win7系统的基本安全配置

Win7系统的基本安全配置

一、实验目的

熟悉win7系统的安全配置

二、实验设备

一台装有win7系统的电脑

三、实验内容

1. 修改Windows 系统注册表的安全配置

2. 修改Windows 系统的安全服务设置

3. 修改IE 浏览器安全设置

4.设置用户的本地安全策略,包括密码策略和帐户锁定策略

5. Win7文件安全防护EFS的配置实用

6. 学会用事件查看器查看三种日志。

四、实验过程

1. Windows系统注册表的配置

用“Regedit”命令启动注册表编辑器 配置Windows 系统注册表中的安全项(1)关闭Windows 远程注册表服务通过任务栏的“开始-> 运行” 输入regedit 进入注册表编辑器。找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下的“RemoteRegistry”项。

右键点击“RemoteRegistry”项 选择“删除”。

(2) 修改注册表防范IPC$攻击

IPC$(Internet Process Connection)它可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

(a)查找注册表中

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的“RestrictAnonymous”项。

(b)单击右键 选择“修改”。

(c)在弹出的“编辑DWORD 值”对话框中数值数据框中添入“1”将

“RestrictAnonymous”项设置为“1”这样就可以禁止IPC$的连接 单击“确定”按钮。

(3)修改注册表关闭默认共享

(a)在注册表中找到

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer \Parameters”项。在该项的右边空白处 单击右键选择新建DWORD 值。(b)添加键值“AutoShareServer”(类型为“REG_DWORD”值为“0”)

2 通过“控制面板\管理工具\本地安全策略” 配置本地的安全策略

在“本地安全策略”左侧列表的“安全设置”目录树中 逐层展开“本地策略”“安全选项”。查看右侧的相关策略列表 在此找到“网络访问 不允许SAM 账户和共享的匿名枚举”用鼠标右键单击在弹出菜单中选择“属性”而后会弹出一个对话框在此激活“已启用”选项最后点击“应用”按钮使设置生效。

PS sam文件记录了电脑里各个用户的用户名和密码。这样在登录的时候我们才可以用不同的用户名登录到本地。

windows2000以前就有这个漏洞。如果忘了密码 可以在dos下删除sam这个文件然后可以用Administrator密码为空登录

（2）不显示上次登录的用户名

3. 打开IE浏览器 选择“工具\Internet选项\安全”选项 进行IE浏览器的安全设置

（1）在Internet 选项中自定义安全级别

（2）设置添加受信任和受限制的站点

4. 设置用户的本地安全策略 包括密码策略和帐户锁定策略。

（1）打开“控制面板”→“管理工具”→“本地安全设置”

（2）设置密码复杂性要求 双击“密码必须符合复杂性要

求”就会出现“本地安全策略设置”界面 可根据需要选择“已启用”单击“确定”即可启用密码复杂性检查。

（3）设置密码长度最小值双击“密码长度最小值”将密码长度设置在6 位以上。

（4）设置密码最长存留期双击“密码最长存留期”将密码作废期设置为60 天则用户每次设置的密码只在60 天内有效

（5）Win7文件安全防护EFS的配置实用

（1）1、在计算机里面选择要进行EFS的文件，然后点击“右键”选择“属性”

2、在“属性”里面选择“高级”选项(如下图)：

3、在“高级属性”里面勾选“加密内容以便保护数据”(如下图)：

4、完成EFS的步骤之后，加密的文件的名称会变成绿色的颜色(如下图)：

这时已经完成了对“新建文件夹的”EFS的工作了。

如果要对整个磁盘加密可以用到win7的BitLocKer功能，这里就不介绍了。（说明：EFS的操作很简单，但是也有人会说了，如果我是这台电脑的管理员，然后我对某些文件进行了EFS的加密，然后我离开我的这台电脑，别人过来之后，不是照样可以打开我加密之后的文件吗？

确实，这样别人是可以看见你加密的文件，所以我们可以在这台电脑上建立2个账户，当你要离开的时候，可以切换到另外的一个账户上，这样别人就无法打开你的EFS文件了。？

6. 学会用事件查看器查看三种日志。

1 以管理员身份登录系统 打开“控制面板”→“管理工具”→“事件查看器” 从中我们可以看到系统记录了三种日志。

2 双击“应用程序日志” 就可以看到系统记录的应用程序日志。

3 在右侧的详细信息窗格中双击某一条信息 就可以看到该信息所记录事件的详细信息 用同样方法查看安全日志和系统日志。

Win7基本设置安全设置70解答:

1. PC Safeguard 电脑守卫

我很少让其他人使用我的电脑，因为我怕他们会把它弄的乱七八糟的，但是看起来，微软已经替我考虑到这一点并且顺便解决了这个问题。PC Safeguard不会让任何人把你电脑的设置弄乱，因为当他们注销的时候，所有的设定都会恢复到正常。当然了，他不会恢复你自己的设定，但是你唯一需要做的就是定义好其他用户的权限。

要使用PC Safeguard，首先控制面板--用户帐户接下来创建一个新的帐户，然后选择"启用PC Safeguard" 然后确定。然后你就可以安心的让别人使用你的电脑了，因为任何东西都不会被改变，包括设定，下载软件，安装程序。

2. Screen Calibration 屏幕校准

很幸运，win7 拥有显示校准向导功能可以让你适当的调整屏幕的亮度，所以你不会再遇到浏览照片和文本方面的问题了。以前出现的问题包括一张照片在一台电脑上看起来很漂亮而耀眼，但是在另一台电脑却看起来很难看。现在问题被解决了，只要你按住WIN+R 然后输入"DCCW"。

