http://www.cdyy.cn/ zh-cn PBlog2 v2.4 http://www.cdyy.cn/images/logos.gif http://www.cdyy.cn/ 陈的言语 http://www.cdyy.cn/article.asp?id=250 cdyy@qq.com(伟伟) Fri,27 Jul 2007 22:53:08 +0800 http://www.cdyy.cn/default.asp?id=250
尽管 Windows XP 的默认安装非常安全，但是切记，您的环境中客户端计算机的安全性、可用性和功能之间存在权衡。透彻理解这些权衡之后，您的组织就可以最大限度地增强 Windows XP 部署的安全性。

本指南提供有关在下列三种不同环境中如何强化运行 Windows XP SP2 的计算机的特定建议：

• 企业客户端 (EC)。此环境中的客户端计算机位于 Active Directory® 目录服务域中，只需要与运行 Windows 2000 或更高版本的 Windows 操作系统的系统通信。

• 独立 (SA)。此环境中的客户端计算机不是 Active Directory 域的成员，可能需要与运行 Windows NT® 4.0 的系统通信。

• 专用安全 - 限制功能 (SSLF)。由于在此环境中对安全性非常关注，因此功能上和管理上的明显损失都在可接受之列。例如，军事和情报机构的计算机在此类环境中运行。


本页内容
本指南的目标读者
内容介绍
相关资源
向我们提供您的反馈意见
咨询和支持服务

本指南的目标读者
本指南主要面向负责企业环境中 Windows XP 工作站的应用程序或基础结构开发和部署的规划阶段的顾问、安全专家、系统结构设计人员和 IT 专业人员。本指南不面向家庭用户。

安全专家和 IT 设计人员可能需要有关本指南中所述的安全设置的更为详细的信息。可以在附加指南威胁和对策：Windows Server 2003 和 Windows XP 的安全设置中找到此信息，网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。

返回页首
内容介绍
Windows XP 提供迄今为止最可依赖的 Windows 客户端版本以及改进的安全和隐私功能。Windows XP 中已经提高了总体安全性，以帮助确保组织在更安全的计算环境中工作。《Windows XP 安全指南》包含七个章节，其中二至六章论述创建这种环境所需的过程。其中每个章节建立在端到端流程的基础之上，旨在确保基于 Windows XP 的计算机的安全。



图 1 《Windows XP 安全指南》各章概述
查看大图


第 1 章：《Windows XP 安全指南》简介
本章包括本指南的概述以及对目标读者、本指南中讨论的问题和本指南的总体目标的说明。

第 2 章：配置 Active Directory 域基础结构
您可以使用组策略来管理 Windows Server 2003 和 Windows 2000 域中的用户和计算机环境。它是确保 Windows XP 安全的重要工具，可以用来从中央位置在整个网络中应用和维护一致安全策略。本章论述将组策略应用于 Windows XP 客户端计算机之前必须在域中执行的基本步骤。

组策略设置存储在域控制器上的组策略对象 (GPO) 中。GPO 链接到 Active Directory 结构中的站点、域和 OU。由于组策略与 Active Directory 紧密集成，在实施组策略之前有必要对 Active Directory 结构和安全含义进行基本的了解。

第 3 章：Windows XP 客户端安全设置
本章描述可以在 Windows 2000 或 Windows Server 2003 Active Directory 域中通过组策略设置的 Windows XP 客户端计算机的安全设置。并没有为所有可用设置提供指导，而只是为那些帮助避免环境遭受最新威胁的设置提供了指导。该指导还允许用户继续在他们的计算机上执行正常作业功能。配置的设置应基于组织的安全目标。

第 4 章：Windows XP 管理模板
本章讨论可以使用管理模板添加到 Windows XP 中的设置。管理模板是可用来配置基于注册表的设置的 Unicode 文件，这些设置控制许多服务、应用程序和操作系统组件的行为。许多管理模板可以与 Windows XP 一起使用，它们包含数百个设置。

