1、 使用NTFS格式分区
把硬盘的所有分区都改成NTFS格式,NTFS文件系统要比FAT,FAT32的文件系统安全得多。如果安装里没有选择NTFS,可以使用命令convert转换过来。
2、 关闭相关危险的端口
1)、关闭135端口:
先运行netstat –na查看计算机开放的端口,如下图所示
clip_p_w_picpath001
运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“在此计算机启用分布式COM”;然后切换到“默认协议”,删除“面向连接的TCP/IP”。
clip_p_w_picpath002
clip_p_w_picpath003
停用“Distributed Transaction Coordinator”服务。重启之后, 135端口就被禁用了。
clip_p_w_picpath004
2)、关闭139端口
右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。如下图所示
clip_p_w_picpath005
3)、关闭445端口
打开注册表编辑器,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters下增加一个dword键项,命名为SmbDeviceEnabled,将值设为0。如下图所示
clip_p_w_picpath006
3、 删除系统的默认共享服务
1)、删除ipc$空连接
打开注册表编辑器,找到 HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\Lsa 项里数值名称restrictanonymous的数值数据由0改为1。如图所示
clip_p_w_picpath007
2)、删除系统的默认共享连接
打开注册表编辑器,找到 HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\ Services\lanmanserver\parameters下增加一个dword键项,命名为autosharewKs,将值设为0。如图所示
clip_p_w_picpath008
4、 关闭不必要的服务
在控制面板中,找到管理工具,在其下面打开服务。将以下服务关闭(先禁用,然后再停止掉):
Server
Telnet
clip_p_w_picpath009
以下服务可以根据需要有选择的关闭
Alerter[通知选定的用户和计算机管理警报]
ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无
法访问共享
Distributed Link Tracking Server[适用局域网分布式链接]
Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
IMAPI CD-Burning COM Service[管理 CD 录制]
Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
Kerberos Key Distribution Center[授权协议登录网络]
License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
Messenger[警报]
NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
Print Spooler[打印机服务,没有打印机就禁止吧]
Remote Desktop Help Session Manager[管理并控制远程协助]
Remote Registry[使远程计算机用户修改本地注册表]
Routing and Remote Access[在局域网和广域往提供路由服务.***理由路由服务刺探注册信息]
Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
持而使用户能够共享文件 、打印和登录到网络]
Terminal Services[允许用户以交互方式连接到远程计算机]
Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
5、 设置安全的系统帐号
1)、设置密码策略
打开管理工具—本地安全设置—密码策略:
1.密码必须符合复杂要求性.启用
2.密码最小值.8
3.密码最长使用期限.默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
2)、将系统内建的用户名改名
首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合
设置adminstrator的密码时,最好在安全模式下设置
3)、利用syskey设置系统启动密码
6、 设置系统目录权限
1)、设置每个磁盘根目录的权限只有超级管理员和系统级的用户有权限
2)、本地system32目录权限细化
将cmd.exe、ftp.exe、telnet.exe、regedit.exe、at.exe、regedt32.exe等这样的文件设置权限或改名。
7、 网页***的防护
1)、升级系统安全补丁
利用360、迅雷等工具升级系统补丁
2)、安装杀毒软件,并及时更新病毒库,保证最新的防、查毒能力
3)、链接不能确定的网址的时候禁止ActiveX和JS
4)、通过软件限制策略保证IE访问的临时路径的安全
一般IE访问的临时文件都保存在C:\Documents and Settings\Administrator\Local Settings\Temp和C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files目录下,可以通过限制让***在这个临时路径不被执行
运行:gpedit.msc——然后选择计算机配置——windows 设置 -- 安全设置--软件策略限制,如下图:
clip_p_w_picpath010
在其它规则中添加新路径规则,将以上两个路径添加到下面路径中。如下图
clip_p_w_picpath011