Windows系統之XP應用優化指南
作者:孤獨夢 來源:中國起點網路安全小組
自從起點關閉以後,我買了屬於自己的電腦,結果導致經濟緊張,所以就停止泡網了,也不去學習黑客知識了,這段時間一直不停的裝系統,暈死了。所以對XP和2000系統有那麼一點點的瞭解,今天黑狼突然說要我寫原創文章給他,偶的技術本來就不行,更何況N天不上網學習了,所以基本上什麼都不會了,汗~~我就寫點關於XP系統優化和2000系統防禦的文章吧,其中也參考了很多資料,文字表達方面也不是太近人意,不過偶的水平實在是不高,希望剛接觸電腦的新手們可以看懂。
1. 取消XP對ZIP穩當的預設支援
XP預設支援ZIP穩當,但系統會為此消耗大量的資源,我們可以把這一功能關閉,在“開始”選“執行”,輸入regsvr32/u zipfldr.dll就OK了。
2. XP下設定共享資料夾的許可權
Win2000作業系統使用者在設定資料夾共享時候操作很方便,但是在XP下卻找不到這一功能。具體修改方法如下:開啟“我的電腦”中的“工具”。選擇“資料夾屬性”,調出“檢視”標籤在檔案和資料夾部分將“使用簡單檔案共享(推薦)”項前面的選擇取消,這樣就很方便的對共享進行設定了。
3. 快速鎖定計算機
選擇“新建”“快捷方式”當系統啟動建立快捷方式嚮導時,在文字框中輸入“rundll32.exe user32.dll,LockWorkStation”,下一步正常設定就OK了。
4. 在關機對話方塊出現“休眠”
當出現關機對話方塊中,可以同時按下shift鍵,這樣休眠就出現了。
5. 解決工作列假死(權威的消除QQ,IE等引起工作列假死)
“控制皮膚”“區域和語言選項”“語言”“詳細資訊”,在彈出的設定視窗中選擇“首選項”的語言欄,關閉“在桌面上顯示語言欄”,在第三項“在同志區域顯示其他語言欄圖示”上打上勾就OK了。
6. 如何winXP中使用16位的程式
在命令解釋符中輸入:start/separate d:TC2 c.exe即可,按alt+enter可以切換螢幕。
7. 尋找XP中的安裝密碼
開啟系統碟符“windows system32,這兒有個叫$winnt$的配置檔案,裡面一清二楚了。
8. 減少磁碟掃描等待時間
在dos 下輸入chknfs/t:0即可,表示等待時間為0秒。
9. winXP中自動關機的實現
比如你的電腦要在8:00關機,可以選擇“開始”“執行”輸入“8:00 shutdown —s”這樣到了時間就會出現自動關機的對話方塊,預設等待時間為30秒。如果你小以到記時的方式關機。可以輸入shutdown.exe –s –t 3600,表示60分鐘後自動關機3600代表60分鐘。想取消的話可以在執行中輸入shutdown –a ,輸入shutdown –i可以設定自動關機對話方塊,對自動關機進行設定。Shutdown引數設定如下:
-f:強行關閉應用程式
-m\ 計算機名:控制遠端計算機
-I:顯示圖形使用者介面
-r:關機並重起
-t時間:設定關機倒記時
-c訊息內容:輸入關機對話方塊中的訊息內容
10. 依次執行多個命令
XP命令列也可以使用&&和|| 組合,如:aa&&bb 執行aa,成功後再執行bb;aa||bb先執行aa,成功則不執行bb,若失敗則執行bb。返回值errorlevel=0表示你發出的命令執行成功。
11. 加快啟動和減少故障恢復時間
右鍵單擊“我的電腦”“屬性”“高階”,在“啟動和故障恢復”中點“設定”,可以設定顯示作業系統列表的時間,單擊“編輯”也可以手編輯啟動選項,將timeout=30改為5即可。
12. 減少磁碟空間浪費
在winXP作業系統執行過程中,會產生字尾名為tmp、bak、log、txt、old等檔案,這些檔案其實都可以安全刪除,windows下面的bmp檔案也可以刪除,如果你不喜歡XP自帶的牆紙的話。Windows/temp目錄下的檔案也可以完全刪除,那些都是你在安裝應用軟體過程中遺留下的檔案。
13. 視覺效果
winXP在選單效果方面比起win9X的確很漂亮,但對於小記憶體的使用者來說,太佔記憶體了我們可以修改下,右鍵點“我的電腦”“屬性”“高階”,在效能選項上點“設定”,點“調整為最佳效能”可以將所有的動畫效果去掉,這樣速度要有明顯提高。還可以在“開始”“執行”中輸入regedit進入登錄檔編輯器,找到HKEY_CURRENT_USERcontrol PanelDesktop 分之在右邊視窗 雙擊鍵值名為MenuShowDelay的項,將預設的值 改為0即可。
