网络安全

据悉，7个漏洞几乎影响到包括2000、XP、Vista等在内的微软主要操作系统。其中，3个被列为“高危”漏洞存在于DirectX、Windows Media文件格式及IE浏览器中。

当用户浏览恶意网页或查看恶意邮件时，可能遭到远端程序的攻击。另外4个为级别稍低的“重大”漏洞。根据以往的经验，许多病毒和木马都是针对微软系统的漏洞编写，并且，从发布到出现，间隔的时间很短。为此，安全专家提醒电脑用户尽快去下载补丁升级，防患未然。
广大师生可使用360安全卫士为计算机打补丁。

2007-11-19

注意木马!!本周安全公告

本周我们的校园网设备一直在调试中。造成网络的时断时续。可能对大家的工作造成了影响。

在我们对网络维护中发现木马异常的猖獗。Arp类病毒得到了一定的控制。但很遗憾的是在我们维护网络时发现没有木马的计算机少之又少。下面是来自某杀毒软件的病毒排行榜：

本周病毒排行榜的分布情况发生了变化，木马病毒在排行榜中占了70%，AutoRun家族没有新的变种上榜，Virus.Win32.AutoRun.abq病毒本周滑落一位，到了第六的位置，排在第一位的依然是Backdoor.Win32.Hupigon.wbm病毒，不过所占比重有所下降，Trojan- Downloader.JS.Agent.zy病毒的位置同样是没有发生改变，依然在第四的位置。在旁行榜的整体上看，本周木马显然已经成为我们计算机最大的威胁，他的增多意味着我们的网络帐号，密码等信息就可能受到损失，希望大家提高警惕。

本周我们需要关注的病毒：Backdoor.Win32.Hupigon.wql

病毒表现（X代表任意数字与字母的组合）：

病毒在运行后会生成以下文件： C:\WINDOWS\Hacker.com.cn.exe 并在后台启动IE进程。

手动查杀方法:
打开任务管理器结束IE进程（或者使用冰刃），删除C:\WINDOWS\Hacker.com.cn.exe文件。

－－－－－－－－－－－－－－
下周病毒预测:
最近伪装成游戏图标的盗号病毒越来越多，这些病毒利用我们的粗心，在我们双击的一瞬间就会让你的计算机充满病毒，并在不停的下载新变种，希望大家在玩游戏时要小心。

－－－－－－－－－－－－－－

最后，建议老师们一定安装杀毒软件，升级Windows,安装360安全卫士。

2007-10-30

arp、ipconfig、netstat命令粗解

一、关于ARP

ARP是一个重要的TCP/IP协议，并且用于确定对应IP地址的网卡物理地址。使用arp命令，我们能够查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。此外，使用arp命令，也可以用人工方式输入静态的网卡物理/IP地址对，我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作，有助于减少网络上的信息量。

按照缺省设置，ARP高速缓存中的项目是动态的，每当发送一个指定地点的数据报且高速缓存中不存在当前项目时，ARP便会自动添加该项目。一旦高速缓存的项目被输入，它们就已经开始走向失效状态。例如，在Windows NT/2000网络中，如果输入项目后不进一步使用，物理/IP地址对就会在2至10分钟内失效。因此，如果ARP高速缓存中项目很少或根本没有时，请不要奇怪，通过另一台计算机或路由器的ping命令即可添加。所以，需要通过arp命令查看高速缓存中的内容时，请最好先ping 此台计算机（不能是本机发送ping命令）。

ARP常用命令选项：

·arp -a或arp -g

用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARP高速缓存中所有项目的选项，而Windows用的是arp -a（-a可被视为all，即全部的意思），但它也可以接受比较传统的-g选项。

·arp -a IP

如果我们有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。

·arp -s IP 物理地址

我们可以向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。

·arp -d IP

使用本命令能够人工删除一个静态项目。所以，如果遭受arp攻击（局域网，如宿舍，校园网，很常见的），就需要经常用到它。

二、关于IPCONFIG

IPConfig实用程序和它的等价图形用户界面——Windows 95/98中的WinIPCfg可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP设置是否正确。但是，如果你的计算机和所在的局域网使用了动态主机配置协议（Dynamic Host Configuration Protocol，DHCP–Windows NT下的一种把较少的IP地址分配给较多主机使用的协议，类似于拨号上网的动态IP分配），这个程序所显示的信息也许更加实用。这时，IPConfig可以让你了解你的计算机是否成功的租用到一个IP地址，如果租用到则可以了解它目前分配到的是什么地址。了解计算机当前的IP地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。