第 5 章：确保独立 Windows XP 客户端的安全
虽然本指南大部分重点介绍企业客户端 (EC) 和专用安全 – 限制功能 (SSLF) 环境，但是本章还讨论了独立 Windows XP 客户端计算机的配置。Microsoft 建议在 Active Directory 域基础结构中部署 Windows XP，同时认识到不能够总是这样做。本章提供有关如何将建议配置应用到不是 Windows 2000 或 Windows Server 2003 域成员的 Windows XP SP2 客户端计算机的指导。

第 6 章：Windows XP 客户端的软件限制策略
本章提供软件限制策略的基本概述，该软件限制策略向管理员提供一套策略驱动机制，用于标识和限制可以在其域中运行的软件。管理员可以使用软件限制策略阻止不想要的程序运行，并防止病毒、特洛伊木马或其他恶意代码传播。软件限制策略与 Active Directory 和组策略完全集成；如果仅应用于本地计算机，它们也可以用于没有 Windows Server 2003 域基础结构的环境。

第 7 章：结论
最后一章简要回顾前几章中论述的内容的要点。

附录 A：需要考虑的关键设置
虽然本指南论述了许多安全对策和安全设置，了解少量安全对策和安全设置尤其重要。本附录论述会对运行 Windows XP SP2 的计算机的安全产生最大影响的设置。

附录 B：测试《Windows XP 安全指南》
本附录阐述如何在实验室环境中测试《Windows XP 安全指南》以确保指导按预期工作。

返回页首
相关资源
有关本指南中指定的安全设置的其他信息，请下载附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置，网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。

阅读 Microsoft Solutions for Security and Compliance (MSSC) 小组的其他安全解决方案。

返回页首
向我们提供您的反馈意见
Microsoft Solutions for Security and Compliance (MSSC) 小组欢迎您提供有关此解决方案以及其他解决方案的想法。

有意见吗？请在IT 专业人员的安全解决方案网络日志上告诉我们。

或者通过电子邮件将反馈发送到以下地址：SecWish@microsoft.com。 我们通常会响应发送到此邮箱的反馈。

我们期待着您的反馈。

返回页首
咨询和支持服务
有许多服务可有助于组织的安全活动。使用以下链接可以帮助您找到所需的服务：

对于 Microsoft 金牌服务认证伙伴、Microsoft 技术认证培训中心、Microsoft 认证伙伴以及独立软件供应商 (ISV) 提供的使用 Microsoft 技术的产品，应在以下网址搜索Microsoft Resource Directory：http://directory.microsoft.com/resourcedirectory/Solutions.aspx。

要查找适合于您的组织需要的咨询和支持服务，请在以下网址访问Microsoft Services：http://support.microsoft.com/msservices。


]]> http://www.cdyy.cn/article.asp?id=245 cdyy@qq.com(东风) Tue,24 Jul 2007 23:35:45 +0800 http://www.cdyy.cn/default.asp?id=245
        Win XP必须禁止的服务

        1.NetMeeting Remote Desktop Sharing：允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。

        2.Universal Plug and Play Device Host：此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击（DDoS）。另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的 chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源（需要安装硬件时需手动开启）。

        3.Messenger：俗称信使服务，电脑用户在局域网内可以利用它进行资料交换（传输客户端和服务器之间的Net Send和Alerter服务消息，此服务与Windows Messenger无关。如果服务停止，Alerter消息不会被传输）。这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。

        4.Terminal Services：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。如果你不使用Win XP的远程控制功能，可以禁止它。

        5.Remote Registry：使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。

        6.Fast User Switching Compatibility：在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击“开始→注销→快速切换”，在传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。如果不经常使用，可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。

]]> http://www.cdyy.cn/article.asp?id=244 cdyy@qq.com(东风) Tue,24 Jul 2007 23:34:15 +0800 http://www.cdyy.cn/default.asp?id=244
　　教大家防木马的办法，只针对网页木马，有效率90%以上。可以防止90%以上木马在你的机器上被执行，甚至杀毒软件发现不了的木马都可以禁止执行，先说一下原理。

　　现在网页木马无非有以下几种方式中到你的机器里：

　　1、把木马文件改成BMP文件，然后配合你机器里的DEBUG来还原成EXE，网上存在该木马20% ;