3. AppLocker 应用程序控制策略

如果你经常和其他人分享你的电脑，然后你又想限制他们使用你的程序，

文件或者文档。AppLocker工具会给你提供一些选择来阻止其他人接近你的可

执行程序，windows安装程序，脚本，特殊的出版物和路径。你可以简单的做到这些，按住WIN键同时按R 然后输入GPEDIT.msc 来到本地策略组编辑器，计算机配置--windows设置--安全设置--应用程序控制策略，右键点击其中的一个选项（可执行文件，安装或者脚本）并且新建一个规则。它应该可以把你从头疼中解救出来。

4. Burn Images 镜像刻录

我们都有过在windows下进行镜像刻录的困扰，因为他本没这功能，所以必须拥有一个独立的刻录软件。随着windows7的到来，这些问题都不复存在了。我们所有需要做的仅仅是双击ISO镜像并且烧录进你光驱中的CD或者DVD 中。

5.Display Empty Removable Drives 播放空白的可移动设备

Windows7将默认不自动播放空白的移动设备，所以如果你连接了一个空白的移动设备在你的电脑上，不要担心，只需要点击工具--文件夹选项--查看--取消"隐藏计算机文件夹中的空驱动器"的选择。

这是个看起来不怎么样的主意并且它不应该是默认的设定，因为它将很难被没有经验的使用者所知晓（理解）。

6.Dock The Current Windows To The Left Side Of The Screen 把当前窗口停靠在屏幕左侧

这个新功能看起挺有用，因为有些时候，我们会被屏幕中浮着的近乎疯狂的窗口们所困扰，并且很难把他们都弄到一边。现在我们使用键盘的快捷键就可以很轻松的做到了。按WIN+左键把它靠到屏幕的左边去吧。

7. Dock The Current Windows To The Right Side Of The Screen 把当前窗口停靠在屏幕右侧

按WIN+右键可以把窗口靠到右侧

8.Display Or Hide The Explorer Preview Panel 显示或隐藏浏览预览面板

按ALT+P 隐藏或者显示浏览的预览窗口

9.Display Gadgets On Top Of Other Windows 在其他窗口顶端显示小工具

按ALT+G

10. Background Photo Slideshow 幻灯片播放桌面背景图片

如果你像我一样懒或者无聊，那么你会去时常的更换你的桌面背景，这浪费了很多时间。现在你不需要再这么做了，因为你可以设置幻灯式播放了。右键单击桌面--个性化设置--桌面背景并且按住CTRL的同时选择图片。然后你可以选择播放图片的时间间隔和选择随机播放还是连续播放。

11. Make The Taskbar Smaller 让任务栏变小

如果你觉得任务栏占用了你屏幕的太多空间，你可以选择把图标变小。这样做, 右键单击开始按钮，选属性--任务栏选择"使用小图标"

https://www.sodocs.net/doc/3e15665364.html,bine Taskbar Icons 合并任务栏图标

如果你打开了很多窗口或者程序，工具栏的空间可能不够用，所以你需要像是XP，vista的那样合并他们。方法，右键单击开始按钮，选属性--任务栏选择"在任务栏满时分组"。

13. Multi-threaded File Copy 多线程文件复制

如果你是个更高级使用者，你肯定听说过Robocopy（复制文件和目录的高级实用程序）。现在它被包含在Win7当中，并且你可以通过命令行来执行多线程复制。你可以选择任意数目的线程，就像"/MT[:n],它的数值范围在1到128之间。

（在命令行输入ROBOCOPY /? 有具体用法）

14. Maximize Or Restore The Foreground Window 最大化或者恢复前台窗口

按WIN + 上

15. Minimize The Active Window 最小化激活窗口

按WIN+下

16. Activate The Quick Launch Toolbar 激活快速启动栏

当你在使用WIN7时，你可能会想念那个在XP和VISTA中看起来很有用的快速启动栏。幸运的是，你可以通过几个很快的步骤把它给找回来。右键单击任务栏--工具栏--新工具栏在空白处输入"%UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch"，然后选择文件夹。让他看起来像是在VISTA中一样，右键工具栏--取消"锁定工具栏"，接着右键点击分离和取消"显示标题" 和"显示文本"。最后右键单击工具栏并且选中"显示小图标" 你就完成了。

17.Preview Photos In Windows Explorer 在资源管理器中显示预览

在资源管理器窗口按ALT+P 预览窗口就应该出现在右侧了。

18. Desktop Magnifier 桌面放大镜

按WIN+ 加号或者减号来进行放大或者缩小。你可以缩放桌面上的任何地方，你还可以配置你的放大镜。你能选择反相颜色，跟随鼠标指针，跟随键盘焦点或者文本的输入点。

19. Minimize Everything Except The Current Window 最小化所有除了当前窗口

按win+Home

20. TroubleShoot Power Management 电源管理故障排除

WIN7可以告诉你的系统用了多少电或者为你提供关于电源使用以及每个程序和设备的相关问题的详细信息。你可以使用以下这个方法去优化你的电池，延长它的使用寿命。按WIN+R 输入POWERCFG -ENERGY -OUTPUT PATH\FILENAME 一分钟后就会生成一个energy-report.html文件在你设定的文件夹内。（例如POWERCFG -ENERGY -output c:\ 一种后会在C盘根目录下生成energy-report.html 里面有详细的电源描述。）