最常用的选项：

ipconfig–当使用IPConfig时不带任何参数选项，那么它为每个已经配置了的接口显示IP地址、子网掩码和缺省网关值

ipconfig /all–当使用all选项时，IPConfig能为DNS和WINS服务器显示它已配置且所要使用的附加信息（如IP地址等），并且显示内置于本地网卡中的物理地址（MAC）。如果IP地址是从DHCP服务器租用的，IPConfig将显示DHCP服务器的IP地址和租用地址预计失效的日期（有关DHCP服务器的相关内容请详见其他有关NT服务器的书籍或询问你的网管），其输出信息见图6的下半部分。

ipconfig /release和ipconfig /renew–这是两个附加选项，只能在向DHCP服务器租用其IP地址的计算机上起作用。如果你输入ipconfig /release，那么所有接口的租用IP地址便重新交付给DHCP服务器（归还IP地址）。如果你输入ipconfig /renew，那么本地计算机便设法与DHCP服务器取得联系，并租用一个IP地址。请注意，大多数情况下网卡将被重新赋予和以前所赋予的相同的IP地址。

如果你使用的是Windows 95/98，那么你应该更习惯使用winipcfg而不是ipconfig，因为它是一个图形用户界面，而且所显示的信息与ipconfig相同，并且也提供发布和更新动态IP地址的选项 如果你购买了Windows NT Resource Kit（NT资源包），那么Windows NT也包含了一个图形替代界面，该实用程序的名字是wntipcfg，和Windows 95/98的winipcfg类似。

三、关于NETSTAT和NBTSTAT

1、Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

如果你的计算机有时候接收到的数据报导致出错数据或故障，你不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用Netstat查一查为什么会出现这些情况了。

Netstat的一些常用选项

netstat -s——本选项能够按照各个协议分别显示其统计数据。如果你的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么你就可以用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。

netstat -e——本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。

netstat -r——本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的信息。除了显示有效路由外，还显示当前有效的连接。

netstat -a——本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。

netstat -n——显示所有已建立的有效连接。

2、Nbtstat
显示基于 TCP/IP 的 NetBIOS (NetBT) 协议统计资料、本地计算机和远程计算机的 NetBIOS 名称表和 NetBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称缓存和使用 Windows Internet 名称服务 (WINS) 注册的名称。使用不带参数的 nbtstat 显示帮助。

语法
nbtstat[-a RemoteName] [-A IPAddress] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Interval]

参数
-a remotename

显示远程计算机的 NetBIOS 名称表，其中，RemoteName 是远程计算机的 NetBIOS 计算机名称。NetBIOS 名称表是与运行在该计算机上的应用程序相对应的 NetBIOS 名称列表。

-A IPAddress

显示远程计算机的 NetBIOS 名称表，其名称由远程计算机的 IP 地址指定（以小数点分隔）。

-c

显示 NetBIOS 名称缓存内容、NetBIOS 名称表及其解析的各个地址。

-n

显示本地计算机的 NetBIOS 名称表。Registered 的状态表明该名称是通过广播还是 WINS 服务器注册的。

-r

显示 NetBIOS 名称解析统计资料。在配置为使用 WINS 且运行 Windows XP 或 Windows Server 2003 操作系统的计算机上，该参数将返回已通过广播和 WINS 解析和注册的名称号码。

-R

清除 NetBIOS 名称缓存的内容并从 Lmhosts 文件中重新加载带有 #PRE 标记的项目。

-RR

释放并刷新通过 WINS 服务器注册的本地计算机的 NetBIOS 名称。

-s

显示 NetBIOS 客户端和服务器会话，并试图将目标 IP 地址转化为名称。

-S

显示 NetBIOS 客户端和服务器会话，只通过 IP 地址列出远程计算机。

Interval

重新显示选择的统计资料，可以在每个显示内容之间中断 Interval 中指定的秒数。按 Ctrl+C 停止重新显示统计信息。如果省略该参数，netstat 将只显示一次当前的配置信息。
注释
• Nbtstat 命令行参数区分大小写。

