《2022年Windows操作系统常见安全问题解决方法 .pdf》由会员分享,可在线阅读,更多相关《2022年Windows操作系统常见安全问题解决方法 .pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Windows 操作系统常见安全问题解决方法Network security: Do not store LAN Manager hash value on next password change,网络安全:不要在下次更改密码时存储LAN Manager 的 Hash值。System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ,系统对象:增强内部系统对象的默认权限(例如 Symbolic Links) 。可靠的密码尽管绝对安全的密码时不存在的,但是相对安全
2、的密码还是可以实现的。这个还是需要运行secpol.msc 来配置 Local Security Settings 。展开到Account Policies-Password Policy ,经过这里的配置,你就可以建立一个完备密码策略,并且你的密码也可以得到最大限度的保护。Enforce password history( 强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码,可是换来换去就是有限的几个在轮换,配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximum password age这个策略, 就能保证密码安全了。
3、默认情况下,这个策略不保存用户的密码,你可以自己设置,建议保存5 个以上,而最多可以保存24 个。Maximum password age( 密码最长存留期)。这个策略决定了一个密码可以使用多久,之后就会过期,并要求用户更换密码。如果设置为0,则密码永不过期。一般情况下设置为30 到60 天左右就可以了,具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置 999 天。Minimum password age( 密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。 跟上面讲到的Enforce password history 结合起来就可以得知新的密码是否是以前
4、使用过的, 如果是, 则不能继续使用这个密码。如果设置为0 则表示一个密码可以被无限制的重复使用,而最大值为999。Minimum password length(密码长度最小值)。这个策略决定了一个密码的长度,有效值在0到 14 之间。如果设置为0,则表示不需要密码。建议的密码长度不能小于6位。Password must meet complexity requirements(密码必须符合复杂性要求)。如果启用了这个策略,则在设置和更改一个密码的时候,系统将会按照下面的规则检查密码是否有效:密码不能包含全部或者部分的用户名。最少包括6 个字符。并且在字符的使用上还要遵循以下的规则,密码必须
5、是:英文字母, A-Z ,大小写敏感。基本的 10 个数字, 0-9。不能包含特殊字符,例如!,$,#,%等等。如果启用了这个策略,相信你的密码就会比较安全了。Store password using reversible encryption for all users in the domain(为域中的所有用户使用可还原的加密来存储密码)。很明显,这个策略最好不要启用。安全使用Internet Explorer Internet Explorer 是当今最流行的浏览器软件。因为使用的人多,因此IE 被发现的安全性问题也就最多,不过没关系,看过本节,你完全可以使你的IE 更加安全。需要注意
6、的是,以下的叙述全部以IE 6.0 版为准,如果你使用了较低的版本,有些细节方面可能会不一样。打开 Internet Explorer ,依次点击工具-Internet 选项,然后打开安全选项卡。在安全选项卡中选择“Internet”,就可以针对Internet 区域的一些安全选项进行设置。虽然有不同级别的默认设置, 不过我们最好根据自己的实际情况亲自调整一下。点击下方的Custom Level(自定义级别 )。会出现图三的窗口,这里显示了所有的IE 安全设置。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -
7、 - - - - - 第 1 页,共 5 页 - - - - - - - - - Download signed ActiveX controls(下载已签名的ActiveX 控件 )。经过第三方的认证机构签名证明该 ActiveX 控件是安全的, 并且你可以设置为允许下载这种控件,除非你不想安装任何ActiveX 控件,或者你想自己从一些网站下载,例如Windows Update ,还有播放Flash 的插件等。Download unsigned ActiveX controls( 下载未签名的ActiveX 控件 )。 跟经过签名认证的ActiveX控件相比,未经签名认证的可能会包含潜在的
8、安全隐患因此这个选项你最好不要设置为启用,或禁用, 或者设置为询问,这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。Initialize & script ActiveX controls not marked as safe(对没有标记为安全的ActiveX 控件进行初始化和脚本运行)。跟前面的设置类似的,如果你之前都设置为禁用,那么这个选项同样禁用就可以,否则可以设置为询问(建议的设置 )或者允许 (不建议 )来禁止那些为经签名的控件运行。Run ActiveX controls & plug-ins(运行 ActiveX 控件和插件 )。假设你已经禁止了所有Acti