14. 設定硬碟工作模式
現在我們所用的硬碟一般都比大,我們可以用DMA方式代替PIO方式這樣可以提高硬碟的傳送速度並減少你的cpu佔用率,提高你的系統效能。設定如下:“開始”“控制”皮膚”“效能與維護”“檢視電腦基本資訊”“裝置管理器”“IDE ATA/ATAPI控制器”“IDE通道”“屬性”“高階設定”,在傳送模式中選擇“DMA”即可。
15. 郵件收發程式outlook express
這個技巧可減少OE出錯率,進入OE介面,在“選單”開啟“工具”“帳號”,選擇你的帳號再選擇“屬性”“高階”,把伺服器超時一項時間拉到最長5分鐘即可。
16. 修改磁碟快取加速系統
執行regedit進入登錄檔,找到HKEY_LOCAL_MACHINESYSTEMCurrentcontrolsetcontrolsession managermemory managementlopagelocklimit.根據你的記憶體修改起16進位制值
64M:1000:
128M:4000;
256M;10000;
512M或更大:40000;
17. 預讀設定提高速度
如果你是512記憶體以上可以修改,執行regedit找到[HKEY_LOCAL_MACHINESYSTEMCurrentcontrolsetcontrolsession anagermemory managementPrefetchParametersEnablePrefetcher]設定數值為3。然後重起即可。
18. 關閉磁碟索引
如果你不經常查詢檔案可見XP快速搜尋功能關閉,開啟我的電腦,有點驅動器選“屬性”取消“使用索引以便快速查詢檔案”。
19. 優化NTFS檔案系統
取消更新最後一的磁碟訪問,相對於容量大的分割槽,會減慢速度,執行regedit找到HKEY_LOCAL_MACHINESYSTEM Currentconlsetcontrolfilesystem。加DWORD數值為1即可。
20. 禁止系統服務。提升執行速度
XP很消耗資源除了漂亮的介面消耗大量的記憶體和視訊記憶體外,預設後臺還執行了很多的服務,這些服務對個人使用者來說有很多都不需要執行,我們可以把不需要的服務全部禁止。
Application layer gateway service如果你沒起用internet連線共享或內建防火牆,可以禁止這個服務。
Automatic updates 自動起用windows更新的下載和安裝,需要時,我們完全可以在windows網站上進行更新。
Clipbook如果你沒有使用xp的遠端桌面功能,那麼可以禁止。
Error reporting service服務和應用程式在非標準環境下執行時允許錯誤報告,一般沒有用,我們可以禁止。
Fast user switching compatibility在xp下允許一臺電腦上進行多使用者的切換,如果使用不到,也可以禁止。
Imapi cd-burning com service如果你有專業的燒錄軟體或者沒燒錄機的話,也可以禁止。
Indexing service提供檔案快速訪問對個人使用者沒多大用處,可以禁止。
Print spooler如果你沒裝印表機完全可以禁止這個服務。
Remote registry遠端使用者可修改自己的註冊報表,一定要禁止。
Smart card管理計算機對智慧卡的訪問,智慧卡?你有嗎 ?禁止!
Ssdp discovery service啟動家庭網路上的upnp裝置的發現,一般沒用。禁止。
Terminal services 不怕N多人控制你的電腦就不要禁止,呵呵3389登陸,禁止!
Uninterruptible power supply如果你有那種可以和計算機進行數字通訊的ups電源的話,那麼就不要禁止,否則禁止。
21. 徹底隱藏檔案
一般通過資料夾選項隱藏的東西一開啟顯示隱藏檔案就什麼都出現了,我們在HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrent versionexploreradvancedfolderhiddenSHOWALL下DWORD值CheckedValue設為0(如果沒有可以新建一個)。這樣就OK了!