• 下表描述由 nbtstat 生成的列标题。

标题 描述
Input
接收的字节数。

Output
发送的字节数。

In/Out
该连接是否从计算机传出或者从其他计算机传入到本地计算机。

Lift
名称表缓存项在被清除之前所存留的时间。

Local Name
与连接相关的本地 NetBIOS 名称。

Remote Host
与远程计算机相关的名称或 IP 地址。

<03>
转化为十六进制的 NetBIOS 名称的最后一个字节。每个 NetBIOS 名称长度均为 16 个字符。最后一个字节通常有特殊的意义，因为相同的名称（只有最后一个字节不同）可能在一台计算机上出现几次。例如，<20> 在 ASCII 文本中是一个空格。

Type
名称类型。名称可以是唯一名称，也可以是组名称。

Status
远程计算机上是否在运行 NetBIOS 服务（已注册），或同一计算机名是否已注册了相同的服务（冲突）。

State
NetBIOS 连接的状态。

• 下表描述可能的 NetBIOS 连接状态。

State 描述
Connected
会话已建立。

Associated
连接的终结点已经被创建并与 IP 地址关联。

Listening
该终结点对入站连接可用。

Idle
该终结点已被打开但不能接收连接。

Connecting
会话处于连接阶段。在此阶段正在解析所选目标的由名称到 IP 地址的映射。

Accepting
当前正在接受入站会话，并将立即连接。

Reconnecting
会话将试图重新连接（如果第一次连接尝试失败）。

Outbound
会话正处于连接阶段。当前正在创建 TCP 连接。

Inbound
入站会话处于连接阶段。

Disconnecting
会话正在断开连接。

Disconnected
本地计算机已断开连接，并正等待远程系统的确认。

• 只有当“Internet 协议 (TCP/IP)”协议在“网络连接”中安装为网络适配器属性的组件时，该命令才可用。

示例
要显示 NetBIOS 计算机名为 CORP07 的远程计算机的 NetBIOS 名称表，请键入：

nbtstat -a CORP07

要显示所分配 IP 地址为 10.0.0.99 的远程计算机的 NetBIOS 名称表，请键入：

nbtstat -A 10.0.0.99

要显示本地计算机的 NetBIOS 名称表，请键入：

nbtstat -n

要显示本地计算机 NetBIOS 名称缓存的内容，请键入：

nbtstat -c

要清除 NetBIOS 名称缓存并重新装载本地 Lmhosts 文件中带标记 #PRE 的项目，请键入：

nbtstat -R

要释放通过 WINS 服务器注册的 NetBIOS 名称并对其重新注册，请键入：

nbtstat -RR

要每 5 秒以 IP 地址显示 NetBIOS 会话统计资料，请键入：

nbtstat -S 5

2007-04-04

从QQ被盗说起

    现如今，无论是个人用户还是企业用户都非常重视计算机的安全性，木马、钓鱼网站、病毒让互联网中的电脑每时每刻都在受到威胁。有些朋友会问加强电脑的安全性真的有必要吗？其实本文中的小李在中毒之前与您的想法是一样的，但通过一件事让小李对电脑的安全性有了更强的意识。一个QQ号的丢失引起的警惕从2000年小李由一个不懂计算机的菜鸟开始向虚拟的互联网接触，也是自那时起他学习并使用了聊天工具，也随之有了一个自己的QQ号。通过上网聊天小李结识了很多朋友，除此之外他从互联网上也学到了不少知识，自此互联网成为他生活中的一部分。经过一段磨炼的小李虽然已经掌握了操作电脑的基本技术，但他对系统的安全意识非常的淡薄。据他回忆说2000年，他的电脑配置是P3 800+128MB内存+20GB硬盘，本身电脑速度就慢，如果在运行杀毒程序基本上就不用干别的了。当时的操作系统还是基于Windows98，一次有一位朋友来他家做客，发现他的电脑速度比正常情况下还慢，于是朋友从家里带来了一款杀毒软件，经过检测从计算机C盘就查出1万多个病毒，这还不包括其他的分区。格式化C盘：因为机器里面并没有太多的数据资料，因此第一次的病毒入侵并没有让小李过多去在意。也是从这次开始，他清除病毒的解决方法就是格式化C盘。系统还原：随着时间飞逝，更多的操作让系统注册表不断庞大，再加上病毒的入侵让系统频繁崩溃。格式化已经不能解决根本问题，一边又一遍安装应用软件既费时又费力，于是小李选择了当系统安装完成之后使用GHOST备份系统及安装程序，这样在恢复时就可以节约很多的时间。

