系统安全

远程非学历培训讲稿一

时间：2012.9

系统安防

Windows XP以其稳定性、强大的个人和网络功能为大家所推崇，而它的“NT内核”，让我们不得不加强安全防护。

一、安装好系统和驱动后，应该马上给系统打补丁，推荐使用第三方软件360安全卫士下载速度非常快，至于破解微软的盗版认证可以到网上去找，有很多破解的方法。另外要养成经常或周期性打补丁的习惯。打补丁是安全防护的第一步。

二、安装一款有效、灵活、安全的杀毒软件，至于选哪一个随自己的习惯和使用效果，各种杀毒软件各有优点，就看自己的需要了。至于防火墙，个人用户一般不用安装，如果想安装一个防火墙，杀毒软件和防火墙集成在一起的就很满足个人用户的需要了，另外像天网防火墙也比较不错，但如果杀毒软件和防火墙都安装的话，开机应该会有点慢。

三、安装完系统后要养成备份的习惯，推荐用Ghost之类的软件，备份系统要有两个版本，一个是刚装完系统后打完补丁的初始的系统，一个版本是在经过使用、优化和安装了很多软件后的系统版本。这样可以预防万一，一旦系统出现问题或崩溃可以“一键恢复”盛时省力。本人比较喜欢自己手动备份，至于怎样保护gho文件，前边已经说过了。

四、有了Ghost这样强大的工具还用系统的备份还原干什么，把系统的自动备份还原还有休眠功能（休眠功能对硬盘有损害）关掉，这样可以使系统盘节省1-2G的空间。打开"系统属性"对话框，选择"系统还原"选项，选择"在所有驱动器上关闭系统还原"复选框以关闭系统还原。也可仅对系统所在的磁盘或分区设置还原。先选择系统所在的分区，单击"配置"按钮，在弹出的对话框中取消"关闭这个驱动器的系统还原"选项，并可设置用于系统还原的磁盘空间大小。打开"控制面板"，双击"电源选项"，在弹出的"电源选项属性"对话框中选择"休眠"选项卡，取消"启用休眠"复选框

五、关掉一些不用的服务：至于怎样关网上有很多介绍我就不用说了

六、添加IP策略，关闭危险端口：

默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口，一些流行病毒的后门端口（如TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口：

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何IP 地址”，目标地址选“我的IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步

骤继续添加TCP 137、139、445、593 端口和UDP 135、139、445 端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的IP 安全策略，然后选择“指派”。

于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了

点击“开始→控制面板→网络连接→本地连接→右键→属性”，然后选择“Internet(tcp/ip)”→“属性”，。在“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”，。在这里分为3项，分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口，只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面，然后确定。注意：修改完以后系统会提示重新启动，这样设置才会生效。这样，系统重新启动以后只会开放刚才你所选的那些端口，其它端口都不会开放。

七、用一款优化软件优化一下系统，可以对系统进行很多的优化。可以定时对注册表进行减肥。

八、安装一款加密软件对自己的重要资料进行加密。

九、对重要资料进行备份。

十、修改本地安全策略：

1、修改管理员用户名和guest用户名，可以把guest用户改名为Administrator再加一个非常强固的密码，这样可以对入侵的黑客进行误导，费时费力得来的确是权限最低的账户。

2、更改本地登陆策略:在账户锁定策略中设定，账户锁定阈值设定几次无效登陆后锁定账户，账户锁定时间设置锁定的时间，就是在此时间内不能够再次用此账户名登录系统，复位账户锁定计数器，一般数值和账户锁定时间一样。

3、设置BIOS密码：Setup为开机时按Del键进入BIOS设置画面时将要求输入密码，但进入操作系统时不要求输入密码。System为不但在进入BIOS设置时要求输入密码，而且进入操作系统时也要求输入密码。注意设定好BIOS密码后一定要记住密码，否则将无法进入系统。如果忘记就用最简单的方法直接把主板电池拔掉吧。