善用XP安全设置规则,上网安全有保障

Posted on 2007-11-18 00:08 yukui 阅读(862) 评论(1)  编辑  收藏 所属分类: 技术
(一) 在“运行”项输入“gpedit.msc”命令
  
  用户配置***********************************************************
  1。用户配置-管理模板-控制面板:双击右过单菜“禁止访问控制面板”进入属性,然后选择“已启用”或者选择“只显示指定的控制面板应用小程序”双击进入属性,选择“已启用”然后点击“显示”进行自选添加设置,只需输入控制面板里的项目名称即可。需要还原时,相应在属性选择“未配置”即可。
  
  2。用户配置-管理模板-windows组件-NetMeeting-应用程序共享:右边所有菜单栏项目均设置为“已启用”这样有效防止他人共享“命令提示符”,“资源管理器窗口”,“桌面”,“应用程序”等项目,有关详情,请查看有关说明。
  
  3。用户配置-管理模板-windows组件-NetMeeting-音频和视频:点击“防止发送视频”双击进入属性,选择“而启用”(描述:如果用户有该硬件会防止用户发送视频。但用户仍可从他人处接收视频。)
  
  4。用户配置-管理模板-windows组件,直接单击“NetMeeting”项,分别查找“防止发送文件”,“防止接收文件”,“防止自动接收呼叫”分别双击进入属性选择“已启用”即可。有关说明请查看“描述”。
  
  5。用户配置-管理模板-windows组件-NetMeeting-选项页:双击“隐藏“安全措施”页”,进入属性,选择“已启用”(说明:隐藏“工具选项”对话框的“安全措施”页。这样用户就不能更改呼叫安全措施和身份验证设置。)
  
  6。用户配置-管理模板-windows组件,单击Internet Explorer:双击:分别查找“禁用更改Internet临时文件设置”,“禁用更改邮件设置”,“禁止自动完成功能保存密码”然后分别双击属性均设置为“已启用”即可。
  
  7。用户配置-管理模板-windows组件-Internet Explorer-浏览器菜单:分别查找“隐藏“收藏夹”菜单”,“禁用Internet选项...”菜单项”,“禁用“另存为...”菜单项”,双击进入属性,选择“已启用”即可。注意:一但禁用Internet选项,将无法进行该项设置,如要恢复请进入该项属性,选择“未配置”恢复即可。
  
  8。用户配置-管理模板-windows组件-Internet Explorer-工具栏:分别把:“禁用自定义浏览器工具栏”,“禁用自定义浏览器工具栏按扭”,分别选择“已启用”。设置后将分别无法使用相应项目,如要恢复请进入该项属性,选择“未配置”恢复即可。
  
  9。用户配置-管理模板-windows组件,单击windows资源管理器,右框菜单栏分别查找“网上邻居中没有我附近的计算机”,“网上邻居中不含有整个网络”,“从工具菜单删除文件夹选项”,“从我的电脑删除共享文档”,分别进入属性选择“已启用”,即可。(注:需要注意的是“从工具菜单删除文件夹选项”,一经设置,文件夹选项将会隐藏,不能够进行任何设置,如要将其恢复,在该项属性选择“未配置”即可恢复。)
  
  10。用户配置-管理模板-windows组件,单击windows资源管理器,右框菜单栏查找“关闭缩略图的缓存”进入属性选择“已启用”,即可。
  (特别说明:该设置控制是否缓存缩略图视图。
  
  如果启用该设置,缩略图视图将不被缓存。
  
  如果禁用或不配置该设置,缩略图视图将被缓存。
  
  注意: 对于安全性至关重要的共享企业工作站或计算机,您必须启用该设置以关闭缩略图视图缓存,因为
  
  缩图图缓存可以被任何人读取。)
  
  11。用户配置-管理模板-windows组件,单击windows资源管理器,右框菜单栏查找“删除映射网络驱动器和断开网络驱动器”,进入属性选择“已启用”,即可。
  
  12。用户配置-管理模板-windows组件,单击windows资源管理器,右框菜单栏查找“隐藏我的电脑中这些指定的驱动器”,进入属性选择“已启用”,然后选择自己要隐藏的驱动器即可。(注:上网时特别推荐此设置,确保硬盘文件不被非法浏览和读取,对安全意识较高的用户,此举是首选的,也有必要这样做。当用户需要浏览本地驱动器时,在该项选择“未配置”即可将“驱动器”还原显示,不要谦麻烦呀!)
  