Windows系統之2000系統加固
使用XP系統的個人使用者一般都是為了他漂亮的介面,但是對於那些技術追求者是不會被XP那漂亮的介面所誘惑的,所以我就主要介紹XP系統的優化應用和2000系統的安全加固,
2000系統安全一直以來是網管們頭疼的問題,雖然現在已經出了win2003,但是還有很多人使用2000系統,其實只要你正確的設定系統再加上安全軟體基本上就可以保證安全性大大提高,但是沒有絕對安全的設定,每個系統都有漏洞,攻與防永遠是對立的。下面介紹基本上全部是2000的自身設定,沒有用任何的安全軟體。有關2000系統的安全加固過程簡單的描述如下:
1. 安裝一個最小化的作業系統和一個最新的服務包;
2. 安裝你要在主機上執行的應用程式並配置;
3. 重新申請服務包,安裝最新的安全補丁;
4. 刪除或禁用作業系統中不必要的服務和元件;
5. 加固作業系統的其他部分;
6. 為檔案和其他物件設定嚴格的訪問控制許可權。
下面詳細解釋執行的步驟:
1. 安裝最小化的作業系統注意事項:從一個乾淨的系統開始,不要在主機上安裝多系統啟動,防止經由其他系統啟動控制造成的破壞。只使用NTFS分割槽作為檔案系統分割槽,因為他提供了日誌檢查資訊。此外必須使用NTFS才能對檔案使用DACL,達到訪問控制安全的目的;只安裝TCP/IP協議,不安裝其他的任何協議,在選擇安裝程式時不要安裝任何額外的程式和服務;如果安裝了伺服器版本的win2000,要把他配置成standalone(獨立伺服器)模式。
2. 安裝和配置應用程式及服務程式:不要安裝任何的多餘的程式,小心安裝採用服務和應用程式,儘量選擇最新的安裝和服務版本。在你的系統上安裝配置正常使用的應用程式,在你的系統上安裝配置你選擇好的用來提供網路服務的程式。瞭解你要安裝的程式是否存在安全缺陷;在高安全性要求的應用環境中,不要安裝MS-ofiice或任何開發工具。可用執行程式越少越好。
3. 重新申請服務包,安裝最新的安全補丁:微軟提供了windows update程式可以直接連線到微軟的下載站點獲得更新的hotfix,即大的服務包釋出之後釋出的安全補丁程式,通常用來彌補近期發現的安全漏洞。
4. 配置作業系統提供的服務:禁止作業系統提供的一切不必要的服務,對於有其他要求的系統服務可視情況開啟,但原則上應儘量避免使用微軟提供的系統服務。
可設定為自動啟動的服務:
event log事件日誌記錄
logical disk manager(LDM)磁碟管理需要
network connections網路管理需要
plug and play硬體裝置即插即用需要
protected storage保護性儲存需要
remote procedure call (RPC)系統程式間呼叫需要
security accounts manger (SAM)帳戶管理資料需要
windows management instrumentation (WMI)管理控制需要
WMI driver extensions管理控制需要
可設定為手動啟動的服務:
DNS clinent僅當DNS啟動時需要
Runas service僅當需要runas命令時起用
IIS admin service微軟web服務需要
Logical disk manager administrative service磁碟管理需要
NT LM security support provider微軟web服務需要
Word wide web publishing service微軟web服務需要
5. 配置帳戶策略:右鍵點我的電腦,選擇“管理”在管理工具中開啟本地安全策略調整密碼策略和帳戶鎖定策略,設定如圖:
6. 帳戶管理注意事項:(1)帳號儘可能少且儘可能少用來登陸,網站帳好一般用來做系統維護的,多餘的帳號一個也不要。(2)除administrator外,有必要再增加一個屬於管理員組的帳號,,一方面防止管理員一旦忘記密碼,還可以用另外一個帳號,一方面發現被攻破一個帳號還可以用另外一個帳號。(3)所有帳號許可權需要嚴格控制,輕易不給管理許可權。(4)將administrator重新命名,改成一個不容易被猜到的,防止黑客對帳號密碼的猜測行為。(5)將guest帳號禁止,同時重新命名一個複雜的名字,並增加口令,防止被黑客提升許可權。(6)給所有使用者帳號一個複雜的口令,且必須同時包含數字、字母和特殊字元。長度最少8位以上。(7)在帳號屬性中設立鎖定次數,可以防止某些大規模的登入嘗試。
7. 配置日誌稽核:微軟預設的日誌稽核是關閉的,必須手動啟動。開啟“管理工具”“本地安全策略”“本地策略”“稽核策略”和“管理工具”“事件檢視器”設定如下:
稽核策略更改——成功、失敗
稽核登入事件——成功、失敗
稽核物件訪問——失敗
稽核目錄服務訪問——失敗
稽核特權使用——稽核系統事件——成功、失敗
稽核帳戶登入事件——成功、失敗
稽核帳戶管理——成功、失敗
