Windows优化
2009-06-16 02:17:49
一:Windows安装
在说Windows优化之前我先问问大家两个问题,我们平常是如何安装我们的机器的(服务器、PC)?基于这样的一个前提我又问,我们目前的上网方法有?下面我给大家先说说我们上网的方法是:
1》拨号
2》ADSL
3》光纤
4》有线
5》DDN
6》ISDN
我们现在一般采用是AD和光纤了,在这样的一个广播域中我们要安装系统,大家认为安全吗?答案可想而知了~~所以我们在安装系统时候是:
1》拨出网线(防止局域网中的病毒进入你的计算机)
2》安装windows和驱动程序
3》安装杀软和防火墙
4》插网线,升级(windows和病毒库)
5》安装常用工具(作为一个合格的管理员这是必须的,让财务的去安装?呵呵,人家保证不给你发错工资就行了)
6》禁用不必要的服务
二:关闭不必要的服务
    Computer  Browser:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
    Task scheduler:使用户能在此计算机上配置和制定自动任务
    Routing  and  Remoie Access:在局域网和广域网提供路由服务
    Removable storage  : 管理可移动媒体和库
    Remote Registry Service:  允许原创注册表操作
    Print Spooler:打印文件加入内存(如果有打印机。开启)
    Distribured Link  Tracking client:在计算机内 NTFS 文件之间保持链接或在网络域中的计算机之间保持链接。
    com+Event system:支持系统事件通知服务(SENS),此服务为订阅组件对象模型(COM)组件事件提供自动分布功能,如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务将无法启动。
    Alerter:通知所选用户和计算机有关系统管理级警报。
    Error  Reporting Service:服务和应用程序在非标准环境下运行时允许错误报告。
    Messenger:传输客户端和服务器之间的 NET SEND 和 Alerter 服务消息。此服务与 Windows Messenger 无关。
    Telnet:允许远程用户登录到此计算机并运行程序
这里给大家列举了一些服务,看看是不是启动有所加快?嘿嘿
三:停用guest用户和修改管理员名
guest是我们所敏感的用户,匿名访问,且不需要密码就可以访问你滴机器,这个不停,那就让大罗神仙教你如何确保安全吧。
修改Adminstrator名称主要是为了有人会趁你不在,跑到你机器,就用你的Administrator用户然后不停的试密码(服务器就完了吧)还有密码够复杂哈,一般规则是:足够长度(也表太长,不是越长越安全)、复杂性、可记忆性(你到是猛设,设定完后机器跑不起来了)
四:关闭默认共享,设定共享权限
大家都知道,默认共享就是你可以运行要访问点的IP加盘符$就可以访问,并且直接就是它的本地磁盘,如果这样的话是不是很不安全?默认共享就是在计算机管理——共享文件夹——共享中
clip_p_w_picpath001
设定权限的话就简单了,所给权限越好当然越好了,这个得看实际需要了
clip_p_w_picpath002
五:设定组策略
运行gpedit.msc(组策略编辑器)
我主要针对安全策略说说。打开“本地计算机”策略——计算机配置——windows设置——安全设置
1》密码策略
最好是把密码必需符合复杂性要求启用(我前面也提到过复杂性)启用之后就是看你的长度值什么了。
clip_p_w_picpath003
2》账户锁定策略
账户锁定策略,这就是防止有某些人不道德,趁你不在随便试密码。这样你可以设定成几次上不去我就锁定这个账户,并且还可以设定自动解锁时间
clip_p_w_picpath004
3》本地策略
在这里我们可以记录很多事情了,大家看看
如审核账户登录(设定成成功)
clip_p_w_picpath005
审核账户管理(设定成成功)
clip_p_w_picpath006
简而言之就是,添加删除对象的时候生效记录
审核策略更改(成功)
clip_p_w_picpath007
如果有人更改你的策略,你可以发现
审核特权使用
clip_p_w_picpath008
审核系统事件
clip_p_w_picpath009
可以看到系统开机和重启的时间
clip_p_w_picpath010
4》IP安全策略
安全设置——IP安全策略
windows自带的网络层安全组件,实现IP访问限制
clip_p_w_picpath011
譬如我们经常使用的Telnet操作,下面我给大家做个演示看看
我们先看看我们的端口是不是开启
clip_p_w_picpath012
开启了139端口。。。
我们来新建一个IP安全策略
clip_p_w_picpath013
开始IP策略向导
clip_p_w_picpath014
给这个策略定义一个简单的描述
clip_p_w_picpath015
完成配置策略“向导”还没有真的完成配置任务
clip_p_w_picpath016
指定隧道,我们这里没有隧道就不指定了
clip_p_w_picpath017
选择一个网络连接类型
clip_p_w_picpath018
添加身份验证方法
clip_p_w_picpath019
由于我的机器不是域成员,所以会有下面提示,无碍,不打扰我们实验
clip_p_w_picpath020
定在筛选器
clip_p_w_picpath021
clip_p_w_picpath022
指定源IP地址(你也不知道会是谁的IP对你进行连接,就选任何IP。这样是不是更安全?)
clip_p_w_picpath023
目标IP地址——肯定是本身了
clip_p_w_picpath024
协议我们刚刚看到了是TCP传输的
clip_p_w_picpath025
clip_p_w_picpath026
指定IP协议端口号
clip_p_w_picpath027
配置IP筛选完成
clip_p_w_picpath028
设置安全规则向导
clip_p_w_picpath029
为这个安全规则再次设定筛选
clip_p_w_picpath030
起个名字,我们要限制进行Telnet,就命名禁止Telnet
clip_p_w_picpath031
当然是阻止了。。。
clip_p_w_picpath032
IP安全筛选完成
clip_p_w_picpath033
勾选@禁止telnet,单击下一步
clip_p_w_picpath034
下一步之后我们看到我们建立的ip安全规则了
clip_p_w_picpath035
好了我们来测试一下,首先看这两天机器是不是相通滴
clip_p_w_picpath036
恩,没有问题,我们在进行Telnet(上不去就对了,说明我做的策略生效了)
clip_p_w_picpath037
IP安全策略相当于我们windows自带的防火墙,一个防火墙的功能的好坏,关键看你的策略的好坏。
六:安全配置和分析
通过MMC控制台可以打开它看看
运行mmc添加“安全配置和分析”
clip_p_w_picpath038
单击安全配置和分析右键——打开数据库
clip_p_w_picpath039
为这个库命名一个名字
clip_p_w_picpath040
选择一个安全模版
clip_p_w_picpath041
建好的这个过程飞快,可以进行分析了。。
clip_p_w_picpath042
选择个错误日志路径
clip_p_w_picpath043
点击查看一下内容
clip_p_w_picpath044
这里简单说一下,这些符号的意思
红叉:安全设置与默认不匹配
绿叉:设置匹配
问号:模版中没有此内容
叹号:模版中定义了内容,但是系统中不存在
七:安装一些常用的软件进行优化
如:windows系统优化大师、超级兔子、Z武器、360安全卫士组件(本人提倡)