個人電腦詳細的安全設置方法

由于現在家用電腦所使用之操作系統多數為Win XP 和Win2000
pro（建議還在使用98之朋友換換系統，連微軟都放棄了之系統你還用它干嘛

？）所以后面我將主要講一下基于這兩個操作系統之安全防范。
　　個人電腦常見之被入侵方式
　　談到個人上網時之安全，還是先把大家可能會遇到之問題歸個類吧。我

們遇到之入侵方式大概括了以下幾種：
　　(1)被他人盜取密碼；
　　(2)系統被木馬攻擊；
　　(3)瀏覽網頁時被惡意之java scrpit程序攻擊；
　　(4)Q被攻擊或泄漏信息；
　　(5)病毒感染；
　　(6)系統存在漏洞使他人攻擊自己。
　　(7)黑客之惡意攻擊。
　　下面我們就來看看通過什么樣之手段來更有效之防范攻擊。
本文主要防范方法
察看本地共享資源
刪除共享
刪除ipc$空連接
賬號密碼之安全原則
關閉自己之139端口
445端口之關閉
3389之關閉
4899之防范
常見端口之介紹
如何查看本機打開之端口和過濾
禁用服務
本地策略
本地安全策略
用戶權限分配策略
終端服務配置
用戶和組策略
防止rpc漏洞
自己動手DIY在本地策略之安全選項
工具介紹
避免被惡意代碼 木馬等病毒攻擊
　　1.察看本地共享資源
　　運行CMD輸入net
share，如果看到有異常之共享，那么應該關閉。但是有時你關閉共享下次開

機之時候又出現了，那么你應該考慮一下，你之機器是否已經被黑客所控制

了，或者中了病毒。
　　2.刪除共享(每次輸入一個）
　　net share admin$ /delete
　　net share c$ /delete
　　net share d$
/delete（如果有e，f，……可以繼續刪除）
　　3.刪除ipc$空連接
　　在運行內輸入regedit，在注冊表中找到
HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
項里數值名稱RestrictAnonymous之數值數據由0改為1。
　　4.關閉自己之139端口，ipc和RPC漏洞存在于此。
　　關閉139端口之方法是在“網絡和撥號連接”中“本地連接”中選取

“Internet協議(TCP/IP)”屬性，進入“高級TCP/IP設置”“WinS設置”里

面有一項“禁用TCP/IP之NETBIOS”，打勾就關閉了139端口。
5．防止rpc漏洞
　　打開管理工具——服務——找到RPC(Remote
Procedure Call (RPC) Locator)服務——將故障恢復中之第一次失敗，第二

次失敗，后續失敗，都設置為不操作。
　　XP
SP2和2000 pro
sp4，均不存在該漏洞。
　　6．445端口之關閉
　　修改注冊表，添加一個鍵值
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在

右面之窗口建立一個SMBDeviceEnabled
為REG_DWORD類型鍵值為 0這樣就ok了
　　7．3389之關閉
　　XP：我之電腦上點右鍵選屬性-->遠程，將里面之遠程協助和遠程桌面兩

個選項框里之勾去掉。
　　Win2000server
開始-->程序-->管理工具-->服務里找到Terminal
Services服務項，選中屬性選項將啟動類型改成手動，并停止該服務。（該

方法在XP同樣適用）
　　使用2000
pro之朋友注意，網絡上有很多文章說在Win2000pro 開始-->設置-->控制面

板-->管理工具-->服務里找到Terminal
Services服務項，選中屬性選項將啟動類型改成手動，并停止該服務，可以

關閉3389，其實在2000pro 中根本不存在Terminal
Services。
　　8．4899之防范
　　網絡上有許多關于3389和4899之入侵方法。4899其實是一個遠程控制軟

件所開啟之服務端端口，由于這些控制軟件功能強大，所以經常被黑客用來

控制自己之肉雞，而且這類軟件一般不會被殺毒軟件查殺，比后門還要安全

。
　　4899不象3389那樣，是系統自帶之服務。需要自己安裝，而且需要將服

務端上傳到入侵之電腦并運行服務，才能達到控制之目之。
　　所以只要你之電腦做了基本之安全配置，黑客是很難通過4899來控制你

之。
　　9、禁用服務
　　打開控制面板，進入管理工具——服務，關閉以下服務
　　1.Alerter[通知選定之用戶和計算機管理警報]
　　2.ClipBook[啟用“剪貼簿查看器”儲存信息并與遠程計算機共享]
　　3.Distributed
File System[將分散之文件共享合并成一個邏輯名稱，共享出去，關閉后遠

程計算機沒有法訪問共享
　　4.Distributed Link
Tracking Server[適用局域網分布式鏈接?
　　5.Human Interface Device
Access[啟用對人體學接口設備(HID)之通用輸入訪問]
　　6.IMAPI CD-Burning COM Service[管理 CD
錄制]
　　7.Indexing Service[提供本地或遠程計算機上文件之索引內容和屬性，