2.通过浏览网页和下载软件传播:很多网友都遇到过这样的情况，在浏览过某网页之后，IE标题便被修改了，并且被强制安装了一些插件程序，每次打开IE都被迫登陆某一固定网站，有的还被禁止恢复还原，这便是恶意代码在作怪。当你的IE被修改，注册表不能打开了，开机后IE疯狂地打开窗口，被强制安装了一些不想安装的软件，那末肯定是中了恶意网站或恶意软件的毒了，有些病毒我们也称为流氓软件。解决方法：不要浏览一些不健康网站或误入一些黑客站点，访问这些站点的同时或单击其中某些链接如果出现下载软件提示时，选择不安装，或者将该页面强制关闭。

3.通过即时通讯软件传播: 在我国IM软件可以说是网民使用率最高的软件之一，像MSN、QQ已经成为日常工作及。由于用户数量众多，再加上即时通讯软件本身的安全缺陷，使病毒及黑客软件成为它们捕捉的目标。早些时候针对QQ的病毒、木马较多，而近年来针对MSN的病毒也逐渐多起来，虽然各款及时通讯软件将自己的软件版本不断升级，但截至目前通过QQ来进行传播的病毒已达上百种。解决方法：使用官方版本的及时通讯软件，不要使用外挂程序，定期将自己的病毒库进行更新升级。

4.通过网络游戏传播:网络游戏已经成为人们缓解生活压力的一种消遣方式。对于游戏玩家来说，网络游戏中最重要的就是装备、道具等这些虚拟物品了，这些装备会随着时间的积累而成为一种有真实价值的东西，因此出现了针对这些虚拟物品的交易，从而出现了偷盗虚拟物品的现象。因此特洛伊木马(Trojan horse)成为菜鸟和不法分子的最爱。

    解决方法：用户如果在家中上网需要安装杀毒软件及防火墙并定期更新，如果是在网吧或公共场所上网建议选择有杀毒软件的电脑使用。最近流行的病毒及木马程序像前一段流行的熊猫烧香这样的蠕虫病毒，不但对用户系统进行破坏，导致大量应用软件无法使用，还可删除扩展名为gho的所有文件，造成用户系统备份文件丢失，从而无法进行系统恢复，还能终止大量反病毒软件进程。除此之外，继熊猫烧香之后灰鸽子也成为威胁用户计算机安全的一个破坏程序，灰鸽子是国内一款著名后门程序，其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。
    如何提高电脑的安全性先说一下个人用户，我们建议使用正版的杀毒软件及应用程序，一些免费的程序建议从国内知名的软件站去下载，如：华军、天空、驱动之家等。其次避免浏览一些不良网站及论坛，最后在使用移动设备时应该先使用电脑中的杀毒软件查一遍毒，确保安全后再使用。其次是网吧及企业用户，因为整个网络主要是以局域网构成，因此一旦一台电脑被感染中毒之后，病毒很快就会被传播。因此建议这类用户使用企业版杀毒软件并同一进行定期更新，关闭操作系统中不常用到的服务选项，屏蔽一些可能被入侵的端口，如果发现网内有一台电脑中病毒之后应及时与其他电脑进行隔离。

   总而言之，定期更新杀毒软件的病毒库是关键。病毒入侵后的挽救方法在病毒入侵后，我们应先用杀毒软件进行杀毒，然后将电脑中的数据用磁盘或者是光盘等存储介质保存起来。假如病毒已经感染操作系统本身，而无法用原有的操作系统进行杀毒，建议尝试将硬盘拆下（设置成从盘）挂到另外一台机器上进行杀毒操作。如果是硬盘分区表被破坏，建议用DiskMan、ScanDisk等分区表恢复软件修复。