8. 禁用NETBIOS介面:NETBIOS介面用來在兩臺或兩臺以上執行NETBIOS應用程式的計算機之間解吸名字,建立連線和支援可靠資料傳輸。他是為了相容以前通用的CIFS/SMB協議。該協議會導致計算機資訊洩露以致於建立空會話漏洞。可以在網路連線的屬性中禁止“microsoft網路檔案和印表機共享”。
選中圖中的internet協議(TCP/IP)然後選“屬性”“高階”然後選中“禁用TCP/IP上的NETBIOS”。
9. 保護系統帳號資料庫:直接在開始執行中輸入syskey指令,在出現的框中選擇“起用加密”然後再選“更新”,然後出現選擇項,你可以選擇“密碼啟動”也可以選擇“系統自動產生密碼”。為防止原來的密碼洩露,還要從WINNT/REPAIR目錄中刪除SAM檔案。
10. 設定特權和權利:win 2000提供對使用者權利設定的安全機制,使用他可以設定任意指定使用者在作業系統擁有的可操作範圍。我們可以在“控制皮膚”“管理工具”“本地安全策略”中對應使用者權利指派的部分設定列表。具體設定大家一看就知道
11. 使用win2000的檔案加密功能:直接在檔案或資料夾上單擊右鍵彈出屬性對話方塊,在“常規”上選擇“高階”,選擇“加密內容以保護資料”。確定後退出。在最後確定時如果是應用在資料夾上,系統會提示是否包括資料夾中全部檔案,推薦包括整個資料夾。注意,win2000檔案加密並不能防止檔案被相應許可權的使用者刪除,為了資料資料的安全,建議還是經常備份。
12. 不記錄系統失敗的除錯資訊:系統失敗的除錯資訊儲存在記憶體轉儲檔案中,當系統崩潰時可以為除錯提供資訊,不過轉儲檔案的存在還會洩露其他的資訊,列如應用程式的密碼。在“我的電腦”點右鍵,彈出“屬性”選項,在“高階”頁選中“啟動和故障恢復”,在“寫入除錯資訊”中選“無”。
13. 配置TCP/IP篩選:win2000提供了一定的網路流量過濾功能來保障TCP/IP的安全,但需要手動設定。點網路連線的圖示,選擇“網路與拔號連線”,在常規中選擇“internet協議(TCP/IP),然後點“屬性”“高階”“選項”。點“TCP/篩選IP”“屬性”,然後設定。選擇“起用TCP/IP篩選(所有適陪器)”全部選擇“只允許”,TCP埠新增80埠。
14. 禁止從光碟和軟盤自動啟動:主要是為了防止惡意使用者裡喲內微軟的光碟自動啟動執行非法檔案和惡意訪問系統,可以從BIOS設定中禁止光碟和軟盤自動啟動,並設定BIOS密碼防止惡意修改。
15. 使用一個有密碼的屏保:啟動有密碼的螢幕保護程式,防止管理員暫時離開時非法的物理訪問,怎麼設定我就不用多說了,相信都知道。
16. IE瀏覽器安全:取消瀏覽器自動完成功能,在“控制棉板”的“internet選項”的“內容”頁,選擇“自動完成”,取消表單和表單上的擁護名和密碼部分,並清除下面的歷史記錄;同上,在“internet選項”上的“高階”頁,選擇“不將加密的也面存入硬碟”以及“關閉瀏覽器時清空internet資料夾”;在對應的目錄中經常性的清除歷史記錄等。
17. Outlook Express安全:防止病毒呼叫執行.VBS,.JS等指令碼檔案,在執行分別執行以下兩個命令:“regsvr32 /u wshom.ocx”和“regsvr32 /u wshext.dll”。恢復操作是把/U去除。
18. 刪除所有網路資源共享:控制皮膚—計算機管理—共享資料夾—停止共享,然後把裡面的所有預設共享全部停止,不過IPC共享伺服器每啟動依次都會開啟,需要重新停止。
19. 系統啟動時的等待時間設定為0秒:控制皮膚—系統—啟動/關閉,將列表顯示的預設值為30改為0或者在boot.ini裡將TIMEOUT的值改為0。
20. 只開放必要埠:除必要埠外,關閉其他的埠,特別是139、445更危險埠,預設下所有埠都是開放的。
21. 只保留TCP/IP協議:刪除NETBEUI、IPX/SPX協議,只保留TCP/IP協議,網站需要的通訊協議只有TCP/IP協議,其他的協議沒任何用處,放在網站上反而會被某些黑客工具利用。
自從起點關閉以後,我買了屬於自己的電腦,結果導致經濟緊張,所以就停止泡網了,也不去學習黑客知識了,這段時間一直不停的裝系統,暈死了。所以對XP和2000系統有那麼一點點的瞭解,今天黑狼突然說要我寫原創文章給他,偶的技術本來就不行,更何況N天不上網學習了,所以基本上什麼都不會了,汗~~我就寫點關於XP系統優化和2000系統防禦的文章吧,其中也參考了很多資料,文字表達方面也不是太近人意,不過偶的水平實在是不高,希望剛接觸電腦的新手們可以看懂。
1. 取消XP對ZIP穩當的預設支援
XP預設支援ZIP穩當,但系統會為此消耗大量的資源,我們可以把這一功能關閉,在“開始”選“執行”,輸入regsvr32/u zipfldr.dll就OK了。
2. XP下設定共享資料夾的許可權