21. Web Searches From Your Desktop 在你的桌面上进行网页搜素

WIN7允许你通过一个附加的免费下载的接口来寻找在线资源。例如，登录https://www.sodocs.net/doc/3e15665364.html,/flickrsearch 下载flicker的接口。之后，你应该会看到Flicker Search 在你的搜索文件夹里并且你将可以在你桌面上进行搜索而不用打开网页。

22. Add Videos To Your Start Menu 在开始菜单中添加视频

如果你曾寻求一种更快的方式去找到你的视频，现在WIN7给了你一个答案。右键单击开始--属性--开始菜单--自定义然后设置视频为"以链接的形式显示"就完成了。

23. Shift The Window From One Monitor To Another 在不同的显示器之间切换窗口

如果你同时使用两个或者更多的显示器，那么你可能会想把窗口从一个移动到另一个中去。这里有个很简单的方法去实现它。所有要做的就是按WIN+SHIFT+左或者右，这取决于你想要移动到哪个显示器中去。

24.Custom Power Button 制定电源按钮

如果你很少关闭你的电脑，但是你会时常的重启它或者让它睡眠，那么在这里你有一种选择就是用其他的行为来取代你的关机按钮。右键单击开始--属性--电源按钮动作然后你就可以在所给的选项中随意的选择了。

25.Easily Add A New Font 轻松添加新字体

现在添加一个新的字体要比以前更加容易了。只需要下载你所需要的字体，双击它，你就会看到安装按钮了。

26. Stretch The Window Vertically 垂直伸展窗口

你可以用WIN+SHIFT+上来最大化垂直伸展你的当前窗口。WIN+shift+下来可以恢复它。

27. Open Windows Explorer 打开windows资源浏览器

按WIN+E打开新的windows资源浏览器

28. Create A New Instance Of The First Icon In The Taskbar 创建一个新的任务栏的第一个图标的进程

按WIN+1 可以用来打开一个新的任务栏上第一个图标。这个功能在一些情况下真的很有用。

29. Windows Action Center windows行动中心

windows行动中会给你提供你的电脑的重要信息，例如杀毒状态，升级，发现故障和提供一个计划备份功能。控制面板--系统和安全--行动中心

30. Windows Troubleshooting Platform Windows 故障发现平台

这个平台可以帮你解决很多你可能会遇到的问题，比如网络连接，硬件设备，系统变慢等等。你可以选择你要诊断的问题，他将同时给你关于这些问题的一些说明，QQ645107670它们真正的给你提供帮助，这提供很多可行的选项，指导和信息，所以尝试在按win之后输入"troubleshoot"或者"fix" 。

31. Turn Off System Notifications 关闭系统通知

系统通知通常会打扰你并且它们经常是没用的，所以你可能想关闭他们其中的一些。你可以在WIN7中双击控制面板中的通知区域图标来实现它。在这里，你可以改变行动中心，网络，声音，windows资源浏览器，媒体中心小程序托盘和windows自动升级的通知和图标。

32. Turn Off Security Messages 关闭安全信息

要关闭安全信息你要进入控制面板--系统和安全--行动中心--改变行动中心设置然后你可以关闭一些通知，包括windows升级，网络安全设置，防火墙，间谍软件和相关保护，用户帐户控制，病毒防护，windows备份，windows问题诊断，查找更新。

33. Cycle Through The Open Programs Via The Taskbar's Peek Menu 循环查看任务栏上打开的程序。

这似乎和ALT+TAB差不多，但是仅仅是那些打开的在边栏上方的菜单，看起来不是很实用。可以按WIN+T 来体验一下。

34. Run A Program As An Administrator 以管理员身份运行一个程序

当你打开一个程序的同时按住CTRL+SHIFT 就能以管理员权限去运行它。

35. Same Program Windows Switching 相同程序切换

如果你有很多程序正在运行，只要按住CTRL的同时单击它的图标，它就会循环在所有的程序中。

36. Auto Arrange Desktop Icons 自动排列桌面图标

你现在可以忘记右键然后点击自动排列这种方式了，你只需要按住F5一小会，图标就会自动排列了。

37. Encrypt Removable USB Drives 加密移动USB设备

加密USB设备从来没这么简单过，现在你可以右键点击可移动设备然后选择启动BITLOCKER。

38. Turn Off Smart Window Arrangement 关闭智能窗口排列

如果你不喜欢WIN7的新功能去智能的排列你的窗口的话，这里有个简单的方法去关闭它。按WIN 输入regedit，找到HKEY_CURRENT_USER\Control Panel\Desktop 然后将WindowArrangementActive的值改成0. 重启之后智能排列窗口就被关闭了。

39.Create A System Repair Disc 创建系统还原光盘

win7的一个工具可以让你创建一个可引导的系统修复光盘，它包括一些系统工具和命令提示符。按WIN 输入system repair disc 去创建他。

40. Hard-Link Migration Store 强制移动存储

他仅仅适用于新的电脑和转移文件，设置和用户帐户。新的强制移动存储功能占用磁盘空间更小和花费的时间也更少。

41. Turn Off 'Send Feedback' 关闭发送回馈

如果你认为当前测试版WIN7的关于测试者反馈的功能很烦人的话，这有个方法可以关掉它。按WIN 输入regedit，然后找到HKEY_CURRENT_USER\Control Panel\Desktop 接着把

FeedbackToolEnabled的值改成0. 重启电脑之后它就不会再出现了。另外，如果你要再打开它，就把数值改成3.

