操作系统安全设置

实验三：操作系统安全设置（2学时）

一、实验目的

操作系统的安全配置和使用是信息安全保障的基础，通过实验了解操作系

统防御的基本知识，掌握具体安全性措施，建立系统综合防御概念。

二、实验设备及环境

硬件设备：局域网，学生实验主机。

软件环境：Windows 2000/XP操作系统

三、实验内容

1.禁用“guest”账户，限制不必要的用户数量，更改系统的管理员（Administrator）账户名称，创建一个假管理员账户，设置系统屏幕保护密码。

2.改变“密码策略”和“账户锁定策略”的设置，使其符合账户、密码安全的

标准，验证结果。

3.设置“本地策略”中的“审核策略”。

4.使用事件查看器查看“应用程序”“安全性”“系统”的事件，描述查看的过

程，事件的意义。

5.选择5个用户权限进行分配，并进行验证，解释这5个权限的意义。描述其

中一个权限分配的过程。

6.选择“本地策略”中5个“安全选项”中的内容进行设置并验证，说明其意

义，例如不显示最后登录系统的用户名。

7.使用文件加密系统EFS对系统必要文件夹或文件进行加密。

四、实验原理

查阅有关操作系统及应用软件安全的相关资料，对上述实验内容中未涉及到的部分进行补充并通过实验验证。

五、实验步骤（通过文字和截屏方式描述实验过程及结果）

禁用“guest”账户：

更改系统的管理员（Administrator）账户名称：

创建一个假管理员账户，设置系统屏幕保护密码：

密码策略：

账户锁定策略：

设置“本地策略”中的“审核策略”。

使用事件查看器查看“应用程序”“安全性”“系统”的事件，描述查看的过程，事件的意义。

用事件查看器查看“应用程序”，可以看到应用的程序信息和时间。

用事件查看器查看“安全性”，可以查看到是否有用户登录，和策略改动，对象访问的审核成功否。保证了系统的安全。

用事件查看器查看“系统”的事件，可以查看信息，错误信息以警告信息等。

可以清楚知道系统是否有新的更新或其他操作。

选择5个用户权限进行分配，并进行验证，解释这5个权限的意义。描述其中一个权限分配的过程。

选择“本地策略”中5个“安全选项”中的内容进行设置并验证，说明其意义，例如不显示最后登录系统的用户名。

a)帐户：重命名来宾帐户，更改了名字guest 为guest1

b)

c)

d)

e)

六、实验总结

通过此次实验，了解了基本的对电脑加密的方法，也学到了查询事件的方法。可以更安全的管理自己的计算机。

操作系统安全配置

第2章 操作系统安全配置 本章要点 z操作系统的概念、安全评估 z操作系统的用户安全设置 z操作系统的密码安全设置 z操作系统的系统安全设置 z操作系统的服务安全设置 z操作系统的注册表安全设置 2.1操作系统的安全问题 操作系统是计算机资源的直接管理者，它和硬件打交道并为用户提供接口，是计算机软件的基础和核心。在网络环境中，网络的安全很大程度上依赖于网络操作系统的安全性。没有网络操作系统的安全性，就没有主机系统和网络系统的安全性。因此操作系统的安全是整个计算机系统安全的基础，其安全问题日益引起人们的高度重视。作为用户使用计算机和网络资源的中间界面，操作系统发挥着重要的作用。因此，操作系统本身的安全就成了安全防护的头等大事。操作系统安全防护研究通常包括以下几方面内容。 (1) 操作系统本身提供的安全功能和安全服务，现代的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求。 (2) 对各种常见的操作系统，采取什么样的配置措施使之能够正确应付各种入侵。 (3) 如何保证操作系统本身所提供的网络服务得到安全配置。 2.1.1 操作系统安全概念 一般意义上，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。 操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。操作系统中任何存有数据的东西都是客体，包括文件程序、内存、目录、队列、管道、进程间报文、I/O设备和物理介质等。能访问或使用客体活动的实体称为主体，一般说，用户或者代表用户进行操作的进程都是主体。主体对客体的访问策略是通过可信计算基(TCB)来实现的。可信计算基是系统安全的基础，正是基于该TCB，通过安全策略的实施控制主体对空体的存取，达到对客体的保护。