　　2、下载一个TXT文件到你机器，然后里面有具体的FTP连接，FTP连上他们有木马的机器下载木马，网上存在该木马20%;

　　3、也是最常用的方式，下载一个HTA文件，然后用网页控件解释器来还原木马，该木马在网上存在50%以上;

　　4、采用JS脚本，用VBS脚本来执行木马文件，该型木马偷QQ的比较多，偷传奇的少，大概占10%左右;

　　5、其他方式未知。

　　现在我们来说防范的方法，就是把 windows\system\mshta.exe文件改名，改成什么自己决定 (注意Windows2000和WindowsXp是在system32下)。

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compatibility，并设定键值为0x00000400即可。

　　还有windows\command\debug.exe和windows\ftp.exe都给改个名字 (或者删除) 。

　　一些最新流行的木马最有效果的防御

　　比如网络上流行的木马 smss.exe，这个是其中一种木马的主体，潜伏在 Windows98/WindowsMe/
　　WindowsXp的c:\windows目录下，Windows2000的c:\winnt目录下。

　　假如你中了这个木马，首先我们用进程管理器结束正在运行的木马smss.exe,，然后在c:\windows 或 c:\winnt\目录下创建一个smss.exe，并设置为只读属性(2000/XP NTFS的磁盘格式的话那就更好，可以用“安全设置”设置为读取)。这样木马没了，以后也不会再感染了。这个办法本人测试过对很多木马，都很有效果。只不过有些木马的残骸留在了IE的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理临时文件夹和IE。

]]> http://www.cdyy.cn/article.asp?id=243 cdyy@qq.com(东风) Tue,24 Jul 2007 23:33:50 +0800 http://www.cdyy.cn/default.asp?id=243
1.先察看本地共享资源

运行-cmd-输入net share

2.删除共享(每次输入一个）

net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）

3.删除ipc$空连接

在运行内输入regedit

在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA

项里数值名称RestrictAnonymous的数值数据由0改为1.

4.关闭自己的139端口,ipc和RPC漏洞存在于此.

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”

属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关

闭了139端口,禁止RPC漏洞.

二、设置服务项，做好内部防御

A计划.服务策略：

控制面板→管理工具→服务

关闭以下服务：

1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去，关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务，没有打印机就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Windows Image Acquisition (WIA)[照相服务，应用与数码摄象机]

B计划.帐号策略：

一.打开管理工具.本地安全设置.密码策略

     1.密码必须符合复杂要求性.启用
     2.密码最小值.我设置的是10
     3.密码最长使用期限.我是默认设置42天
     4.密码最短使用期限0天
     5.强制密码历史 记住0个密码
     6.用可还原的加密来存储密码 禁用

-------------------

C计划.本地策略:

打开管理工具

找到本地安全设置.本地策略.审核策略

     1.审核策略更改 成功失败

    2.审核登陆事件 成功失败
     3.审核对象访问 失败
     4.审核跟踪过程 无审核
     5.审核目录服务访问 失败
     6.审核特权使用 失败
     7.审核系统事件 成功失败
     8.审核帐户登陆时间 成功失败
     9.审核帐户管理 成功失败
       然后再到管理工具找到
       事件查看器
     应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不覆盖事件
     安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖事件
     系统 右键 属性 设置日志大小上限 我都是设置了512000KB 选择不覆盖事件

D计划.安全策略:

打开管理工具

找到本地安全设置.本地策略.安全选项
    
     1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
     2.网络访问.不允许SAM帐户的匿名枚举 启用
     3.网络访问.可匿名的共享 将后面的值删除
     4.网络访问.可匿名的命名管道 将后面的值删除
     5.网络访问.可远程访问的注册表路径 将后面的值删除
     6.网络访问.可远程访问的注册表的子路径 将后面的值删除
     7.网络访问.限制匿名访问命名管道和共享
     8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
     9.帐户.重命名系统管理员帐户[建议取中文名]

E计划.用户权限分配策略:

打开管理工具

找到本地安全设置.本地策略.用户权限分配
    
     1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
     2.从远程系统强制关机,Admin帐户也删除,一个都不留      
     3.拒绝从网络访问这台计算机 将ID删除
     4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
     5.通过终端允许登陆 删除Remote Desktop Users
    