42. Improved Calculator 改良的计算器

WIN7的特色之一改良的计算器可以进行单位转换，日期计算，一加仑汽油的里程，租约和按揭的计算。你也可以在标准，科学，程序员和统计员模式之间进行选择。

43. Open A Folder In A New Process 在新进程中打开文件夹

Win7的所有的文件夹都在同一个进程中打开，这是为了节省资源，但这并不表示一个文件夹的崩溃会导致全部文件夹的崩溃。所以，如果你认为这是个没必要的冒险的话，你可以在把他们在他们各自单独的进程中打开。按住shift 右键点击驱动器并且选择在新的进程中打开。现在你安全了。

44. Problem Step Recorder 程序安装记录

程序安装记录是一个伟大的工具，它可以被运用在很多环境中。你可以通过按WIN 输入PSR.exe 然后点击记录来启动它。现在它将会记录你所有的移动，并且储存为HTML格式的文件，你可以浏览它或者在上面写下你的描述。这些可以和错误诊断，写入引导或者单独辅导一起给你提供帮助。

45.Free Codecs Pack 免费解码包

很不幸，Windows media player 仍然不能播放一些音频和视频文件，所以你仍然需要一些解码器。但是随着免费解码包的下载，你应该不会在这方面有任何问题了。

46. Start Windows Explorer From My Computer 从我的电脑打开资源浏览器

windows资源浏览器默认在指示库中打开。我们大部分人用它来取代我的电脑。按WIN输入“explorer”，选择属性，然后在快捷路径中输入

“%SystemRoot%\explorer.exe /root,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}”。然后右键单击任务栏上的浏览图标平且点击“从任务栏脱离此图标”然后把它从开始菜单拖拽出来。

47. Clear The Desktop 清理桌面

如果桌面上很多窗口，你可以从左到右摇晃窗口来清理桌面，这样所有其他的窗口将会变成最小化。如果想恢复窗口就再摇晃激活窗口。

48. Use Gadgets With UAC Turned Off 在关闭UAC之后使用小工具

也许你已经注意到了，出于安全考虑一旦UAC被关闭，你将无法再使用小工具。如果你想要在UAC被关闭的情况下冒险去使用他们，这里有一种方法。按WIN 输入regedit，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sideb ar\Settings 然后新建一个名为AllowElevatedProcess的DWORD值，然后把数值改成1. 现在你应该可以使用你的小工具。如果不行，重启电脑吧。

49. 修复媒体播放和媒体中心的MP3 BUG

Windows Media Player和Windows Media Center都有一个BUG，他会在你的重要的MP3文件上填充缺失的元数据，这会损坏你的MP3。这个问题会切断音轨开头的几秒钟时间，的确是很让人讨厌。现在这个问题已经在WIN7上被微软修复了。

50. 在你的电脑上搜索任何东西

WIN7给你提供了搜索包括那些你不知道的在内的所有类型文件的可能性，它会在你遇到麻烦的时候给你提供帮助。尽管它不被推荐使用，因为这真的是比普通的搜索要慢很多。你可以尝试一下，打开Windows资源管理器，选择工具——文件夹选项——查看选择尝试搜索未知类型文件。如果你不再需要它的时候别忘把它关了以提高搜素速度。

51. Mouse Gestures 鼠标手势

windows7的手势功能不只可以被那些购买了触摸屏的人所使用，同样可以被鼠标用户所使用。所以，你可以用按左键向上拖动任务栏图标的方式来取代右键单击的方式来激活跳跃列表。另外，点击并向下拖动IE浏览器中的地址栏会打开浏览历史。大概还有很多手势没有被发现。

52. Configure Your Music Favorites 配置你的音乐收藏夹

如果你已经修复了Windows Media Center，现在你可以想办法来提高你在这方面的使用经验了。媒体中心会在你播放歌曲次数的基础上创建一个音乐收藏列

表，你的播放率和播放时间都会被添加在上面。如果你不喜欢这种方式的话，你可以把你的收藏变的各种样式。点任务——设置——音乐——音乐收藏。

53. Turn Off Recent Search Queries Display 关闭最近的搜素显示

Win7默认保留和显示最近的搜索。这个可能经常会被证明是很刺激的。不需要紧张，因为你可以不让他显示。按WIN 输入GPEDIT.MSC ，然后用户设置——管理模版——windows组件——windows资源浏览器然后双击关闭显示最近输入的搜索。

54. Advanced Disk Defragmentation 高级磁盘整理

Win7提供了比VISTA好很多的磁盘整理功能，并且你可以通过命令行来设置它。按WIN 输入CMD。你可以利用输入命令行defrag整理你的磁盘并且你还有以下选项：/r 多个同时整理，-a 执行一个整理分析，-v 打印报告，-r 忽略小于64M的碎片，-w 整理所有碎片

例如：“defrag C: -v -w”整理整个C盘。

55. Make Internet Explorer 8 Load Faster 让IE8运行更快

如果你让IE8更快，你要关闭让它变慢的插件。工具——插件管理检查每一个插件的加载时间。你可以自己选择去掉那些你不需要的插件以提高读取速度。

56. Media Center Automatic Download 媒体中心自动下载

Windows媒体中心12允许你制定定时下载，所以它会在不打扰你的情况下就完成了下载。工具--设置--常规--自动下载选项然后你就可以随意的去配置它的下载了。

57.Remove The Sidebar 移除侧边栏

Win7看起来似乎没有侧边栏这个功能，但是实际上它是存在的并且随着电脑启动而自动被开启并且在后台运行。所以，如果你想把它摆脱掉，这里有两种方法。比较简单的一种是是按WIN，输入MSCONFIG.EXE，点击启动和清除边栏。难一点的方法就是按WIN 输入REGEDIT，找到并删除注册表键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。这个可以节省你的被不使用的东西所消耗的内存。