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

Windows安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 根据系统的要求，设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令： 删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 缺省帐户－>属性－> 更改名称

AI操作系统安全配置规范

AIX安全配置程序

1 账号认证 编号：安全要求-设备-通用-配置-1 编号：安全要求-设备-通用-配置-2

2密码策略 编号：安全要求-设备-通用-配置-3

编号：安全要求-设备-通用-配置-4 编号：安全要求-设备-通用-配置-5

编号：安全要求-设备-通用-配置-6 3审核授权策略 编号：安全要求-设备-通用-配置-7 (1)设置全局审核事件

配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号：安全要求-设备-通用-配置-8

个人计算机的安全配置

本栏目责任编辑：冯蕾网络通讯及安全Computer Knowledge and Technology 电脑知识 与技术第5卷第23期(2009年8月)个人计算机的安全配置 张逸昀 （天津电子信息职业技术学院，天津300132） 摘要：随着网络技术的发展，网络业务的普及，个人计算机的安全已经越来越引起人们的注意。那么如何保证个人电脑内部的资料不被损坏、泄露和篡改呢？该文从系统安全配置、杀毒软件的选取得防火墙的配置三个方面逐一阐述。 关键词：个人计算机安全配置；系统安全配置；防火墙 中图分类号：TP393文献标识码：A 文章编号：1009-3044(2009)23-6410-03 Safety Configuration of Personal Computer ZHANG Yi-yun (Tianjin Vocational-technical Academy of Electronic Information,Tianjin 300132,China) Abstract:With the development of network technique and the popularity of network business,the safety of personal computer (PC)arouses more and more attention from people.Then how can we guarantee the information of personal computer free from damaging,re -leasing and modifying?In this paper,the problem above will be illustrated from the following three aspects:the safety configuration for op -eration system (OS),the selection of anti-virus software and the configuration of fire wall. Key words:safety configuration of PC;safety configuration of OS;fire wall 现在的生活中，电脑已经成为必不可少的工具，但由于互联网的特性，也使得我们对电脑内部资料的保护提出了要求。我们看新闻的时候，不断看到这样的消息：身份被盗、数据遭窃、隐私信息落入非法人士之手等等。 为了避免这种情况发生，我们需要从三方面入手进行个人电脑的配置，以保护个人信息的安全性。 1)对操作系统进行安全配置 2)安装杀毒软件 3)安装防火墙 杀毒软件和防火墙的安装虽然可以从一定程度上避免个人计算机遭受病毒和木马的侵害，但由于杀毒软件和防火墙软件的特性，仍然会有一些黑客绕过这些屏蔽攻击个人电脑，这就需要我们对操作系统进行安全配置以最大程度的保护自己电脑的安全性。下面将从这三方面详细阐述，个人电脑的安全配置。 1系统的安全配置 1.1共享的设置 1.1.1删除默认共享 打开记事本，新建一个空白文件，输入如下内容： Net share c$/del Net share d$/del Net share e$/del Net share ADMIN $/del Net share IPC $/del Net share PRIN$/del 将该文件另存为del.bat ，并将该文件添加到启动项或设置计划任务。1.1.2禁止建立空连接 打开HKEY_Local_Machine\System\CurrentControlSet\Control\LSA 修改restrictanonymous 的DWORD 值为1（如果没有自行新建） 1.1.3禁止共享设置 打开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\Network]下建立以下DWORD 值： “NoFileSharing ”=1（禁用文件共享） “NoWorkgroupContents ”=1隐藏“网上邻居”中的工作站显示； “NoEntireNetwork ”=1隐藏“网上邻居”中的整个网络显示； “NoFileSharingControl ”=1禁止文件共享； “NoPrintSharingControl ”=1禁止打印机共享 1.2帐户设置 1)创建管理员帐户和普通帐户，帐户名称请自行起一个（建议用中文名称）并按帐号策略设置密码。 收稿日期：2009-04-14 作者简介：张逸昀（1978-），女，天津人，天津电子信息职业技术学院，讲师，硕士，主要研究方向为计算机网络。 ISSN 1009-3044Computer Knowledge and Technology 电脑知识与技术Vol.5,No.23,August 2009,pp.6410-6412E-mail:info@https://www.wendangku.net/doc/8b858002.html, https://www.wendangku.net/doc/8b858002.html, Tel:+86-551-569096356909646410