F计划.终端服务配置

打开管理工具

终端服务配置

     1.打开后，点连接,右键,属性,远程控制,点不允许远程控制
     2.常规,加密级别,高,在使用标准windows验证上点√!
     3.网卡,将最多连接数上设置为0
     4.高级,将里面的权限也删除.[我没设置]
     再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话

G计划.用户和组策略

打开管理工具

计算机管理.本地用户和组.用户
    
   删除Support_388945a0用户等等
   只留下你更改好名字的adminisrator权限  

计算机管理.本地用户和组.组
    
   组.我们就不组了.分经验的(不管他.默认设置)

X计划.DIY策略[根据个人需要]
    
     1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.

   2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
     3.对匿名连接的额外限制
     4.禁止按 alt+crtl+del
     5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
     6.只有本地登陆用户才能访问cd-rom
     7.只有本地登陆用户才能访问软驱
     8.取消关机原因的提示
     1、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面；
     2、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框；
     3、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机；
     4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。
     9.禁止关机事件跟踪
         开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，
         选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“
       （Administrative Templates）-> ”系统“（System）,在右边窗口双击
         “Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），
         点击然后“确定”（OK）保存后退出这样，你将看到类似于windows 2000的关机窗口

三、修改权限防止病毒或木马等破坏系统

winxp、windows2003以上版本适合本方法.

因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令

A命令

cacls C:windowssystem32 /G administrator:R   禁止修改、写入C:windowssystem32目录
cacls C:windowssystem32 /G administrator:F   恢复修改、写入C:windowssystem32目录

呵呵，这样病毒等就进不去了，如果你觉得这个还不够安全，
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限，但修改c修改、写入后，安装软件时需先把权限恢复过来才行

B命令

cacls C: /G administrator:R   禁止修改、写入C盘
cacls C: /G administrator:F   恢复修改、写入C盘

这个方法防止病毒，
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^

X命令

以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]

cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe

cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe

四、重要文件名加密[NTFS格式]

此命令的用途可加密windows的密码档,QQ密码档等等^.^

命令行方式
加密：在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名（或文件夹名）”。
解密：在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名（或文件夹名）”。

五、修改注册表防御D.D.O.S

在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...

六、打造更安全的防火墙

只开放必要的端口，关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放，
黑客就会利用扫描工具扫描那些端口可以利用，这对安全是一个严重威胁。 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人：OICQ 250875628

端口 协议 应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWhere
5632 UDP PCANYWhere
6（非端口） IP协议
8（非端口） IP协议
那么,我们根据自己的经验,将下面的端口关闭
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135   epmap
138   [冲击波]
139   smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWhere
5632 UDP PCANYWhere
3389
4444[冲击波]
4489
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了

七、保护个人隐私

1、TT浏览器
   选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的.
   TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是.[TT就是腾讯的浏览器](不过有些人喜欢用MyIE,因为我使用的时间和对他的了解不是很深吧,感觉不出他对安全方面有什么优势一_一~,希望支持MyIE的朋友不要揍我,否则我会哭... ...)

2、移动“我的文档”
   进入资源管理器，右击“我的文档”，选择“属性”，在“目标文件夹”选项卡中点“移动”按钮，
   选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪，桌面、开始等处都看不到了，
   建议经常使用的朋友做个快捷方式放到桌面上。

3、移动IE临时文件
   进入“开始→控制面板→Internet 选项”，在“常规”选项卡的“Internet 文件”栏里点“设置”按钮，
   在弹出窗体中点“移动文件夹”按钮，选择目标文件夹后，点“确定”，在弹出对话框中选择“是”，
   系统会自动重新登录。点本地连接,高级,安全日志,把日志的目录更改专门分配日志的目录，
   不建议是C:再重新分配日志存储值的大小,我是设置了10000KB

八、第三方软件的帮助

防火墙：天网防火墙（建议）[注:winxp以上可以考虑用系统自带的防火墙,win2000可以考虑用IPSEC,是个锻炼的机会)

杀毒软件：卡巴斯基

现在黑客的攻击有从传统的系统漏洞转向了你的浏览器,所以要在升级一些传统漏洞补丁的同时要注意你的浏览器.