9、veX控件和插件的运行, 那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。Script ActiveX controls marked safe for scripting(对标记为可安全执行脚本的ActiveX 控件执行脚本 )。这个设置可以设置的跟前面的选项相同。Active scripting( 活动脚本 )。现在各种的脚本程序非常流行,通过脚本程序可以建立很多实用的网页,例如Windows Update 网页,就是通过脚本程序来判断你需要下载的补丁的。因此如果禁用掉脚本程序,一些网页将不能正常浏览。这里建议你设置为禁用,至于少数重要的但是不能正常浏览的网页,我们将在后面
10、看到解决办法。Allow paste operations via script( 允许通过脚本进行粘贴操作)。这个选项允许网页通过脚本把文件复制进你的剪贴板,为了安全考虑最好禁用。Scripting of Java applets(JA VA 小程序脚本 )。 javascript 是一种公开的,多平台,面向对象的脚本语言。很多网页中都使用了JAVA 脚本,但是安全起见最好禁用它。如果以上的设置会影响到少数你必须要访问的站点(例如 Windows Update 网站 ),但是安全起见你又不想把Internet 区域的安全级别设置的太低,那么你可以把一些你信任的站点添加到 Trusted si
11、tes(信任站点 )中去。方法是:在 Internet 选项的安全选项卡下,点击Trusted sites(信任站点 ),然后点击Sites(站点 )按钮,会 出 现 图 四 的 窗 口 , 在 新 窗 口 中 输 入 我 们 希 望 添 加 的 网 络 地 址 ( 例 如https:/) 然后点击右侧的Add( 添加 ),这样就可以了。现在,打开Internet 选项中的Content(内容 )选项卡,点击AutoComplete( 自动完成 ),在这里也有一些东西需要调整。对于所列出来的每一项,自动完成功能都会保存特定的内容,其中Web address(Web 地址 )会保存你在IE 地址
12、栏中输入过的内容; Forms(表单 )会保存你在网页中填写的资料,例如论坛上的发言 (除用户名和密码),搜索引擎中使用过的关键字;User names and passwords on forms(表单上的用户名和密码)会保存你登陆论坛或其它网页时输入的用户名和密码。自动完成可以帮助你节省很多时间,但是同时也带来了很大的安全隐患。一旦有人使用你的账号登陆,你登陆网站的用户名和密码等资料就有可能全部被别人看到。因此你可以根据你的电脑的使用情况适当的调整,决定哪些内容可以自动保存,哪些不行。现在我们转到Internet 选项的高级选项卡。这里有一下几点需要注意:Use Passive FTP (
13、for firewall & DSL modem compatibility)(使用被动FTP,为防火墙和DSL 调制解调器兼容性),这个设置将会允许在使用IE 浏览 FTP 服务器时使用被动模式,这种模式更加安全,因为服务器方无法获得你的IP 地址,如果某些FTP 服务器你不能正常访问,就名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 5 页 - - - - - - - - - 可以试试启用或者禁用这个设置。Check for publisher s certifica
14、te revocation( 检查发行商的证书吊销),如果选择了这个选项,当你访问某些需要认证的站点时,IE 会首先检查给站点提供的证书是否依然有效。一般情况下,建议你启用这个设置。Check for server certificate revocation( 检查服务器的证书吊销),这个选项将会使IE 检查站点服务器的证书是否仍然有效,一般也应该启用这个设置。Check for signatures on downloaded programs( 检查下载的程序的签名),如果启用了这个设置,在你下载了程序后IE 会通过签名自动检查程序是否被非法改动过。一般应当启用这个设置。Do not s
15、ave encrypted page to disk(不将加密的页面存入硬盘),启用了这个选项后,对于加密页面 (主要是 URL 以 https 打头的 )将不会保存到Internet 临时文件夹中。如果多人共用同一台电脑,这个选项是很有必要的,这样别人就无法通过Internet 临时文件窥探到你访问过的加密网页了 (例如某些电子商务网站的信用卡付费页面)。接下来的三个设置:Use SSL 2.0, Use SSL 3.0 & Use TLS 1.0( 使用 SSL 2.0, 使用 SSL 3.0 和使用TLS 1.0) 都跟在 Internet 上通过协议加密数据有关。例如一些网站的身分认证
16、和重要数据的传输,在这过程中都会使用到SSL 加密。因此最佳建议是这三个选项全部启用。但是如果启用后你访问某些加密站点时出现错误,那么可以禁用除SSL 2.0 之外的其它两个协议,因为不同版本之间可能会有冲突,而SSL 2.0 是被采用的最广泛的,一般的加密站点都会支持。Warn about invalid site certificates( 对无效站点证书发出警告),启用这个设置之后,在遇到无效的站点证书时IE 就会发出警告,提醒你注意。一般情况下可以启用这个。Warn about changing between secure & not secure mode( 在安全和非安全模式之间
17、转换时发出警告 ),当启用这个设置之后,如果你要从一个安全的网页(可能是经过SSL 加密的 )进入到一个不安全的网页的时候,IE 会发出警告提醒你,以避免你在不知情的情况下泄漏一些私人的信息。Warn if forms submittal is being redirected( 重定向提交的表单时发出警告),启用这个设置后,你在某些论坛或类似的地方提交的一些信息如果被发送到了其它的服务器上,IE 就会发出警报提醒你。所以安全起见这个也应当启用。安全使用 Outlook Express Outlook Express 是 Windows 自带的一个电子邮件程序,通过OE 不仅可以收发电子邮件,
