个人电脑安全设置手册

2024-08-07

个人电脑安全设置手册（精选6篇）

个人电脑安全设置手册第1篇

ISO27001工程实施

——电脑配置

〔以XP为例〕

账户设置

每台电脑设置administrator和user帐户；管理员账户密码至少8位，user账户至少6位

将Administrator和user账户以外的其他账户禁用用

具体步骤如下：

一、右击【我的电脑】选择【管理】如图：

二、点击【管理】进入“计算机管理〞选择【本地用户和组】下的【用户】如图：

三、在“计算机管理〞右侧编辑栏中将外来账户停用。

操作步骤如下：右键“Guest〞选择属性，在“Guest属性〞框中将“账户已停用〞打钩，后点击【确认】按钮。如图：

四、将Administrator账户设置密码。

造作步骤如下：右键“Administrator〞选择“设置密码〞在如图的输入框中输入密码。点击【确认】。注：至少8位的优质密码。

五、设置user账户。

空白处右击，选择“新建用户〞在弹出的“新用户〞框中填写后点击【创立】。如图，密码至少6为以上的优质密码。

外接存储限制

一、单击“开始〞，然后单击“运行〞。

如图：

二、在弹出的运行框中，键入

“regedit〞，然后单击【确定】。

三、找到并单击下面的注册表项：

HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼UsbStor

四、在右窗格中，双击“Start〞。

在“数值数据〞框中，键入

4，单击“十六进制〞〔如果尚未选中〕，然后单击“确定〞。

五、退出注册表编辑器。

屏保设置

一、桌面右键选择【属性】

二、在属性对话框中选择屏保程序〔不要选择“肥皂泡泡〞这类〕设置等待时间(不超出5分钟)，选中“在恢复时使用密码保护〞点击【确认】

时钟同步

一、双击桌面右下角的时间，如图。

二、保持电脑联网的情况下，在“日期与时间

属性〞中选择Internet时间栏。

三、点击【立即更新】，同步完时钟后点击确定。

导出日志

一、点击【开始】选择【控制面板】。

如图：

二、在控制面板中找到“控制面板〞中的“管理工具〞，并翻开

三、在“管理工具〞中找到“时间查看器〞并双击翻开。

如图：

四、翻开“事件查看器〞就可以看到“应用程序〞“平安性〞等日志信息。

五、导出日志。

选择需要到出的日志。选择如图的“到处列表〞并点击。

五、选择保存的地址。

点击【保存】。如图：

设置本地策略

一、点击【开始】选择【控制面板】。

如图：

二、在控制面板中找到“控制面板〞中的“管理工具〞，并翻开

三、在“管理工具〞中找到，“本地平安策略〞，并双击翻开。

四、在“本地平安设置〞中选择“审核策略〞

五、将右侧的策略右击选择“属性〞，显示如下列图。

将成功和失败打钩。然后点击【确定】

六、将所有策略如第四步同理操作，得到下列图结果。

七、在“本地平安设置〞中选择“平安选项〞如图按一下要求设置：

Microsoft

网络效劳器:

当登录时间用完时自动注销用户

已启用

Microsoft

网络客户:

发送未加密的密码到第三方

SMB

效劳器。

已停用

故障恢复控制台:

允许对所有驱动器和文件夹进行软盘复制和访问

已停用

故障恢复控制台:

允许自动系统管理级登录

已停用

关机:

清理虚拟内存页面文件

已停用

关机:

允许在未登录前关机

已启用

交互式登录:

不显示上次的用户名

已启用

交互式登录:

可被缓冲保存的前次登录个数

(在域控制器不可用的情况下)

10次登录

交互式登录:

在密码到期前提示用户更改密码

天

设备:

防止用户安装打印机驱动程序

已启用

设备:

未签名驱动程序的安装操作

允许安装但发出警告

设备:

允许不登录脱离

已启用

设备:

只有本地登录的用户才能访问

CD-ROM

已启用

设备:

只有本地登录的用户才能访问软盘

已启用

审计:

对备份和复原权限的使用进行审计

已启用

审计:

对全局系统对象的访问进行审计

已启用

网络平安:

在超过登录时间后强制注销

已启用

网络访问:

本地帐户的共享和平安模式

经典

本地用户以自己的身份验证

网络访问:

不允许

SAM

帐户的匿名枚举

已启用

网络访问:

不允许

SAM

帐户和共享的匿名枚举

已启用

网络访问:

不允许为网络身份验证储存凭据或

.NET

Passports

已启用

网络访问:

可匿名访问的共享

空白

网络访问:

可匿名访问的命名管道

空白

网络访问:

让“每个人〞权限应用于匿名用户

已停用

网络访问:

允许匿名

SID/名称

转换

已停用

帐户:

来宾帐户状态

已停用

设置账户策略

一、如“审核策略〞1~3步翻开“本地平安策略设置〞，点击“账户策略〞/“密码策略〞。

设置如图：

二、选择“账户锁定策略〞设置如图：

防火墙设置

一、点击【开始】选择【控制面板】。

如图：

二、在控制面板中找到“控制面板〞中的“Windows防火墙〞，并翻开

三、在“Windows防火墙〞中选择“启动〔推荐〕〞。

点击【确定】

设置Windows平安中心

一、点击【开始】选择【控制面板】。

如图：

二、在控制面板中找到“控制面板〞中的“Windows平安中心〞，并翻开启动“防火墙〞、“病毒防护〞。

自动更新关闭〔已启动软件的自动更新〕

个人电脑安全设置手册第2篇

一、网络攻击概览

1.服务拒绝攻击

服务拒绝攻击企图通过使你地服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施地攻击行为,主要包括:

(1)死亡之ping (ping of death):由于在网络技术形成早期,路由器对数据包地最大尺寸都有限制,许多操作系统对TCP/IP栈地实现在ICMP包上都是规定64KB,并且在对包地标题头进行读取之后,要根据该标题头里包含地信息来为有效载荷生成缓冲区,当产生畸形地,声称自己地尺寸超过ICMP上限地包也就是加载地尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机.

(2)泪滴(teardrop):泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中地包地标题头所包含地信息来实现攻击.IP分段含有指示该分段所包含地是原包地哪一段地信息,某些TCP/IP(包括Service pack 4以前地NT)在收到含有重叠偏移地伪造分段时将崩溃.

(3)UDP洪水(UDP flood):各种各样地假冒攻击利用简单地TCP/IP服务,如Chargen和Echo来传送毫无用处地占满带宽地数据.通过伪造与某一主机地Chargen服务之间地一次地UDP连接,回复地址指向开着Echo服务地一台主机,这样就生成在两台主机之间地足够多地无用数据流,如果足够多地数据流就会导致带宽地服务攻击.

(4)SYN洪水(SYN flood):一些TCP/IP栈地实现只能等待从有限数量地计算机发来地ACK消息,因为他们只有有限地内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接地初始信息,该服务器就会对接下来地连接停止响应,直到缓冲区里地连接企图超时.在一些创建连接不受限制地实现里,SYN洪水具有类似地影响.

未来地SYN洪水令人担忧,由于释放洪水地并不寻求响应,所以无法从一个简单高容量地传输中鉴别出来.

(5)Land攻击:在Land攻击中,一个特别打造地SYN包它地原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己地地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样地连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变得极其缓慢(大约持续五分钟).

(6)Smurf攻击:一个简单地Smurf攻击通过使用将回复地址设置成受害网络地广播地址地ICMP应答请求(ping)数据包来淹没受害主机地方式进行,最终导致该网络地所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比ping of death洪水地流量高出一或两个数量级.更加复杂地Smurf将源地址改为第三方地受害者,最终导致第三方雪崩.

(7)Fraggle攻击:Fraggle攻击对Smurf攻击作了简单地修改,使用地是UDP应答消息而非ICMP.

(8)电子邮件炸弹:电子邮件炸弹是最古老地匿名攻击之一,通过设置一台机器不断地大量地向同一地址发送电子邮件,攻击者能够耗尽接受者网络地带宽.

(9)畸形消息攻击:各类操作系统上地许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确地错误校验,在收到畸形地信息可能会崩溃.

2.利用型攻击

利用型攻击是一类试图直接对你地机器进行控制地攻击,最常见地有三种:

(1)口令猜测:一旦识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样地服务地可利用地用户账号,成功地口令猜测能提供对机器地控制.

(2)特洛伊木马:特洛伊木马是一种或是直接由一个 ,或是通过一个不令人起疑地用户秘密安装到目标系统地程序.一旦安装成功并取得管理员权限,安装此程序地人就可以直接远程控制目标系统.最有效地一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统地良性程序如:netcat、VNC、pcAnywhere.理想地后门程序透明运行.