Win2000作業系統使用者在設定資料夾共享時候操作很方便,但是在XP下卻找不到這一功能。具體修改方法如下:開啟“我的電腦”中的“工具”。選擇“資料夾屬性”,調出“檢視”標籤在檔案和資料夾部分將“使用簡單檔案共享(推薦)”項前面的選擇取消,這樣就很方便的對共享進行設定了。
3. 快速鎖定計算機
選擇“新建”“快捷方式”當系統啟動建立快捷方式嚮導時,在文字框中輸入“rundll32.exe user32.dll,LockWorkStation”,下一步正常設定就OK了。
4. 在關機對話方塊出現“休眠”
當出現關機對話方塊中,可以同時按下shift鍵,這樣休眠就出現了。
5. 解決工作列假死(權威的消除QQ,IE等引起工作列假死)
“控制皮膚”“區域和語言選項”“語言”“詳細資訊”,在彈出的設定視窗中選擇“首選項”的語言欄,關閉“在桌面上顯示語言欄”,在第三項“在同志區域顯示其他語言欄圖示”上打上勾就OK了。
6. 如何winXP中使用16位的程式
在命令解釋符中輸入:start/separate d:TC2 c.exe即可,按alt+enter可以切換螢幕。
7. 尋找XP中的安裝密碼
開啟系統碟符“windows system32,這兒有個叫$winnt$的配置檔案,裡面一清二楚了。
8. 減少磁碟掃描等待時間
在dos 下輸入chknfs/t:0即可,表示等待時間為0秒。
9. winXP中自動關機的實現
比如你的電腦要在8:00關機,可以選擇“開始”“執行”輸入“8:00 shutdown —s”這樣到了時間就會出現自動關機的對話方塊,預設等待時間為30秒。如果你小以到記時的方式關機。可以輸入shutdown.exe –s –t 3600,表示60分鐘後自動關機3600代表60分鐘。想取消的話可以在執行中輸入shutdown –a ,輸入shutdown –i可以設定自動關機對話方塊,對自動關機進行設定。Shutdown引數設定如下:
-f:強行關閉應用程式
-m\ 計算機名:控制遠端計算機
-I:顯示圖形使用者介面
-r:關機並重起
-t時間:設定關機倒記時
-c訊息內容:輸入關機對話方塊中的訊息內容
10. 依次執行多個命令
XP命令列也可以使用&&和|| 組合,如:aa&&bb 執行aa,成功後再執行bb;aa||bb先執行aa,成功則不執行bb,若失敗則執行bb。返回值errorlevel=0表示你發出的命令執行成功。
11. 加快啟動和減少故障恢復時間
右鍵單擊“我的電腦”“屬性”“高階”,在“啟動和故障恢復”中點“設定”,可以設定顯示作業系統列表的時間,單擊“編輯”也可以手編輯啟動選項,將timeout=30改為5即可。
12. 減少磁碟空間浪費
在winXP作業系統執行過程中,會產生字尾名為tmp、bak、log、txt、old等檔案,這些檔案其實都可以安全刪除,windows下面的bmp檔案也可以刪除,如果你不喜歡XP自帶的牆紙的話。Windows/temp目錄下的檔案也可以完全刪除,那些都是你在安裝應用軟體過程中遺留下的檔案。
13. 視覺效果
winXP在選單效果方面比起win9X的確很漂亮,但對於小記憶體的使用者來說,太佔記憶體了我們可以修改下,右鍵點“我的電腦”“屬性”“高階”,在效能選項上點“設定”,點“調整為最佳效能”可以將所有的動畫效果去掉,這樣速度要有明顯提高。還可以在“開始”“執行”中輸入regedit進入登錄檔編輯器,找到HKEY_CURRENT_USERcontrol PanelDesktop 分之在右邊視窗 雙擊鍵值名為MenuShowDelay的項,將預設的值 改為0即可。
14. 設定硬碟工作模式
現在我們所用的硬碟一般都比大,我們可以用DMA方式代替PIO方式這樣可以提高硬碟的傳送速度並減少你的cpu佔用率,提高你的系統效能。設定如下:“開始”“控制”皮膚”“效能與維護”“檢視電腦基本資訊”“裝置管理器”“IDE ATA/ATAPI控制器”“IDE通道”“屬性”“高階設定”,在傳送模式中選擇“DMA”即可。
15. 郵件收發程式outlook express
這個技巧可減少OE出錯率,進入OE介面,在“選單”開啟“工具”“帳號”,選擇你的帳號再選擇“屬性”“高階”,把伺服器超時一項時間拉到最長5分鐘即可。
16. 修改磁碟快取加速系統
執行regedit進入登錄檔,找到HKEY_LOCAL_MACHINESYSTEMCurrentcontrolsetcontrolsession managermemory managementlopagelocklimit.根據你的記憶體修改起16進位制值
64M:1000:
128M:4000;
256M;10000;
512M或更大:40000;
17. 預讀設定提高速度
如果你是512記憶體以上可以修改,執行regedit找到[HKEY_LOCAL_MACHINESYSTEMCurrentcontrolsetcontrolsession anagermemory managementPrefetchParametersEnablePrefetcher]設定數值為3。然後重起即可。