58. V olume Tweaking 音量调整

你不喜欢WIN7在检测到电脑内通话的时候自动降低声音的这种功能么？你可以关掉它。右键单击任务栏的音量图标--声音--通信然后把它关掉。

59. Run A Program As Another User 以其他用户的身份运行程序

Win7可以让你以管理员或者其他用户的身份去运行一个程序，即按住SHIFT的同时右键单击可执行文件或者快捷方式然后你可以选择以其他用户身份运行。

60. Use Virtual Hard Disk Files 使用虚拟硬盘

在win7中，你先可在你的真正的磁盘里创建并管理虚拟磁盘文件。可以使用windows的在线安装到你的虚拟磁盘中而不需要启动虚拟机。创建一个虚拟磁盘你需要按Win, 右键单击我的电脑--管理--磁盘管理--操作--创建VDH。在这里你可以指定虚拟硬盘的位置和大小。

连接拟硬盘文件按WIN，右键单击我的电脑，然后管理--磁盘管理--操作--连接VHD 然后你可以指定它的位置和是否是只读。初始化虚拟硬盘，按WIN, 右键单击我的电脑，管理--操作--连接虚拟硬盘。选择你想要的分区模式，然后右键点未分配的空间并且点击新简单卷，然后跟着指示向导做。现在，一个新的硬盘诞生了，而且你可以把它当作真正的分区来使用。

61. Remove The Windows Live Messenger Tab In The Taskbar 去除任务栏上的Windows Live Messenger

去掉Windows Live Messenger并且把它弄回到那个属于他的系统托盘区。来到C:\Program Files\Windows Live\Messenger，右键点msnmsdgr.exe 设置兼容模式为windows vista。

62. Lock The Screen 锁定屏幕

Win7的开始菜单里不再有锁定按钮，所以现在你要按WIN+L去锁定它。这看起来很简单，如果你不会忘掉这个快捷键的话。

63. Create A Screen Lock Shortcut 创建一个新的锁定屏幕快捷方式

如果你不喜欢使用快键或者把它给忘了，这有另外一种方式可以锁定屏幕。简单创建一个新的快捷方式到C:\Windows\System32\rundll32.exe user32.dll。然后你就可以随意的锁定或者解锁了。

64. Enable Run Command In Start Menu 启用在开始菜单中的运行

如果你怀念XP中的运行命令，这里有办法把它在WIN7中找回来。右键点击开始菜单的空白处，属性--开始菜单--自定义并且找到运行命令。

65. Improve Desktop Window Manager For Nvidia Graphics 为NVIDIA显卡

改善桌面窗口管理

有的时候桌面的动画效果看起来不是很好而且不够平滑，这是因为桌面窗口的没有使用透明度和模糊来渲染，但是你可以为更好的显示效果关闭动画。按WIN，右键单击我的电脑，属性--高级系统设置--性能--设置取消"最大化或者最小化时的动画效果"，点确定就行了。

66.Change Default Save Location For Files 改变文件的默认保存位置

WIN7和Vista有点不同，因为它的文档，图片，视频和音乐都保存在一个公共文件夹下，C:\USERS 。你可能不想把这些文件存放在那，但是创建你自己想要的储存位置是很简单的。按WIN，单击你的用户名并且双击你想要改变位置的文件夹。之后你会看到两个库的位置。点击那个TEXT，右键单击你希望设置成默认的文件夹，然后点"设置为默认文件位置"，点OK。

67. Make 64bit Windows Media Player Default ( only for X64 users ) 让Windows Media Player默认为64位。

windows自带版本Windows Media Player默认为32位。如果你是64位用户，这样做，按WIN 输入COMMAMD，右键点Command Prompt然后执行Run as administrator，输入"unregmp2.exe /SwapTo:64″，之后，按WIN，输入"regedit"，来到HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\wmplayer.exe\下，双击值并且把它从"%ProgramFiles(x86)"改为"%ProgramFiles%"。现在你就可以使用64位的Windows Media Player了。

68. Open Multiple Instances Of Windows Explorer Via The Taskbar 用任务栏打开多个windows资源管理器。

如果你想用开始条运行更多的WINDOWS资源管理器，你可以沿着以下步骤来做到：让windows资源管理器脱离任务栏，然后按WIN，找到附件，右键点资源浏览器，属性，把快捷方式路径改为%SystemRoot%\explorer.exe /root,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}（如果你想把它设置成默认为我的电脑）或者%SystemRoot%\explorer.exe /root,::{031E4825-7B94-4dc3-B131-E946B44C8DD5}（如果你想把它默认为库）。现在把资源管理附加回任务栏就可以了。这样你只要点鼠标的中键就能打开更多的资源管理器了。如果你想改回去，你把快捷方式路径改回%SystemRoot%\explorer.exe。

69. Make The System Tray Clock Show The AM / PM Symbols 让系统时间托盘显示AM/PM符号

win7默认显示24小时制的时间，所以如果你想要显示AM/PM，按WIN，输入intl.cpl 去打开时区和语言选项，自定义格式，把长时间从HH:mm改成HH:mm tt，例如tt是AM或者PM符号（21：12 PM）。把它改成12小时制，