18、还可以浏览新闻组,十分方便。 不过很多人并不喜欢这个程序,还想千方百计的把它从自己的系统中卸载掉,主要是因为使用OE 容易传染病毒。菜刀也容易伤人呢,但是每个家庭都得有个菜刀吧,所以,与其考虑怎么卸载OE 还不如考虑一下怎么设置才能让OE 更安全。本节全部以OE 6 为主,如果你使用得是较低的版本,某些细节方面可能会不同。OE 的主要设置都可以在工具-选项下看到,在这里我们主要关注的是安全选项卡。Select the Internet Explorer security zone to use( 选择要使用的Internet Explorer 安全区域 ),这个设置可以让你决定把电子邮件(尤其
19、是使用HTML语言的电子邮件)当作什么安全区域对待(也就是我们在Internet Explorer 的 Internet 选项中设置的不同安全级别的区域).把它设置为Restricted sites zone(受限制的区域)是比较明智和安全的做法。这样,如果你收到的HTML邮件中含有一些有害的代码就不会危害到你的系统了。Warn me when other applications try to send mail as me(当其他程序以我的名义发送电子邮件时提醒我 ),这也是一个很有效的安全策略,曾经有很多病毒都是通过OE 的地址簿中的联系人地址来发送含病毒的右键来扩散的,而启用这个设置就
20、可以有效的解决这个问题。一旦有其他程序通过OE 发送电子邮件,OE 会首先询问你是否发送,对于那些可疑的右键,只要取消发送就可以了。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 5 页 - - - - - - - - - Do not allow attachments to be saved or opened that could potentially be a virus(不允许可能包含病毒的附件被保存或者被打开),当启用这个设置后,电子邮件中某些格式的附件就不
21、能被保存和打开了, 这时如果你收到了含有附件的右键,保存和打开附件的选项将为不可用,进一步增强了安全性。加固你的Internet 连接默认情况下, 为了建立网络连接,Windows 会安装很多协议和运行很多服务其中一些协议和服务都不是必须的,例如NetBIOS 、文件和打印机共享等,而“ 最小的服务 +最小的权限 =最大的安全 ” 这个等式是永远成立的,因此我们有必要关掉不需要的服务,卸载不需要的协议,来增强我们的系统安全。对于 Windows 9x/Me 的系统1.在控制面板中双击网络图标2.选择 Microsoft 网络客户端,然后点击卸载3.禁用文件和打印机共享,如果你确实需要共享,可以
22、给它们设置一个密码4.选择 TCP/IP,然后点击属性按钮,打开NetBIOS 选项卡,取消对“ 我要在 TCP/IP 上使用NetBIOS 的选择。然后选择DNS 设置选项卡,并选择禁用DNS( 如果你确实不需要的话)。在 WINS 设置选项卡下,选中禁用WINS 解析5.确定,然后重启动电脑对于 Windows 2000/XP 的系统1.打开控制面板中的网络连接,右键点击Internet 连接,选择属性2.如果你不需要共享文件和打印机,那么选中并卸载(可以不卸载,但是至少不要再使用)Windows 网络的文件和打印机共享3.双击 Internet 协议(TCP/IP) ,然后点击高级按钮4
23、.打开WINS选项卡,取消对启用LMHOSTS查询的选择,然后选择禁用TCP/IP 上的NetBIOS 5.在运行中输入Services.msc 然后回车6.找到 TCP/IP NetBIOS Helper 这个服务,把这个服务停止掉,并且设置启动类型为手动或者禁止7. 重启动电脑防火墙和杀毒软件不管你做了怎样的设置,只要你连接在Internet 上,防火墙都是必要的。防火墙可以完全保护你的系统,把网络上有害的东西挡在门外。推荐你使用的防火墙主要有两种,一是Symantec 公司的Norton Internet Security,这个软件不仅包含网络防火墙,还包含Norton Antiviru
24、s , 一个著名的杀毒软件。Norton Internet Security 的功能非常强大,不仅可以防病毒,防黑客, 还可以帮助你过滤浏览网页时看到的广告,过滤收到的电子邮件,过滤网络中的一些色情和其它非法内容。不过Norton Internet Security 对系统的要求比较高老的电脑运行起来可能会慢一些。这样的话你可以试试Zone Alarm 或者国产的天网,他们对系统的要求都不错,功能也够强大,还有一点,他们两者都可以从互联网上免费下载到。对于使用Windows XP 的用户也可以用系统自带的防火墙,虽然没有那么多花哨的功能,不过最基本的防护还是可以胜任的。启用的方法是: 打开控制
25、面板-网络和 Internet 连接,双击网络连接打开属性对话框,在高级选项卡下,选中在我的电脑上使用Internet 连接防火墙,之后还可以点击设置进行更进一步的配置。总结经过以上的设置, 你的系统安全应该提高不少了,不过需要注意的是,不管在系统和软件上名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 5 页 - - - - - - - - - 做怎样的防护,正确的使用习惯才是最重要的,因此从现在就开始养成良好的使用习惯的,否则在怎么防护也是白搭。希望你能有一个安全的系统! 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 5 页 - - - - - - - - -