电脑安全防范措施(34816)

个人电脑网络安全防范措施 近期病毒在所网络扩散比较迅速，很多计算机感染病毒，有的甚至因为此而全面瘫痪。网络室对此一直十分关注，下面就个人电脑网络安全防范问题谈几点建议。 一、杀（防）毒软件不可少 病毒的发作给全球计算机系统造成巨大损失，令人们谈“毒”色变。上网的人中，很少有谁没被病毒侵害过。对于一般用户而言，首先要做的就是为电脑安装一套正版的杀毒软件，如《瑞星杀毒软件2007版》、《金山毒霸2007》、《江民杀毒软件kv2007》或《NortonAntiVirus2007》等等。 现在不少人对防病毒有个误区，就是对待电脑病毒的关键是“杀”，其实对待电脑病毒应当是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛亮”的角色，即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病毒于计算机门外。因此应当安装杀毒软件的实时监控程序，应该定期升级所安装的杀毒软件（如果安装的是网络版，在安装时可先将其设定为自动升级），给操作系统打相应补丁、升级引擎和病毒定义码。由于新病毒的出现层出不穷，现在各杀毒软件厂商的病毒库更新十分频繁，应当设置每天定时更新杀毒实时监控程序的病毒库，以保证其能够抵御最新出现的病毒的攻击。 每周要对电脑进行一次全面的杀毒、扫描工作，以便发现并清除隐藏在系统中的病毒。当用户不慎感染上病毒时，应该立即将杀毒软件升级到最新版本，然后对整个硬盘进行扫描操作，清除一切可以查杀的病毒。如果病毒无法清除，或者杀毒软件不能做到对病毒体进行清晰的辨认，那么应该将病毒提交给杀毒软件公司，杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时，我们的第一反应应该是拔掉网络连接端口，或按下杀毒软件上的断开网络连接钮。 二、个人防火墙不可替代 如果有条件，安装个人防火墙（Fire Wall）以抵御黑客的袭击。所谓“防火墙”，是指一种将内部网和公众访问网(Internet)分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救(Patch) 产品，此时应尽快确认真伪（防止特洛伊木马等病毒），并对防火墙进行更新。在理想情况下，一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情况看，这还是个遥远的梦想。目前各家杀毒软件的厂商都会提供个人版防火墙软件，防病毒软件中都含有个人防火墙，所以可用同一张光盘运行个人防火墙安装，重点提示防火墙在安装后一定要根据需求进行详细配置。合理设置防火墙后应能防范大部分的蠕虫入侵。

涉密计算机安全策略配置完整版

涉密计算机安全策略配 置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭； 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统； 2、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） 8、清理一切私人信息：私人照片、mp3、电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后） 五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间 机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描； 2、安装主机监控审计软件与介质绑定系统； 六、关闭计算机不必要的应用服务 原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。 详细配置说明