  13。用户配置-管理模板-windows组件,单击Microsoft Management Console,右框菜单栏查找“限制用户进入编辑模式”,进入属性选择“已启用”,即可。
  (说明:防止用户进入编辑模式。
  
  这个设置防止用户用编辑模式打开 Microsoft 管理控制台 (MMC),防止用户用编辑模式专门打开控制台
  
  文件,并防止用户打开任何默认打开方式为编辑模式的控制台文件。
  
  结果是,用户无法创建控制台文件或添加/删除管理单元。同时,因为无法打开编辑模式控制台文件,用
  
  户无法使用这些文件包含的工具。
  
  这个设置允许用户打开 MMC 用户模式控制台文件,如在 Windows 2000 Server 中的“管理工具”菜单上
  
  的文件。但是,用户无法打开「开始」菜单上的空白的 MMC 控制台窗口。(要打开 MMC,单击“开始”,
  
  单击“运行”,再键入 MMC。) 用户也无法从命令提示符打开空白的 MMC 控制台窗口。
  
  如果停用或不配置这个设置,用户则可以进入编辑模式并打开编辑模式控制台文件。)
  
  14。用户配置-管理模板-windows组件,单击“任务计划程序”,右框菜单栏分别查找“防止任务运行或停止”,“禁用创建新任务”,“禁止浏览”,分别进入属性选择“已启用”,即可。
  
  15。用户配置-管理模板-windows组件-Microsoft Management Console-受限的/许可的管理单元,右框菜单栏查找“IP安全监视器”,进入属性选择“已启用”,“远程桌面”,进入属性选择“已禁用”,即可。
  
  16。用户配置-管理模板-windows组件-Windows Messenger ,右框菜单栏查找“初始化时不自动启动Windows Messenger”,进入属性选择“已启用”,即可。(说明:当用户登录 Windows XP 时,Windows Messenger 自动被加载和运行。您可以使用这个设置来停止 Windows Messenger 在登录时自动运行。)
  
  17。用户配置-管理模板-windows组件-Windows Update,右框菜单栏查找“删除所有Windows Update功能的访问”,进入属性选择“已启用”,即可。(特别说明:如果使用XP操作系统如不能够上网升级的用户,建议你将此功能删除,如能够上网升级的用户,并且没有出现问题,即保留该项设置不动为妙!)。
  
  18。用户配置-管理模板-windows组件-Windows Media Player-播放,右框菜单栏查找“防止下载编解码器”,分别进入属性选择“已启用”,即可。
  
  19。用户配置-管理模板-windows组件-Windows Media Player-网络,右框菜单栏查找“配置网络冲缓”,进入属性选择“已启用”,缓冲时间:设置为:“自定义”,然后在“配置网络缓冲:设置为“0”,即可。
  
  (注:上网在线观看电影的朋友,如出现短时间过度缓冲次数和缓冲等待时间过长,该项设置,能够帮上
  
  你忙了!也有效防止一些电影网站,进行对你的机器采用不定时缓冲,迫使你放弃你观看的心爱电影,我
  
  也饱尝过这些痛苦,希望此项能够帮助你解决实际问题,如不能够解决,可能是对方网站宽带不足和在线
  
  观看人数过多或你的网速较慢而影响,此项就无能为力了)。
  
  20。用户配置-管理模板-windows组件-Windows Media Player-网络,右框菜单栏查找“隐藏网络选项卡”,进入属性选择“已启用”,即可。
  
  21。用户配置-管理模板-windows组件-任务栏和[开始]菜单:右框菜单栏分别查找“不要保留最近打开文档的记录”,“从开始菜单中删除用户名”,“阻止更改任务栏和[开始]菜单”,分别进入属性选择“已启用”,即可。(特别说明:“阻止更改任务栏和[开始]菜单”,会相应出现在任栏单右键“属性”不能够登录,如要恢复,请进入该属性选择“未配置”即可恢复。)
  
  22。用户配置-管理模板-windows组件-任务栏和[开始]菜单:右框菜单栏分别查找“关闭用户跟踪”,进入属性选择“已启用”,即可。慎用或不选用。
  (注:停用用户跟踪。
  
  这个设置防止系统跟踪用户使用的程序、用户导航的路径和用户打开的文档。系统用这个信息来自定义 
  
  Windows 功能,如个性化菜单。
  
  如果启用这个设置,系统则不跟踪这些用户操作。系统停用需要用户跟踪信息的自定义功能,包括个性化
  
  菜单。
  
  同时,参阅"关闭个性化菜单" 设置。)
  
  23。用户配置-管理模板-windows组件-桌面:右框菜单栏分别查找“禁用调整桌面工具栏”,“隐藏桌面上网上邻居图标”,分别进入属性选择“已启用”,即可。
  
  24。用户配置-管理模板-windows组件-桌面-Active Desktop:右框菜单栏分别查找“不允许更改”,“禁用活动桌面”,分别进入属性选择“已启用”,即可。
  
  25。用户配置-管理模板-windows组件-桌面-Active Directory:右框菜单栏查找“隐藏Active Directory文件夹”,进入属性选择“已启用”,即可。
  
  26。用户配置-管理模板-windows组件-控制面板:右框菜单栏查找“禁止访问控制面板”,进入属性选择“已启用”,即可。(特别说明:需要注意的是,一经设置该项,连同右键单击“我的电脑”属性和在桌面上右键单击出现菜单里的属性,或者在任务栏-开始菜单最顶的用户图标进入“用户帐户”均可失效,无法登录浏览,如要恢复,进入该项属性选择为“未配置”即可恢复。)
  
