XP防黑安全策略

主题：系统防黑安全设置
测试环境：Windows xp 系统
常在网上漂..谁能不中招？现在互联网不断普及，很多网站都存在病毒及恶意软件；如果大家上了这些有病毒的网站，将导致自己成为别人的肉鸡，甚至自己的密码网银被盗等……相信大家都很郁闷中马之后的破电脑吧，很慢很纠结。

今天就教大家如何来拯救我们的电脑!
首先，建议打上系统补丁，微软那些没完没了的补丁还是很有用的！其次，我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。

在上网时打开它们，这样即便有黑客进攻我们，安全也是有保证的。

把自己系统的微软补丁打全了，就不中了，除非是0day；在上不能确定的网址的时候禁止ActiveX和JS；有能力用虚拟机上网。

一、安全设置之——拒绝网马
1、在命令提示符下输入"regsvr32.exe shell32.dll /u/s",然后回车就OK了....
意思是说,即使我们IE有漏洞,木马被下载下来也不会被执行.
不管你的IE有没有打补丁,我们的电脑就不会再沦为别人的肉鸡了.
以后我们如果还需要使用Shell.application控件
就可以在命令提示符下
输入"regsvr32.exe shell32.dll /i/s"
重新注册这个控件即可.
2、网页木马默认的临时路径：
C:\Documents and Settings\Administrator\Local Settings\Temp
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
这目录都是浏览网页留下的COOK临时文件夹，一般网页木马就是临时保存在这个路径，我们可以通过限制让木马在这个临时路径，不让木马执行；如果木马保存在这个路径，但没有执行，那么电脑是不会中病毒的。

如何限制？
执行“控制面板”——“本地安全策略”——“软件限制策略”；第一次设置的时候会没有刚才的东西，只要你在右击“软件限制策略”就有东东让你添加啦；让我们继续操作；“其他规则”；在“其他规则”上右键选择“新路径规则”添加我们要防范木马的路径！
我们把刚才所说的网页木马临时保存的路径限制一下，无论用户的访问权如何，软件都不会运行。

通过刚才我们的限制，这个目录下的所有可执行文件都执行不了啦。

当然也不能这么绝对的说，因为可能写马的人放在别的地方呢？我说的是大多数人都是放在这个地方，而且IE默认的也是这个地方！通过此方法，可以有效果的防止网页木马。

当然你也可以在大的网站上下载一些防护软件，来防止木马。

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：
▲在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

▲在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不
明的运行项目，如果有，删除即可。

▲将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的所有以“Run”为前缀的可疑程序全部删除即可。

这只是有效果的防护，当然不能够说到100％防护，世界上没有100％的事情；
提醒大家不要上来历不明的网站，要上网站，就要上一些大网站，大家随时都要提高网络安全的意识！
二、安全设置之——系统帐号安全
账号密码的安全原则
首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。

如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。

用户可以根据自己的习惯设置密码，下面是我建议的设置。

1、运行“secpol.msc”命令，回车打开“本地安全策略”；选择“用户策略”。

密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史记住0个密码
6.用可还原的加密来存储密码禁用
用户和组策略
运行“compmgmt.msc”打开计算机管理—本地用户和组—用户：
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。

guest用户是删除不了的，可以把它改名称，（改的越复杂越好，最好改成中文的），而且最好还是设置好密码
计算机管理—本地用户和组—组，组.我们就不分组了。

使用安全密码
密码也是很重要的，还要防止社会工程学，防止别人猜出你的密码！
最后还有用户组，把用户组里面的默认管理员改名称，改得越复杂越好
修改了这个默认用户名，可以防止别人提权，防止别人远程添加系统帐号！
当然以上的方法都是最基本的防护，网上也有很多这方面的资料
大家可以去百度查一下这方面的防护资料
二、安全设置之——摆脱黑客攻击
1、点击“开始”“运行”输入“secpol.msc”回车打开“本地安全策略”；选择“本地策
略”。

审核策略
这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。

(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)O(∩_∩)O~
1.审核策略更改成功失败
2.审核登陆事件成功失败
3.审核对象访问失败
4.审核跟踪过程无审核
5.审核目录服务访问失败
6.审核特权使用失败
7.审核系统事件成功失败
8.审核帐户登陆事件成功失败
9.审核帐户管理成功失败
用户权限分配策略
1.从网络访问计算机里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属于自己的ID。

2.从远程系统强制关机，Admin帐户也删除，一个都不留。

3.拒绝从网络访问这台计算机将ID删除。

4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务。

5.通过远端强制关机。

删掉。

安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用（根据个人需要，? 但是我个人是不需要直接输入密码登陆的）。

2.网络访问.不允许SAM帐户的匿名枚举启用。

3.网络访问.可匿名的共享将后面的值删除。

4.网络访问.可匿名的命名管道将后面的值删除。

5.网络访问.可远程访问的注册表路径将后面的值删除。

6.网络访问.可远程访问的注册表的子路径将后面的值删除。

7.网络访问.限制匿名访问命名管道和共享。

8.交互式登录:不显示上次的用户名
9.帐户.（上面已讲过）。

用户权利指派
1.从网络访问此计算机,里边的所有用户全部删除
2.从远端强制关机,删除全部用户
彻底关闭系统还原
右击我的电脑,点属性--系统还原--去掉在所有驱动器上关闭系统还原前的勾。

运行“gpedit.msc”在打开的组策略里,选择--计算机配置--管理模板--windows组件
--windowsInstaller--启用关闭创建系统还原检查点。