準(zhǔn)備活動

　　給系統(tǒng)安裝補(bǔ)丁程序的重要性是不言而喻的，尤其是一些重要的安全補(bǔ)丁和針對IE，OE漏洞的補(bǔ)丁(即使你并不打算使用它們)。微軟會經(jīng)常的發(fā)布一些已知漏洞的修補(bǔ)程序，這些東西一般都可以通過Windows Update來安裝。你需要做的只是經(jīng)常性的訪問Windows Update網(wǎng)站 。或者直接點(diǎn)擊開始菜單中Windows Update的快捷方式。而Windows XP和 新的Windows 2000更加進(jìn)步了，可以自動檢查更新，在后臺下載，完成后通知你下載完成并詢問是否開始安裝。對于Windows 2000/XP的用戶，微軟還提供了一個檢查安全性的實(shí)用工具：基準(zhǔn)安全分析器(MICroSOFt Baseline Security Analyzer)，這個程序可以自動對你的系統(tǒng)進(jìn)行安全性檢測，并且對于出現(xiàn)的問題，都可以提供一個完整的解決方案。非常適合對于安全性要求高的用戶使用。你可以在這里詳細(xì)了解和下載這個工具。

　　在你安裝了所有的補(bǔ)丁程序后，下面開始我們的調(diào)整設(shè)置。

　　重命名和禁用默認(rèn)的帳戶

　　安裝好Windows后，系統(tǒng)會自動建立兩個賬戶：Administrator和Guest，其中Administrator擁有 高的權(quán)限，Guest則只有基本的權(quán)限并且默認(rèn)是禁用的。而這種默認(rèn)的帳戶在給你帶來方便的同時也嚴(yán)重危害到了你的系統(tǒng)安全。如果有黑客入侵或者其他什么問題，他將輕易的得知你的超級用戶的名稱，剩下的就是尋找密碼了。因此，安全的做法是把Administrator賬戶的名稱改掉，然后再建立一個幾乎沒有任何權(quán)限的假Administrator賬戶。具體的方法是：

　　在運(yùn)行中輸入secpol.msc然后回車，打開“LOCal Security Settings(本地安全設(shè)置)”對話框，依次展開Local Policies(本地策略)-Security Options(安全選項(xiàng))，在右側(cè)窗口有一個“ACCounts: Rename administrator (guest) account(賬戶：重命名Administrator/Guest賬戶)”的策略，雙擊打開后可以給Administrator重新設(shè)置一個不是很引人注目的用戶名。然后還可以再新建一個名稱為Administrator的受限制用戶，以迷惑闖入者。

　　安全選項(xiàng)的設(shè)置

　　同樣是在Local Security Settings中，展開Local Policies-Security Options，這里還有很多其它的設(shè)置，經(jīng)過合理的配置，可以使你的系統(tǒng)更加安全。一下列舉的選項(xiàng) 好全部禁止：
　　
　　Interactive logon: Do not require CTRL+ALT+DEL，交互式登錄：不需要按Ctrl+Alt+Del。

　　Network access: Allow anonymous SID/name translation，網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換。

　　Network access: Let Everyone permissions apply to anonymous users，網(wǎng)絡(luò)訪問：讓Everyone權(quán)限應(yīng)用到匿名用戶。

　　Recovery console: Allow automatic administrative logon，故障恢復(fù)控制臺：允許自動系統(tǒng)管理級登錄。

　　而以下的選項(xiàng) 好啟用：

　　Devices: Restrict CD-ROM access to locally logged-on user only,設(shè)備：只有本地登錄的用戶才能訪問CD-ROM。

　　Devices: Restrict floppy access to locally logged-on user only，設(shè)備：只有本地登錄的用戶才能訪問軟驅(qū)。

　　Interactive logon: Do not display last user name，交互式登錄：不顯示上一次使用的用戶名。

　　Network access: Do not allow anonymous enumeration of SAM accounts，網(wǎng)絡(luò)訪問：不允許匿名SAM帳戶的匿名枚舉。

　　Network access: Do not allow anonymous enumeration of SAM accounts & shares，網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉。

　　Network security: Do not store LAN Manager hash value on next password change，網(wǎng)絡(luò)安全：不要在下次更改密碼時存儲LAN Manager的Hash值。

　　System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ，系統(tǒng)對象：增強(qiáng)內(nèi)部系統(tǒng)對象的默認(rèn)權(quán)限(例如Symbolic Links)。


　　可靠的密碼

　　盡管絕對安全的密碼時不存在的，但是相對安全的密碼還是可以實(shí)現(xiàn)的。這個還是需要運(yùn)行secpol.msc來配置Local Security Settings。展開到Account Policies-Password Policy，經(jīng)過這里的配置，你就可以建立一個完備密碼策略，并且你的密碼也可以得到 大限度的保護(hù)。

　　Enforce password history(強(qiáng)制密碼歷史)。這個設(shè)置決定了保存用戶曾經(jīng)用過的密碼的個數(shù)。很多人知道要經(jīng)常性的更換自己的密碼，可是換來換去就是有限的幾個在輪換，配置這個策略就可以知道用戶更換的密碼是否是以前曾經(jīng)使用過的。如果再配合Maximum password age這個策略，就能保證密碼安全了。默認(rèn)情況下，這個策略不保存用戶的密碼，你可以自己設(shè)置，建議保存5個以上，而 多可以保存24個。

　　Maximum password age(密碼 長存留期)。這個策略決定了一個密碼可以使用多久，之后就會過期，并要求用戶更換密碼。如果設(shè)置為0，則密碼永不過期。一般情況下設(shè)置為30到60天左右就可以了，具體的過期時間要看你的系統(tǒng)對安全的要求有多嚴(yán)格。而 長可以設(shè)置999天。

• 1
• 2
• 3
• 下一頁

【看看這篇文章在百度的收錄情況】

相關(guān)文章

• 上一篇： 雙擊無法打開驅(qū)動器的殺毒方法介紹
• 下一篇： 細(xì)評Windows操作系統(tǒng)十大隱患服務(wù)