·新手也能对付病毒：配好系统事半功倍

　　电脑安全问题一直以来都是个最重要的一个问题，也是电脑爱好者最关心的一个问题。它是个大话题涉及到电脑的方方面面，三言两语是说不清楚的，也不是几天就能够学会的。在这里我总结了一些系统安全配置方面的知识，希望对大家有所帮助。因为只有一台安全的电脑才可以预防病毒的[屏蔽]扰、抵御黑客的入侵。

　　下面就开始我们的安全之旅吧。

　　一、安装过程

　　1、有选择性地安装组件

　　安装操作系统时请用NTFS格式， 不要按Windows 2000的默认安装组件，本着“最少的服务+最小的权限=最大的安全”原则，只选择安装需要的服务即可。例如:不作为Web服务器或FTP服务器就不安装 IIS。常用Web服务器需要的最小组件是: Internet 服务管理器、WWW服务器和与其有关的辅助服务。如果是默认安装了IIS服务自己又不需要的就将其卸载。卸载办法:开始---->设置---- >控制面板---->添加删除程序---->添加/删除Windows组件，在“windows组件向导”的“组件(C):”中将 “Internet信息服务(IIS)”前面小框中的√去掉，然后“下一步”就卸载了IIS。

　　2、网络连接

　　在安装完成Windows 2000/XP操作系统后，不要立即连入网络，因为这时系统上的各种程序还没有打上补丁，存在各种漏洞，非常容易感染病毒和被入侵，此时应该安装杀毒软件和防火墙。杀毒软件和防火墙推荐使用卡巴斯基、诺顿企业版客户端(若做服务器则用服务端)和ZoneAlarm防火墙。接着，再把下面的事情做完后再上网。

　　二、正确设置和管理账户

　　1、停止使用Guest账户，并给Guest 加一个复杂的密码。所谓的复杂密码就是密码含大小写字母、数字、特殊字符(～!@#￥%《》，。?)等。比如象:“G7Y3，^)y。

　　2、账户要尽可能少，并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户，常用的扫描软件有:流光、HSCAN、X- SCAN、STAT　SCANNER等。正确配置账户的权限，密码至少应不少于8位，比如:"3H.#4d&j1)~w",呵呵……让他破吧!! 这样的密码他可能把机子跑烂也跑不出来哦 ^_^

　　3、增加登录的难度，在“账户策略→密码策略”中设定:“密码复杂性要求启用”，“密码长度最小值8位”，“强制密码历史5次”，“最长存留期 30天”;在“账户策略→账户锁定策略”设定:“账户锁定3次错误登录”，“锁定时间30分钟”，“复位锁定计数30分钟”等，增加了登录的难度对系统的安全大有好处。

　　4、把系统Administrator账号改名，名称不要带有Admin等字样; 创建一个陷阱帐号，如创建一个名为“Administrator”的本地帐户，把权限设置成最低，什么事也干不了，并且加上一个超过10位的超级复杂密码。这样可以让那些“不法之徒”忙上一段时间了，并且可以借此发现他们的入侵企图。

　　三、正确地设置目录和文件权限(这步可以在以后做)

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。Windows 2000/XP Pro的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户(Everyone这个组)是完全控制的(Full Control)，您需要根据应用的需要重新设置权限。在进行权限控制时，请记住以下几个原则:

　　㈠权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

　　②拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。

　　③文件权限比文件夹权限高。

　　④利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。

　　⑤只给用户真正需要的权限，权限的最小化原则是安全的重要保障。

　　⑥预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法，而Windows 2000/2003应付的方法很简单。Windows 2000/2003自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

　　四、网络服务安全管理

　　1、关闭不需要的服务

　　只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows 2000/2003的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等，这些都有产生漏洞的可能。

　　2、关闭不用的端口。

　　3、只开放服务需要的端口与协议。

　　具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口.

　　常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3(邮件服务)。

　　常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。

　　4、禁止建立空连接

　　Windows 2000/XP的默认安装允许任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接:

　　A:修改注册表中Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。

　　B:修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。

　　Windows 2000/XP的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到您的用户列表，并可能使用[屏蔽]法[屏蔽]用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\ System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接，实际上Windows 2000/XP的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnonymous选项，其中有三个值:“0” 这个值是系统默认的，没有任何限制，远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表 (NetServerTransportEnum)等;“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有 Windows 2000/XP才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较好。

谢谢lz了 最近被病毒郁闷得不行了

我不上[屏蔽]我怕锤子

好复杂啊,能简化下么