win操作系统的优化和安全设置
WIN2012优化
WIN2012 手工优化1.评估与激活Windows Server 2012试用版安装后,有一个180天的试用期。
在180天试用期即将结束时,用“Rearm”后,重启电脑,剩余时间又恢复到180天。
微软官方文档中声明该命令只能重复使用5次,这样Windows Server 2012至少用900天。
Dremspark 免费提供Windows Server 2012 的序列号,亦可长期激活。
180天评估版可以随时通过以下命令升级为正式版。
DISM/online/Set-Edition:ServerDatacenter /ProductKey:PWFNG-G2K7J-K6HQ7-H3T68-33TDK /AcceptEula2.允许在未登录前关机手动配置:运行Gpedit.msc[打开组策略编辑器]-计算机配置-Windows 设置-安全设置-本地策略-安全选项-关机:允许系统在未登陆的情况下关闭-已启用脚本配置:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ system]"shutdownwithoutlogon"=dword:000000013.禁用Ctrl+Alt+Del手动配置:运行Gpedit.msc[打开组策略编辑器]-计算机配置-Windows 设置-安全设置-本地策略-安全选项-交互式登录:无需按Ctrl+Alt+Del-已启用脚本配置:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ System]"DisableCAD"=dword:000000014.关闭事件跟踪程序手动配置:运行Gpedit.msc[打开组策略编辑器]-计算机配置-管理模板-系统-显示“关闭事件跟踪程序”-已禁用脚本配置:[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability] "ShutdownreasonOn"=dword:000000005.启用自动登录手动配置:运行Control UserPasswords2-用户账号-勾选“要使用本计算机,用户必须输入用户名和密码”-输入您当前系统的密码即可登录脚本配置:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon] "DefaultUserName"="Administrator" "AutoAdminLogon"="1";Please Change Your Password "DefaultPassword"=""6.启用性能For程序手动配置:运行Sysdm.cpl [系统属性]-高级-性能-设置-高级-调整以优化性能-程序脚本配置:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\PriorityControl] "Win32PrioritySeparation"=dword:000000267.禁用IE增强的安全设置手动配置:运行ServerManager[服务器管理器]-本地服务器-IE增强的安全设置-管理员-关闭[用户-关闭]脚本配置:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}]"IsInstalled"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}] "IsInstalled"=dword:00000000Rundll32 iesetup.dll, IEHardenLMSettingsRundll32 iesetup.dll, IEHardenUserRundll32 iesetup.dll, IEHardenAdmin8.在登录时不启动服务器管理器手动配置:运行ServerManager[服务器管理器]-管理-服务器管理器属性-勾选“在登录时不启动服务器管理器”脚本配置:[HKEY_LOCAL_MACHINE\Software\Microsoft\ServerManager] "DoNotOpenServerManagerAtLogon"=dword:000000019.关闭密码必须符合复杂性要求和设置密码长度最小值为0手动配置:运行Gpedit.msc[打开组策略编辑器]-计算机配置-Windows 设置-安全设置-账户策略-密码策略-密码必须符合复杂性要求-已禁用脚本设置:通过secedit 命令设置MinimumPasswordLength = 0PasswordComplexity = 010.调整为最佳外观、启用缩略图手动配置:运行Sysdm.cpl [系统属性]-高级-性能-设置-视觉效果-调节为最佳外观脚本配置:无11.