  27。用户配置-管理模板-windows组件-控制面板:右框菜单栏查找“隐藏指定控制面板应用小程序”,进入属性选择“已启用”,然后点击“显示”项,按“添加”进行自定义个性化设置,并输入相关控制面板相应名称即可。
  
  28。用户配置-管理模板-windows组件-共享文件夹:右框菜单栏分别查找“允许发布 DFS 根目录”,“允许发布共享文件夹”,分别进入属性选择“已禁用”,即可。
  
  29。用户配置-管理模板-windows组件-网络-网络连接:右框菜单栏查找“删除所有用户远程访问连接”,进入属性选择“已启用”,即可。
  (特别说明:
  如果启用此设置,所有用户可删除共享远程访问连接。另外,如果文件系统是 NTFS,用户需要对 
  
  Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk 具有写访
  
  问权限,以便删除共享远程访问连接。)
  
  30。用户配置-管理模板-windows组件-系统:右框菜单栏查找“不要运行指定的Windows应用程序,进入属性选择“已启用”,并在“显示”项增加设置相关名称即可。(说明例如:在该项增加svchost.exe,网速会相应加快。)
  
  31。用户配置-管理模板-windows组件-系统:右框菜单栏查找“关闭自动播放”,进入属性选择“已启用”,即可。
  
  32。用户配置-管理模板-windows组件-系统:右框菜单栏查找“限制这些程序从帮助启动”,“已启用”,并增加相关程序名称。即可。(说明例如:在该项增加svchost.exe,网速会相应加快。)
  
  33。管理模板-windows组件-系统:右框菜单栏查找“阻止访问注册表编辑工具”,进入属性选择“已启用”,即可。(需要注意的是,安装软件程序的过程最好把它恢复为默认设置,因为可能你某些安装软件过程时,相关注册信息需要写入注册表里,一但被拒绝,可能会引起意想不到的后果,但上网的时候,仍需将该项设置,以免不法之徒,利用此这漏洞和空子,进行非法修改注册表,以达到其入侵者的目的,危害性极大,也有效防止在浏览一些网站时,被非法网站进行修改注册表,安全性在某个程度上来讲是有所
  提高的,建议选择。)
  
  34。用户配置-管理模板-windows组件-系统:右框菜单栏查找“阻止访问命令提示符”,进入属性选择“已启用”,即可。(注:相信大家对此不再默生吧!不需要使用时,最好将它设置好,特别是上网的时候,没有必要和不是很懂电脑的朋友,慎用此“命令提示符”项,但总有需要使用它的时候的,那就将该项恢复为“未配置”即可。有关怎么使用“命令提示符”,这里不作详解,要学习和对“命令提示符感兴趣的朋友,请看和查找有关书籍进行了解。)
  
  35。用户配置-管理模板-windows组件-系统-组策略:右框菜单栏查找“组策略慢速链接检测”,进入属性选择“已启用”,在“连接速度(Kbps)”:设置为“0”,相应链接刷新速度,会相应加快。
  
  36。在“运行”项中,输入“msconfig”命令,启动进入介面,然后点击“一般”菜单项,选择“有选择的启动”,分别把“处理SYSTEM.INI 文件(P)”和“处理WIN.INI文件(W)取消选择,即可。一般木马都会经常在该两项等方面进自动加载运行,取消该两项,并且查看是否有不明程序启动,如有将其相应取消即可。这样大大减少病毒与木马发作机会,但并不是绝对能够防范,如上网使用一些带有注入恶意代码的软件程序除外,因为好可能该软件已经默认打开某个端口,透过该漏洞进行传输和发送,除了安装网络
  防火壁和杀毒软件之外,还需要进一步设置一下端口。请看下面帖子。
  
  37。点击任务栏里的“本地连接”类似网上邻居的小图标或到“控制面板”里点击“网络连接”,相对双击进入介面,然后右键单击“本地连接”图标,进入该“属性”,在“常规”找到“Internet 协议(TCP/IP),然后再点属性,进入介面“常规”项,点击“高级”项进入介面,选择菜单项中的“选项”,找到“TCP/IP 筛选”项,在“TCP/IP 筛选”项上再次点“属性”,进入介面将会出三个框选,然后选择“第一个框选”,把“全部允许”改选为“只允许”,在“TCP 端口”相应添加对应端口,例如:80代表“浏览器”打开的端口之一,如某些程序因为把“全部允许”改选为“只允许”而不能够在网上运行使用,只要你上网时双击打开某个软件程序,一般来讲,网络防火壁会相应询问你是否允许应程序启动进入网络,例如瑞星防火壁,这时会相应显示某个程序打开的默认端口,如能正常启动进入网络,就不必添加该端口,相反不能够登录就要在该列表中添加相应端口,即可。其它两个选框默认不动,即可。最后按确定,重启计算机。以后电脑就会按照你的设置规则运行,除了XP默认打开的端口和你设置好的端口外,其他全部端口就会默认为关闭,就是说你所安装某些程序软件,即使它已自动设置默认打开某个端口,只要它打开的默认端口,不在你所设置的端口和XP等操作系统默认打开的端口内,均不可透过它打开的默认端
  口进出和发送传输,大大有效提高安全性,对防范非法入侵,有较大力度阻截和防预。
  