]]> http://www.cdyy.cn/article.asp?id=242 cdyy@qq.com(东风) Tue,24 Jul 2007 23:32:24 +0800 http://www.cdyy.cn/default.asp?id=242     一:清除本地共享
    运行--CMD输入net share就可以查看到共享!一般是都有你的盘符(比如:c,d,e)C$ D$ E$
    IPC$ ADMIN$ 这几个,需要删除他们,删除共享(每次输入一个）
    net share admin$ /delete
    net share c$ /delete
    net share d$ /delete（如果有e，f，……可以继续删除）
    删除ipc$空连接
    在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
    
    二:关闭自己的139端口，ipc和RPC漏洞存在于此。
    
    关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
    
    三:防止rpc漏洞
    
    打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。
    
    XP SP2和2000 pro sp4，均不存在该漏洞。
    
    四:445端口的关闭
    
    修改注册表，添加一个键值
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
    
    五:禁用服务
    开控制面板，进入管理工具——服务，关闭以下服务
    1:Alerter
    服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息.
    可执行文件: %systemRoot%\system32\services.exe
    风险: 潜在可能导致社会工程攻击
    建议: 将Alerter服务发出的警告限定为只由管理员接收.
    
    2:Application Management
    服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序.
    可执行文件: winnt\system32\services.exe
    风险: 无
    建议: 非组策略使用应用程序,最好禁用该服务.
    
    3:Boot Information Negotiation Layer
    服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行.
    可执行文件: winnt\system32\services.exe
    风险: 无
    
    4:Brower
    服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序
    可执行文件: winnt\system32\services.exe
    风险: 暴露有关网络的信息
    建议: 禁止
    
    5:Indexing
    服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们.
    可执行文件: winnt\system32\services.exe
    风险: 其为IISweb服务器上诸多安全弱点的根源
    建议: 除非特别需要,否则禁止.
    
    6:ClipBook
    服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形.
    可执行文件: winnt\system32\Clipsrv.exe
    风险: 潜在被非*用于远程访问ClipBook剪贴页面
    建议: 禁止
    
    7istributed File System
    服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.
    可执行文件: winnt\system32\Dfssrc.exe
    风险: 暂无已知风险
    建议: 禁止
    
    8HCP client
    服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.
    可执行文件: winnt\system32\services.exe
    风险: 无已知风险
    建议:为服务器分配一个静态IP
    
    9ogical Disk Manager Administrative
    服务方向: 用于管理逻辑盘
    可执行文件: winnt\system32\dmadmin.exe
    风险: 暂无已知风险
    建议:将服务的启动类型设为手动(Manual)
    
    10ogical Disk Manager
    服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务.
    可执行文件: winnt\system32\services.exe
    风险: 无已知风险
    建议: 系统运行时需要,保持默认得自动启动
    
    11NS Server
    服务方向: 负责解答DNS域名查询
    可执行文件: winnt\system32\dns.exe
    风险: 无已知风险
    建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.
    
    12:DNS Client
    服务方向: 用于缓存DNS查询来进行记录.可用于某个入侵检测系统的DNS查询,可加速DNS查询的速度.
    可执行文件: winnt\system32\services.exe
    风险: 无已知风险,但攻击者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns)
    建议:可停可不停
    
    13:Event Log
    服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检测和系统监视.
    可执行文件: winnt\system32\services.exe
    风险: 无已知风险
    建议: 该服务应该被启动,尤其实在独立服务器上.
    
    14:COM+Eent System
    服务方向: 提供自动事件分布功能来订阅COM组件.
    可执行文件: winnt\system32\svchost.exe -k nesvcs
    风险: 无已知风险
    建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务.
    
    15:Fax
    服务方向: 它负责管理传真的发送和接收.
    可执行文件: winnt\system32\faxsvc.exe
    风险: 无已知风险
    建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器.
    
    16: Single Instance Storage Groveler
    服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间.
    风险: 无已知风险
    建议: 除非你需要使用 Remote Installation 服务,否则请停止它.
    