设置音频服务为自动启动手动配置:运行Services.msc[服务]-Windows Audio-启动类型-自动脚本配置:PowerShell /Command "&{set-Service "Audiosrv" -startuptype automatic}"12.启用桌面体验、无线服务、Windows Server Backup 服务手动配置:运行ServerManager[服务器管理器]-工具-添加角色和功能-基于角色或基于功能的安装-从服务器池中选择服务器-功能-无线LAN (WLAN) 服务、用户界面和基础结构脚本配置:PowerShell /Command "&{Import-Module servermanager}"PowerShell /Command "&{Add-WindowsFeature Desktop-Experience}" PowerShell /Command "&{add-windowsfeature Wireless-Networking}" PowerShell /Command "&{add-windowsfeature Windows-Server-Backup}"13.默认不启动Metro界面手动配置:运行Regedit[注册表编辑器]-导航到-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Server右击权限-高级-所有者[更改]-高级-立即查找-选择Administrators-一路确定右击权限-选中Administrators-完全控制-允许-一路确定双击修改-ClientExperienceEnabled-键值为0关闭注册表编辑器脚本配置:SetACL.exe -on "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Server" -ot reg -actn setowner -ownr "n:S-1-5-32-544;s:y">nulSetACL.exe -on "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Server" -ot reg -actn ace -ace "n:S-1-5-32-544;s:y;p:full">nul reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Server" /f /v ClientExperienceEnabled /t REG_DWORD /d 0 >nul14.禁用DEP 数据执行保护手动配置:运行Sysdm.cpl [系统属性]-高级-性能-数据执行保护-仅为基本的Windows 程序和服务启用DEP-一路确定脚本配置:bcdedit /set nx OptIn15.禁用Structured Exception Handling Overwrite Protection手动配置:运行Regedit[注册表编辑器]-导航到-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Kernel双击修改-DisableExceptionChainValidation-键值为1脚步配置:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Kernel]"DisableExceptionChainValidation"=dword:00000001[size=-1]16.设置应用商店手动配置:运行Control nusrmgr.cpl [用户账号]-管理帐户-添加用户账号-下一步-完成选择刚刚创建的账号-更改账号类型-管理员-更改账号类型用刚刚创建的用户登录-访问应用商店-下载自己喜欢的应用17.设置Metro IE 为Metro界面下的默认浏览器脚本配置:[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "ApplicationTileImmersiveActivation"=dword:0000000118.设置Areo 鼠标方案脚本配置:已经整合至一键设置工具包,在此不再详述19.更改Windows Sever 2012壁纸为Windows 8地址脚本配置:TakeOwn.exe /F %SystemRoot%\Web\Wallpaper\Windows\img0.jpgicacls %SystemRoot%\Web\Wallpaper\Windows\img0.jpg /resetrename %SystemRoot%\Web\Wallpaper\Windows\img0.jpg img0.jpg.bak copy /y Windows\img0.jpg %SystemRoot%\Web\Wallpaper\Windows\img0.jpg20.安装Flash PlayerWindows Server 2012 非IE浏览器不支持最新版本的Flash Player,可以下载此版本的进行安装/get/flashplayer/current/licensing/win/install_ flash_player_11_plugin_64bit.exe。
