个人计算机的安全配置

本栏目责任编辑：冯蕾网络通讯及安全Computer Knowledge and Technology 电脑知识

与技术第5卷第23期(2009年8月)个人计算机的安全配置

张逸昀

（天津电子信息职业技术学院，天津300132）

摘要：随着网络技术的发展，网络业务的普及，个人计算机的安全已经越来越引起人们的注意。那么如何保证个人电脑内部的资料不被损坏、泄露和篡改呢？该文从系统安全配置、杀毒软件的选取得防火墙的配置三个方面逐一阐述。

关键词：个人计算机安全配置；系统安全配置；防火墙

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2009)23-6410-03

Safety Configuration of Personal Computer

ZHANG Yi-yun

(Tianjin Vocational-technical Academy of Electronic Information,Tianjin 300132,China)

Abstract:With the development of network technique and the popularity of network business,the safety of personal computer (PC)arouses more and more attention from people.Then how can we guarantee the information of personal computer free from damaging,re -leasing and modifying?In this paper,the problem above will be illustrated from the following three aspects:the safety configuration for op -eration system (OS),the selection of anti-virus software and the configuration of fire wall.

Key words:safety configuration of PC;safety configuration of OS;fire wall

现在的生活中，电脑已经成为必不可少的工具，但由于互联网的特性，也使得我们对电脑内部资料的保护提出了要求。我们看新闻的时候，不断看到这样的消息：身份被盗、数据遭窃、隐私信息落入非法人士之手等等。

为了避免这种情况发生，我们需要从三方面入手进行个人电脑的配置，以保护个人信息的安全性。

1)对操作系统进行安全配置

2)安装杀毒软件

3)安装防火墙

杀毒软件和防火墙的安装虽然可以从一定程度上避免个人计算机遭受病毒和木马的侵害，但由于杀毒软件和防火墙软件的特性，仍然会有一些黑客绕过这些屏蔽攻击个人电脑，这就需要我们对操作系统进行安全配置以最大程度的保护自己电脑的安全性。下面将从这三方面详细阐述，个人电脑的安全配置。

1系统的安全配置

1.1共享的设置

1.1.1删除默认共享

打开记事本，新建一个空白文件，输入如下内容：

Net

share c$/del Net

share d$/del Net

share e$/del Net

share ADMIN $/del Net

share IPC $/del Net share

PRIN$/del

将该文件另存为del.bat ，并将该文件添加到启动项或设置计划任务。1.1.2禁止建立空连接

打开HKEY_Local_Machine\System\CurrentControlSet\Control\LSA 修改restrictanonymous 的DWORD 值为1（如果没有自行新建）

1.1.3禁止共享设置

打开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Policies\Network]下建立以下DWORD 值：

“NoFileSharing ”=1（禁用文件共享）

“NoWorkgroupContents ”=1隐藏“网上邻居”中的工作站显示；

“NoEntireNetwork ”=1隐藏“网上邻居”中的整个网络显示；

“NoFileSharingControl ”=1禁止文件共享；

“NoPrintSharingControl ”=1禁止打印机共享

1.2帐户设置

1)创建管理员帐户和普通帐户，帐户名称请自行起一个（建议用中文名称）并按帐号策略设置密码。

收稿日期：2009-04-14

作者简介：张逸昀（1978-），女，天津人，天津电子信息职业技术学院，讲师，硕士，主要研究方向为计算机网络。

ISSN 1009-3044Computer Knowledge and Technology 电脑知识与技术Vol.5,No.23,August 2009,pp.6410-6412E-mail:info@ Tel:+86-551-569096356909646410

网络通讯及安全本栏目责任编辑：冯蕾Computer Knowledge and Technology 电脑知识与技术

第5卷第23期(2009年8月)2)删除所有不必要的账户，并将原来系统的administrator 帐户级别降为最低，并

设置安全性极高的账户密码。

1.3本地安全设置

1)密码策略（开始=>运行=>secpol.msc =>确定）

打开管理工具→安全设置→账户策略→密码策略

1)密码必须符合复杂要求性，启用

2)密码最小值。我设置的是10，也就是你系统密码的最少位数

3)密码最长使用期限。我是默认设置42天

4)密码最短使用期限0天

5)强制密码历史记住0个密码

6)用可还原的加密来存储密码。禁用

如图1所示。

1.3.1审核策略

找到安全设置=>本地策略=>审核策略=>双击策略名称=>进行配置=>确定

配置参考：审核策略更改

成功失败审核登陆事件成功失败

审核对象访问失败

审核跟踪过程无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核帐户登陆时间成功失败

审核帐户管理成功失败

如图2所示。

1.3.2找到本地安全设置=>本地策略=>安全选项

1)网络访问.不允许SAM 帐户的匿名枚举启用

2)网络访问.可匿名的共享将后面的值删除

3)网络访问.可匿名的命名管道将后面的值删除

4)网络访问.可远程访问的注册表路径将后面的值删除

5)网络访问.可远程访问的注册表的子路径将后面的值删除

6)网络访问.限制匿名访问命名管道和共享

1.3.3找到本地安全设置=>本地策略=>用户权利指派

1)从网络访问计算机.除Admin 外全部删除，在添加一个自己的用户

2)从远程系统强制关机.全部删除

3)拒绝从网络访问这台计算机.全部删除

4)从网络访问此计算机.全部删除

5)通过终端允许登陆.删除Remote Desktop Users 1.4服务设置（开始=>运行=>services.msc =>确定）

1)Remote Procedure Call (RPC)Locator

右键=>属性=>恢复=>设置失败后不操作

2)Remote Registry

右键=>属性=>常规=>修改启动类型为“已禁用”

3)Server

右键=>属性=>常规=>修改启动类型为“已禁用”

4)Telnet

右键=>属性=>常规=>修改启动类型为“已禁用”

5)关闭不用的端口

端口是开放的，在你上网的时候，木马、病毒和黑客就可以通过这些端口连上你的电脑，为了保护你的系统，应该封闭这些端口，主要有：TCP 139、445、593、1025端口和UDP123、137、138、445、1900端口以及远程服务访问端口3389。

端口关闭的方法很多，这里不再详细介绍，放到后面防火墙的配置中进行介绍。

2杀毒软件

在做了如上的配置之后，我们仍需要安装杀毒软件来保护系统。因为杀毒软件通常集成了监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能，这些功能可以弥补我们在系统安全配置上的不足，以便及时发现病毒。

杀毒软件的实时监控方式因软件而异。有的杀毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较(验证前面的话)，以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。

图1密码策略设置图2审核策略设置

6411