  38。在“运行”里输入“eventvwr”命令,打开“事件查看器”经常检查一下“应用程序”,“安全性”,“系统”三项里产生的事件和错误,如有出现异常和不明白的地方,请在你喜欢的论坛发表帖子和请教一下你认识和熟悉电脑操作的朋友,让他们帮助你分析和找出原因所在,及时对正下药,并且及时打上新安全补丁和及时升级杀毒软件,壁火壁,方为上策。
  
  39。用户配置-管理模板-控制面板-添加/删除程序:右框菜单栏查找“隐藏从网络中添加程序选项”,设置为“已启用”,即可。
  
  40。最后把重启或者注销一次,在用户配置-管理模板-系统-组策略:右框菜单栏查找“关闭自动更新 ADM 文件”,进入属性选择“已启用”,即可。
  
  (说明:防止系统在您打开组策略时自动更新管理模板的源文件,有关详细说明,请查看描述。)
  
  
  
  
  (二)在“运行”项输入“gpedit.msc”命令
  
  计算机配置**********************************************************************
  
  41。计算机配置-管理模板-Windows 组件-终端服务:右框菜单栏查找“连接时启动程序”设置为“已禁用”,即可。(说明:如果禁用或不配置此设置,则终端服务起始于完整桌面,除非服务器管理员或用户指定了其它设置。)
  
  42。计算机配置-管理模板-Windows 组件-终端服务:右框菜单栏查找“不允许新客户连接”,设置为“已启用”,即可。(使用客户端服务的朋友,切莫选择此设置,一般用户可选择。)
  
  43。计算中心配置-管理模板-Windows 组件-终端服务:右框菜单栏查找“远程控制设置”,设置为“已启用”,在下选框中“选项”,设置为“不允许远程控制”。即可禁止所有远程控制,网速相应加快。
  
  44。计算机配置-管理模板-Windows 组件-NetMeeting:右框菜单栏查找“禁止远程桌面共享”,设置为“已启用”,即可。
  
  45。计算机配置-管理模板-Windows 组件-Internet Explorer:右框菜单栏查找“禁用Internet Explorer组件的自动安装”,设置为“已启用”即可。(注:如果启用该策略,则可防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件。)
  
  46。计算机配置-管理模板-Windows 组件-Internet Explorer:右框菜单栏查找“禁用定期检查Internet Explorer软件更新”,设置为“已启用”即可。
  
  47。计算机配置-管理模板-Windows 组件-Internet Explorer:右框菜单栏查找“禁用启动时的软件更新外壳通知”,设置为“已启用”即可。(注:如果启用该策略,则在使用软件分发频道更新程序时,用户将不会收到通知。要获取相关内容将要到相关渠道获取。)
  
  48。计算机配置-管理模板-Windows 组件-任务计划程序:右框菜单栏分别查找“防止任务运行或停止”,“禁用“创建新任务”,“禁止浏览”,分别设置为“已启用”,即可。
  
  49。计算机配置-管理模板-Windows 组件-终端服务-客户端/服务器数据重新定向:右框菜单栏查找“不将默认客户端打印机设置为会话中的默认打印机”,设置为“已启用”即可。(注:如有打印机的朋友,需要在网络上使用打印机交流,设莫选用或者避免有麻烦也推荐选用,如没有打印机的朋友,请选择,不分初级与高级用户)
  
  50。计算机配置-管理模板-Windows 组件-终端服务-加密与安全性:右框菜单栏查找“设置客户端连接加密级”,设置为“已启用”,下边框选“加密级别”:“高等级”,即可。
  
  51。计算机配置-管理模板-Windows 组件-终端服务-Windows Installer: 右框菜单栏查找“关闭创建系统还原检查点”,设置为“已启用”即可。
  
  52。计算机配置-管理模板-Windows 组件-终端服务-Windows Messenger:右框菜单栏查找“初始化时不自动启动Windows Messenger”,设置为“已启用”即可。
  
  53。计算机配置-管理模板-系统:右框菜单栏查找“关完自动播放”,查找下边框选“关闭自动播放”设置为“CD-ROM 驱动器”,即可。
  
  54。计算机配置-管理模板-系统-用户配置文件:右框菜单栏查找“不要检测慢速网络连接”,“防止漫游配置文件复制到服务器”,分别设置为“已启用”,即可。
  
  55。计算机配置-管理模板-系统-组策略:右框菜单栏查找“注册表策略处理”,设置为“已启用”,并在下选框“不要在周期性后台处理时采用”,设置为“选择”即可。(注:此设置的好处是有效防止某程序和不明软件,例如:木马,病毒等,通过隐藏方式,对某其程序已设定某些默认自定义设置,不定时通过修改注册表而达到某其目的,如不想其得建议与“阻止访问注册表编辑工具”同时灵活调配运用,方可有效防止木马和病毒发作的机会,缺点就是可能某特定软件设置也同时失效,正是黑客们看中弱点之一。
  但以安全角度考虑本人推荐该项设置,比较安全一点。)
  