win7操作系统70个功能和小技巧展示
win7操作系统70个功能和小技巧展示win7操作系统70个功能和小技巧展示Windows 7比Vista要好用而且有很多新功能。
不过,由于系统较新,其中的一些功能并不是很容易被人们所发现,以下是店铺为大家搜索整理的win7操作系统70个功能和小技巧展示,希望对正在关注的您有所帮助!1. PC Safeguard 电脑守卫我很少让其他人使用我的电脑,因为我怕他们会把它弄的乱七八糟的,但是看起来,微软已经替我考虑到这一点并且顺便解决了这个问题。
PC Safeguard不会让任何人把用户电脑的设置弄乱,因为当他们注销的时候,所有的设定都会恢复到正常。
当然了,他不会恢复用户自己的设定,但是用户唯一需要做的就是定义好其他用户的权限。
要使用PC Safeguard,首先控制面板--用户帐户接下来创建一个新的帐户,然后选择 "启用PC Safeguard" 然后确定。
然后用户就可以安心的让别人使用用户的电脑了,因为任何东西都不会被改变,包括设定,下载软件,安装程序。
2. 显示校准很幸运, Windows 7 拥有显示校准向导功能可以让用户适当的调整屏幕的亮度,所以用户不会在浏览照片和文本时遇到显示问题。
之前的Windows上浏览照片时有可能会出现亮度过大等问题。
现在问题解决了,只要用户按住 WIN+R 然后输入 "DCCW"即可。
3. AppLocker 应用程序锁对于企业用户或者经常需要与其他人共用一台机器的用户而言,AppLocker无疑是个绝佳的助手。
WIN+R运行gpedit.msc打开本地策略组编辑器,计算机配置--windows设置--安全设置--应用程序控制策略,右键点击其中的一个选项(可执行文件,安装或者脚本)并且新建一个规则即可。
4. 镜像刻录我们都有过在windows下进行镜像刻录的困扰,因为Windows中并没有内置此功能,我们往往需要安装第三方的软件来解决此问题。
windows server 2008 r2优化
列一些必须启用的功能(Feature)桌面体验墨迹和手写服务墨迹支持优质Windows音频视频体验简单TCP/IP服务.Net Framework 3.5.1功能.Net Framework 3.5.1无线LAN服务再列一些必须启用的服务(Service)#支持AeroTheme#支持音频Windows AudioWindows Audio Endpoint builder#支持读卡器Portable Device Enumerator Service#摄像头Windows Image Acquisition (WIA)#1、把必须足够复杂的管理员密码变成简单密码:(安装时第一遍重启后,shift+F10直接调出命令行运行)运行"gpedit.msc“,计算机配置—windows配置—安全设置—账户策略—密码策略: “密码必须符合复杂性要求”—已禁用#2、密码不过期运行"gpedit.msc“,计算机配置—windows配置—安全设置—账户策略—密码策略:“密码最长使用期限”—设为0#3、自动登录运行“netplwiz”,用户账户,取消“要使用本机,用户必须输入用户名和密码”前面的勾,点击“应用”,并输入管理员密码确定#4、关闭开机时必须按ctrl+alt+del运行“gpedit.msc”,计算机配置—windows配置—安全设置—本地策略—安全选项—交互式登录:“无须按ctrl+alt+del”—已启用#5、关闭关机原因运行“gpedit.msc”,计算机配置—管理模板—系统:显示“关机事件跟踪程序”—已禁用#6、自动更新不重启运行“gpedit.msc”,计算机配置—管理模板—Windows组件—Windows Update: “对于有已登录用户的计算机,计划的自动更新安装不执行重新启动”—已启用#7、欢迎声音运行“gpedit.msc”,计算机配置—管理模板—系统—登陆:“关闭系统启动声音”—已禁用注册表Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Multimedia\SystemProfile]"NetworkThrottlingIndex"=dword:00000064"SystemResponsiveness"=dword:00000014#第一项NetworkThrottlingIndex,是控制在运行多媒体程序的时候,每毫秒网卡处理包数量,根据MTU为1500计算,默认10则为15MB/s,这对于百兆网络影响不大,但是多网卡或者千兆网,这个值就影响大了。
windows服务器安全配置
