Windows 安全調整嚮導

Windows 安全調整嚮導

作者：.com.cn

使用Windows的人非常多，而Windows系統的安全問題也越來越被人們關注。雖然Windows的漏洞眾多，安全隱患也很多，不過經過適當的設定和調整，你還是可以用上相對安全的Windows的。本文就為你詳細講述了Windows的安全調整，希望對你有用。

這篇文章將針對一些常見的安全問題給你一些解決方案，其中大部分的操作都是針對Windows 2000/XP的，不保證在Windows 98/Me上可行。

準備活動

給系統安裝補丁程式的重要性是不言而喻的，尤其是一些重要的安全補丁和針對IE，OE漏洞的補丁（即使你並不打算使用它們）。微軟會經常的發布一些已知漏洞的Hotfix，這些東西一般都可以通過Windows Update來安裝。你需要做的只是經常性地訪問Windows Update網站，地址是：http://windowsupdate.microsoft.com 。或者直接點擊開始菜單中Windows Update的捷徑。而Windows XP和安裝了SP3的Windows 2000就更加進步了，可以自動檢查更新，在後台下載，下載完成後才通知你並詢問是否開始安裝。對於Windows 2000/XP的使用者，微軟還提供了一個檢查安全性的實用免費工具：基準安全分析器（Microsoft Baseline Security Analyzer），這個程式可以自動對你的系統進行安全性檢測，並且對於出現的問題，都可以提供一個完整的解決方案。非常適合對於安全性要求高的使用者使用。你可以在這裡詳細瞭解和下載這個工具。

在你安裝了所有的補丁程式後，下面開始我們的調整設定。

重新命名和禁用預設的帳戶

安裝好Windows後，系統會自動建立兩個賬戶：Administrator和Guest，其中Administrator擁有最高的許可權，Guest則只有基本的許可權並且預設是禁用的。而這種預設的帳戶在給你帶來方便的同時也嚴重危害到了你的系統安全。如果有駭客入侵或者其他什麼問題，他將輕易的得知你的超級使用者的名稱，剩下的就是尋找密碼了。因此，安全的做法是把Administrator賬戶的名稱改掉，然後再建立一個幾乎沒有任何許可權的假Administrator賬戶。具體的方法是：

在運行中輸入“secpol.msc”然後斷行符號，開啟“本地安全設定”對話方塊，依次展開“本地策略－安全選項”，在右側視窗有一個“賬戶：重新命名系統管理員賬戶”的策略，雙擊開啟後可以給Administrator重新設定一個不是很令人信服的使用者名稱。然後還可以再建立一個名稱為Administrator的受限制使用者，以迷惑闖入者。

安全選項的設定

同樣是在本地安全設定中，展開“本地策略－安全選項”，這裡還有很多其它的設定，經過合理的配置，可以使你的系統更加安全。以下列舉的選項最好全部禁止：

互動式登入：不需要按Ctrl＋Alt＋Del。
網路訪問：允許匿名SID/名稱轉換。
網路訪問：讓Everyone許可權應用到匿名使用者。
故障修復主控台：允許自動系統管理級登入。

而以下的選項最好啟用：

裝置：只有本地登入的使用者才能訪問CD－ROM。
裝置：只有本地登入的使用者才能訪問軟碟機。
互動式登入：不顯示上一次使用的使用者名稱。
網路訪問：不允許匿名SAM帳戶的匿名枚舉。
網路訪問：不允許SAM賬戶和共用的匿名枚舉。
網路安全：不要在下次更改密碼時儲存LAN Manager的Hash值。
系統對象：增強內部系統對象的預設許可權（例如Symbolic Links）。

可靠的密碼

儘管絕對安全的密碼是不存在的，但是相對安全的密碼還是可以實現。這個還是需要運行secpol.msc來配置本地安全設定。展開到“帳戶原則－密碼原則”，經過這裡的配置，你就可以建立一個完備密碼原則，並且你的密碼也可以得到最大限度的保護。

強制密碼曆史，這個設定決定了儲存使用者曾經用過的密碼的個數。很多人知道要經常性的更換自己的密碼，可是換來換去就是有限的幾個在輪換，配置這個策略就可以知道使用者更換的密碼是否是以前曾經使用過的。如果再配合“密碼最長使用到期日”這個策略，就能保證密碼安全了。預設情況下，這個策略不儲存使用者的密碼，你可以自己設定，建議儲存5個以上，而最多可以儲存24個。

密碼最長使用到期日，這個策略決定了一個密碼可以使用多久，之後就會到期，並要求使用者更換密碼。如果設定為0，則密碼永不到期。一般情況下設定為30到60天左右就可以了，具體的到期時間要看你的系統對安全的要求有多嚴格。而最長可以設定999天。