  56。计算机配置-管理模板-系统-远程协助:右框菜单栏分别查找“请求的远程协助”,“提供远程协助”,分别设置为“已禁用”,即可。
  
  57。计算机配置-管理模板-系统-系统还原:右框菜单栏分别查找“关闭系统还原”,“关闭配置”,分别设置为“已禁用”,即可。(注:“关闭配置”如启用该项,连同登录介面均为失效。初级用户慎用,一但系统发生故障,难以修复,所以设置前必需事先考虑自身实际情况而作决定。)
  
  58。计算机配置-管理模板-网络-脱机文件:右框菜单栏分别查找“文件没有缓存”设置为“已启用”,并在下选框“扩展名”:设置为:例如:
  *.dbf;*.ndx;*.lnk*.syd;*.tmp*.mscreate.dir*.#Res*.cdr_*.xlk*.wbk*.dmp*.diz*.ms*._mp*.tmp*.old*.gid*.ftg*.bak*.??$*.---*.~*等扩展名,设置时注意格式即可。有关更多扩展名称,请参阅
  “Windows忧化大师-系统清理维护-垃圾文件清理-文件类型:框选中有更多扩展名称和说明,这里不作详细讲解。相应添加“扩展名”名称,会相应加快系统运行速度,减少系统缓存时积累的垃圾产生,从而提升系统性能,但可能有某些缓存的备份文件,将会相应失效和丢失。设置时请查看相关“扩展名”的功能和作用的说明,根据个人实际情况而决定设置取向。)67。计算机配置-管理模板-网络-脱机文件:右框菜单栏分别查找“配置慢速链接速度”,设置为“已启用”,在下选框中“值”,设置为“0”,即可。
  
  (注:该项设置的好处是,防范某些网站,对你的计算机“链接刷新速度”进行非法修改,相应会提高,
  
  加速网络浏览和下载速度,推存设置)
  
  59。计算机配置-管理模板-网络-网络连接:右框菜单栏分别查找“禁止使用DNS域网络上的Internet连接共享”,“禁止在你的DNS域网络上安装和配置网桥”,分别设置为“已启用”,即可。
  
  60。计算机配置-管理模板-网络-QoS 数据包调度程序:右框菜单栏查找“限制可保留带宽”,选择“已启用”,并在下选框“带宽限制”,设置为“0”。(注:有关说明,请查看说明书!不过这个当然很有用呢!)
  
  61。计算机配置-管理模板-打印机:右框菜单栏查找“自动在Active Directory上公布新的打印机”
  ,设置为“已禁用”,(注:如果停用这个设置,添加打印机向导则不自动公布打印机。但是,您可以手动公布共享打印机,平是没有必要采用自动公布的,有需要时才采用。)
  
  62。计算机配置-Windows设置-安全设置-本地策略-安全选项:右框菜单栏查找对照表设置:
  
  (一)Microsoft 网络服务器:当登录时间完时自动注销用户:已启用。
  
  (二)Microsoft 网络服务器:数字签字的通信(若客户同意):已停用。
  
  (三)Microsoft 网络服务器:数字签字的通信(总是):已停用。
  
  (四)Microsoft 网络服务器:在挂起会话之前所需要的空闲时间:15分种。
  
  (五)Microsoft 网络客户:发送未加密的密码到第三方SMB服务器:已停用。
  
  (六)Microsoft 网络客户:数字签字的通信(若服务器同意):已启用。
  
  (七)Microsoft 网络客户:数字签字的通信(总是):已停用。
  
  (八)故障恢复控制台:允许对所有驱动器和文件进行软盘复制和访问:已停用。
  
  (九)故障恢复控制台:允许自动系统管理级登录:已停用。
  
  (十)关机:清理虚似内存页面文件:已启用。(注:可选可不选,如果选择启用,每次重新登录系统,
  
  各方面性能都会相对提高,但关机时会占用一定时间,那就视乎内存占用页面文件间大小区别而决定。但
  
  为了新一轮登录系统操作快便,建议还是选用“已启用”较为合适。)
  
  (十一)关机:允许在未登录前关机:已启用。
  
  (十二)交互式登录:不显示上次的用户名:已停用。
  
  (十三)交互式登录:不需要按CTRL+ALT+DEL:没有定义
  
  (十四)交互式登录:可被缓冲保存的前次登录个数(在域控制器不可用的情况下):缓存:10次登录。
  
  (十五)交互式登录:要求域控制器身份验证以脱离工作站:已停用。
  
  (十六)交互式登录:用户试图登录时消息标题:自定义个性化设置。(注:例如:“欢迎下次光临!”
  