18. 關閉磁碟索引
如果你不經常查詢檔案可見XP快速搜尋功能關閉,開啟我的電腦,有點驅動器選“屬性”取消“使用索引以便快速查詢檔案”。
19. 優化NTFS檔案系統
取消更新最後一的磁碟訪問,相對於容量大的分割槽,會減慢速度,執行regedit找到HKEY_LOCAL_MACHINESYSTEM Currentconlsetcontrolfilesystem。加DWORD數值為1即可。
20. 禁止系統服務。提升執行速度
XP很消耗資源除了漂亮的介面消耗大量的記憶體和視訊記憶體外,預設後臺還執行了很多的服務,這些服務對個人使用者來說有很多都不需要執行,我們可以把不需要的服務全部禁止。
Application layer gateway service如果你沒起用internet連線共享或內建防火牆,可以禁止這個服務。
Automatic updates 自動起用windows更新的下載和安裝,需要時,我們完全可以在windows網站上進行更新。
Clipbook如果你沒有使用xp的遠端桌面功能,那麼可以禁止。
Error reporting service服務和應用程式在非標準環境下執行時允許錯誤報告,一般沒有用,我們可以禁止。
Fast user switching compatibility在xp下允許一臺電腦上進行多使用者的切換,如果使用不到,也可以禁止。
Imapi cd-burning com service如果你有專業的燒錄軟體或者沒燒錄機的話,也可以禁止。
Indexing service提供檔案快速訪問對個人使用者沒多大用處,可以禁止。
Print spooler如果你沒裝印表機完全可以禁止這個服務。
Remote registry遠端使用者可修改自己的註冊報表,一定要禁止。
Smart card管理計算機對智慧卡的訪問,智慧卡?你有嗎 ?禁止!
Ssdp discovery service啟動家庭網路上的upnp裝置的發現,一般沒用。禁止。
Terminal services 不怕N多人控制你的電腦就不要禁止,呵呵3389登陸,禁止!
Uninterruptible power supply如果你有那種可以和計算機進行數字通訊的ups電源的話,那麼就不要禁止,否則禁止。
21. 徹底隱藏檔案
一般通過資料夾選項隱藏的東西一開啟顯示隱藏檔案就什麼都出現了,我們在HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrent versionexploreradvancedfolderhiddenSHOWALL下DWORD值CheckedValue設為0(如果沒有可以新建一個)。這樣就OK了!
Windows系統之2000系統加固
使用XP系統的個人使用者一般都是為了他漂亮的介面,但是對於那些技術追求者是不會被XP那漂亮的介面所誘惑的,所以我就主要介紹XP系統的優化應用和2000系統的安全加固,
2000系統安全一直以來是網管們頭疼的問題,雖然現在已經出了win2003,但是還有很多人使用2000系統,其實只要你正確的設定系統再加上安全軟體基本上就可以保證安全性大大提高,但是沒有絕對安全的設定,每個系統都有漏洞,攻與防永遠是對立的。下面介紹基本上全部是2000的自身設定,沒有用任何的安全軟體。有關2000系統的安全加固過程簡單的描述如下:
1. 安裝一個最小化的作業系統和一個最新的服務包;
2. 安裝你要在主機上執行的應用程式並配置;
3. 重新申請服務包,安裝最新的安全補丁;
4. 刪除或禁用作業系統中不必要的服務和元件;
5. 加固作業系統的其他部分;
6. 為檔案和其他物件設定嚴格的訪問控制許可權。
下面詳細解釋執行的步驟:
1. 安裝最小化的作業系統注意事項:從一個乾淨的系統開始,不要在主機上安裝多系統啟動,防止經由其他系統啟動控制造成的破壞。只使用NTFS分割槽作為檔案系統分割槽,因為他提供了日誌檢查資訊。此外必須使用NTFS才能對檔案使用DACL,達到訪問控制安全的目的;只安裝TCP/IP協議,不安裝其他的任何協議,在選擇安裝程式時不要安裝任何額外的程式和服務;如果安裝了伺服器版本的win2000,要把他配置成standalone(獨立伺服器)模式。
2. 安裝和配置應用程式及服務程式:不要安裝任何的多餘的程式,小心安裝採用服務和應用程式,儘量選擇最新的安裝和服務版本。在你的系統上安裝配置正常使用的應用程式,在你的系統上安裝配置你選擇好的用來提供網路服務的程式。瞭解你要安裝的程式是否存在安全缺陷;在高安全性要求的應用環境中,不要安裝MS-ofiice或任何開發工具。可用執行程式越少越好。
3. 重新申請服務包,安裝最新的安全補丁:微軟提供了windows update程式可以直接連線到微軟的下載站點獲得更新的hotfix,即大的服務包釋出之後釋出的安全補丁程式,通常用來彌補近期發現的安全漏洞。