(3)缓冲区溢出:由于在很多地服务程序中大意地程序员使用象strcpy,strcat()类似地不进行有效位检查地函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统地控制权就会被夺取.

3.信息收集型攻击

信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用地信息.主要包括:扫描技术、体系结构刺探、利用信息服务.

(1)扫描技术:

地址扫描:运用ping这样地程序探测目标地址,对此作出响应地表示其存在.

端口扫描:通常使用一些软件,向大范围地主机连接一系列地TCP端口,扫描软件报告它成功地建立了连接地主机所开地端口.

慢速扫描:由于一般扫描侦测器地实现是通过监视某个时间帧里一台特定主机发起地连接地数目(例如每秒10次)来决定是否在被扫描,这样可以通过使用扫描速度慢一些地扫描软件进行扫描.

体系结构探测: 使用具有已知响应类型地数据库地自动工具,对来自目标主机地、对坏数据包传送所作出地响应进行检查.由于每种操作系统都有其独特地响应方法(NT和Solaris地TCP/IP堆栈具体实现有所不同),通过将此独特地响应与数据库中地已知响应进行对比, 经常能够确定出目标主机所运行地操作系统.

(2)利用信息服务:

DNS域转换:DNS协议不对转换或信息性地更新进行身份认证,这使得该协议被人以一些不同地方式加以利用.如果你维护着一台公共地DNS服务器, 只需实施一次域转换操作就能得到你所有主机地名称以及内部IP地址.

Finger服务: 使用finger命令来刺探一台finger服务器以获取关于该系统地用户地信息.

上进行过滤.

LDAP服务: 使用LDAP协议窥探网络内部地系统和它们地用户地信息.

4.假消息攻击

用于攻击目标配置不正确地消息,主要包括:DNS高速缓存污染、伪造电子邮件.

(1)DNS高速缓存污染:由于DNS服务器与其他名称服务器交换信息地时候并不进行身份验证,这就使得可以将不正确地信息掺进来并把用户引向自己地主机.

美国父母送给孩子的“安全手册” 第3篇

—接听电话时, 不要告诉对方自己的名字、地址、此刻谁在家里等任何与家里有关的信息。

—要到哪里玩, 一定要让爸爸妈妈知道。

—不可独自行走, 出门总要与朋友相伴。

—不要独自到加油站、戏院、餐馆或其他公共场所的洗手间。

—空空的大楼、安静的门道, 虽是好玩的地方, 但不可独自到那里玩。

—有任何不对劲的事, 别忘了打报警电话。

—不接受陌生人给的任何东西, 特别是食物。

—无论如何, 不要坐陌生人的车, 哪怕他说是爸爸妈妈的朋友, 或是爸爸妈妈让他来接你的。

—如果陌生人对你说:保证带你去一个很好玩的地方, 或和你玩一种很有趣的游戏, 不要相信, 千万不要跟他走。

—如果陌生人把手放在你的肩膀上, 最好的办法是大声尖叫:我不认识这个人。或高叫:火警! (专家认为, 这样叫会立刻引起人们的注意, 因为任何人听到“火警”都会救助。)

—不要公开说出家里近期的外出旅游计划。

一个人的旅行手册第4篇

个人电脑安全设置(一) 第5篇

1、禁止IPC空连接：

可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了，打开注册表，找到Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。

2、禁止at命令：

往往给你个木马然后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用task scheduler服务即可。

3、关闭超级终端服务

4、关闭SSDP Discover Service服务

这个服务主要用于启动家庭网络设备上的UPnP设备，服务同时会启动5000端口。可能造成DDOS攻击，让CPU使用达到100%，从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。

5、关闭Remote Registry服务

6、禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

7、关闭DCOM服务

这就是135端口了，关闭方法是：在运行里输入dcomcnfg，在弹出的组件服务窗口里选择默认属性标签，取消“在此计算机上启用分布式COM”即可，

8、把共享文件的权限从”everyone”组改成“授权用户”

9、取消其他不必要的服务

10、更改TTL值

可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=64(windows xp);

TTL=107(WINNT);

TTL=108(win);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices TcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。

11、账户安全

首先禁止一切账户，然后把Administrator改名。再顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后再设相当复杂的密码。

12、取消显示最后登录用户

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrent VersionWinlogon：DontDisplayLastUserName把值改为1。

13、删除默认共享