安全配置服务器1.NTFS比FA T分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。
2.建议最好一次性全部安装成NTFS分区,而不要先安装成FA T分区再转化为NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。
3.安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。
4.分区和逻辑盘的分配推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。
要知道,IIS和FTP是对外服务的,比较容易出问题。
而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
5.安装顺序的选择:win2000在安装中有几个顺序是一定要注意的:首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装6.端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。
Windows优化大师的功能和使用方法分析
Windows优化大师的功能和使用方法分析测控技术与仪器160511135 韩红莉电脑迷们永远不会对自己的计算机表示满意的,他们总是精益求精,想让自己的机器表现得更出色。
而作为我们最常用的操作系统Windows9X,通常它的表现都不会尽如人意,怎样才能让它有更好的表现,怎样才能让它不会随着我们使用时间的增加变得越来越大臃肿,从而导致系统的整体性能下降,运行速度越来越缓慢?对了!试一试"Windows优化大师"。
Windows优化大师是国内知名的系统优化软件,有着丰富的优化功能,而且软件体积小巧,功能强大,是装机必备软件之一。
Windows优化大师软件,同时适合Windows98/Me/2000/XP 操作系统,能够为系统提供全面有效而简便的优化、维护和清理手段,让系统始终保持在最佳状态。
Windows优化大师具有以下特点:一,具有全面的系统优化选项(1)向用户提供简便的自动优化向导(2)优化项目均提供回复功能二,详细准确的系统检测功能(1)提供详细准确的硬件、软件信息(2)提供系统性能进一步提高的建议三,强大的清理功能(1)快速安全清理注册表(2)清理选中的硬盘分区或指定目标四,有效地系统维护模块(1)检测和修复磁盘问题(2)文件加密与恢复工具[软件的使用]1、了解系统信息在"系统信息"主界面中,您可以了解到您计算机中详细的软件和硬件信息,分别包括:CPU信息、内存信息、对换区、虚拟内存容量、光驱缓存和磁盘缓存。
如果需要更详尽的信息,可点击选项"更多信息",这里的内容分为6大类:CPU信息、拨号适配器信息、硬盘信息、鼠标和键盘信息、显示器分辨率和内存信息。
(1)在"系统信息"中,您可点击"进程管理"选项打开"进程管理"窗口,对Windows正在执行的程序进行控制。
在该窗口中,您会看到所有Windows 中正在运行的程序。
Wind2008系统基础优化
Wind2008系统基础优化一般,windows系统在平时使用的时候总是会产生些垃圾文件,甚至你不联网它也会产生垃圾文件,Windows 2008系统一推出就是作为服务器而使用的,所以在系统的很多细节上都做了很严密的设置,以确保系统的稳定性和安全性,用户可以对系统进行基础性的优化。
下面大家与小编一起来学习一下吧。
Wind2008系统基础优化1、取消登录时按“ctrl+alt+del”登录系统开始菜单---管理工具---本地安全策略依次进入:本地策略--安全选项找到:交互式登录无需按ctrl+alt+del然后双击,设置为“已启用”这样每次开机的时候,就可以直接输入密码登录系统了2、加快登录的时间关闭“关机事件跟踪”如果不想每次关机的时候都出现“关机事件跟踪”的对话框在开始菜单的运行输入“gpedit.msc”打开组策略编辑器依次进入:计算机配置--管理模板--系统在最下面找到“显示关闭事件跟踪程序”双击进入属性,设为“禁用”就可以了3、调整默认IE ESC(IE增强安全设置)2008的ie7默认情况下开启了安全设置,不修改的情况下,每次打开新的网站ie都会问是否安全站点,作为服务器使用的话,可以提高服务器的安全性,但是如果作为桌面使用的话,就会很烦人。
打开“服务器管理器”,在“安全信息”下面点击“配置IE ESC”设置“管理员”和“用户”都是“禁用”即可解决4、作为桌面系统使用的时候,我们需要对2008进行一些调整:调整系统性能进入控制面板的系统和维护,打开“高级系统设置”选择性能下面的“设置”在“视觉效果”标签下面选择“调整为最佳性能”在“高级”标签下面的“处理器计划”选择“程序”在“高级”标签下面的“虚拟内存”选择“让系统自动管理”在“数据执行保护”标签下面,选择“仅为基本windows 服务和程序启用DEP”点击“添加功能”进入添加功能界面,勾选“.NET Framework 3.0功能”,“高质量Windows音频视频体验”,“简单TCP/IP服务”,“桌面体验”(如果想打开AERO玻璃效果,还要勾选“Windows PowerShell")后点击安装(需要重启电脑)在“服务”中将“Themes”服务设为自动并开启在“控制面板、外观和个性化”里面就可以使用vista主题了。