4. 配置作業系統提供的服務:禁止作業系統提供的一切不必要的服務,對於有其他要求的系統服務可視情況開啟,但原則上應儘量避免使用微軟提供的系統服務。
可設定為自動啟動的服務:
event log事件日誌記錄
logical disk manager(LDM)磁碟管理需要
network connections網路管理需要
plug and play硬體裝置即插即用需要
protected storage保護性儲存需要
remote procedure call (RPC)系統程式間呼叫需要
security accounts manger (SAM)帳戶管理資料需要
windows management instrumentation (WMI)管理控制需要
WMI driver extensions管理控制需要
可設定為手動啟動的服務:
DNS clinent僅當DNS啟動時需要
Runas service僅當需要runas命令時起用
IIS admin service微軟web服務需要
Logical disk manager administrative service磁碟管理需要
NT LM security support provider微軟web服務需要
Word wide web publishing service微軟web服務需要
5. 配置帳戶策略:右鍵點我的電腦,選擇“管理”在管理工具中開啟本地安全策略調整密碼策略和帳戶鎖定策略,設定如圖:
6. 帳戶管理注意事項:(1)帳號儘可能少且儘可能少用來登陸,網站帳好一般用來做系統維護的,多餘的帳號一個也不要。(2)除administrator外,有必要再增加一個屬於管理員組的帳號,,一方面防止管理員一旦忘記密碼,還可以用另外一個帳號,一方面發現被攻破一個帳號還可以用另外一個帳號。(3)所有帳號許可權需要嚴格控制,輕易不給管理許可權。(4)將administrator重新命名,改成一個不容易被猜到的,防止黑客對帳號密碼的猜測行為。(5)將guest帳號禁止,同時重新命名一個複雜的名字,並增加口令,防止被黑客提升許可權。(6)給所有使用者帳號一個複雜的口令,且必須同時包含數字、字母和特殊字元。長度最少8位以上。(7)在帳號屬性中設立鎖定次數,可以防止某些大規模的登入嘗試。
7. 配置日誌稽核:微軟預設的日誌稽核是關閉的,必須手動啟動。開啟“管理工具”“本地安全策略”“本地策略”“稽核策略”和“管理工具”“事件檢視器”設定如下:
稽核策略更改——成功、失敗
稽核登入事件——成功、失敗
稽核物件訪問——失敗
稽核目錄服務訪問——失敗
稽核特權使用——稽核系統事件——成功、失敗
稽核帳戶登入事件——成功、失敗
稽核帳戶管理——成功、失敗
8. 禁用NETBIOS介面:NETBIOS介面用來在兩臺或兩臺以上執行NETBIOS應用程式的計算機之間解吸名字,建立連線和支援可靠資料傳輸。他是為了相容以前通用的CIFS/SMB協議。該協議會導致計算機資訊洩露以致於建立空會話漏洞。可以在網路連線的屬性中禁止“microsoft網路檔案和印表機共享”。
選中圖中的internet協議(TCP/IP)然後選“屬性”“高階”然後選中“禁用TCP/IP上的NETBIOS”。
9. 保護系統帳號資料庫:直接在開始執行中輸入syskey指令,在出現的框中選擇“起用加密”然後再選“更新”,然後出現選擇項,你可以選擇“密碼啟動”也可以選擇“系統自動產生密碼”。為防止原來的密碼洩露,還要從WINNT/REPAIR目錄中刪除SAM檔案。
10. 設定特權和權利:win 2000提供對使用者權利設定的安全機制,使用他可以設定任意指定使用者在作業系統擁有的可操作範圍。我們可以在“控制皮膚”“管理工具”“本地安全策略”中對應使用者權利指派的部分設定列表。具體設定大家一看就知道
11. 使用win2000的檔案加密功能:直接在檔案或資料夾上單擊右鍵彈出屬性對話方塊,在“常規”上選擇“高階”,選擇“加密內容以保護資料”。確定後退出。在最後確定時如果是應用在資料夾上,系統會提示是否包括資料夾中全部檔案,推薦包括整個資料夾。注意,win2000檔案加密並不能防止檔案被相應許可權的使用者刪除,為了資料資料的安全,建議還是經常備份。
12. 不記錄系統失敗的除錯資訊:系統失敗的除錯資訊儲存在記憶體轉儲檔案中,當系統崩潰時可以為除錯提供資訊,不過轉儲檔案的存在還會洩露其他的資訊,列如應用程式的密碼。在“我的電腦”點右鍵,彈出“屬性”選項,在“高階”頁選中“啟動和故障恢復”,在“寫入除錯資訊”中選“無”。
13. 配置TCP/IP篩選:win2000提供了一定的網路流量過濾功能來保障TCP/IP的安全,但需要手動設定。點網路連線的圖示,選擇“網路與拔號連線”,在常規中選擇“internet協議(TCP/IP),然後點“屬性”“高階”“選項”。點“TCP/篩選IP”“屬性”,然後設定。選擇“起用TCP/IP篩選(所有適陪器)”全部選擇“只允許”,TCP埠新增80埠。