密碼最短使用到期日，這個策略決定了一個密碼要在使用了多久之後才能再次被使用。跟上面講到的“強制密碼曆史”結合起來就可以得知新的密碼是否是以前使用過的，如果是，則不能繼續使用這個密碼。如果設定為0則表示一個密碼可以被無限制的重複使用，而最大值為999。

密碼長度最小值，這個策略決定了一個密碼的長度，有效值在0到14之間。如果設定為0，則表示不要求輸入密碼。建議的密碼長度不能小於6位。

密碼必須符合複雜性要求，如果啟用了這個策略，則在設定和更改一個密碼的時候，系統將會按照下面的規則檢查密碼是否有效：

密碼不能包含全部或者部分的使用者名稱。
最少包括6個字元。
並且在字元的使用上還要遵循以下的規則，密碼必須是：
　　　　　　英文字母，A－Z，大小寫敏感。
　　　　　　基本的10個數字，0－9。
　　　　　　不能包含特殊字元，例如!,$,#,%等等。

如果啟用了這個策略，相信你的密碼就會比較安全了。

為域中的所有使用者使用可還原的加密來儲存密碼，很明顯，這個策略最好不要啟用。

安全使用Internet Explorer

Internet Explorer是當今最流行的瀏覽器軟體。因為使用的人多，因此IE被發現的安全性問題也就最多，不過沒關係，看過本節，你完全可以使你的IE更加安全。需要注意的是，以下的敘述全部以IE 6.0+SP1為準，如果你使用了較低的版本，有些細節方面可能會不一樣。

開啟Internet Explorer，依次點擊工具－Internet選項，然後開啟安全選項卡。

在安全選項卡中選擇“Internet”，就可以針對Internet地區的一些安全選項進行設定。雖然有不同層級的預設設定，不過我們最好根據自己的實際情況親自調整一下。點擊下方的“自訂層級”。會出現圖三的視窗，這裡顯示了所有的IE安全設定。
　

下載已簽名的ActiveX控制項，經過第三方的認證機構簽名證明該ActiveX控制項是安全的，並且你可以設定為允許下載這種控制項，除非你不想安裝任何ActiveX控制項，或者你想自己從一些網站下載，例如Windows Update，還有播放Flash的外掛程式等。

下載未簽名的ActiveX控制項，跟經過簽名認證的ActiveX控制項相比，未經簽名認證的可能會包含潛在的安全隱患因此這個選項你最好不要設定為啟用，或禁用，或者設定為詢問，這樣你可以根據正在訪問的網站的性質自己決定是否下載安裝未經認證的控制項。

對沒有標記為安全的ActiveX控制項進行初始化和指令碼運行，與前面的設定類似的，如果你之前都設定為禁用，那麼這個選項同樣禁用就可以，否則可以設定為詢問（建議的設定）或者允許（不建議）來禁止那些為經簽名的控制項運行。

運行ActiveX控制項和外掛程式，假設你已經禁止了所有ActiveX控制項和外掛程式的運行，那麼這個選項就可以放心的設定為管理員認可。這裡不建議設定為允許。

對標記為可安全執行指令碼的ActiveX控制項執行指令碼，這個選項可以設定的跟前面的相同。

動態指令碼處理，現在各種的指令碼程式非常流行，通過指令碼程式可以建立很多實用的網頁，例如Windows Update網頁，就是通過指令碼程式來判斷你需要下載的補丁的。因此如果禁用掉指令碼程式，一些網頁將不能正常瀏覽。這裡建議你設定為禁用，至於少數重要的但是不能正常瀏覽的網頁，我們將在後面看到解決辦法。

允許通過指令碼進行粘貼操作，這個選項允許網頁通過指令碼把檔案複製進你的剪貼簿，為了安全考慮最好禁用。

JAVA小程式指令碼，JavaScript是一種公開的，多平台，物件導向的指令碼語言。很多網頁中都使用了JavaScript指令碼，但是安全起見最好禁用它。

如果以上的設定會影響到少數你必須要訪問的網站（例如Windows Update網站），但是安全起見你又不想把Internet地區的安全層級設定的太低，那麼你可以把一些你信任的網站添加到信任網站中去。方法是：

在Internet選項的安全選項卡下，點擊“受信任網站”，然後點擊“網站”按鈕，會出現圖四的視窗，在新視窗中輸入我們希望添加的網路地址（例如https://windowsupdate.microsoft.com）然後點擊右側的“添加”，這樣就可以了。
　