win10进入安全模式的方法
win10进入安全模式的方法Win10进入安全模式的方法。
在使用Windows 10操作系统时,有时候我们需要进入安全模式来解决一些系统问题或者进行系统维护。
安全模式是一种启动模式,它可以让我们在系统启动时只加载最基本的驱动程序和系统文件,从而帮助我们诊断和解决一些系统故障。
接下来,我将介绍几种进入Win10安全模式的方法。
方法一,使用系统配置工具(msconfig)。
1. 首先,按下Win+R组合键打开“运行”对话框,输入“msconfig”并按下回车键,打开系统配置工具。
2. 在系统配置工具窗口中,选择“引导”选项卡,勾选“安全启动”选项,并选择“最小”选项。
3. 点击“确定”按钮并重启计算机,系统将会以安全模式启动。
方法二,使用高级启动选项。
1. 在Windows 10登录界面,按住Shift键并点击“重新启动”按钮,进入高级启动选项。
2. 选择“疑难解答”>“高级选项”>“启动设置”,点击“重新启动”。
3. 在启动设置界面中,按下F4键或者F5键,分别对应安全模式和安全模式带网络连接,系统将会以相应的模式启动。
方法三,使用故障排除向导。
1. 在Windows 10登录界面,按住Shift键并点击“电源”按钮,选择“重启”。
2. 在重启过程中,系统将会进入自动修复模式,选择“疑难解答”>“高级选项”>“启动设置”,点击“重新启动”。
3. 在启动设置界面中,按下F4键或者F5键,分别对应安全模式和安全模式带网络连接,系统将会以相应的模式启动。
方法四,使用命令提示符。
1. 在Windows 10登录界面,按下Shift+F10组合键,打开命令提示符窗口。
2. 输入“bcdedit /set {default} safeboot minimal”并按下回车键,设置系统以最小安全模式启动。
3. 重启计算机,系统将会以安全模式启动。
总结。
通过以上几种方法,我们可以轻松地进入Windows 10的安全模式,从而解决一些系统故障和进行系统维护。
win 10安全模式
win 10安全模式Win 10安全模式是Windows 10操作系统的一种特殊启动模式,它在系统启动时只加载最基本的驱动程序和服务,以确保系统能够稳定运行,并且提供一种解决系统问题的常用方法。
下面将介绍Win 10安全模式的作用、启用方法和常见问题的解决办法。
首先,Win 10安全模式的作用主要有四个方面。
第一,通过加载最基本的驱动程序和服务,可以排除正常启动时导致系统崩溃的问题。
第二,安全模式可以用来进行系统故障的排除和修复,例如修复驱动程序冲突、恢复系统设置等。
第三,安全模式可以用于清除系统中的病毒和恶意软件。
第四,安全模式可以用于重装系统或者进行系统还原。
启用Win 10安全模式有多种方式,下面介绍几种常用的方法。
方法一,通过“开始”菜单。
点击“开始”菜单,然后点击“电源”按钮,在弹出的菜单中按住“Shift”键同时点击“重新启动”,进入“选择一个选项”界面,选择“故障排除”->“高级选项”->“启动设置”->“重新启动”,然后在启动设置界面中选择“4”来进入安全模式。
方法二,通过登录界面。
在登录界面按住“Shift”键点击“电源”按钮,然后选择“重新启动”,进入“选择一个选项”界面,选择“故障排除”->“高级选项”->“启动设置”->“重新启动”,然后在启动设置界面中选择“4”来进入安全模式。
方法三,通过高级启动。
首先进入系统的“恢复设置”,然后点击“高级启动”->“直接从USB或光盘启动”,选择“重新启动”,进入“选择一个设备”界面,选择“UEFI firmware settings”,然后在BIOS设置界面中找到“启动”选项,将“安全启动”关闭,保存并退出,然后系统会重启并进入BIOS设置界面,选择“启动”->“启用低分辨率视频”进行安全模式启动。
在Win 10安全模式中,有时会遇到一些常见问题,下面介绍几种常见问题的解决办法。
问题一,系统崩溃。
Windows主机安全配置手册
Windows主机安全配置1用户、用户组及其权限管理描述:创建用户组和用户,并对其分配合适的权限是WINDOWS安全机制的核心内容之一。
1.1对系统管理员账号进行限制编号:3001 名称:对系统管理员账号进行限制重要等级:高基本信息:系统管理员对系统具有最高的权限,Windows系统管理员的默认账号名为Administrator,很容易成为攻击者猜测和攻击的重要目标,因此需要对系统管理员账号作出必要的设置。
