一:Windows安装

在说Windows优化之前我先问问大家两个问题,我们平常是如何安装我们的机器的(服务器、PC)?基于这样的一个前提我又问,我们目前的上网方法有?下面我给大家先说说我们上网的方法是:

1》拨号

2》ADSL

3》光纤

4》有线

5》DDN

6》ISDN

我们现在一般采用是AD和光纤了,在这样的一个广播域中我们要安装系统,大家认为安全吗?答案可想而知了~~所以我们在安装系统时候是:

1》拨出网线(防止局域网中的病毒进入你的计算机)

2》安装windows和驱动程序

3》安装杀软和防火墙

4》插网线,升级(windows和病毒库)

5》安装常用工具(作为一个合格的管理员这是必须的,让财务的去安装?呵呵,人家保证不给你发错工资就行了)

6》禁用不必要的服务

二:关闭不必要的服务

    Computer  Browser:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。

    Task scheduler:使用户能在此计算机上配置和制定自动任务

    Routing  and  Remoie Access:在局域网和广域网提供路由服务 Removable storage  : 管理可移动媒体和库     Remote Registry Service:  允许原创注册表操作 Print Spooler:打印文件加入内存(如果有打印机。开启) Distribured Link  Tracking client:在计算机内 NTFS 文件之间保持链接或在网络域中的计算机之间保持链接。   com+Event system:支持系统事件通知服务(SENS),此服务为订阅组件对象模型(COM)组件事件提供自动分布功能,如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务将无法启动。     Alerter:通知所选用户和计算机有关系统管理级警报。 Error  Reporting Service:服务和应用程序在非标准环境下运行时允许错误报告。 Messenger:传输客户端和服务器之间的 NET SEND 和 Alerter 服务消息。此服务与 Windows Messenger 无关。

    Telnet:允许远程用户登录到此计算机并运行程序

这里给大家列举了一些服务,看看是不是启动有所加快?嘿嘿

三:停用guest用户和修改管理员名

guest是我们所敏感的用户,匿名访问,且不需要密码就可以访问你滴机器,这个不停,那就让大罗神仙教你如何确保安全吧。

修改Adminstrator名称主要是为了有人会趁你不在,跑到你机器,就用你的Administrator用户然后不停的试密码(服务器就完了吧)还有密码够复杂哈,一般规则是:足够长度(也表太长,不是越长越安全)、复杂性、可记忆性(你到是猛设,设定完后机器跑不起来了)

四:关闭默认共享,设定共享权限

大家都知道,默认共享就是你可以运行要访问点的IP加盘符$就可以访问,并且直接就是它的本地磁盘,如果这样的话是不是很不安全?默认共享就是在计算机管理——共享文件夹——共享中

clip_image001

设定权限的话就简单了,所给权限越好当然越好了,这个得看实际需要了

clip_image002

五:设定组策略

运行gpedit.msc(组策略编辑器)

我主要针对安全策略说说。打开“本地计算机”策略——计算机配置——windows设置——安全设置

1》密码策略

最好是把密码必需符合复杂性要求启用(我前面也提到过复杂性)启用之后就是看你的长度值什么了。

clip_image003

2》账户锁定策略

账户锁定策略,这就是防止有某些人不道德,趁你不在随便试密码。这样你可以设定成几次上不去我就锁定这个账户,并且还可以设定自动解锁时间

clip_image004

3》本地策略

在这里我们可以记录很多事情了,大家看看

如审核账户登录(设定成成功)

clip_image005

审核账户管理(设定成成功)

clip_image006

简而言之就是,添加删除对象的时候生效记录

审核策略更改(成功)

clip_image007

如果有人更改你的策略,你可以发现

审核特权使用

clip_image008

审核系统事件

clip_image009

可以看到系统开机和重启的时间

clip_image010

4》IP安全策略

安全设置——IP安全策略

windows自带的网络层安全组件,实现IP访问限制

clip_image011

譬如我们经常使用的Telnet操作,下面我给大家做个演示看看

我们先看看我们的端口是不是开启

clip_image012

开启了139端口。。。

我们来新建一个IP安全策略

clip_image013

开始IP策略向导

clip_image014

给这个策略定义一个简单的描述

clip_image015

完成配置策略“向导”还没有真的完成配置任务

clip_image016

指定隧道,我们这里没有隧道就不指定了

clip_image017

选择一个网络连接类型

clip_image018

添加身份验证方法

clip_image019

由于我的机器不是域成员,所以会有下面提示,无碍,不打扰我们实验

clip_image020

定在筛选器

clip_image021

clip_image022

指定源IP地址(你也不知道会是谁的IP对你进行连接,就选任何IP。这样是不是更安全?)

clip_image023

目标IP地址——肯定是本身了

clip_image024

协议我们刚刚看到了是TCP传输的

clip_image025

clip_image026

指定IP协议端口号

clip_image027

配置IP筛选完成

clip_image028

设置安全规则向导

clip_image029

为这个安全规则再次设定筛选

clip_image030

起个名字,我们要限制进行Telnet,就命名禁止Telnet

clip_image031

当然是阻止了。。。

clip_image032

IP安全筛选完成

clip_image033

勾选@禁止telnet,单击下一步

clip_image034

下一步之后我们看到我们建立的ip安全规则了

clip_image035

好了我们来测试一下,首先看这两天机器是不是相通滴

clip_image036

恩,没有问题,我们在进行Telnet(上不去就对了,说明我做的策略生效了)

clip_image037

IP安全策略相当于我们windows自带的防火墙,一个防火墙的功能的好坏,关键看你的策略的好坏。

六:安全配置和分析

通过MMC控制台可以打开它看看

运行mmc添加“安全配置和分析”

clip_image038

单击安全配置和分析右键——打开数据库

clip_image039

为这个库命名一个名字

clip_image040

选择一个安全模版

clip_image041

建好的这个过程飞快,可以进行分析了。。

clip_image042

选择个错误日志路径

clip_image043

点击查看一下内容

clip_image044

这里简单说一下,这些符号的意思

红叉:安全设置与默认不匹配

绿叉:设置匹配

问号:模版中没有此内容

叹号:模版中定义了内容,但是系统中不存在

七:安装一些常用的软件进行优化

如:windows系统优化大师、超级兔子、Z武器、360安全卫士组件(本人提倡)