   总结：只要您使用计算机接触互联网，就很有可能被病毒感染。照片、文档、资料或者是聊天工具相信对您都有一定的意义及价值，不要等它们丢失或损坏了才去想办法补救，到那时就来不及了。 

3月份十大病毒排行

         国外媒体报道，据英国著名安全软件厂商Sophos日前公布的一份报告显示，三年前的老病毒Netsky是今年3月份传播范围最广的计算机病毒。　　报告显示，Sophos今年3月共查获了8835个新病毒，从而使病毒总数达到了23.1548万个。
 
         但是，危害更大的依然是老病毒。例如，2004年3月发现的Netsky病毒，占今年3月所截获的病毒数量的32.7%。

　　此外，Mytop的比例也高达30.4%。以下为今年3月的十大流行病毒：

　　1. Netsky（32.7%）

　　2. Mytop （30.4%）

　　3. Sality （7.8%）

　　4. MyDoom （5.2%）

　　5. Bagle （4.1%）

　　6. Zafi　（3.4%）

　　7. Stratio　（2.6%）

　　8. Nyxem　（2.6%）

　　9. Clagger　（2.4%）

　　10. New DwnLdr　（2.0%）

2007-04-03

设置安全的Windows电脑

一、安全问题归纳

谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种：

1. 被他人盗取密码
2. 系统被木马攻击
3. 浏览网页时被恶意的java scrpit程序攻击
4. QQ被攻击或泄漏信息
5. 病毒感染
6. 系统存在漏洞使他人攻击自己
7. 黑客的恶意攻击

二、基本防范步骤

下面我们就来看看通过什么样的手段来更有效的防范攻击。一般按以下几步，如果你觉得太专业的内容可以跳过。

1. 查本地共享资源
2. 删除共享
3. 删除ipc$空连接
4. 账号密码的安全原则
5. 关闭自己的139端口
6. 445端口的关闭
7. 3389的关闭
8. 4899的防范

三、按部就班

1.查看本地共享资源

运行CMD，在DOS窗口的命令行中输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

2.删除共享(每次输入一个）

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e，f，……可以继续删除）

3.删除ipc$空连接

在运行内输入regedit，在注册表中找到 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControl/SetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。

4.关闭自己的139端口，ipc和RPC漏洞存在于此。

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

5．防止rpc漏洞

打开管理工具(选择我的电脑，按右键，选择菜单中的管理)，在服务中找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。

XP SP2和2000 pro sp4，均不存在该漏洞。

6．445端口的关闭

修改注册表，添加一个键值

HKEY_LOCAL_MACHINE\SystemCurrentControl\SetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0。

7．3389的关闭

3389是用于WindowsXP远程协助的端口。我的电脑上点右键选属性，选远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

Win2000server 开始–>程序–>管理工具–>服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）

8．4899的防范

网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9、禁用服务

若PC没有特殊用途，基于安全考虑，打开控制面板，进入管理工具——服务，关闭以下服务：

• Alerter[通知选定的用户和计算机管理警报]
• ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
• Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享
• Distributed Link Tracking Server[适用局域网分布式链接]
• Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]
• Messenger[警报]
• NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
• Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
• Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
• Remote Desktop Help Session Manager[管理并控制远程协助]
• Remote Registry[使远程计算机用户修改本地注册表]
• Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
• Server[支持此计算机通过网络的文件、打印、和命名管道共享]
• TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
• Telnet[允许远程用户登录到此计算机并运行程序]
• Terminal Services[允许用户以交互方式连接到远程计算机]
• Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。

10、账号密码的安全原则

首先禁用guest帐号，将系统内建的administrator帐号改名（改得越复杂越好，最好改成中文的），然后设置一个密码，最好是8位以上字母数字符号组合。

如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同 上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的 adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在 安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是 密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置

