系統安全

【一、禁止默認共享 】
1.先察看本地共享資源
運行-cmd-輸入net share
2.刪除共享(每次輸入一個）
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以繼續刪除）
3.刪除ipc$空連接
在運行內輸入regedit
在註冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
項裏數值名稱RestrictAnonymous的數值數據由0改爲1.
4.關閉自己的139端口,ipc和RPC漏洞存在於此.
關閉139端口的方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”
屬性，進入“高級TCP/IP設置”“WINS設置”裏面有一項“禁用TCP/IP的NETBIOS”，打勾就關了139端口,禁止RPC漏洞.
【二、設置服務項，做好內部防禦】
Alerter 建議：已停用
Application Layer Gateway Service 建議：已停用
Application Management 建議：手動
Automatic Updates 建議：手動/已停用 (更新升級 需要)
Background Intelligent Transfer Service 建議：手動 (更新升級 需要)
ClipBook 建議：已停用
COM+ Event System 建議：手動
COM+ System Application 建議：手動
Computer Browser 建議：已停用
Cryptographic Services 建議：自動 (更新升級 需要)
DCOM Server Process Launcher 建議：自動
DHCP Client 建議：自動
Distributed Link Tracking Client 建議：已停用
Distributed Transaction Coordinator 建議：手動
DNS Client 建議：自動
Error Reporting Service 建議：已停用
Event Log 建議：自動
Fast User Switching Compatibility 建議：已停用
Fax Service 建議：已停用 (傳真機 需要)
Help and Support 建議：已停用
HTTP SSL 建議：手動
Human Interface Device Access 建議：已停用
IMAPI CD-Burning COM Servic 建議：已停用
Indexing Service 建議：已停用
IPSEC Services 建議：已停用
Logical Disk Manager 建議：手動
Logical Disk Manager Administrative Service 建議：手動
Messenger 建議：已停用
MS Software Shadow Copy Provider 建議：已停用
Net Logon 建議：已停用
NetMeeting Remote Desktop Sharing 建議：已停用
Network Connections 建議：手動
Network DDE 建議：已停用
Network DDE DSDM 建議：已停用
Network Location Awareness (NLA) 建議：已停用
Network Provisioning Service 建議：手動
NT LM Security Support Provider 建議：已停用
Performance Logs and Alerts 建議：已停用
Plug and Play 建議：自動
Portable Media Serial Number Service 建議：已停用
Print Spooler 建議：已停用 (打印機、傳真機 需要)
Protected Storage 建議：自動
QoS RSVP 建議：手動
Remote Access Auto Connection Manager 建議：手動
Remote Access Connection Manager 建議：手動
Remote Desktop Help Session Manager 建議：已停用
Remote Procedure Call (RPC) 建議：自動
Remote Procedure Call (RPC) Locator 建議：已停用
Remote Registry 建議：已停用
Removable Storage 建議：手動
Routing and Remote Access 建議：已停用
Secondary Logon 建議：已停用
Security Accounts Manager 建議：自動
Security Center 建議：已停用
Server 建議：已停用
Shell Hardware Detection 建議：已停用
Smart Card 建議：已停用
Smart Card Helper 建議：已停用
SSDP Discovery Service 建議：已停用
System Event Notification 建議：手動 (更新升級 需要)
System Restore Service 建議：已停用
Task Scheduler 建議：已停用
TCP/IP NetBIOS Helper 建議：已停用
Telephony 建議：手動
Telnet 建議：已停用
Terminal Services 建議：已停用
Themes 建議：自動/已停用 (主題服務 需要)
TrueVector Internet Monitor 建議：自動
Uninterruptible Power Supply 建議：已停用
Universal Plug and Play Device Host 建議：已停用
Volume Shadow Copy 建議：已停用
WebClient 建議：已停用
Windows Audio 建議：自動
Windows Firewall/Internet Connection Sharing (ICS) 建議：已停用
Windows Image Acquisition (WIA) 建議：手動 (掃描儀、數碼相機、攝像頭...等外設需要)
Windows Installer 建議：手動
Windows Management Instrumentation (WMI) 建議：手動
Windows Management Instrumentation Driver Extensions 建議：手動
Windows Time 建議：已停用
Windows User Mode Driver Framework 建議：自動
Wireless Zero Configuration 建議：已停用
WMI Performance Adapter 建議：已停用
Workstation 建議：自動