个人电脑安全防护手册

随着网络和个人电脑的日益普及，病毒的入侵以及黑客的攻击也变得日益平凡，那要如何保护好我们的电脑不被攻击呢？下面我们就以常见的几点来详细介绍下，相信你在看完本手册后，一定会受益匪浅的。 1 病毒的防范与处理 计算机病毒（Computer Virus）是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有破坏性，复制性和传染性。针对我们用得最多的Windows操作系统，一般将其分为：系统病毒、蠕虫病毒、木马病毒、黑客病毒等。 1.1杀（防）毒软件的应用 对于病毒的防范，我们就必须安装杀毒软件了，常见的杀毒软件有360杀毒，360安全卫士，瑞星，金山，小红伞等等，你可以根据自己的需求随便下载一款杀毒软件安装。每周我们还要对杀毒软件进行一次更新，使它能有效的杀毒，对于系统我们也要做到每周的定期全盘扫描，以防止病毒的攻击。 1.2个人防火墙的应用 有了杀毒软件，我们还必须安装防火墙，因为有些病毒它是通过网络传播的，防火墙可以有效的帮助我们拦截木马病毒、黑客病毒，常见的有360，瑞星，金山，小红伞等等，在安装好防火墙后，每周我们还要对防火墙进行一次更新。1.3优盘以及移动硬盘的防护 现在绝大多数的病毒都是通过我们的优盘以及移动硬盘传播的，当我们在使用这些设备的时候，如果这些设备带得有病毒的话，系统就会自动的打开带有病毒的文件，所以为了更有效的防止病毒的入侵，我们可以关闭计算机的自动播放功能，具体操作如下： 点击开始，选择运行，键入命令gpedit.msc，单击“关闭自动播放”选择“已启用”即可。

当然我们在打开这些设备之前最好是先用杀毒软件对其全盘扫描一下，做到防患于未然。在其次我们也可以通过以下的方法来打开： 打开“我的电脑”，选择“文件”会出现如图所示左边的目录树，单击相应的盘符打开文件即可。 以上所说的几种方法，都能有效的防止病毒的入侵。

操作系统的安全策略基本配置原则通用版

管理制度编号：YTO-FS-PD674 操作系统的安全策略基本配置原则通 用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

操作系统的安全策略基本配置原则 通用版 使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了

个人电脑使用安全技巧

个人计算机安全策略（XP系统为主） ——计算机安全使用的十个关键点 随着计算机网络的普及，病毒及木马问题也随之成为大家使用计算机中的一些烦恼和困惑，以下的10个关键点供大家参考，希望能帮助你巩固计算机安全性。 1.使用非IE的浏览器 目前很多的病毒和恶意插件都是利用IE的程序漏洞来安装到用户的计算机上，基本上这已经成为病毒进入系统的第一途径，相信大家都有使用IE上某个网站，杀毒软件报警的经历，甚至有被强制安装各种插件的经历。 因此，安全你的电脑的第一步是希望大家尽量使用非IE的浏览器如firefox、opera等，即使是使用傲游等基于IE内核的浏览器，也远比IE要好得多。 2.系统补丁要打全 所有系统补丁要打全，操作系统安装完成后记得把所以补丁安装上，系统的自动补丁更新功能必须开启，确保计算机能自动及时的更新补丁。

备注：没有打全补丁的计算机连基本的安全能力都不具备，现在安装360安全卫士和QQ电脑管家都会提示安装系统补丁。 3.杀毒软件要安装 计算机上必须安装杀毒软件，且杀毒软件是可更新的。杀毒软件是对抗病毒最基本的措施，没有杀毒软件或使用过期病毒库的杀毒软件是无法防范最新的病毒感染的。 无论如何，如果你的杀毒软件没有安装或者你看不到你外网计算机上存在杀毒软件的影子，请不要忽视，立即安装或者检查杀毒软件工作状况。另外，定期查看杀毒软件的病毒库日期，超过两周没更新的，你的杀毒软件无法防范和清楚最新的病毒了。

4.U盘自动播放功能要关掉 U盘是病毒传播的主要途径，U盘自动执行功能是U盘病毒传播的帮凶，为了安全起见，关掉它吧。 关闭方法：（参见下图） 组策略->计算机配置->系统->关闭自动播放，启用，选择所有驱动器 组策略->用户配置->系统->关闭自动播放，启用，选择所有驱动器 1.点击电脑右下的”开始”按钮，选择”运行” 2.输入gpedit.msc，点击确定以打开组策略管理模板 3.选择“计算机配置”（用户配置）下的“系统”，在系统配置中右边可以找到“关闭自动播放”，双击打开