14. 禁止從光碟和軟盤自動啟動:主要是為了防止惡意使用者裡喲內微軟的光碟自動啟動執行非法檔案和惡意訪問系統,可以從BIOS設定中禁止光碟和軟盤自動啟動,並設定BIOS密碼防止惡意修改。
15. 使用一個有密碼的屏保:啟動有密碼的螢幕保護程式,防止管理員暫時離開時非法的物理訪問,怎麼設定我就不用多說了,相信都知道。
16. IE瀏覽器安全:取消瀏覽器自動完成功能,在“控制棉板”的“internet選項”的“內容”頁,選擇“自動完成”,取消表單和表單上的擁護名和密碼部分,並清除下面的歷史記錄;同上,在“internet選項”上的“高階”頁,選擇“不將加密的也面存入硬碟”以及“關閉瀏覽器時清空internet資料夾”;在對應的目錄中經常性的清除歷史記錄等。
17. Outlook Express安全:防止病毒呼叫執行.VBS,.JS等指令碼檔案,在執行分別執行以下兩個命令:“regsvr32 /u wshom.ocx”和“regsvr32 /u wshext.dll”。恢復操作是把/U去除。
18. 刪除所有網路資源共享:控制皮膚—計算機管理—共享資料夾—停止共享,然後把裡面的所有預設共享全部停止,不過IPC共享伺服器每啟動依次都會開啟,需要重新停止。
19. 系統啟動時的等待時間設定為0秒:控制皮膚—系統—啟動/關閉,將列表顯示的預設值為30改為0或者在boot.ini裡將TIMEOUT的值改為0。
20. 只開放必要埠:除必要埠外,關閉其他的埠,特別是139、445更危險埠,預設下所有埠都是開放的。
21. 只保留TCP/IP協議:刪除NETBEUI、IPX/SPX協議,只保留TCP/IP協議,網站需要的通訊協議只有TCP/IP協議,其他的協議沒任何用處,放在網站上反而會被某些黑客工具利用。
22. 防火牆和防毒軟體要經常開著,作為網管的安全人員要經常瀏覽一些安全站點,關注最新漏洞,及時更新最新的補丁。
本文轉自loveme2351CTO部落格,原文連結:http://blog.51cto.com/loveme23/8391 ,如需轉載請自行聯絡原作者
相關文章
- Windows XP 最佳化設定之系統篇(轉)Windows
- Vue 應用效能優化指南Vue優化
- PHP 應用效能優化指南PHP優化
- Angular應用效能優化指南Angular優化
- 基於應用程度的系統應用優化優化
- Windows XP 系統最佳化全攻略(轉)Windows
- Windows XP作業系統最佳化精髓(轉)Windows作業系統
- Oracle9i 應用系統優化Oracle優化
- EBS R12 應用系統優化文件優化
- MySQL優化之系統變數優化MySql優化變數
- 微軟MVP總結的Windows XP優化大全微軟MVPWindows優化
- 用Windows XP故障恢復控制檯恢復系統(轉)Windows
- Android應用優化之冷啟動優化Android優化
- 應用系統生命週期中資料庫優化資料庫優化
- windows xp系統啟動模式介紹Windows模式
- 讓Windows XP自動維護系統Windows
- 檢測系統是不是windows xp (轉)Windows
- Windows XP 系統總命令集合(轉)Windows
- 專案總結之應用XP
- windows 7系統比xp系統更強大的功能Windows
- Windows10系統優化(批處理)Windows優化
- 讓Windows XP系統開口說話(轉)Windows
- Windows XP 系統工作列九條秘技(轉)Windows
- Windows XP 系統故障恢復寶典(轉)Windows
- Windows XP 明明白白系統程式(轉)Windows
- windows xp 加密檔案系統(EFS)概述(轉)Windows加密
- 調優 | Apache Hudi應用調優指南Apache
- Windows 應用開發的系統要求Windows
- Windows XP系統和Windows Server 2003系統原始碼遭洩露WindowsServer原始碼
- 學生資訊管理系統之優化優化
- Windows XP 映像檔案製作指南(轉)Windows
- 適用於 Linux 的 Windows 子系統安裝指南 (Windows 10)LinuxWindows
- 滴滴Ceph分散式儲存系統優化之鎖優化分散式優化
- Android效能優化之App應用啟動分析與優化Android優化APP
- 優化向:單頁應用多路由預渲染指南優化路由
- Windows XP 最佳化設定之網路篇(轉)Windows
- 應用CRM系統的優越性
- windows xp和linux雙系統如何安裝!!WindowsLinux