    17:Internet Authentication Service
    服务方向: 用于认证拨号和VPN用户.
    可执行文件: winnt\system32\svchost.exe -k netsvcs
    风险: 无已知风险
    建议: 显然除了在拨号和VPN服务器上,该服务不应该使用.禁止.
    
    18:IIS Admin
    服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理.
    可执行文件: winnt\system32\inetsrv\inetinfo.exe
    风险: 无已知风险
    建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载.
    
    19: Intersite Messaging
    服务方向: Intersite Messaging服务和Active Directory replication一起使用.
    可执行文件: winnt\system32\ismserv.exe
    风险: 无已知风险
    建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.
    
    20:Kerberos Key Distribution Center
    服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)
    可执行文件: winnt\system32\lsass.exe
    风险: 没有已知风险
    建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行.
    
    21: Server
    服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求.
    可执行文件: winnt\system32\services.exe
    风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源
    建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务.
    (附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!)
    
    22:Workstation
    服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源.
    可执行文件: winnt\system32\services.exe
    风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中
    建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务.
    
    23: TCP/IP打印服务器
    服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机.
    可执行文件: winnt\system32\tcpsvcs.exe
    风险: 具有一些安全性弱点,并打开一个监听端口
    建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.
    
    24icense Logging
    服务方向: 该服务负责管理某个站点的许可协议信息.
    可执行文件: winnt\system32\llssrv.exe
    风险: 没有已知风险
    建议: 除了在域控制器上,其他计算机不应当使用该服务.
    
    25:TCP/IP NETBIOS Helper
    服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.
    可执行文件: winnt\system32\services.exe
    风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证
    建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务.
    
    26:Messenger
    服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息.
    可执行文件: winnt\system32\services.exe
    风险: 没有已知风险
    建议: 该服务不需要而且应当被禁用.
    
    27:NetMeeting Remote Desktop Sharing
    服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.
    可执行文件: winnt\system32\mnmsrvc.exe
    风险: 是一个具有潜在不安全性的服务
    建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问.
    
    28: Distributed Transaction Coordinator
    服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务.
    可执行文件: winnt\system32\msdtc.exe
    风险: 没有已知风险
    建议: 无需禁止
    
    29: FTP Publishing
    服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险.
    可执行文件: winnt\system32\inetsrv\inetinfo.exe
    风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务.
    建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视.
    
    30: Windows Installer
    服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时很有用的.
    可执行文件: winnt\system32\msiexec.exe/V
    风险:无已知风险
    建议: 保留
    
    31:Network DDE
    服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性.
    可执行文件: winnt\system32\netdde.exe
    风险: 通过网络接受DDE请求
    建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动.
    
    32: Network DDE DSDM
    服务方向: 该服务保存一个共享对话(shared conversation)
    数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问.
    可执行文件: winnt\system32\netdde.exe
    风险: 没有已知风险
    建议: 该服务应当设置为手工启动
    
    33:Net Logon
    服务方向: 支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication).
    可执行文件: winnt\system32\lsass.exe
    风险: 可以用于对强力密码攻击进行传递
    建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止.
    
    34: Network Connections
    服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中的对象,该文件夹中你可以看到局域网和远程连接.
    可执行文件: winnt\system32\svchost.exe -k netsvcs
    风险: 没有已知风险
    建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动.
    
    35: Network News Transport Protocol(NNTP)
    服务方向: 用于提供一个新闻服务器服务,例如USENET.
    可执行文件: winntsystem32\inetsrv\inetinfo.exe
    风险: 没有已知风险
    建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务.
    