计算机安全策略设置2

策略安全设置 备份文件和目录Administrators,Backup Operators 产生安全审核LOCAL SERVICE,NETWORK SERVICE 创建记号对象 创建全局对象Administrators,INTERACTIVE,SERVICE 创建页面文件Administrators 创建永久共享对象 从插接工作站中取出计算机Administrators,Users,Power Users 从网络访问此计算机Everyone,Administrators,Users,Power Users,Backup Operators 从远端系统强制关机Administrators 调试程序Administrators 调整进程的内存配额LOCAL SERVICE,NETWORK SERVICE,Administrators 更改系统时间Administrators,Power Users 关闭系统Administrators,Users,Power Users,Backup Operators 管理审核和安全日志Administrators 还原文件和目录Administrators,Backup Operators 拒绝本地登录SUPPORT_388945a0,UpdatusUser,Guest 拒绝从网络访问这台计算机SUPPORT_388945a0 拒绝作为服务登录 拒绝作为批作业登录 内存中锁定页 配置单一进程Administrators,Power Users 配置系统性能Administrators 取得文件或其它对象的所有权Administrators 身份验证后模拟客户端Administrators,SERVICE 替换进程级记号LOCAL SERVICE,NETWORK SERVICE,UpdatusUser 跳过遍历检查Everyone,Administrators,Users,Power Users,Backup Operators 通过终端服务拒绝登录 通过终端服务允许登录Administrators,Remote Desktop Users 同步目录服务数据 修改固件环境值Administrators 以操作系统方式操作 域中添加工作站 允许计算机和用户帐户被信任以便用于委任 在本地登录Guest,Administrators,Users,Power Users,Backup Operators 增加进度优先级Administrators 执行卷维护任务Administrators 装载和卸载设备驱动程序Administrators 作为服务登录NETWORK SERVICE,UpdatusUser 作为批处理作业登录SUPPORT_388945a0,Administrator

涉密计算机安全策略配置

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、moden等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS 开机密码，该密码由用户掌握； 3、B IOS最优先启动设置为硬盘启动，其余优先启动全部关闭; 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost 版操作系 统； 2、更改Admi ni st rat or 用户名并设置密码，禁用Guest 帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） &清理一切私人信息：私人照片、mp3电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后） 五、安全保密防护软件的部署 1 、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件）；杀毒软件每半个月更新一次病毒库并全盘扫描；2、安装主机监控审计软件与介质绑定系统； 六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。 详细配置说明

个人电脑安全防护措施

由于现在家用电脑所使用的*作系统多数为Win XP 和Win2000 pro (建议还在使用98 的朋友换换系统，连微软都放弃了的系统你还用它干嘛？) 所以后面我将主要讲一下基于这两个*作系统的安全防范。 个人电脑常见的被入侵方式 谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种： (1)被他人盗取密码； (2)系统被木马攻击； (3)浏览网页时被恶意的java scrpit 程序攻击； (4)QQ 被攻击或泄漏信息； (5)病毒感染； (6)系统存在漏洞使他人攻击自己。 (7)黑客的恶意攻击。 下面我们就来看看通过什么样的手段来更有效的防范攻击。 1.察看本地共享资源 运行CMD 输入net share ，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。 2.删除共享( 每次输入一个) net share admin$ /delete net share c$ /delete net share d$ /delete (如果有e, f, 可以继续删除) 3.删除ipc$ 空连接 在运行内输入regedit ，在注册表中找到HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous 的数值数据由0 改为1。

4.关闭自己的139 端口，ipc 和RPC 漏洞存在于此。 关闭139 端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet 协议(TCP/IP) ”属性，进入高级TCP/IP 设置”“ Win毀置”里面有一项禁用TCP/IP 的NETBIOS” ，打勾就关闭了139 端口。 5．防止rpc 漏洞 打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator) 服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不*作。 XP SP2 和2000 pro sp4 ，均不存在该漏洞。 6．445 端口的关闭 修改注册表，添加一个键值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD 类型键值为0这样就ok 了 7．3389 的关闭 XP :我的电脑上点右键选属性--> 远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 Win2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services 服务项， 选中属性选项将启动类型改成手动，并停止该服务。 (该方法在XP 同样适用) 使用2000 pro 的朋友注意，网络上有很多文章说在Win2000pro 开始-->设置-->控制 面板--> 管理工具--> 服务里找到Terminal Services 服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389 ，其实在2000pro 中根本不存在Terminal Services 。 8．4899 的防范 网络上有许多关于3389 和4899 的入侵方法。4899 其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。 4899 不象3389 那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。 所以只要你的电脑做了基本的安全配置，黑客是很难通过 4899 来控制你的。 9、禁用服务 打开控制面板，进入管理工具——服务，关闭以下服务

