二、策略审核篇(开始-运行-secpol.msc或gpedit.msc)
服务篇
1)alerter
2)automatic updates windows
3)background intelligent transfer service
4)clipbook
5)Computer Browser
6)DHCP client
7)Distributed link tracking client
8)Distributed Transaction coordinator
9)DNS Client
10)Error reporting service
11)Event Log
12)Fast user switching compatibility
13)help and support
14)Human interface device access
15)IMAPI CD-burning COM service
16)Indexing service
17)Internet Connection Firewall(ICF)
18)IPSEC Services
19)Logical Disk manager administrative service
20)messenger
21)MS software shadow copy provider
22)Net Logon
23)Netmeeting remote desktop sharing
24)Network DDE
25)Network DDE DSDM
26)Network Location Awareness
27)NTLM Security support provider-telnet
28)Performance logs and alert
29)Portable media serial number
30)Print Spooler
31)QoS RSVP
32)Remote desktop help session manager
33)remote Procedure Call LOCATOR
34)remote registry
35)removable storage
36)routing and remote access
37)security accounts manager
38)smart card
39)smart card helper
40)SSDP Discovery service
41)system event notification
42)system restore service
43)task scheduler windows
44)Telephony
45)telnet
46)terminal services
47)uninterruptible power supply UPS
48)universal plug and play device host
49)upload manager
50)volume shadow copy
51)webclient
52)Windows Installer msi
53)windows image acquisition (WIA)
54)windows management instrumentation driver extensions
55)windows time
56)wireless zero configuration
57)WMI perfromance adapter
58)Workstation
59)Help and Support
60)TCP/IP NetBIOS Helper提供TCP/IP(NetBT)
本人机子以上服务都关了,安全一直很好。
小技巧篇
①、XP选程桌面漏洞解决办法
Windows XP提供了远程桌面功能,目前被证实存在设计缺陷,可能导致攻击者得到系统远程桌面的账户信息,有助于其进一步攻击。当连接建立的时候,用Windows XP远程桌面把账户名以明文发送给连接它的客户端。发送的账户名不一定是远端主机的用户账号,而是最常被客户端使用的账户名,网络上的嗅探程序可能会捕获到这些账户信息。
解决方法:到微软主页下载相应的补丁程序,并暂时停止远程桌面的使用,方法是:右键单击“我的电脑”,选择“属性”,在弹出的窗口中,选“远程”标签,勾掉“允许用户远程连接到这台计算机”复选框前的钩,点“确定”即可。
②、端口限制
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
③、系统自动清理垃圾
在C盘下新建一个文本文件,输入如下内容
@echo off
rmdir /s /q %temp%
del /f /q /s c:\*.tmp
del /f /q /s c:\*.gid
del /f /q /s c:\*.old
del /f /q /s c:\*.bak
保存为.bat的文件就可以了。
组策略篇(开始-运行-gpedit.msc)
1.隐藏电脑的驱动器
位置:用户配置\管理模板\Windows组件\Windows资源管理器\启用后,发现我的电脑里的磁盘驱动器全不见了,但在地址栏输入盘符后,仍然可以访问,如果再把下面的防止从“我的电脑”访问驱动器设置为启用,在地址栏输入盘符就无法访问了,但在运行里直接输入cmd,在Dos下仍然可以看见,接下来就是把CMD命令也禁用了。
位置:用户配置\管理模板\系统\
2.禁用注册表
位置:用户配置\管理模板\系统\
3.禁用控制面板
位置:用户配置\管理模板\系统\
如想在控制面板中隐藏Internet选项,则在隐藏控制面板程序里添加Inetcpl.cpl,具体名称可查看Windows\System32里以cpl结尾的文件。
4.隐藏文件夹
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项,
位置:用户配置\管理模板\Windows组件\Windows资源管理器\
5.关闭缩略图缓存
有时我们在文件夹中放过图片,后来移除了,但以缩略图缓存仍然能被其他人读取。
位置:用户配置\管理模板\Windows组件\Windows资源管理器
6.去除开始菜单中的“文档”菜单
开始菜单中的文档一栏,会记载我们曾经编辑过的文档,我们可以去掉这个菜单:
位置:用户配置\管理模板\Windows组件\任务栏和“开始”菜单
7.隐藏‘屏幕保护程序“”选项卡
有时我们设置了屏幕密码保护,但很容易被人修改,我们可以隐藏这一选项。
用户配置\管理模板\控制面板\显示。
8.禁止更改TCP/IP属性
我们设定的IP地址可能会被更改,那么只要关闭它的属性页就可以了。
位置:用户配置\管理模板\网络\网络连接
把下面两项设为启用。
9.删除任务管理器