  等字眼。)
  
  (十七)交互式登录:用户试图登录时消息文字:自定义个性化设置。(注:例如:“今天心情如何!”
  
  等字眼。也可以是一篇自己喜欢的散文,诗歌,名言,歌词,作文等。)
  
  (十八)交互式登录:在密码到期前提示用户更改密码:默认为14天。(注:可自定义更改)
  
  (十九)交互式登录:智能卡移除操作:无操作。
  
  (二十)设备:防止用户安装打印机驱动程序:已停用。
  
  (二十一)设备:未签名驱动程序的安装操作:允许安装但发出警告。
  
  (二十二)设备:允许不登录脱离:已启用。
  
  (二十三)设备:允许格式化和弹出可移动媒体:Administors
  
  (二十四)只有本地登录的用户才能访问CD-ROM:已启用。
  
  (二十五)只有本地登录的用户才能访问软盘:已启用。
  
  (二十六)审计:对备份和还原权限的使用进行审计:已停用。
  
  (二十七)审计:对全局系统对象的访问进行审计:对全局系统对象的访问审计:已停用。
  
  (二十八)审计:如果无法纪录安全审计则立即关闭系统:已启用。
  
  (二十九)网络安全:LAN Manager身份验证级别:发送 LM & NTLM 响应。(注:没有必要不要乱动)
  
  (三十)网络安全:LDAP 客户答名要求:协商签名。
  
  (三十一)网络安全:不要在下次更改密码时存储 LAN Manager 的 Hash 值:已停用。(注:如设置“已启用”,那么使用 Manager聊天工具时,总是要求输入密码。)
  
  (三十二)网络安全:在超过登录时间后强制注销:已停用。
  
  (三十三)网络安全设置:基于 MTLM SSP (包括安全 RPC)服务器的最小会话安全:分别把“要求消息的完整性”,“要求消息的保密性”,“要求 MTLMv2 会话安全”,“要求128-位 加密”选择即可。
  
  (三十四)网络安全设置:基于 NTLM SSP (包括安全RPC)客户的最小会话安全:分别把“要求消息的
  
  完整性”,“要求消息的保密性”,“要求 MTLMv2 会话安全”,“要求128-位 加密”选择即可。
  
  (三十五)网络访问:本地帐户的共享和安全模式:仅来宾-本地用户以来宾身份验证。
  
  (三十六)网络访问:不允许 SAN 帐户的若名枚举:已启用。
  
  (三十七)网络访问:不允许 SAN 帐户和共享的若名枚举:已启用。
  
  (三十八)网络访问:不允许为网络身份验证储存凭据或 .NET Passports:已停用。
  
  (三十九)网络访问:可若名访问的共享:把COMCFG和DFS$删除。(注:需要时分别把COMCFG和DFS$名称
  
  分别复制粘帖进入框选即可恢复。)网速会相应加快。
  (四十)网络访问:可若名访问的命名管道:分别把COMNAP,COMNODE,SQL\QUERY,SPOOLSS,LLSRPC,
  
  EPMAPPER,LOCATOR,TrkWks,TrkSvr全部删除。(需要时把COMNAP,COMNODE,SQL\QUERY,SPOOLSS,
  
  LLSRPC,EPMAPPER,LOCATOR,TrkWks,TrkSvr名称分别粘帖进入框选即可恢复。)网速会相应加快。
  (四十一)网络访问:可远程访问的注册表路径:
  (System\CurrentControlSet\Control\ProductOptions
  System\CurrentControlSet\Control\Print\Printers
  System\CurrentControlSet\Control\Server Applications
  System\CurrentControlSet\Services\Eventlog
  Software\Microsoft\OLAP Server
  Software\Microsoft\Windows NT\CurrentVersion
  System\CurrentControlSet\Control\ContentIndex
  System\CurrentControlSet\Control\Terminal Server
  System\CurrentControlSet\Control\Terminal Server\UserConfig
  System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration)
  全部删除。(注:除了系统升级时,把以上“可远程访问的注册表路径”恢复,并且把“阻止访问注册表
  
  编辑工具”和阻止访问命令提示符”恢复为“未配置”之外,平时是没有需要将它们打开的,这样会给人
  
  有可剩之机,为了不被干扰,最好将它全部删除为妙,相应网速会加快。)
  