操作系统安全配置管理办法

行业资料：________ 操作系统安全配置管理办法 单位：______________________ 部门：______________________ 日期：______年_____月_____日 第1 页共8 页

操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理，提高重要信息系统的安全运行维护水平，规范化操作，确保信息系统安全稳定可靠运行，特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括：AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南 第 2 页共 8 页

3支持文件 《IT主流设备安全基线技术规范》（Q/CSG11804-xx） 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员，负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置，应由终端管理员负责进行配置，或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理，变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善，由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型，不同的应用环境及不同的安全等级，结合信息系统和终端安全特性，制定合适的操作系统安全配置，以采取合适的安全控制措施。 5.2根据应用系统实际情况，在总体安全要求的前提下，操作系统的安全配置应满足《IT主流设备安全基线技术规范》（Q/CSG11804-xx）文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。 第 3 页共 8 页

个人电脑安全说明

个人电脑安全说明 摘要：个人电脑的普及方便了我们的生活，然而用户的个人安全却是目前非常严峻的问题，本文分析了造成个人电脑安全威胁的主要原因,以及一些防御策略。希望其中所讲述的内容对我们加强个人电脑安全意识有所帮助。 关键字：电脑安全信息泄露隐患黑客攻击安全策略 引言：Internet在全球范围内的快速发展将我们带入了一个光怪陆离的了网络世界，他的出现极大地改变了人类的生活方式。在信息化社会中，计算机，网络以及相关的应用系统在人们的日常生活中起着越来越重要的作用，这些网络信息系统都依靠计算机网络接受和处理信息，实现其相互间的联系和对目标的管理与控制。 一、个人电脑安全不容忽视 网络安全已经成为信息时代的头等大事。据FBI估计，美国每年因为网络安全问题造成的损失高达数百亿元，这个internet上平均十秒钟就有一次入侵行为发生。而且，计算机网路这种先进的技术手段已经和传统的犯罪行为结合起来，形成了对人类网络秩序的挑战。 许多人认为，个人电脑的重要性与那些大型的政府网、科研网，军事网以及企业网相比，远远不可同日而语，所以个人电脑的安全问题是微不足道的、无关大局的。其实不然，越来越多的攻击案例显示，个人电脑安全问题已经成为网络安全的一个重要隐患，由于大部分个人用户安全意识的淡薄，大量对政府企业网络的攻击首先从个人用户开始图片的。 （1）首先，大型网络的安全问题已经引起了足够的重视，他们依托专门的技术、专门的设备、专门的网络安全人员和足够的资金，通过购置各类网络安全专用软件、及时修补各种系统漏洞、进行各种安全配置、委托专门的网络安全公司进行安全检测等安全措施，系统坚固性越来越强，黑客已经很难像以前那样可以通过一些简单的方法直接入侵。对个人用户而言，其条件有限，明显不能向专业的网络安全人员一样天天关注着网络安全漏洞，可以及时发现情况并进行修，这就使得网络中的个人的安全性非常的脆弱，攻击者可以轻易得手。 （2）其次，个人电脑容易受到黑客青睐的了一个原因是黑客需要隐藏自己，聪明的人决不会利用自己的机器直接攻击其他网络系统，因为被攻击系统有的日志文件和防火墙记录文件有可能记录下他们的IP地址。所以大多数的时候，黑客们发起攻击时会去找一些跳板，他们把这些跳板称作“肉鸡（肉机）”。因为个人用户的机器相对容易被攻破，常常被黑客用肉鸡。这些被控制的主机大多是防护不严密的个人电脑，很多用户甚至根本没有察觉到自己的都能参与了攻击。 （3）另外，很多个人用户都会说。我的电脑种没有什么东西绘制的黑客感兴趣，谁会攻击我？但是黑客们的攻击很多时候并不是特地针对政府企业或军方网站，他们经常使用扫描软件对某一地址短时间进行大量的端口扫描，这些扫描速度是非常快的，她只是机械的重复寻找internet上所有大健康的端口，从这一点来说，个人用户和企业政府用户受攻击的概率是相同的。 由于黑客技术和攻击工具的扩散，许多水平一般的攻击者由于出于好奇或尝试的动机，经常漫无目的的发起攻击，他们的攻击在防护严密的系统面前往往不能奏效，但是很多上网的个人电脑却成了无辜的牺牲品。现在的黑客群已经是鱼目混杂，很多道德低下的攻击者经常以肆意破坏别人的系统为乐、甚至被利益所驱使，盗取你的各种密码及个人隐私信息。如上网账号密码，信用卡账号密码、邮箱账号密码等等。 面对研究的网络安全形势，你随时都担心你的个人信息是否会被盗窃，你的账号密码是否会被植入木马病毒，甚至你可能成为一个无辜的帮凶，被黑客改造成一台dos攻击机器。所以我必须对个人电脑的安全问题保持警惕，不能掉以轻心，必须为自己寻找网络安全保护，防