可别小看了任务管理器,它除了可以终止程序、进程外还可以重启、关机,搜索程序的执行文件名,及更改程序运行的优先顺序。
位置:用户配置\管理模板\系统\C trl+Alt+Del选项\
10.禁用IE“工具”菜单下的“Internet选项”
为了阻止别人对IE浏览器设置的随意更改。
位置:用户配置\管理模板\ Windows组件\ Internet Explorer \浏览器菜单
11.只运行许可的Windows应用程序
如果您启用这个设置,用户只能运行您加入“允许运行的应用程序列表”中的程序。
12.在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”。
13.让Windows 的上网速率提升20%(Windows XP/2003)
默认情况下,Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内,这对带宽较小的网络来说,无疑是笔不小的开支。我们可以通过组策略设置来替代默认值,让我们的上网速率提高20%! 打开“组策略控制台→计算机配置→管理模板→网络”中的“QoS数据包调度程序”并启用此策略,然后使用下面“带宽限制”框来调整系统可保留的带宽比例,将它设置为0%即可,然后按确定退出,之后我们就可以使用另外20%的带宽了。
14.关闭缩略图的缓存(Windows XP/2003)
Windows XP/20003系统具有缩略图视图功能,且为了加快那些被频繁浏览的缩略图显示速度,系统会将这些被显示过的图片进行缓存,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。但如果我们希望系统进行缓冲的话(比如只浏览一次的图片),则可以利用组策略关闭缩略图缓存的功能,这样第一次浏览速度反而会大大加快(因为不进行缓存处理)。 打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。
15.屏蔽系统自带的CD刻录功能(Windows XP/2003)
Windows XP/2003系统自带CD刻录功能,如果你有CD刻录机接在计算机上,Windows 资源管理器允许你制作
并修改可重写式CD。但这样无疑会影响系统性能和资源管理器的执行速度,因此我们可以利用组策略来屏蔽此
功能(大部分用户都使用专用的CD刻录软件)。 打开“组策略控制台→用户配置→管理模板→网络→”中的“删除CD刻录功能”并启用此策略。
16.关闭系统还原功能(Windows XP/2003)
系统还原是Windows XP/2003中集成的强大功能,它在系统运行的同时,备份那些被更改的文件和数据,如出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将计算机还原到以前的状态。默认情况下,系统还原处于打开状态。 但为这一功能付出的代价也是相当大的,系统性能会明显下降,磁盘空间也会被占用很多。对于配置不高的计算机来说,强烈建议关闭此功能。
打开“组策略控制台→计算机配置→管理模板→系统→系统还原”中的“关闭系统还原”并启用此策略。启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界面”。
17.禁止Windows Messenger自动运行(Windows XP/2003)
在Windows系统中集成的优秀应用软件越来越多,但这些系统内置的软件都没有卸载选项,引起很多电脑用
户的不满。比如Windows XP自带的Windows Messenger,不但卸载不方便而且还随系统一起自动运行。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说,当然要屏蔽此软件的自动运行功能。 打开“组策略控制台→计算机配置→管理模板→Windows组件→Windows Messenger”中的“不允许运行Windows Messenger ”并启用此策略。
18.隐藏“我的电脑”中指定的驱动器(Windows XP/2003)
此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器
号代表的所有驱动器不出现在标准的打开对话框上。
打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’
中的这些指定的驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。
19.防止从“我的电脑”访问驱动器(Windows 2000/XP/2003)
此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。 打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电
脑’访问驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。 提示:这些代表指定驱动器的图标仍旧会出现在“我的电脑”中,但是如果用户双击图标,会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。
20.禁止使用命令提示符(Windows 2000/XP/2003)
在Windows 2000/XP/2003下,我们可以运行cmd.exe进入命令提示符状态,并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑,有些系统应该屏蔽此功能。
打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略,并在下面列表框中选择是否“也停用命令提示符脚本处理”,这个设置还决定批处理文件 .cmd和.bat?是否可以在计算机上运行。 如果启用这个设置,在用户试图打开命令窗口时,系统会显示一条消息,解释设置阻止这一操作。
21.禁止更改显示属性(Windows 2000/XP/2003)
选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”,可进入“显示设置”对话框,可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置,如果你不想让别人随意更改各项设置,可以通过组策略将它隐藏起来。 打开“组策略控制台→用户配置→管理模板→控制面板→显示”,然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置,可根据需要对这些项目进行配置。比如启用了“隐藏‘桌面’选项卡”策略后,再打开“显示属性”对话框,就看不到“桌面”标签了,这样自然就无法再对桌面属性进行更改了。
