在一場災難到來之前,我們可以為避免災難做大量的準備,但是卻絕對不能不去考慮如果災難真的降臨,我們該怎么辦?對于系統加固來說,我們同樣要做好完全準備.

“安”出來的精彩

1.盡量安裝英文版的操作系統

如果只是為了提高操作系統的安全性,筆者強烈推薦大家安裝英文原版Windows,因為當一個新漏洞被發現后,通常是英文版的漏洞補丁先行,其他語言版本的補丁要滯后一段時間.這段時間也許就能決定系統的“生”或“死”.

2.選擇安全的文件格式

Windows 2000/XP系統正常啟動后,會為用戶提供很多服務,但絕大多數用戶并不需要所有的服務.顯然,多余的服務只能增加系統負荷和不穩定性.我們可以在桌面上用鼠標右鍵單擊 “我的電腦→管理”,然后在打開的界面左側窗口中選擇“服務和應用程序→服務”,我們可以在這里關掉那些不必要的服務,以提高系統穩定性、安全性并加快系統運行速度.需要特別說明的是,Remote Registry Service、Telnet等幾個高風險的服務是一定要停止的:用鼠標雙擊相應項目,然后在打開的窗口中將它們設置為“手動”或“禁止”即可.對于Windows 2000/XP的用戶而言,NTFS文件格式是最佳選擇.因為無論是從文件檢索速度、系統資源權限控制上來看,NTFS都明顯要優于FAT系統.我們可以在采用了NTFS格式的磁盤分區上單擊鼠標右鍵,從彈出的菜單中選擇“屬性”,就會看到NTFS格式下的磁盤屬性中多了“配額”和“安全”兩個選項卡,用戶通過這兩個選項卡可以詳細地設置系統中每個用戶對該邏輯盤的訪問權限.

3.不安裝無用的組件

Windows系統在安裝時,會提示我們選擇安裝的組件.一般來說,那些一時用不到的組件,盡量不要安裝.比如對于那些既不打算架設個人站點,又不太可能用本地計算機調試ASP等腳本的普通用戶來說,完全沒有必要安裝Windows 2000/XP的Internet信息服務（IIS）,自然也就可以避免諸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通過IIS來進行的外部攻擊.

系統安全三劍客

1.為“視窗”加個窗簾

在使用WSU調整過系統默認賬號后,我們有效地防止了來自系統以外的破解方式為主的攻擊、破壞,有力地加強了系統的穩定性.不過,由于操作系統本身設計的原因,我們仍然需要使用Internet防火墻來保證系統安全.

2.及時發現操作系統漏洞

在我們完成前面的種種設置后,最好還是自己來動手進行一次安全評估.下載Retina Network Security Scanner后,程序會要求大家立即升級程序的漏洞庫.漏洞庫升級完畢后,我們可以在程序主界面左上角找到地址欄,輸入本機的IP地址（或者是需要檢測的IP地址后）后回車,即可開始掃描.看到界面右側的情況分析了嗎?這里很詳細地給出了系統所存在的各種安全隱患,用鼠標單擊任何一個條目,程序都會自動出現最佳加固策略供用戶參考.

3.殺毒軟件的選擇

殺毒軟件無疑在系統安全的方面是最重要的,維護網絡安全一個好的上網習慣必不可少.但危險讓人防不勝防,網頁掛馬,惡意插件,網絡攻擊,一款好的殺毒軟件不可或缺.金山毒霸2008 瑞星 江民等都是國產的優秀產品,國外的如卡巴 諾頓等都很強大.為了我國的未來的網絡安全我希望大家能支持國產.雖然國產殺毒軟件在功能上比國外的有所欠缺,但國產軟件正在自主創新不斷提升殺毒能力,金山毒霸2008自創的三和一殺毒對病毒的反應提升到以秒為單位,瑞星和江民雖然還在使用這國外殺毒軟件的技術,但相信在有了大家的支持一點會走上完全自主的道路

“定”出來的彩虹

1.定制系統服務

Windows 2000/XP系統正常啟動后,會為用戶提供很多服務,但絕大多數用戶并不需要所有的服務.顯然,多余的服務只能增加系統負荷和不穩定性.我們可以在桌面上用鼠標右鍵單擊 “我的電腦→管理”,然后在打開的界面左側窗口中選擇“服務和應用程序→服務”,我們可以在這里關掉那些不必要的服務,以提高系統穩定性、安全性并加快系統運行速度.需要特別說明的是,Remote Registry Service、Telnet等幾個高風險的服務是一定要停止的:用鼠標雙擊相應項目,然后在打開的窗口中將它們設置為“手動”或“禁止”即可.

2.定制安全日志和審核策略

單擊“開始→運行”，鍵入“Gpedit.msc”后按下回車鍵，在打開的組策略窗口中依次展開“計算機配置→Windows設置→安全設置→本地策略→審核策略”，然后雙擊右側窗口中的“賬戶管理”，打開如圖1所示的窗口，將“成功”、“失敗”前的復選框全部選中，再“確定”退出。用同樣的方法將“登錄事件”、“策略更改”、“系統事件”、“賬戶登錄事件”均設置為“成功”、“失敗”，將“對象訪問”、“特權使用”、“目錄服務訪問”設置為“失敗”即可。

接下來在“賬戶策略→密碼策略”中,將“密碼復雜性要求”設置為“啟用”;將“密碼長度最小值”設置為“6位”;將“強制密碼歷史”設置為“5次”,將“最長存留期”設置為“30天”.

在“賬戶策略→賬戶鎖定策略”中,將“賬戶鎖定”設置為“3次錯誤登錄”;將“鎖定時間”設置為“20分鐘”;將“復位鎖定計數”設置為“20分鐘”.

3.定制默認賬號

我們說過,凡是默認的,都是不安全的,至少系統賬號是這樣的,先不說現在大多數朋友使用的密碼都簡單得可憐,使用空密碼的用戶也不在少數.重要的是在已知用戶名的情況下,從理論上講密碼很難逃脫被暴力破解的厄運

在桌面上用鼠標右鍵單擊 “我的電腦→管理”,然后在打開的界面左側窗口中選擇“系統工具→本地用戶和組”.然后為“用戶”或“組”下面的“Administrators”賬號更名.對于那些系統自帶的、我們不使用的用戶,最好也設置密碼,避免被惡意程序或者攻擊者利用.

成敗皆在一念間

其實整個系統加固過程看起來并不復雜,但筆者不得不提醒大家的是,系統安全或不安全,穩固或不穩固,全在乎操作者的心態,可以說“成敗皆在一念間”:你重視它,時時關注它,對新出現的一些問題及時尋找相應的解決辦法,你的系統安全性自然會大大提高

此外,及時升級殺毒軟件,保持殺毒軟件病毒庫始終是最新的,無疑會對系統安全起到最好的保護.

【編輯推薦】

1. 微軟操作系統八大維護常識
2. 三個細節體現Unix操作系統安全性
3. Windows操作系統的維護常識