涉密计算机安全策略操作规范

官方网站：https://www.wendangku.net/doc/8b858002.html, 涉密计算机安全保密策略设置的操作规范 一、创建账户 右击“我的电脑”→管理→系统工具→本地用户和组→用户→在右侧窗格中单击右键添加新用户，设置用户属性隶属于Power Users。 用户名分配策略： 秘密级计算机用户名由系统管理员统一分配并填写账户情况统计表。 二、禁止访问“控制面板” 开始→运行→gpedit.msc→用户配置→管理模板→控制面板→将右侧窗格的“禁止访问控制面板”策略启用。 三、禁用访问注册表编辑器 开始→运行→gpedit.msc→用户配置→管理模板→系统→将右侧窗格的“阻止访问注册表编辑器”策略启用。 四、关闭系统自动播放功能 开始→运行→gpedit.msc→用户配置→管理模板→系统→将右侧窗格的“关闭自动播放”策略设置为“所有驱动器”。 五、设置密码复杂性要求和密码长度等 开始→运行→gpedit.msc→计算机配置→Windows设置→安全设置→账户策略→密码策略→启用“密码必须符合复杂性要求”、“密码长度最小值”、“密码最长留存期”（秘密级计算机密码长度最小值为8位，密码最长留存期设为30天）。 六、设置账户锁定阀值

官方网站：https://www.wendangku.net/doc/8b858002.html, 开始→运行→gpedit.msc→计算机配置→Windows设置→安全设置→账户策略→账户锁定策略→启用“账户锁定阀值”（5次）。 七、设置密码保护屏保程序 开始→运行→gpedit.msc→用户配置→管理模板→控制面板→显示→启用右侧窗格的“屏幕保护程序”、“密码保护屏幕保护程序”并将“屏幕保护程序超时”策略设置为“600秒”。 八、设置BIOS密码 1、启动电脑，然后按【Del】键进入BIOS设置主界面。 2、在BIOS主菜单中，有两个设置密码的选项，它们是“Set Supervisor Password”（设置超级用户密码）与“Set User Password”（设置用户密码）。 3、选择其中一个后按回车键，出现Enter Password对话框后，输入密码，密码复杂性同密码策略复杂性要求（不支持10位及以上密码设置的除外，但应设为最大位数）。出现Confirm Password对话框，则再次输入同一密码（注：该项原意是对刚才输入的密码进行校验，如果两次输入的密码不一致，则会要求你重新输入）。 4、BIOS主菜单中，选择“Advanced BIOS Features”（高级BIOS功能设置）项，用光标键选择“Security Option”项后，用键盘上的【Page Up/Page Down】键把选项改为System。 九、禁用网卡 在BIOS中禁用网卡或不安装网卡驱动程序。 十、重命名“系统管理员账户”、“来宾账户”并禁用“来宾账户”