22.禁用注册表编辑器(Windows 2000/XP/2003)
为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法:打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。 此策略被启用后,用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。
23.彻底禁止访问“控制面板”(Windows 2000/XP/2003) 如果不希望其他用户访问计算机的“控制面板”,同样可以使用组策略来实现。打开“组策略控制台→用户配置→管理模板→扩展面板”中的“禁止访问控制面板”并启用此策略。
此策略启用后可以防止“控制面板”程序文件(Control.exe)的启动。他人将无法启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。
24.禁止建立新的拨号连接(Windows 2000/XP/2003)
如果不想让别人在计算机中建立新连接来拨号上网的话,组策略也可以做到。打开“组策略控制台→用户配置→管理模板→网络→网络连接”中的“禁止访问新建连接向导”并启用此策略。
启用此策略后,在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。
25.禁用“添加/删除程序”(Windows 2000/XP/2003)
“控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序,可利用组策略来实现。 打开“组策略控制台→用户配置→管理模板→控制面板→添加→删除程序”中的“删除‘添加/删除程序’程序”并启用此策略,当我们再打开“控制面板”中“添加/删除程序”模块的时候,会自动弹出警告窗口,而“添加/删除程序”则无法运行。
此外,在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏,通过这些策略项目的设置,起到了保护计算机中系统文件及应用程序的作用。
26.限制驱动器的使用
如果我们不想让别人使用我们的驱动器,如系统盘C盘,光驱等,可以进行如下操作:
⑴.在开始菜单的“运行”对话框中,输入“gpedit.msc”,打开“组策略”设置窗口。
⑵.在“组策略”设置窗口中,依次打开 “本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”选项。
⑶.在右边的设置窗口中,选择“防止从‘我的电脑’访问驱动器”项,在这个选项单击鼠标右键,选择“属性”,接着出现“防止从‘我的电脑’访问驱动器的属性”设置窗口。在其中有三个选项,分别是:“未配置”、“已启用”、“已禁用”。
⑷.我们选择“已启用”后,在下面就会出现选择驱动器的下沉列表,如果希望限制某个驱动器的使用,只要选中该驱动器就可以了。比如,我们要限制C盘的使用,选中“仅限制驱动器C”,就可以了。如果希望关闭所有的驱动器,包括光驱等,可以选中“限制所有驱动器”。
设置完毕以后,当再打开驱动器时,就会弹出禁止打开驱动器的提示框。即便是使用DIR命令、运行对话框和镜像网络驱动器对话框,也无法查看驱动器的目录。
27.把Administrator藏起来
Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”,输入gpedit.msc,打开“组策略”,选择 “计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。
28.如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可。
29.限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”→“管理模板” →“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单:禁用‘另存为…’菜单项”,在打开的设置窗口中选中“已启用”单选按钮。
30.自动给操作做个记录
在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。
31.给“休眠”和“待机”加个密码
只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”,那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。
32.未经许可,不得在本机登录
在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现。
33.禁用指定的文件类型
在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:
⑴. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。
⑵. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
⑶. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。
⑷.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的 属性”窗口,按“设为默认值”即可。
34.禁用IE组件自动安装
选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用 Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮,将会禁止 Internet Explorer 自动安装组件。
35.隐藏驱动器
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows资源管理器”。如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。
36.给我们的IP添加安全策略
在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目。如果大家对 Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。
37.禁用“添加/删除程序”
阻止其他用户通过它来安装或卸载程序,可利用组策略来实现。
位置:用户配置\管理模板\控制面板\添加/删除程序