    36: File Replication
    服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据.
    可执行文件: winnt\system32\ntfrs.exe
    风险:没有已知风险
    建议:它在多个服务之间维护文件目录内容的文件同步,保持原状
    
    六：禁止不必要的端口
    即使你对策略一点不懂也可以按照下面一步一步地完成禁用端口。
    一139为例
    
    1.开始->控制面板（或者管理）->管理工具->本地安全策略
    2.右击"Ip安全策略,在 本地计算机", 选择 "管理 IP 筛选器表和筛选器操作",
    
    3.在"管理 IP 筛选器表"中,按"添加"按钮  
    4.在⑴ 名称(N) 下面添上"禁止139端口"
    描述(D) 也写上"禁止139端口"
    ⑵添加按扭  
    ⑶惦记下一步  
    ⑷在源地址(s): 出选择 下拉里的第二项"任何 ip 地址" 下一步
    ⑸在目标地址(D): 选上"我的 ip 地址" 下一步
    ⑹选择协议类型(S): 把"任意"选改为"tcp" 下一步
    ⑺设置ip协议断口: 选择 到端口(O)
     添上你要禁止的端口"139" 下一步
    ⑻ 完成
    5
    看完了吗? 按确定按扭 呵呵..
    
    6 惦记 "管理筛选器操作" 同4 中的⑴⑵⑶ "完成"
    8
    惦记 "关闭"按扭
    
    9
    右击"Ip安全策略,在 本地计算机", 选择 "创建ip安全策略"
    同4 中的⑴⑵⑶进入"为此安全规则设置初始身份验证方法
    不管他
    下一步
    10 出现一个警告窗口
    "只有当这个规则在一台为域成员的计算机上 Kerberos 才有效。
    这台计算机不是一个域成员。您想继续并保留这些规则的属性吗?"
    当然"是"拉
    11 惦记"完成"按扭
    12 "常规" 和 "规则" 惦记 "规则" 惦记"添加"按扭
    
    13 惦记下一步 一直下一步 出现一个同样的警告 yes
    14 从ip筛选器列表(I)筐中点上第一个:"禁止139端口"前面的○成为⊙
    15 同14选择 下一步 同7出现"完成"按扭 惦记
    16 确定
    17 关闭 属性筐
    18 右键 右面窗口的 "禁止139端口连接" --=>指派
    注: 如果你对禁止端口不是很了解.可以到本站http://www.252525.net/soft/3816.htm下载策略包安装! 补充: C:\WINDOWS\system32\drivers\etc\services 记事本打开 找到 tftp 后的 69 替换成0
]]> http://www.cdyy.cn/article.asp?id=241 cdyy@qq.com(东风) Tue,24 Jul 2007 23:31:58 +0800 http://www.cdyy.cn/default.asp?id=241
保障电脑安全1.彻底地一次删除文件

首先，应从系统中清除那些你认为已肯定不用的文件，这里我们指的是你丢弃到回收站中的所有垃圾文件。当然，我们还可以在任何想起的时候把回收站清空(双击回收站图标，然后选择“文件”菜单，再选择“清空回收站(B)” 命令)，但更好的方法是关闭回收站的回收功能。要彻底地一次删除文件，可右击回收站图标，选择“属性”，然后进入“全局”选项卡，选择“所有驱动器均使用同一设置(U):”，并在“删除时不将文件移入回收站，而是彻底删除(R)”复选框打上选中标记。

本步骤是不让已经被删除的文件继续潜藏在回收站中。

保障电脑安全2.不留下已删除文件的蛛丝马迹

即使窥探者无法直接浏览文档内容，他们也能通过在microsoft Word或Excel的“文件”菜单中查看你最近使用过哪些文件来了解你的工作情况。这个临时列表中甚至列出了最近已经被你删除的文件，因此最好关闭该项功能。在 Word或Excel中，选择“工具”菜单，再选择“选项”菜单项，然后进入“常规”选项卡，在“常规选项”中取消“列出最近所用文件(R)”前面的复选框的选中标记。

本步骤是消除最近被删除的文件留下的踪迹，为此，在 Word、Excel和其它常用应用程序中清除“文件”菜单中的文件清单。

保障电脑安全3.隐藏文档内容

应隐藏我们目前正在使用着的文档的踪迹。打开“开始”菜单，选择“文档”菜单项，其清单列出了你最近使用过的约 15个文件。这使得别人能够非常轻松地浏览你的工作文件或个人文件，甚至无需搜索你的硬盘。要隐藏你的工作情况，就应将该清单清空。为此，你可以单击“开始”菜单中的“设置”菜单项，然后选择“任务栏和开始菜单”，进入“任务栏和开始菜单”，再选择“高级”选项卡，单击该选项卡中的“清除(C)”按钮即可。