检测内容:✓查看是否有名为administrator的用户帐号;✓查看administrator用户是否属于administrators组建议操作:✓将系统管理员账号重命名为一个普通的、不易引起注意的账号名⏹打开控制面板→管理工具→本地安全策略;⏹选择本地策略→安全选项;⏹改写:重命名管理员帐户;✓建立一个以administrator命名的账号,将所属用户组清除,即所属组为空,不赋予该帐号权限;✓管理员账号的口令应该遵循比“密码策略”更严格的策略操作结果:✓对系统管理员账号进行限制,一般不会对系统造成任何不良的影响。
✓有少数应用软件需要administrator名的系统用户,请视应用情况对该项进行修改。
1.2 密码策略编号:3002 名称:密码策略重要等级:高基本信息:通过启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”可以明显的提高用户账户的安全性。
检测内容:✓查看本地安全策略|账户策略|密码策略来核实是否设置了合适的密码策略⏹打开控制面板→管理工具→本地安全策略;⏹选择帐户策略→密码策略;⏹检查各项设置;建议操作:✓启用“密码必须必须符合复杂性要求”;⏹“密码最小长度”大于7;⏹“密码最长存留期”小于90天;⏹“密码最短存留期”大于5天;⏹“密码强制历史”不小于5;⏹停用“为域中用户使用可还原的加密来存储”;操作结果:✓密码策略对已经存在的密码无效,需要对已存在的密码进行检查✓进行密码策略设置,不会对系统造成任何不良的影响。
Windows2016服务器安全设置
Windows2016服务器安全设置⽬录系统更新配置更换Windows更新服务器启⽤并允许⾃动更新系统账号安全设置账号安全策略检查并优化账号禁⽌系统⾃动登录远程访问安全更改远程终端默认3389端⼝将远程关机、本地关机和⽤户权限分配只授权给Administrtors组将远程登录账户设置为具体的管理员账号系统⽹络安全关闭不需要的服务关闭“同步主机_xxx”服务关闭IPC共享关闭139端⼝(Netbios服务)、445端⼝、5355端⼝(LLMNR)⽹络访问限制⽇志审计增强⽇志记录增强审核开启并设置防⽕墙开启或关闭Windows防⽕墙允许特定的端⼝访问关闭ICMP(禁ping)其它安全设置设置屏保,使本地攻击者⽆法直接恢复桌⾯控制关闭Windows⾃动播放功能禁⽤IPV6。
看操作。
⼩编补充话说跟2008的服务器安全设置很像系统更新配置更换Windows更新服务器如果你觉得默认的Windows更新服务器⽐较慢,或者如果选择了阿⾥云或腾讯云服务器的话,可以更换Windows服务器。
右键开始菜单图标,选择“运⾏”,然后输⼊gpedit.msc,依次选择 “计算机配置” - “管理模板” - “Windows 组件” - “Windows 更新”,双击“指定 Intranet Microsoft 更新服务位置”:双击“允许⾃动更新⽴即安装”,选择“已启⽤”启⽤⾃动更新。
然后双击“配置⾃动更新”,选中“已启⽤”并配置成“⾃动下载并通知安装”,如下图:设置完上述两步之后,需要以管理员⾓⾊执⾏下⾯的命令:gpupdate /force解决执⾏⾃动更新时出现的 0x8024401f 和 0x8024401c 错误完成上述操作之后,选择开始菜单-设置,执⾏检查更新,检查⼀下是否正常。
如果出现 0x8024401f 或 0x8024401c 错误的话,以管理员⾝份执⾏下⾯的命令:net stop wuauservreg delete HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdatenet start wuauserv系统账号安全设置账号安全策略在“运⾏”中执⾏secpol.msc命令,打开“本地安全策略”,进⾏如下设置:(1)“账户设置”-“密码策略”设置合适的密码复杂度,增强密码的强度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
操作系统的优化和安全设置一、完成初装系统的性能优化的步骤?答:1、使用朴素界面。
2、减少启动时加载项目。
3、优化视觉效果。
4、关闭还原系统。
5、加快选单显示速度和取消等待时间。
6、启动DMA传送模式。
7、移动浏览器的临时文件储存路径。
另外还可以禁用错误报告、关闭自动更新、禁止休眠状态等。
二、理解Windows服务,论述哪些服务能禁用,哪些不能?答:必须禁止的服务MeetingRemoteDesktopSharing:允许受权的用户通过NetMeeting在网络上互相访问对方。
这项服务对大多数个人用户并没有多大用处,况且服务的开启还会带来安全问题,因为上网时该服务会把用户名以明文形式发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。
2.UniversalPlugandPlayDeviceHost:此服务是为通用的即插即用设备提供支持。