你要输入像hh：：mm tt（9：12 PM）。

70. Internet Explorer 9 Compatibility Mode IE9兼容模式

如果你的网站不能正确渲染，你应该启动IE8兼容视图来播放他们。这是因为升级渲染引擎会导致很多麻烦。打开IE，工具--兼容视图设置然后选择用兼容视图打开所有网站，然后点确定。

操作系统的安全策略基本配置原则(新版)

When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. （安全管理） 单位：___________________ 姓名：___________________ 日期：___________________ 操作系统的安全策略基本配置原 则(新版)

操作系统的安全策略基本配置原则(新版)导语：生产有了安全保障，才能持续、稳定发展。生产活动中事故层出不穷，生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时，生产活动停下来整治、消除危险因素以后，生产形势会变得更好。"安全第一" 的提法，决非把安全摆到生产之上;忽视安全自然是一种错误。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十 条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏 感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全 策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信

Windows XP系统的安全配置方案

Windows XP系统的安全配置方案 1.关闭常见危险端口 (1)135端口 主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。 关闭135端口： 1. 单击“开始”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。 2. 在弹出的“组件服务”对话框中，选择“计算机”选项。 3. 在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。 4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。 5. 选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。 6. 单击“确定”按钮，设置完成，重新启动后即可关闭135端口。 (2) 139端口 IPC$漏洞使用的是139，445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。 关闭139端口： 本地连接—>Internet协议（TCP/IP）—>右击—>属性—>选择“TCP/IP”，单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。 (3) 445端口 和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘，甚至硬盘格式化。 关闭445端口： 运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters 建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键，键值为0。 (4) 3389端口 远程桌面的服务端口，可以通过这个端口，用“远程桌面”等连接工具来连接到远程的服务器。 关闭445端口： 我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。 2. 删除IPC$空连接 运行—>regedit—>HKEY-LOCAL_MACHINE\ SYSTEM\CurrentControSet\Control\LSA 将数值名称RestrictAnonymous的数值数据由0改为1。 3. 账号密码的安全原则 禁用guest账号，将系统内置的Administrator账号改名（越复杂越好，最好是中文的），设置密码最好为8位以上的字母+数字+符号的组合。 4. 删除共享

AI操作系统安全配置规范

AIX安全配置程序

1 账号认证 编号：安全要求-设备-通用-配置-1 编号：安全要求-设备-通用-配置-2

2密码策略 编号：安全要求-设备-通用-配置-3

编号：安全要求-设备-通用-配置-4 编号：安全要求-设备-通用-配置-5

编号：安全要求-设备-通用-配置-6 3审核授权策略 编号：安全要求-设备-通用-配置-7 (1)设置全局审核事件

配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号：安全要求-设备-通用-配置-8

Windows操作系统安全配置方案

Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留１５天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。 二、停止Guest帐号 在［计算机管理］中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。 很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。 同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的，这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类，而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后，可以建立一个Administrator的普通用户，将其权限设置为最低，并且加上一个10位以上的复杂密码，借此花费入侵者的大量时间，并且发现其入侵企图。

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

Windows2008安装完系统后安全设置

Windows2008系统安全设置 编写：技术支持李岩伟 1、密码设置复杂一些，例如：******** 2、更改administrator账户名称，例如：南关区社管服务器administrator更改为 *******，更改方法： 开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户：重命名系统管理员---右键---属性---更改名称；

3、更改guest账户名称，例如更改为********，更改方法： 开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户：重命名来宾帐户---右键---属性---更改名称； 4、新建一无任何权限的假Administrator账户 管理工具→计算机管理→系统工具→本地用户和组→用户 新建一个Administrator帐户作为陷阱帐户，设置超长密码（例如：*********），并去掉所有用户组 更改描述：管理计算机(域)的内置帐户 5、更改远程桌面端口： 开始—运行：regedit，单击“确定”按钮后，打开注册表编辑窗口; 找到： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为：XXX（例如22）——点确定。 然后找到： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为：XXX（例如22）——点确定。 6、设置不显示最后的用户名，设置方法： 开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录：不显示最后的用户名---右键---属性---已启用---应用

Windows 操作系统安全防护强制性要求

Windows 操作系统安全防护 强制性要求 二〇一四年五月

目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest（来宾）帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器

6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11

4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程，防止病毒程序运行 15 6.3.关闭不必要启动项，防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置

Windows 安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 根据系统的要求，设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令： 删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 缺省帐户－>属性－> 更改名称

操作系统安全配置管理办法

行业资料：________ 操作系统安全配置管理办法 单位：______________________ 部门：______________________ 日期：______年_____月_____日 第1 页共8 页

操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理，提高重要信息系统的安全运行维护水平，规范化操作，确保信息系统安全稳定可靠运行，特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括：AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南 第 2 页共 8 页

3支持文件 《IT主流设备安全基线技术规范》（Q/CSG11804-xx） 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员，负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置，应由终端管理员负责进行配置，或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理，变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善，由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型，不同的应用环境及不同的安全等级，结合信息系统和终端安全特性，制定合适的操作系统安全配置，以采取合适的安全控制措施。 5.2根据应用系统实际情况，在总体安全要求的前提下，操作系统的安全配置应满足《IT主流设备安全基线技术规范》（Q/CSG11804-xx）文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。 第 3 页共 8 页

操作系统的安全策略基本配置原则通用版

管理制度编号：YTO-FS-PD674 操作系统的安全策略基本配置原则通 用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