• 打开管理工具.本地安全设置.密码策略
• 密码必须符合复杂要求性.启用
• 密码最小值.我设置的是8
• 密码最长使用期限.我是默认设置42天
• 密码最短使用期限0天
• 强制密码历史 记住0个密码
• 用可还原的加密来存储密码 禁用

11、本地策略:

这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。打开管理工具，找到本地安全设置.本地策略.审核策略

• 审核策略更改 成功失败
• 审核登陆事件 成功失败
• 审核对象访问 失败
• 审核跟踪过程 无审核
• 审核目录服务访问 失败
• 审核特权使用 失败
• 审核系统事件 成功失败
• 审核帐户登陆时间 成功失败
• 审核帐户管理 成功失败

然后再到管理工具找到事件查看器

应用程序：右键/>属性/>设置日志大小上限，我设置了50mb，选择不覆盖事件

安全性：右键/>属性/>设置日志大小上限，我也是设置了50mb，选择不覆盖事件

系统：右键/>属性/>设置日志大小上限，我都是设置了50mb，选择不覆盖事件

12、本地安全策略:

打开管理工具，找到本地安全设置.本地策略.安全选项

• 交互式登陆.
• 网络访问.不允许SAM帐户的匿名枚举 启用
• 网络访问.可匿名的共享 将后面的值删除
• 网络访问.可匿名的命名管道 将后面的值删除
• 网络访问.可远程访问的注册表路径 将后面的值删除
• 网络访问.可远程访问的注册表的子路径 将后面的值删除
• 网络访问.限制匿名访问命名管道和共享

8.帐户.（前面已经详细讲过拉 ）

13、用户权限分配策略:

打开管理工具，找到本地安全设置.本地策略.用户权限分配

• 从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属于自己的ID
• 从远程系统强制关机，Admin帐户也删除，一个都不留
• 拒绝从网络访问这台计算机 将ID删除
• 从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务
• 通过远端强制关机。删掉

14、终端服务配置

打开管理工具，终端服务配置

• 点连接，右键，属性，远程控制，点不允许远程控制
• 常规，加密级别，高，在使用标准Windows验证上点√
• 网卡，将最多连接数上设置为0
• 高级，将里面的权限也删除.
• 点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话

15、用户和组策略

打开管理工具 计算机管理.本地用户和组.用户;

• 删除Support_388945a0用户等等
• 只留下你更改好名字的adminisrator权限

16、自己动手DIY在本地策略的安全选项（高级）

• 当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
• 登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户名.
• 对匿名连接的额外限制
• 允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
• 只有本地登陆用户才能访问cd-rom
• 只有本地登陆用户才能访问软驱
• 禁止关机事件跟踪：开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates）-> ”系统“（System），在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows 2000的关机窗口

17、关于浏览器

IE浏览器（或基于IE内核的浏览器）存在隐私问题，index.dat文件里记录着你上网的信息。所以我推荐大家换一款其他内核浏览器。

现在炒的很热的FireFox，就很不错，如果你想打造一款属于自己的个性化浏览器，那FireFox是首选。它有强大的扩展定制功能！

当然，由于国内一些网页并不是用WC3组织认证的标准HTML语言编写，所以IE还是不能丢，留作备用。

18、最后一招，也是最关键的一招：安装杀软与防火墙

• 推荐的软件
• 国产杀软：江民。其实论实力，江民在国内绝对是一支独秀。先进的杀毒引擎，较完整的病毒库，清除活体病毒能力强，杀壳能力强，可杀连环DLL，监控灵敏，占系统内存小。
• 国外杀软：
• Kapersky：这款俄国的杀软在国内极度火热，其拥有世界第一的毒库，毒库3小时一升级，对系统提供最完善的保护。
• McAfee：美国杀软，柔和而强劲的保护，适合有点资历的用户。规则指定得当，百毒不侵。
• GData AntiVirusKit：真正的强悍！它用Kapersky+BitDefender的双引擎，而且经优化处理，系统不会很卡。
• F-Scure：竟然夸张到4引擎！不过除了Kapersky4.0的引擎，其他的很一般。虽然保护是很周到，但用它笔者觉得不如AVK（上一个）。

防火墙，系统的最后一道防线。首先可以打开WindowsXP的防火墙

商业的防火墙推荐：comodo、天网