这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。
攻击者只要向某个拥有多台WinXP系统的网络发送一个虚假的UDP包,就可能会造成这些WinXP主机对指定的主机进行攻击(DDoS)。
另外如果向该系统1900端口发送一个UDP包,令“Location”域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。
3.Messenger:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的NetSend和Alerter服务消息,此服务与WindowsMessenger无关。
如果服务停止,Alerter消息不会被传输)。
这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为“信使服务”。
而且这项服务有漏洞,MSBlast和Slammer病毒就是用它来进行快速传播的。
4.TerminalServices:允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。
如果你不使用WinXP的远程控制功能,可以禁止它。
5.RemoteRegistry:使远程用户能修改此计算机上的注册表设置。
注册表可以说是系统的核心内容,一般用户都不建议自行更改,更何况要让别人远程修改,所以这项服务是极其危险的。
6.FastUserSwitchingCompatibility:在多用户下为需要协助的应用程序提供管理。
WindowsXP允许在一台电脑上进行多用户之间的快速切换,但是这项功能有个漏洞,当你点击“开始→注销→快速切换”,在传统登录方式下重复输入一个用户名进行登录时,系统会认为是暴力破解,而锁定所有非管理员账户。
如果不经常使用,可以禁止该服务。
或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。
7.Telnet:允许远程用户登录到此计算机并运行程序,并支持多种TCP/IPTelnet 客户,包括基于UNIX和Windows的计算机。
又一个危险的服务,如果启动,远程用户就可以登录、访问本地的程序,甚至可以用它来修改你的ADSLModem 等的网络设置。
除非你是网络专业人员或电脑不作为服务器使用,否则一定要禁止它。
8.PerformanceLogsAndAlerts:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。
为了防止被远程计算机搜索数据,坚决禁止它。
9.RemoteDesktopHelpSessionManager:如果此服务被终止,远程协助将不可用。
10.TCP/IPNetBIOSHelper:NetBIOS在Win9X下就经常有人用它来进行攻击,对于不需要文件和打印共享的用户,此项也可以禁用。
可以禁止的服务以上十项服务是对安全威胁较大的服务,普通用户一定要禁用它。
另外还有一些普通用户可以按需求禁止的服务:1.Alerter:通知所选用户和计算机有关系统管理级警报。
如果你未连上局域网且不需要管理警报,则可将其禁止。
2.IndexingService:本地和远程计算机上文件的索引内容和属性,提供文件快速访问。
这项服务对个人用户没有多大用处。
3.ApplicationLayerGatewayService:为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。
如果你没有启用Internet连接共享或WindowsXP 的内置防火墙,可以禁止该服务。
4.UninterruptiblePowerSupply:管理连接到计算机的不间断电源,没有安装UPS 的用户可以禁用。
5.PrintSpooler:将文件加载到内存中以便稍后打印。
如果没装打印机,可以禁用。
6.SmartCard:管理计算机对智能卡的读取访问。
基本上用不上,可以禁用。
7.SsdpDiscoveryService:启动家庭网络上的upnp设备自动发现。
具有upnp的设备还不多,对于我们来说这个服务是没有用的。
8.AutomaticUpdates:自动从WindowsUpdate网络更新补丁。
利用WindowsUpdate功能进行升级,速度太慢,建议大家通过多线程下载工具下载补丁到本地硬盘后,再进行升级。
9.Clipbook:启用“剪贴板查看器”储存信息并与远程计算机共享。
如果不想与远程计算机进行信息共享,就可以禁止。
10.ImapiCd-burningComService:用Imapi管理CD录制,虽然WinXP中内置了此功能,但是我们大多会选择专业刻录软件,另外如果没有安装刻录机的话,也可以禁止该服务。
11.Workstation:创建和维护到远程服务的客户端网络连接。
