Windows操作系统常见安全问题解决方法

Windows操作系统常见安全问题解决方法

Network security: Do not store LAN Manager hash value on next password change，网络安全：不要在下次更改密码时存储LAN Manager的Hash值。

System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ，系统对象：增强内部系统对象的默认权限(例如Symbolic Links)。

可靠的密码

尽管绝对安全的密码时不存在的，但是相对安全的密码还是可以实现的。这个还是需要运行secpol.msc来配置Local Security Settings。展开到Account Policies-Password Policy，经过这里的配置，你就可以建立一个完备密码策略，并且你的密码也可以得到最大限度的保护。Enforce password history(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码，可是换来换去就是有限的几个在轮换，配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximum password age 这个策略，就能保证密码安全了。默认情况下，这个策略不保存用户的密码，你可以自己设置，建议保存5个以上，而最多可以保存24个。

Maximum password age(密码最长存留期)。这个策略决定了一个密码可以使用多久，之后就会过期，并要求用户更换密码。如果设置为0，则密码永不过期。一般情况下设置为30到60天左右就可以了，具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。

Minimum password age(密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的Enforce password history结合起来就可以得知新的密码是否是以前使用过的，如果是，则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用，而最大值为999。

Minimum password length(密码长度最小值)。这个策略决定了一个密码的长度，有效值在0到14之间。如果设置为0，则表示不需要密码。建议的密码长度不能小于6位。Password must meet complexity requirements(密码必须符合复杂性要求)。如果启用了这个策略，则在设置和更改一个密码的时候，系统将会按照下面的规则检查密码是否有效：密码不能包含全部或者部分的用户名。

最少包括6个字符。

并且在字符的使用上还要遵循以下的规则，密码必须是：

英文字母，A-Z，大小写敏感。

基本的10个数字，0-9。

不能包含特殊字符，例如!,$,#,%等等。

如果启用了这个策略，相信你的密码就会比较安全了。

Store password using reversible encryption for all users in the domain(为域中的所有用户使用可还原的加密来存储密码)。很明显，这个策略最好不要启用。

安全使用Internet Explorer

Internet Explorer是当今最流行的浏览器软件。因为使用的人多，因此IE被发现的安全性问题也就最多，不过没关系，看过本节，你完全可以使你的IE更加安全。需要注意的是，以下的叙述全部以IE 6.0版为准，如果你使用了较低的版本，有些细节方面可能会不一样。打开Internet Explorer，依次点击工具-Internet选项，然后打开安全选项卡。

在安全选项卡中选择“Internet”，就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置，不过我们最好根据自己的实际情况亲自调整一下。点击下方的Custom Level(自定义级别)。会出现图三的窗口，这里显示了所有的IE安全设置。

Download signed ActiveX controls(下载已签名的ActiveX控件)。经过第三方的认证机构签名证明该ActiveX控件是安全的，并且你可以设置为允许下载这种控件，除非你不想安装任何ActiveX控件，或者你想自己从一些网站下载，例如Windows Update，还有播放Flash的插件等。

Download unsigned ActiveX controls(下载未签名的ActiveX控件)。跟经过签名认证的ActiveX 控件相比，未经签名认证的可能会包含潜在的安全隐患因此这个选项你最好不要设置为启用，或禁用，或者设置为询问，这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。

Initialize & script ActiveX controls not marked as safe(对没有标记为安全的ActiveX控件进行初始化和脚本运行)。跟前面的设置类似的，如果你之前都设置为禁用，那么这个选项同样禁用就可以，否则可以设置为询问(建议的设置)或者允许(不建议)来禁止那些为经签名的控件运行。

Run ActiveX controls & plug-ins(运行ActiveX控件和插件)。假设你已经禁止了所有ActiveX 控件和插件的运行，那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。Script ActiveX controls marked safe for scripting(对标记为可安全执行脚本的ActiveX控件执行脚本)。这个设置可以设置的跟前面的选项相同。

Active scripting(活动脚本)。现在各种的脚本程序非常流行，通过脚本程序可以建立很多实用的网页，例如Windows Update网页，就是通过脚本程序来判断你需要下载的补丁的。因此如果禁用掉脚本程序，一些网页将不能正常浏览。这里建议你设置为禁用，至于少数重要的但是不能正常浏览的网页，我们将在后面看到解决办法。

Allow paste operations via script(允许通过脚本进行粘贴操作)。这个选项允许网页通过脚本把文件复制进你的剪贴板，为了安全考虑最好禁用。

Scripting of Java applets(JA V A小程序脚本)。javascript是一种公开的，多平台，面向对象的脚本语言。很多网页中都使用了JA V A脚本，但是安全起见最好禁用它。

如果以上的设置会影响到少数你必须要访问的站点(例如Windows Update网站)，但是安全起见你又不想把Internet区域的安全级别设置的太低，那么你可以把一些你信任的站点添加到Trusted sites(信任站点)中去。方法是：

在Internet选项的安全选项卡下，点击Trusted sites(信任站点)，然后点击Sites(站点)按钮，会出现图四的窗口，在新窗口中输入我们希望添加的网络地址(例如https://)然后点击右侧的Add(添加)，这样就可以了。

现在，打开Internet选项中的Content(内容)选项卡，点击AutoComplete(自动完成)，在这里也有一些东西需要调整。

对于所列出来的每一项，自动完成功能都会保存特定的内容，其中Web address(Web地址)会保存你在IE地址栏中输入过的内容; Forms(表单)会保存你在网页中填写的资料，例如论坛上的发言(除用户名和密码)，搜索引擎中使用过的关键字;User names and passwords on forms(表单上的用户名和密码)会保存你登陆论坛或其它网页时输入的用户名和密码。自动完成可以帮助你节省很多时间，但是同时也带来了很大的安全隐患。一旦有人使用你的账号登陆，你登陆网站的用户名和密码等资料就有可能全部被别人看到。因此你可以根据你的电脑的使用情况适当的调整，决定哪些内容可以自动保存，哪些不行。

现在我们转到Internet选项的高级选项卡。这里有一下几点需要注意：

Use Passive FTP (for firewall & DSL modem compatibility)(使用被动FTP，为防火墙和DSL调制解调器兼容性)，这个设置将会允许在使用IE浏览FTP服务器时使用被动模式,这种模式更加安全，因为服务器方无法获得你的IP地址，如果某些FTP服务器你不能正常访问，就