上士 UID8181
回帖39
主题3
积分676
阅读权限70
注册时间2007-11-4
最后登录2010-10-5
在线时间17 小时
|
本着劳动成果共同分享的精神,现把个人总结的经验和近期收集的资料发下于大家分享,讨论(不谈优化)
一.系统制作前的准备:
1.系统盘,驱动盘,光驱,一些必须的应用软件及补丁。
使用从网上下载的GHOST系统,本人推荐用雨林木风,相关地址:http://ghost.ylmf.com/.
如果你想更好的学习系统制作的话,我建议你用原版的WINDOWS系统安装盘,
推荐地址:http://www.wzlu.com/soft/12/2007/200704012102.html
2.BISO设置:
1)、禁用没有安装IDE设备的IDE接口.硬盘最好安装在第一IDE设备的主盘,而其他IDE设备全部禁用.把软驱禁用并把软盘控制器也禁用!现在估计很多用户都用的是串口硬盘吧,那么把所有的IDE接口都禁用。(如果用光驱安装,则暂时开启,安装完毕不使用光驱再禁用)
2)、系统BIOS映射:显卡BIOS映射和系统BIOS映射最好都设为开启.
3)、内存设置:内存工作频率设为BY SPD由系统自己决定它的工作状态,(超频族除外)系统要追求稳定,本人而言觉得系统性能的提升不需要靠超频弄出来的!因为超频是要缩短硬件寿命的.
4)、启动项:第一启动设备设为HDD-0(这个不尽相同,有的也许是IDE-0等),其他启动设备全部禁用.如果用光驱安装的话,则要先调整为CD-ROM.,系统安装完后再调回来.
5)、开机自检选项:[Halt on]设置为"No errors".
二.装系统
①.分区.
不管用硬安装或者是用GHOST安装,都建议先用Partition Magic(不要用DM或diskman)进行分区格式化,采用NTFS格式,如果有给虚拟内存跟备份文件单独作一个分区的话,建议那个分区使用FAT32格式。(本人推荐)
②.安装系统
这步我就略过了,做系统其实不难,安装系统也不难,难的是做个好系统。
三.安装驱动以及补丁/系统软件及应用软件
A.安装驱动(这里我只说几点):
1:驱动不一定要使用最新的,有时候硬件厂商自带的驱动光盘是最好的。(稳定)
2:任何驱动一般尽量不要使用万能驱动,驱动是操作系统的灵魂,选择一款合适的驱动就如一个美女穿一件很合身的衣服一样,如果让她穿一件大众化的衣服,我想也会让她减了几分姿色的。
3:选择一款稳定、快速的驱动所该遵循的定律:
1、 通过微软WHQL认证的
2、 在产品发布一段时间后才出现的
3、 产品在市面上消失之前推出的
B.安装微软的几个关键性补丁:比如冲击波,震荡波,(SP2系统可以略过)阻击波,魔波,还有微软的威金病毒补丁、IE累积更新补丁等。如果有用户使用还原软件之类的话,建议打好机器狗补丁,IGM补丁,这类病毒是专门破坏还原软件的。没装用户也可打上。
C.安装系统软件及应用软件,安装任何软件的时候切记,千万不要把软件捆绑的流氓软件安装上了,比如Realplayer/千千静听/联众世界/QQ等都捆绑有流氓软件,不止这些,其他的还有软件都捆绑着有流氓软件,所以当一款软件不需要安装的时候,尽量不安装。
四:GHOST做备份
好了 ``系统算是基本成型了``但还只是个裸机哈,在急具诱惑力的网络世界下``你感保证不会被恶意网站挂马,敢保证不被网色网之类的钓鱼网站所诱惑,这样的裸机无疑会是病毒,木马所首选的攻击对象。下面就来谈谈如何防御来使自己的系统够安全:
1:关闭远程桌面:"我的电脑"->"属性"->"远程","远程桌面"里的"允许用户远程连接到这台计算机"勾去掉。防止他人恶意远程登陆你的电脑。
2:.IE属性栏-内容页,自动完成---清除表单--清除密码,去掉"表单"/"表单上的用户与密码"前面的勾。防止他人查看你的私人帐户信息。
3:开始--运行栏里输入:gpedit.msc(组策略) “在本地计算机”策略下,计算机配置--管理摸版--系统,在右边的窗口中找到“关闭自动播放”右击属性,在设置下点已启用-所有驱动器,关闭即可。对现在流行的U盘病毒,即自动播放病毒有很好的防御作用,比如:AUTO病毒。
4:通过IP安全策略关闭一些病毒木马的端口以及一些危险的端口,比如:TCP端口:135 137 139 445 593 125 2745 3127 6129 3389 UDP端口:135 139 445
1. 点击 "开始菜单/设置/控制面板/管理工具",双击打开"本地安全策略",选中"ip安全策略,在本地计算机"右边的空白位置右击鼠标,谈出快捷菜单,选择"创建ip安全策略",弹出向导.在向导中点击下一步 下一步,当显示"安全通信请求"画面时,把"激活默认相应规则"左边的钩去掉,点"完成"就创建了一个新的ip安全策略.