操作系统的安全策略基本配置原则 通用版 使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了

各种操作系统安全配置方案

操作系统安全配置方案 内容提要 Windows 的安全配置。 操作系统的安全将决定网络的安全，从保护级别上分成安全初级篇、中级篇和高级篇，共36 条基本配置原则。 安全配置初级篇讲述常规的操作系统安全配置，中级篇介绍操作系统的安全策略配置，高级篇介绍操作系统安全信息通信配置。 操作系统概述 目前服务器常用的操作系统有三类： Unix Linux Windows NT/2000/2003 Server 。 这些操作系统都是符合C2 级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。 UNIX 系统 UNIX 操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。 UNIX 诞生于20 世纪60 年代末期，贝尔实验室的研究人员于1969 年开始在GE645 计算机上实现一种分时操作系统的雏形，后来该系统被移植到了DEC 的PDP-7 小型机上。 1970 年给系统正式取名为Unix 操作系统。到1973 年，Unix 系统的绝大部分源代码都用C 语言重新编写过，大大提高了Unix 系统的可移植性，也为提高系统软件的开发效率创造了条件。 主要特色 UNIX 操作系统经过20 多年的发展后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色包括5 个方面。 （1 ）可靠性高 （2 ）极强的伸缩性 （3 ）网络功能强 （4 ）强大的数据库支持功能 （5 ）开放性好 Linux 系统 Linux 是一套可以免费使用和自由传播的类Unix 操作系统，主要用于基于Intel x86 系列CPU 的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix 兼容产品。 Linux 最早开始于一位名叫Linus Torvalds 的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生。 目的是想设计一个代替Minix （是由一位名叫Andrew Tannebaum 的计算机教授编写的一个操作系统示教程序）的操作系统。这个操作系统可用于386 、486 或奔腾处理器的个人计算机上，并且具有Unix 操作系统的全部功能。 Linux 是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。 它是在共用许可证GPL(General Public License) 保护下的自由软件，也有好几种版本，如Red Hat Linux 、Slackware ，以及国内的Xteam Linux 、红旗Linux 等等。Linux 的

信息系统安全整体解决设计方案

《安全系统整体解决方案设计》

第一章企业网络的现状描述 (3) 1.1企业网络的现状描述 (3) 第二章企业网络的漏洞分析 (4) 2.1物理安全 (4) 2.2主机安全 (4) 2.3外部安全 (4) 2.4内部安全 (5) 2.5内部网络之间、内外网络之间的连接安全 (5) 第三章企业网络安全整体解决方案设计 (5) 3.1企业网络的设计目标 (5) 3.2企业网络的设计原则 (6) 3.3物理安全解决方案 (6) 3.4主机安全解决方案 (7) 3.5网络安全解决方案 (7) 第四章方案的验证及调试 (8) 第五章总结 (9) 参考资料 ...................................................... 错误！未定义书签。

企业网络整体解决方案设计 第一章企业网络的现状描述 1.1企业网络的现状描述 网络拓扑图 以Internet发展为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统（Unix和NT）部分迅速融合成为一个异构企业部分。 以往安全系统的设计是采用被动防护模式，针对系统出现的各种情况采取相应的防护措施，当新的应用系统被采纳以后、或者发现了新的系统漏洞，使系统在实际运行中遭受攻击，系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大，而且往往是在系统破坏造

成以后才进行处理，防护效果不理想，也很难对网络的整体防护做出规划和评估。 安全的漏洞往往存在于系统中最薄弱的环节，邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题，而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状，还是中小企业自身都向广大安全厂商提出了更高的要求。 第二章企业网络的漏洞分析 2.1 物理安全 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提，在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，防止非法进入计算机控制室和各种盗窃，破坏活动的发生，这些风险是可以避免的。 2.2 主机安全 对于中国来说，恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统，其开发厂商必然有其Back-Door。我们可以这样讲：没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证，特别是在到达服务器主机之前的认证，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 与日常生活当中一样，企业主机也存在着各种各样的安全问题。使用者的使用权限不同，企业主机所付与的管理权限也不一样，同一台主机对不同的人有着不同的使用范围。同时，企业主机也会受到来自病毒，黑客等的袭击，企业主机对此也必须做好预防。在安装应用程序的时候，还得注意它的合法权限，以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作，甚至盗取企业机密。 2.3外部安全 拒绝服务攻击。值得注意的是，当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务，也是真个企业的网络安全水平进入一个新境界的重要标志。 外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看，当前大多数电信网络设备和服务都存在着被入侵的痕迹，甚至各种后门。这些是对网络自主运行的控制权的巨大威胁，使得客户在重要和关键应用场合没有信心，损失业务，甚至造成灾难性后果。

某世界强公司的服务器操作系统安全配置标准

某世界强公司的服务器操作系统安全配置标准

————————————————————————————————作者：————————————————————————————————日期：

某世界500强公司的服务器操作系统安全配置标准－Windows 中国××公司 服务器操作系统安全配置标准－Windows V 1.1 2006年03 月30 日 文档控制 拟制: 审核: 标准化: 读者： 版本控制 版本提交日期相关组织和人员版本描述 V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用范围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 内置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表7 4.3 针对网络攻击的安全考虑事项7 4.4 禁用8.3 格式文件名的自动生成8 4.5 禁用LMHASH 创建8 4.6 配置NTLMSSP 安全8 4.7 禁用自动运行功能8 4.8 附加的注册表安全配置9 5 服务管理9 5.1 成员服务器9 5.2 域控制器10 6 文件/目录控制11 6.1 目录保护11 6.2 文件保护12 7 服务器操作系统补丁管理16 7.1 确定修补程序当前版本状态16 7.2 部署修补程序16