【帳號策略】

一.打開管理工具.本地安全設置.密碼策略


    1.密碼必須符合複雜要求性.啓用
    2.密碼最小值.我設置的是10
    3.密碼最長使用期限.我是默認設置42天
    4.密碼最短使用期限0天
    5.強制密碼歷史 記住0個密碼
    6.用可還原的加密來存儲密碼 禁用
【本地策略】
打開管理工具

找到本地安全設置.本地策略.審覈策略
1.審覈策略更改 成功失敗
2.審覈登陸事件 成功失敗
3.審覈對象訪問 失敗
4.審覈跟蹤過程 無審覈
5.審覈目錄服務訪問 失敗
6.審覈特權使用 失敗
7.審覈系統事件 成功失敗
8.審覈帳戶登陸時間 成功失敗
9.審覈帳戶管理 成功失敗
然後再到管理工具找到 事件查看器
應用程序-右鍵-屬性-設置日誌大小上限-設置512000KB 選擇不不覆蓋事件
安全性-右鍵-屬性-設置日誌大小上限-設置了512000KB 選擇不覆蓋事件
系統-右鍵-屬性-設置日誌大小上限-設置了512000KB   選擇不覆蓋事件

【安全策略】


打開管理工具

找到本地安全設置.本地策略.安全選項
   
    1.交互式登陸.不需要按 Ctrl+Alt+Del 啓用 [根據個人需要,啓用比較好,但是我個人是不需要直接輸入密碼登陸的]
    2.網絡訪問.不允許SAM帳戶的匿名枚舉 啓用
    3.網絡訪問.可匿名的共享 將後面的值刪除
    4.網絡訪問.可匿名的命名管道 將後面的值刪除
    5.網絡訪問.可遠程訪問的註冊表路徑 將後面的值刪除
    6.網絡訪問.可遠程訪問的註冊表的子路徑 將後面的值刪除
    7.網絡訪問.限制匿名訪問命名管道和共享
    8.帳戶.重命名來賓帳戶guest [最好寫一個自己能記住中文名]讓黑客去猜解guest吧,而且還得刪除這個帳戶,後面有詳細解釋]
    9.帳戶.重命名系統管理員帳戶[建議取中文名]

【用戶權限分配策略】


打開管理工具
找到本地安全設置.本地策略.用戶權限分配  
1.從網絡訪問計算機 裏面一般默認有5個用戶,除Admin外我們刪除4個,當然,等下我們還得建一個屬於自己的ID
2.從遠程系統強制關機,Admin帳戶也刪除,一個都不留    
3.拒絕從網絡訪問這臺計算機 將ID刪除
4.從網絡訪問此計算機,Admin也可刪除,如果你不使用類似3389服務
5.通過終端允許登陸 刪除Remote Desktop Users
   
【終端服務配置】


打開管理工具
終端服務配置
1.打開後，點連接,右鍵,屬性,遠程控制,點不允許遠程控制
2.常規,加密級別,高,在使用標準windows驗證上點√!
3.網卡,將最多連接數上設置爲0
4.高級,將裏面的權限也刪除

【用戶和組策略】
打開管理工具
計算機管理.本地用戶和組.用戶
   
刪除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權限  
【DIY策略[根據個人需要]】
1.當登陸時間用完時自動註銷用戶(本地) 防止黑客密碼滲透.
2.登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務,別人登陸時,就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
3.對匿名連接的額外限制
4.禁止按 alt+crtl+del
5.允許在未登陸前關機[防止遠程關機/啓動、強制關機/啓動]
6.只有本地登陸用戶才能訪問cd-rom
7.只有本地登陸用戶才能訪問軟驅
8.取消關機原因的提示
9.禁止關機事件跟蹤
    開始“Start ->”運行“ Run ->輸入”gpedit.msc “，在出現的窗口的左邊部分，
    選擇 ”計算機配置“（Computer Configuration ）-> ”管理模板“
    Administrative Templates）-> ”系統“（System）,在右邊窗口雙擊
    “Shutdown Event Tracker” 在出現的對話框中選擇“禁止”（Disabled），
    點擊然後“確定”（OK）保存後退出這樣，你將看到類似於windows 2000的關機窗口

【修改權限防止病毒或木馬等破壞系統】


winxp、windows2003以上版本適合本方法.