2 右击该ip安全策略,在"属性"对话框中,把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的规则,随后弹出"新规则属性"对话框,在画面上点击"添加"按纽,弹出ip筛选器列表窗口.在列表中,首先把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的筛选器.
3 进入"筛选器属性'对话框,首先看到的是寻地址,源地址选"任何ip地址",目标地址选"我的ip地址",点击"协议"选项卡,在"选择协议类型"的下拉列表中选择“tcp",然后在"到此端口"的下的文本框中输入"135",点击确定.这样就添加了一个屏蔽tcp135 端口的筛选器,可以防止外界通过135端口连上你的电脑.
点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策略.重复以上步骤继续添加tcp 137 139 445 593 端口和udp 135 139 445 端口,为它们建立相应的筛选器.
重复以上步骤添加tcp 125 2745 3127 6129 3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击确定按纽.
4 在"新规则属性"对话框中,选择"新ip筛选器列表'然后点击其左边的复选框,表示已经激活.最后点击"筛选器操作"选项卡中,把"使用添加向导"左边的钩去掉,点击"添加"按钮,进行"阻止"操作,在"新筛选器操作属性"的"安全措施"选项卡中,选择"阻止",然后点击"确定"
5 进入"新规则属性"对话框,点击"新筛选器操作".,选取左边的复选框,表示已经激活,点击"关闭"按钮,关闭对话框.最后"新ip安全策略属性"对话框,在"新的ip筛选器列表"左边打钩,按确定关闭对话框.在"本地安全策略"窗口,用鼠标右击新添加的ip安全策略,然后选择"指派".
5:防IE自动下载安全补丁(见附件)
6:对于使用还原软件的用户来说,打好机器狗补丁,IGM补丁(见附件)
对于机器狗我们可以新建一个文本文档,把下面的内容复制进去:
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:n
cacls %systemroot%\system32\userinit.exe/e/p everyone:r
另存为,文件名后加.bat扩展名,保存类型为所有文件,再双击运行即可。
当然没使用还原软件的也要打哈```呵呵(让你的系统免疫能力更强)
7:通过屏蔽恶意网站来防止因自己的好奇心打开了含有木马,病毒的网站。
方法为打开:C\windows\system32\drivers\etc 用记事本打开Hosts文件,手动编辑以知的恶意网站
格式为:127.0.0.1 输入以知的恶意网站 例如:127.0.0.1 www.jy0832.com (呵呵,这不是恶意网站哈),但建议大家去电脑抱网站下载最新的病毒反黑文件来复制掉原文件,下载地址http://www2.cpcw.com/web/f/host.html
8:察看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
9:删除ipc$空连接
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
10:关闭自己的139端口,Ipc和RPC漏洞存在于此, 前面也说了
关闭139端口的其他方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
11:账号密码的安全原则
首先禁用guest帐号即来宾帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。
打开管理工具—本地安全设置—密码策略:
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
12:本地安全策略
打开管理工具,找到本地安全设置—本地策略—安全选项:
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,但是我个人是不需要直接输入密码登陆的]。
2.网络访问.不允许SAM帐户的匿名枚举 启用。
3.网络访问.可匿名的共享 将后面的值删除。
4.网络访问.可匿名的命名管道 将后面的值删除。
5.网络访问.可远程访问的注册表路径 将后面的值删除。
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
7.网络访问.限制匿名访问命名管道和共享。
8.帐户.(前面已经详细讲过拉)。
13:用户权限分配策略
打开管理工具,找到本地安全设置—本地策略—用户权限分配:
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID。
2.从远程系统强制关机,Admin帐户也删除,一个都不留。
3.拒绝从网络访问这台计算机 将ID删除。
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
5.通过远端强制关机。删掉。
14:用户和组策略
打开管理工具,计算机管理—本地用户和组—用户:
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
好了`因个人能力有限,先写到这``以后会慢慢跟新的哟!望广大坛友看了发表下意见,希望提出更多更好的个人电脑安全策略 睡觉了`呵呵……
[ 本帖最后由 chenyuen0209 于 2007-12-12 22:42 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-12-12 22:38
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