現在，開啟Internet選項中的內容選項卡，點擊“自動完成”，在這裡也有一些東西需要調整。

對於所列出來的每一項，自動完成功能都會儲存特定的內容，其中“Web地址”會儲存你在IE地址欄中輸入過的內容；“表單”會儲存你在網頁中填寫的資料，例如論壇上的發言（除使用者名稱和密碼），搜尋引擎中使用過的關鍵字；“表單上的使用者名稱和密碼”會儲存你登陸論壇或其它網頁時輸入的使用者名稱和密碼。自動完成可以協助你節省很多時間，但是同時也帶來了很大的安全隱患。一旦有人使用你的帳號登陸，你登陸網站的使用者名稱和密碼等資料就有可能全部被別人看到。因此你可以根據你的電腦的使用方式適當的調整，決定哪些內容可以自動儲存，哪些不行。

現在我們轉到Internet選項的進階選項卡。這裡有一下幾點需要注意：

使用被動FTP，為防火牆和DSL數據機相容性，這個設定將會允許在使用IE瀏覽FTP伺服器時使用被動模式 ,這種模式更加安全，因為伺服器方無法獲得你的IP地址，如果某些FTP伺服器你不能正常訪問，就可以試試啟用或者禁用這個設定。

檢查發行商的憑證撤銷，如果選擇了這個選項，當你訪問某些需要認證的網站時，IE會首先檢查給網站提供的認證是否依然有效。一般情況下，建議你啟用這個設定。

檢查伺服器的憑證撤銷，這個選項將會使IE檢查站台伺服器的認證是否仍然有效，一般也應該啟用這個設定。

檢查下載的程式的簽名，如果啟用了這個設定，在你下載了程式後IE會通過簽名自動檢查程式是否被非法改動過。一般應當啟用這個設定。

不將加密的頁面存入硬碟，啟用了這個選項後，對於加密頁面(主要是URL以https打頭的)將不會儲存到Internet臨時檔案夾中。如果多人共用同一台電腦，這個選項是很有必要的，這樣別人就無法通過Internet臨時檔案窺探到你訪問過的加密網頁了（例如某些電子商務網站的信用卡付費頁面）。

接下來的三個設定：使用SSL 2.0, 使用SSL 3.0和使用 TLS 1.0都跟在Internet上通過協議加密資料有關。例如一些網站的身分認證和重要資料的傳輸，在這過程中都會使用到SSL加密。因此最佳建議是這三個選項全部啟用。但是如果啟用後你訪問某些加密網站時出現錯誤，那麼可以禁用除SSL 2.0之外的其它兩個協議，因為不同版本之間可能會有衝突，而SSL 2.0是被採用的最廣泛的，一般的加密網站都會支援。

對無效網站認證發出警告，啟用這個設定之後，在遇到無效的網站認證時IE就會發出警告，提醒你注意。一般情況下可以啟用這個。

在安全和非安全模式之間轉換時發出警告，當啟用這個設定之後，如果你要從一個安全的網頁（可能是經過SSL加密的）進入到一個不安全的網頁的時候，IE會發出警告提醒你，以避免你在不知情的情況下泄漏一些私人的資訊。

重新導向提交的表單時發出警告，啟用這個設定後，你在某些論壇或類似的地方提交的一些資訊如果被發送到了其它的伺服器上，IE就會發出警報提醒你。所以安全起見這個也應當啟用。

安全使用Outlook Express

Outlook Express是Windows內建的一個電子郵件程式，通過OE不僅可以收發電子郵件，還可以瀏覽新聞群組，十分方便。不過很多人並不喜歡這個程式，還想千方百計的把它從自己的系統中卸載掉，主要是因為很多人說使用OE容易傳染病毒。菜刀也可以傷人呢，但是每個家庭都得有個菜刀吧，所以，與其考慮怎麼卸載OE還不如考慮一下怎麼設定才能讓OE更安全。本節全部以OE 6+SP1為主，如果你使用得是較低的版本，某些細節方面可能會不同。

OE的主要設定都可以在工具－選項下看到，

在這裡我們主要關注的是安全選項卡。

選擇要使用的Internet Explorer安全區域，這個設定可以讓你決定把電子郵件（尤其是使用HTML語言的電子郵件）當作什麼安全區域對待（也就是我們在Internet Explorer的Internet選項中設定的不同安全層級的地區）.把它設定為受限制的地區是比較明智和安全的做法。這樣，如果你收到的HTML郵件中含有一些有害的代碼就不會危害到你的系統了（當然前提是你已經在IE的Internet 選項中給受限制地區設定了合理的安全層級）。

當其他程式以我的名義寄送電子郵件時提醒我，這也是一個很有效安全性原則，曾經有很多病毒都是通過OE的地址簿中的連絡人地址來發送含病毒的右鍵來擴散的，而啟用這個設定就可以有效解決這個問題。一旦有其他程式通過OE寄送電子郵件，OE會首先詢問你是否發送，對於那些可疑的右鍵，只要取消發送就可以了。