8 系统审计日志16 9 其它配置安全17 9.1 确保所有的磁盘卷使用NTFS文件系统17 9.2 系统启动设置17 9.3 屏幕保护设置17 9.4 远程管理访问要求18 10 防病毒管理18 11 附则18 11.1 文档信息18 11.2 其他信息18 1 概述 本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用范围 本规范的使用者包括： 服务器系统管理员、应用管理员、网络安全管理员。 本规范适用的范围包括： 支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施 本规范的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准一经颁布，即为生效。 1.3 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护 根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。 任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制 基本策略：用户被赋予唯一的用户名、用户ID（UID）。 3.1 密码策略 默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。 策略默认设置推荐最低设置 强制执行密码历史记录记住 1 个密码记住 4 个密码 密码最长期限42 天42 天 密码最短期限0 天0 天 最短密码长度0 个字符8 个字符 密码必须符合复杂性要求禁用启用

某世界500强公司的服务器操作系统安全配置标准

某世界500强公司的服务器操作系统安全配置标准－Windows 中国××公司 服务器操作系统安全配置标准－Windows V 1.1 2006年03 月30 日 文档控制 拟制: 审核: 标准化: 读者： 版本控制 版本提交日期相关组织和人员版本描述 V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用 8.3 格式文件名的自动生成 8 4.5 禁用 LMHASH 创建 8 4.6 配置 NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11 6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16

8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用NTFS文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 18 1 概述 本文档规定了中国××公司企业围安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用围 本规的使用者包括： 服务器系统管理员、应用管理员、网络安全管理员。 本规适用的围包括： 支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施 本规的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准一经颁布，即为生效。 1.3 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护 根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。 任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制 基本策略：用户被赋予唯一的用户名、用户ID（UID）。 3.1 密码策略 默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。 策略默认设置推荐最低设置 强制执行密码历史记录记住 1 个密码记住 4 个密码 密码最长期限 42 天 42 天 密码最短期限 0 天 0 天 最短密码长度 0 个字符 8 个字符 密码必须符合复杂性要求禁用启用

系统安全和备份方案

1.1 系统安全方案 1.1.1认证与授权 认证与授权是系统安全防范和保护的主要策略，它的主要任务是保证信息资源不被非法使用和非法访问，它是维护网络系统安全、保护信息资源的重要手段。本部分主要从用户身份管理、认证管理和授权管理三个部分描述认证与授权的控制措施。 ●身份管理 业务运营管理系统内的用户身份信息需要进行统一管理，制定相应的管理规范和命名规则，确保用户与身份标识的维一性。 ●认证管理 业务管理系统对于内部用户和外部用户本系统采用了不同的认证方式。 对于内部用户可以采取传统的用户名—口令的认证方式，系统提供灵活的口令维护和配置功能，包括对弱口令的识别、口令定期更改的提示等。 对于外部用户可以采用数字签名技术，服务器端和客户端证书采用CA中心颁发的证书。服务器采用Web服务器证书，安装在Web服务器上；而个人使用个人证书，存放在较为安全的存储介质（如USB Key）上。 安全代理服务器是用于服务器端的建立安全通信信道的软件，通过数字证书实现用户与服务器之间的通信与交易安全，可以满足用户对于

信息传输的安全性及身份认证的需要。 数字签名系统为客户提供了基于Web 浏览器和Web 服务器的数字签名解决方案，可以实现对Web 页面中的指定内容和文件进行数字签名和验证。 安全代理产品及数字签名产品，其主要工作原理如下图所示： CA 认证工作流程 WEB 证书通过与客户端个人证书的结合，可以实现用户的安全登录，通过证书检验身份，其作用相当于一串1024位密码，这样就避免了因简单的用户名、密码被猜到、试到或黑客破解的风险。 访问管理 通常访问控制模式主要分为自主访问控制（DAC ）、强制访问控制（MAC ）和基于角色的访问控制（RBAC ）。航空安全管理平台需要支持基于角色的访问控制模式，如下图所示： 用户群组角色权限n:n n:n n:n 角色访问控制模式

Windows系统安全配置基线

Windows系统安全配置基线

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)

6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)

linux安全配置规范

Linux 安全配置规范 2010年11月

第一章概述 1.1适用范围 适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 第二章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中750为设置的权限，可根据实际情况 设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限 信息等。 2、补充操作说明 检测方法1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 编号：2 要求内容应删除或锁定与设备运行、维护等工作无关的账号。 操作指南1、参考配置操作 删除用户：#userdel username;

锁定用户： 1)修改/etc/shadow文件，用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁 定用户,用#passwd –d username解锁后原有密码失效，登录需输入 新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 检测方法1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 编号：3 要求内容限制具备超级管理员权限的用户远程登录。 远程执行管理员权限操作，应先以普通权限用户远程登录后，再切 换到超级管理员权限账号后执行相应操作。 操作指南1、参考配置操作 编辑/etc/passwd，帐号信息的shell为/sbin/nologin的为禁止远程登 录，如要允许，则改成可以登录的shell即可，如/bin/bash 2、补充操作说明 如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 检测方法1、判定条件 root远程登录不成功，提示“没有权限”； 普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 编号：4 要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加