  (四十二)网络访问:让“每个人”权应用于若名用户:已停用。
  
  (四十三)允许若名胜古迹SID/名称 转换:已停用。
  
  (四十四)系统对象:对非 Windows 子系统不要求区分大小写:已启用。
  
  (四十五)系统对象:由 Administrators 组成员所创建的对象默认所有者:Object creator
  
  (四十六 )系统对象:系统对象:增强内部系统对象的默认权限(例如 Symbolic Links):已启用。
  
  (四十七)系统加密:使用 FIPS 兼容的算法来加密,散列和签名:已停用。
  
  (四十八)域成员:对安全通道数据进行数字加密(如果可能):已启用。
  
  (四十九)域成员:对安全通道数据进行数字加密或签名(总是):已启用。
  
  (五十)域成员:对安全通道数据进行数字加密或签名(如果可能):已启用。
  
  (五十一)域成员:需要强(Windows 2000 或 以上版本)会话密钥:已启用。
  
  (五十二)域控制器:LDAP 服务器签名要求:没有定义。
  
  (五十三)域控制器:禁用更改机器帐户密码:已启用。(注:默认设置为:“已禁用”,如要使用设置
  
  机器帐户密码时,还原恢复即可。禁用更改机器帐户密码,是为了防止他人在本地和网络连接时,被不法
  
  之徒弟所利用。)
  
  (五十四)域控制器:拒绝更改机器帐户密码:拒绝更改机器帐户密码:已启用。(注:同上)
  
  (五十五)域控制器:允许服务器操作员计划任务:已停用。
  
  (五十六)域控制器:最长机器帐户密码寿命:默认为30天。(注:可自由根据自己实际情况作决定)
  
  (五十七)帐户:管理员帐户状态:已启用。
  
  (五十八)帐户:来宾帐户状态:已停用。
  
  (五十九)帐户:使用空白密码的本地帐户只允许进行控制台登录:已启用。
  
  (六十)帐户:生命名来宾帐户:Guest (注:可自由进行自定义改命)最好不动为妙。
  
  (六十一)帐户:生命名系统管理帐户:Administrator(注:可自由进行自定义改命)最好不动为妙。
  
  63。计算机配置-Windows设置-安全设置-IP安全策略,在本地计算机:右框菜单栏分别查找双击“安全服务器(需要安全)属性”,“服务器(请求安全)属性”,并分别相对把下选框“所有IP通讯量”,“所有ICMP通讯量”,双击进入介面,在菜单项中“筛选器操作”设置为“需要安全”,并双击进入操作介面,在菜单项中“安全措施”设置为“阻止”,分为三个级别,按自己实际需要设置,但是设置为“阻止”级别相对是最安全的。(注:其他默认设置不动,需要时还原默认操作即可。)
  
  (以上六十一项设置和所有设置,均由本人进行测试通过。网路使用正常,有关功能被限制和允许,请仔细查看有关说明)如带来不便之处,敬请原谅。请设置前,分别备份以下项目:
  (System.INI
  Win.INI
  Msdos.sys
  Boot.INI
  Config.sys
  Autoexec.bat
  Windows注册表)
  
  
  
  
  特别说明---------请朋友们设置前览阅一下有关内容
  ***********************************************************
  
  ***本帖子所有设置均适合高级用户使用*****************
  
  ********初学者请陪同熟悉电脑操作和有一定电脑经验使用者陪同一起操作********************************
  
  
  ***********如带来不便,敬请原谅**************************
  
  (一)不会做备份的朋友,请使用Windows忧化大师-系统清理维护-其他忧化选项:进入介面即可看到。将备份路径:设置为“A盘”,然后手动按“备份”键即可进行备份。
  
  (二)如要恢复注意事项,恢复时,请把26条规则,33条规则,还原为“未配置”,即可进行正常还原恢复工作特别注意的是,恢复后重新启动计算机时,将会出现类似安全模式的菜单栏,请选择“最后一次正确的配置),其他千万别选,一但误选将会无法登录进入系统窗口,带来无穷后果。)
  
  (三)或用“搜索”功能进行搜索“regedit.exe”,用一张空白软盘,单独把整个“注册表”备份好。
  (如要恢复,必须登录DOS进行还原恢复,恢复方法如下:请注意格式:
  A:dir
  A:copy a:regedit.exe c:windows\regedit.exe
  (Y/N)
  选择“Y”
  即可开始还原恢复注册表..............................................(注:如果你的系统默认安
  
  装路径为:D盘,E盘......H盘等,相应转换恢复路径即可。例如:安装盘在D盘,即将 
  
  c:windows\regedit.exe转为d:windows\regedit.exe即可。
  
  (四)因为要把以上所有规则都设置,会占极大时间,最好事先设置规则前备份一次,然后在设置完所有规则后再用另外一个空白软盘备份一次,这样会大大提高工作效率。如恢复后,觉得系统变慢,或者其他情况,请使用Windows忧化大师V5.2注册版-系统清理维护-注册信息清理:进入介面,选择“扫描”,将出现的所有子键,“全部删除”即可相应提升和还原系统性能和速度。
  
  (注:如要使用“还原系统”功能进行备份,如看到有关于“系统还原”的设置规则,请忽略不动,如你
  
  已设置前将“系统还原”以关闭,请将其设置为“打开”,即可,以免带来不便,敬请注意。做到以上放心和安心进行设置了。
  (新增与补充规则设置)
  
  本帖子所有规则都很重要,请朋友们高度重视!以免日后带来后患!!!!
  