不允許可能包含病毒的附件被儲存或者被開啟，當啟用這個設定後，電子郵件中某些格式的附件就不能被儲存和開啟了，這時如果你收到了含有附件的右鍵，儲存和開啟附件的選項將為不可用，進一步增強了安全性。

最後一點，在OE選項中開啟閱讀選項卡，選中“以純文字方式閱讀所有郵件”，這樣以後收到的HTML郵件都會被自動轉換成純文字方式，就不用擔心郵件中嵌入的病毒和惡意指令碼在預覽或者查看郵件的時候自動執行了。

加固你的Internet串連

預設情況下，為了建立網路連接，Windows會安裝很多協議和運行很多服務其中一些協議和服務都不是必須的，例如NetBIOS、檔案和印表機共用等，而“最少的服務＋最小的許可權＝最大的安全”這個等式是永遠成立的，因此我們有必要關掉不需要的服務，卸載不需要的協議，來增強我們的系統安全。

對於Windows 9x/Me的系統

1. 在控制台中雙擊網狀圖標
2. 選擇Microsoft網路用戶端，然後點擊卸載
3. 禁用檔案和印表機共用，如果你確實需要共用，可以給它們設定一個密碼
4. 選擇TCP/IP，然後點擊屬性按鈕，開啟NetBIOS選項卡，取消對“我要在TCP/IP上使用NetBIOS的選擇。然後選擇DNS設定選項卡，並選擇禁用DNS（如果你確實不需要的話）。在WINS設定選項卡下，選中禁用WINS解析
5. 確定，然後重啟動電腦

對於Windows 2000/XP的系統

1. 開啟控制台中的網路連接，右鍵點擊Internet串連，選擇屬性
2. 如果你不需要共用檔案和印表機，那麼選中並卸載（可以不卸載，但是至少不要再使用）Windows網路的檔案和印表機共用
3. 雙擊網際網路通訊協定 (IP) (TCP/IP)，然後點擊進階按鈕
4. 開啟WINS選項卡，取消對啟用LMHOSTS查詢的選擇，然後選擇禁用TCP/IP上的NetBIOS
5. 在運行中輸入Services.msc然後斷行符號
6. 找到TCP/IP NetBIOS Helper這個服務，把這個服務停止掉，並且設定啟動類型為手動或者禁止
7. 重啟動電腦

關閉預設共用

預設情況下安裝好的Windows 2000/XP 電腦中會有預設建立的共用，雖然這個共用需要你提供管理員的使用者名稱和密碼才可以串連，不過放在那裡總讓人覺得不安全，而按照常規方法還刪不掉，一起來修改註冊表吧。

運行“regedit”開啟登錄編輯程式，定位到“HKEY_Local_Machine/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters”，對於Windows 2000 Professional和Windows XP，在右側面板中建立一個名稱為“AutoShareWks”的DWORD鍵，設定索引值為“0”；對於Windows 2000 Server 和Windows Server 2003，建立一個名稱為“AutoShareServer”的DWORD鍵，同樣設定索引值為“0”，重啟動電腦後設定就會生效。

防火牆和殺毒軟體

不管你做了怎樣的設定，只要你串連在Internet上，防火牆都是必要的。防火牆可以完全保護你的系統，把網路上有害的東西擋在門外。推薦你使用的防火牆主要有兩種，一是Symantec公司的Norton Internet Security，這個軟體不僅包含網路防火牆，還包含Norton Antivirus，一個著名的殺毒軟體。Norton Internet Security的功能非常強大，不僅可以防病毒，防駭客，還可以協助你過濾瀏覽網頁時看到的廣告，過濾收到的電子郵件，過濾網路中的一些色情和其它非法內容。不過Norton Internet Security對系統的要求比較高，老的電腦運行起來可能會慢一些。這樣的話你可以試試Zone Alarm或者國產的天網，他們對系統的要求都不錯，功能也夠強大，還有一點，他們兩者都可以從互連網上免費下載到。

對於使用Windows XP的使用者也可以用系統內建的防火牆，雖然沒有那麼多花哨的功能，不過最基本的防護還是可以勝任的。啟用的方法是：開啟控制台－網路和Internet串連，雙擊網路連接開啟屬性對話方塊，在進階選項卡下，選中在我的電腦上使用Internet串連防火牆，之後還可以點擊設定進行更進一步的配置。

在殺毒軟體方面，還建議你試試來自俄羅斯的Kaspersky Antivirus，這軟體在國內知道的人不是很多，不過在國際上是很受好評的，幸運的是這個軟體已經進入中國市場了，並且也有了中文版。

總結

經過以上的設定，你的系統安全性應該提高不少了，不過需要注意的是，不管在系統和軟體上做怎樣的防護，正確的使用習慣才是最重要的，因此從現在就開始養成良好的使用習慣的，否則再怎麼防護也是白搭。

希望你能有一個安全的系統！