本步骤是在Windows“开始”菜单中，清除“文档”菜单项所包含的文件，把这些文件隐藏起来。

保障电脑安全4.清除临时文件

Microsoft Word和其它应用程序通常会临时保存你的工作结果，以防止意外情况造成损失。即使你自己没有保存正在处理的文件，许多程序也会保存已被你删除、移动和复制的文本。应定期删除各种应用程序在WINDOWSTEMP文件夹中存储的临时文件，以清除上述这些零散的文本。还应删除其子目录(如 FAX和WORDXX目录)中相应的所有文件。虽然很多文件的扩展名为TMP，但它们其实是完整的DOC文件、HTML文件，甚至是图像文件。

本步骤是清除硬盘上的临时文件和无用文件。

保障电脑安全5.保护重要文件

对重要文件进行口令保护，这在 Word和Excel中很容易实现。依次选择“文件”、“另存为”，然后选择“工具”中的“常规选项”，在“打开权限密码”和“修改权限密码”中输入口令，最好不要使用真正的单词和日期作为口令，可以混合使用字母、数字和标点符号，这样口令就很难破译。当然，以后每当你打开和修改文档时，都必须输入口令。

本步骤可以为我们重要的文件加上一把锁。

保障电脑安全6.改写网页访问历史记录

浏览器是需要保护的另一个部分。现在大多数的用户因为安装了微软公司的视窗系统，所以使用Internet Explorer作为上网所使用的浏览器。Internet Explorer会把访问过的所有对象都会列成清单，其中包括浏览过的网页、进行过的查询以及曾输入的数据。Internet Explorer 把网页访问历史保存在按周划分或按网址划分的文件夹中。我们可以单个地删除各个“地址(URL)”，但最快的方法是删除整个文件夹。要清除全部历史记录，可在“工具”菜单中选择“Internet 选项”，然后选择“常规”选项卡，并单击“清除历史记录”按钮。

保障电脑安全7.输入网址但不被记录

Internet Explorer记录你在浏览器中输入的每个网址，你不妨验证一下:在工具栏下边的地址窗口中输入一个 URL地址，浏览器将把该地址记录在下拉菜单中，直到有其它项目取代了它。你可以通过下面的方法访问网站，而所使用的网址将不被记录:在浏览器中可以按下Ctrl-O键，然后在对话框中输入URL地址即可。

本步骤可以使访问过的网址不被记录。

保障电脑安全8.清除高速缓存中的信息

Internet Explorer在硬盘中缓存你最近访问过的网页。当你再次访问这些网页时，高速缓存信息能够加快网页的访问速度，但这也向窥探者揭开了你的秘密。要清除高速缓存中的信息，在Internet Explorer中，应在“工具”菜单中选择“Internet 选项”，然后进入“常规”选项卡，单击“删除文件”按钮。

]]> http://www.cdyy.cn/article.asp?id=240 cdyy@qq.com(东风) Tue,24 Jul 2007 23:30:17 +0800 http://www.cdyy.cn/default.asp?id=240
2、设置工作组名和计算机名：学校名称（或简称）为工作组名，要求用汉字；计算机名建议用英文进行标识。

3、QQ等通讯软件需使用官方下载的正式版本。

4、禁用服务：Computer Browser、Server、Remote Registry。

5、安装360安全卫士，用该软件安装系统补丁和卸载不安全的网络插件下载网:http://www.360safe.com/

6、为计算机安装杀毒软件，将病毒库升级到最新版本。 笔记本电脑不安装趋势防毒墙软件，建议安装正版的瑞星2006杀毒软件。设置瑞星杀毒软件安全监控中心全部启用，设置病毒处理策略为：发现病毒立即杀毒，不能清除时删除染毒文件。 安装瑞星个人防火墙，将安全级别设置为：中。

7、若发现电脑已经感染了严重的病毒且无法清除病毒，需重新安装操作系统并及时做好系统的安全设置。

8、建议在完成所有设置后，为系统做一个ghost备份，以便日后维护使用。
]]>