  
  
  本帖子已将重要存在的安全隐患,都一一列举出来了,如按照本帖子一 一列举出来的规则设置加上配合杀毒软件和防火壁同时运用,以及及时升级各方面安全补丁,相信,你的系统安全性将会进入前所没有的高峰!!
  
  
  (一)计算机配置-管理模板-Windows组件-Internet Explorer:右边菜单栏分别查找:“安全区域:禁止用更改策略”,“安全区域:禁止用用户添加或删除站点”,“禁止Internet Explorer组件的自动安装”,“禁用定期检查Internet Explorer软件更新”,“禁用程序启动时的软件更新外壳通知”,分别设置为“已启用”,即可。(注:有关说明请查看说明书。)
  
  (二)用户配置-管理模板-Windows组件-Internet Explorer:右边菜单栏除了“对拨号连接使用自动检测”,“禁用表单的自动完成功能”,“搜索:禁用自定义搜索”三项设置之外,全部均可设置为“已启用,即可。(特别说明:对于“IE浏览器”的属性设置最为不陌生不过了,应该对它的属性设置会有一定知识和了解的。以上规则设置,是在你设置“IE浏览器”的属性为最佳状态时,方可按以上规则设置。当你再想把“IE浏览器”的属性设置时,把以上操作还原为“未配置”即可进行设置。)
  
  (三)用户配置-管理模板-Windows组件-Internet Explorer-Internet 控制面板:如果右边菜单里的所有设置分别设置为“已启用”,那么将在“IE浏览器”的属性的有关“菜单项”名称将会消失和禁用。(注:但这个一般情况下,是没有必要动的,不过本作者想更详细说明一下而已。如有兴趣的朋友,可进行自定义设置一下。如设置时,可分别进入“IE浏览器”的属性栏,看看有什么变化,你就会知道和明白相应关联功能的作用了。)
  
  (四)计算机配置-管理模板-网络-QoS数据包调度程序:右框菜单栏查找“设置定时器分辨率”,选择“已启用”,在下面选框“定时单位(以微秒计)”:设置为“0”,即可。(注:参数可自由设定。)(特别说明:设置完以后,看看你的电脑上网的时候,是否有加快的反应和使用应用软件和其他方面的性能是否有所提高。)
  
  (五)用户配置-管理模板-系统:右框菜单栏查找“不要运行指定的windows程序”,进入属性选择“已启用”,在下面选框“不允许的应用程序的列表中进入“显示”,按“添加”键进行任意自定义添加应用程序,即可。(注:这种方法与下面帖子设置区别就不多说了,不过要说一下,这条没有禁止在运动项输入“gpedit.msc”命令,再深入了解,看看下面帖子就知道了。添加方法下面有说,请仔细查看。)
  
  (六)用户配置-管理模板-系统:右框菜单栏查找“只运行许可的windows程序”,双击进入属性,选择“已启用”,在下面框选“允许的应用程序列表”点击“显示”,按“添加”键,即可自定义添加程序。(注:不知道怎么添加的朋友,在你桌面上某一个图标,右键单击,进入属性,举个例子,例如:C:\3dsmax5\3dsmax.exe 就把“3dsmax.exe”,最后一个后缀相应复制添加进“允许的应用程序列表”中就可以了,其他一切应用程序将不能点击登录,只要自己试试就明白了。)
  
  (“特别说明”:如果万一连同1条规则-“禁止访问控制面板”,33条规则-“阻止访问注册表编辑工具”,51条规则-“关闭创建系统还原检查点”,57条规则-“关闭系统还原”,都已经选择“已启用”,并且你都设置本条规则,这时你就不能够在运动项输入“gpedit.msc”命令,进入“组策略”进行任何设置。看起来这条规则连同我所说以上规则一起共用,那整个系统的功能就等同全部费掉了,是不是很恐怖呀!不要害怕!用“安全模式”进入登录介面窗口后,在“运行”项里输入“gpedit.msc”命令,把这条规则取消即可还原恢复,再进入“正常模式”,再一次在“运行”项里输入“gpedit.msc”命令,即可进行任何设置,又把整个系统的生命力还原过来了。此方法千万不要用来在别人家的电脑玩呀!不会恢复的朋友,真的会害得人家不知道怎么办的。哭笑不得,只适合用来学习和研究,万一有人在你家的电脑使用这种方法把你
  电脑的功能全部禁止,就可以用此方法恢复。不然,在你没有任何预防和备份的情况,就等着重装系统了。黑客们也特别喜欢这样做,通过修改注册表,也可以实施这种效果!33条规则-“阻止访问注册表编辑工具”这一条就有这个好处呀!)

Feedback

# re: 善用XP安全设置规则,上网安全有保障  回复  更多评论   

2008-03-09 15:38 by 吴习始
多谢作者的详细论述,受益频多,并在此向作者表示万分的感谢!

只有注册用户登录后才能发表评论。


网站导航:
 

posts - 131, comments - 12, trackbacks - 0, articles - 32

Copyright © yukui