administrators和BackupOpertors组用户才有从网络上访问注册表的权限。当帐号的密码泄露以后，黑客也可以在远程访问注册表，当服务器连接到网络上时，应该锁定注册表。修改或新建HKEY_CURRENT_USER\Software\Mi-crosoft\Windows\CurrentVersion\Policies\Syetem下的子键：把DisableRegistry的值改为0，类型改为DWORD。 4.5关机时清除文件 页面文件是Windows用来存储没有装入内存的程序和数据文件的隐藏文件，文件中可能包含