如果服务停止,这些连接都将不可用。
12.ErrorReportingService:服务和应用程序在非标准环境下运行时,允许错误报告。
如果你不是专业人员,这个错误报告对你来说根本没用。
不可以禁止的是:1: DNS Client DNS解析服务这个系统的服务用来解析和缓存DNS名,他让系统通过规范的名称而不是IP 地址来进行通信。
因为有了DNS,我们才可以用方便的易记的单词和字母来访问不同的网站. 不用去记IP。
DNS服务是不能停用的,停用将导致系统无法正确解析网址,浏览器将无法正常工作。
2: 拨号连接服务Network Connections此服务为电脑提供了管理网络和拨号连接的服务,包括网络状态提示和配置。
Network Connections是你的电脑能够通过局域网访问其它电脑或连接到互联网的一个基础服务。
这个系统服务如果停止,系统会不能进行网络配置,网络连接也不能建立,那些依赖于网络信息的服务将无法正常工作。
3: Plug and Play 即插即用服务插即用服务是指在电脑添加新的硬件设备时工作, 它会检测新的硬件设备并尝试对其进行自动安装和配置。
有些人经常把Plug and Play服务与Universal Plug and Play 服务(uPNP)搞混,后者是Windows XP自动侦测新的网络资源(而不是本地硬件设备)的服务。
Plug and Play 服务之所以如此重要,是因为一旦没有了它,你的电脑系统将变得不够稳定,并且不能识别新添加或更改的硬件设备。
而另一方面,uPNP服务就没那么重要了,你可以在适当的情况下将其停用。
除了uPNP,我们还可以停用SSDP Discovery Service,它和uPNP类似Plug and Play服务一旦停用,你的操作系统将变得不够稳定,并且不能识别新添加或更改的硬件设备。
4: 打印服务Print Spooler这是一个为打印服务的系统应用, 如果你希望你的电脑能够正常打印,就不要停用Print Spooler 服务。
这个服务的工作就是管理系统中所有跟打印有关的活动。
也许有些人会说,我没有打印机,就可以关闭这个服务了吧。
这是可以的. 因为这个服务只是管理打印的. 但这个服务要恢复起来比较麻烦. 为了以后的可能性. 最好不要停用这个服务.如果Print Spooler服务被停用,本机打印也不可能实现。
5: Remote Procedure Call (RPC)Windows是一个复杂的系统,很多后台运行的进程需要与其它进程进行通信。
让进程之间能够顺利通信的服务就是Remote Procedure Call (RPC)服务。
RPC 可以让进程之间进行通信,并且可以通过网络进行通信。
Windows系统中大量的关键性服务,如Print Spooler 以及Network Connections 服务,都依赖于RPC 服务所提供的功能。
如果你想了解一下关闭RPC服务后的效果,可以参考这里this link的评论内容。
禁用这一服务的后果很糟糕,最明显的就是,系统无法启动了, 所以必须启用这个系统服务。
6: Workstation 工作站服务Workstation的任务就是服务处理与远程网络资源的连接。
该服务可以实现本地电脑与通过Microsoft Network 服务发现的网络资源之间的网络连接和通信。
现如今,很多网络应用都需要该服务的支持,包括共享打印机,远程Windows Media 设备,Windows Home Server以及其它设备等。
而且,从目前的情况看,停用该服务所换来的系统性能的提升比较小, 所以我们建议不要停用这个系统服务。
停用Workstation服务后,电脑将无法与远程的Microsoft Network网络资源连接。
7: Network Location Awareness (NLA)和Workstation 服务一样,多年前我也会建议那些不联网的电脑停用Network Location Awareness服务。
而如今情况大不相同,WiFi网络已经相当普遍了,移动办公也不是什么稀罕事了。
Network Location Awareness服务的工作是收集和存储网络配置和定位信息,并在这些信息发生改变时给出提示。
比如,当你从路边咖啡馆的无线网络环境回到家里,给电脑插上网线,NLA 要确保应用程序知道当前的网络状态已经改变了。
另外,其他一些系统服务也是依赖于NLA 服务的。
停用该协议会导致系统无法连接或者无法顺利连接到无线网络。
无线上网也不可能, 要用无线功能,这个是必须启用系统服务。
8: 自动更新Automatic Updates自动更新服务是保持系统能够及时安装补丁是保证系统安全的关键之一,而这正是这个应用的工作内容。
开启这项服务,可以让系统在最快时间内获取Microsoft 发布的Windows系统补丁。
而关闭该服务,你就必须通过微软的升级网站手动安装各种补丁了。