泄露信息]
　　8.Kerberos Key
Distribution Center[授權協議登錄網絡]
　　9.License
Logging[監視IIS和SQL如果你沒安裝IIS和SQL之話就停止]
　　10.Messenger[警報]
　　11.NetMeeting
Remote Desktop Sharing[netmeeting公司留下之客戶信息收集]
　　12.Network
DDE[為在同一臺計算機或不同計算機上運行之程序提供動態數據交換]
　　13.Network DDE DSDM[管理動態數據交換 (DDE)
網絡共享]
　　14.Print Spooler[打印機服務，沒有打印機就禁止吧]
　　15.Remote Desktop Help&
nbsp;Session Manager[管理并控制遠程協助]
　　16.Remote
Registry[使遠程計算機用戶修改本地注冊表]
　　17.Routing and Remote
Access[在局域網和廣域往提供路由服務.黑客理由路由服務刺探注冊信息]
　　18.Server[支持此計算機通過網絡之文件、打印、和命名管道共享]
　　19.Special
Administration Console Helper[允許管理員使用緊急管理服務遠程訪問命

令行提示符]
　　20.TCP/IPNetBIOS
Helper[提供 TCP/IP 服務上之 NetBIOS 和網絡上客戶端之 NetBIOS
名稱解析之支持而使用戶能夠共享文件、打印和登錄到網絡]
　　21.Telnet[允許遠程用戶登錄到此計算機并運行程序]
　　22.Terminal
Services[允許用戶以交互方式連接到遠程計算機]
　　23.Window s Image Acquisition
(WIA)[照相服務，應用與數碼攝象機]
　　如果發現機器開啟了一些很奇怪之服務，如r_server這樣之服務，必須

馬上停止該服務，因為這完全有可能是黑客使用控制程序之服務端
10、賬號密碼之安全原則
　　首先禁用guest帳號，將系統內建之administrator帳號改名～～（改之

越復雜越好， 好改成中文之），而且要設置一個密碼， 好是8位以上字母

數字符號組合。
(讓那些該死之黑客慢慢猜去吧～）
　　如果你使用之是其他帳號， 好不要將其加進administrators，如果加

入administrators組，一定也要設置一個足夠安全之密碼，同上如果你設置

adminstrator之密碼時， 好在安全模式下設置，因為經我研究發現，在系

統中擁有 高權限之帳號，不是也很登陸下之adminitrator帳號，因為即使

有了這個帳號，同樣可以登陸安全模式，將sam文件刪除，從而更改系統之

administrator之密碼！而在安全模式下設置之administrator則不會出現這

種情況，因為不知道這個administrator密碼是沒有法進入安全模式。權限達到

大這個是密碼策略：用戶可以根據自己之習慣設置密碼，下面是我建議之

設置（關于密碼安全設置，我上面已經講了，這里不再羅嗦了。
　　
　　打開管理工具.本地安全設置.密碼策略
　　　　
1.密碼必須符合復雜要求性.啟用
　2.密碼 小值.我設置之是8
　3.密碼 長使用期限.我是默認設置42天
　　　　
4.密碼 短使用期限0天
　5.強制密碼歷史 記住0個密碼
　6.用可還原之加密來存儲密碼
禁用
　　
　　11、本地策略:
　　這個很重要，可以幫助我們發現那些心存叵測之人之一舉一動，還可以

幫助我們將來追查黑客。
　　(雖然一般黑客都會在走時會清除他在你電腦中留下之痕跡，不過也有一

些不小心之)
　　打開管理工具
　　
　　找到本地安全設置.本地策略.審核策略
　　　　
1.審核策略更改      成功失敗
　2.審核登陸事件      成功失敗
　3.審核對象訪問      失敗
　4.審核跟蹤過程      沒有審核
　5.審核目錄服務訪問    失敗
　6.審核特權使用      失敗
　7.審核系統事件      成功失敗
　8.審核帳戶登陸時間    成功失敗
　9.審核帳戶管理      成功失敗
　&nb sp;然后再到管理工具找到
　　　　
事件查看器
　　　　 應用程序：右鍵>屬性>設置日志大小上限，我設置了50mb，選擇不

覆蓋事件
　　　　
安全性：右鍵>屬性>設置日志大小上限，我也是設置了50mb，選擇不覆蓋事

件
　　　　
系統：右鍵>屬性>設置日志大小上限，我都是設置了50mb，選擇不覆蓋事件
　　12、本地安全策略:
　　打開管理工具
　　
　　找到本地安全設置.本地策略.安全選項
　　　　
　　　　 1.交互式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要，?

但是我個人是不需要直接輸入密碼登陸之]
　　　　
     2.網絡訪問.不允許SAM帳戶之匿名枚舉 啟用
　　　　 3.網絡訪問.可匿名之共享    將后面之值刪除
　　　　 4.網絡訪問.可匿名之命名管道 將后面之值刪除
　　　　 5.網絡訪問.可遠程訪問之注冊表路徑 將后面之值刪除
　　　　 6.網絡訪問.可遠程訪問之注冊表之子路徑 將后面之值刪除
　　　　 7.網絡訪問.限制匿名訪問命名管道和共享
　　　　 8.帳戶.（前面已經詳細講過拉）