因爲目前的木馬抑或是病毒都喜歡駐留在system32目錄下,如果我們用命令限制system32的寫入和修改權限的話
那麼,它們就沒有辦法寫在裏面了.看命令

---------------------

A命令


cacls C:windowssystem32 /G administrator:R   禁止修改、寫入C:windowssystem32目錄
cacls C:windowssystem32 /G administrator:F   恢復修改、寫入C:windowssystem32目錄


呵呵，這樣病毒等就進不去了，如果你覺得這個還不夠安全，
還可以進行修改覺得其他危險目錄,比如直接修改C盤的權限，但修改c修改、寫入後，安裝軟件時需先把權限恢復過來才行


---------------------

B命令

cacls C: /G administrator:R   禁止修改、寫入C盤
cacls C: /G administrator:F   恢復修改、寫入C盤

這個方法防止病毒，
如果您覺得一些病毒防火牆消耗內存太大的話
此方法稍可解決一點希望大家喜歡這個方法^_^


---------------------

X命令

以下命令推薦給高級管理員使用[因爲win版本不同,請自行修改參數]


cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止網絡用戶、本地用戶在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢復網絡用戶、本地用戶在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止網絡用戶、本地用戶在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢復網絡用戶、本地用戶在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止網絡用戶、本地用戶在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢復網絡用戶、本地用戶在命令行和gui下使用tftp32.exe


【重要文件名加密[NTFS格式]】

此命令的用途可加密windows的密碼檔,QQ密碼檔等等^.^

命令行方式
加密：在DOS窗口或“開始” | “運行”的命令行中輸入“cipher /e 文件名（或文件夾名）”。
解密：在DOS窗口或“開始” | “運行”的命令行中輸入“cipher /d 文件名（或文件夾名）”。



【五、修改註冊表防禦D.D.O.S】


在註冊表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以幫助你防禦一定強度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防禦技巧請搜索其他信息,
由於本人不敢拿自己的硬盤開玩笑,所以沒做實驗... ...

【打造更安全的防火牆】


只開放必要的端口，關閉其餘端口.因爲在系統安裝好後缺省情況下,一般都有缺省的端口對外開放，
黑客就會利用掃描工具掃描那些端口可以利用，這對安全是一個嚴重威脅。 本人現將自己所知道的端口公佈如下

端口 協議 應用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6（非端口） IP協議
8（非端口） IP協議
那麼,我們根據自己的經驗,將下面的端口關閉
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135   epmap
138   [衝擊波]
139   smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[衝擊波]
4489
UDP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
關於UDP一般只有騰訊OICQ會打開4000或者是8000端口,那麼,我們只運行本機使用4000端口就行了

【保護個人隱私】


1、瀏覽器
  選擇用另外一款瀏覽器瀏覽網站.
 
2、移動“我的文檔”
  進入資源管理器，右擊“我的文檔”，選擇“屬性”，在“目標文件夾”選項卡中點“移動”按鈕，
  選擇目標盤後按“確定”即可。在Windows 2003中“我的文檔”已難覓芳蹤，桌面、開始等處都看不到了，
  建議經常使用的朋友做個快捷方式放到桌面上。

3、移動IE臨時文件
  進入“開始→控制面板→Internet 選項”，在“常規”選項卡的“Internet 文件”欄裏點“設置”按鈕，
  在彈出窗體中點“移動文件夾”按鈕，選擇目標文件夾後，點“確定”，在彈出對話框中選擇“是”，
  系統會自動重新登錄。點本地連接,高級,安全日誌,把日誌的目錄更改專門分配日誌的目錄，
  不建議是C:再重新分配日誌存儲值的大小,我是設置了10000KB

XP(sp2)自帶的惡意程序掃描器,不用什麼流氓軟件清理了

在運行欄鍵入: MRT.EXE