Windows操作係統常見安全問題解決方法
使用Windows的人非常多,而Windows係統的安全問題也越來越被人們關注。雖然Windows的漏洞眾多,安全隱患也很多,不過經過適當的設置和調整,你還是可以用上相對安全的Windows的。本文就為你詳細講述了Windows的安全調整,希望對你有用。
這篇文章將針對一些常見的安全問題給你一些解決方法,其中大部分的操作都是針對Windows 2000/XP的。
準備活動
給係統安裝補丁程序的重要性是不言而喻的,尤其是一些重要的安全補丁和針對IE,OE漏洞的補丁(即使你並不打算使用它們)。微軟會經常的發布一些已知漏洞的修補程序,這些東西一般都可以通過Windows Update來安裝。你需要做的隻是經常性的訪問Windows Update網站
。或者直接點擊開始菜單中Windows Update的快捷方式。而Windows XP和最新的Windows 2000更加進步了,可以自動檢查更新,在後台下載,完成後通知你下載完成並詢問是否開始安裝。對於Windows 2000/XP的用戶,微軟還提供了一個檢查安全性的實用工具:基準安全分析器(Microsoft Baseline Security Analyzer),這個程序可以自動對你的係統進行安全性檢測,並且對於出現的問題,都可以提供一個完整的解決方案。非常適合對於安全性要求高的用戶使用。你可以在這裏詳細了解和下載這個工具。
在你安裝了所有的補丁程序後,下麵開始我們的調整設置。
重命名和禁用默認的帳戶
安裝好Windows後,係統會自動建立兩個賬戶:Administrator和Guest,其中Administrator擁有最高的權限,Guest則隻有基本的權限並且默認是禁用的。而這種默認的帳戶在給你帶來方便的同時也嚴重危害到了你的係統安全。如果有黑客入侵或者其他什麽問題,他將輕易的得知你的超級用戶的名稱,剩下的就是尋找密碼了。因此,安全的做法是把Administrator賬戶的名稱改掉,然後再建立一個幾乎沒有任何權限的假Administrator賬戶。具體的方法是:
在運行中輸入secpol.msc然後回車,打開“Local Security Settings(本地安全設置)”對話框,依次展開Local Policies(本地策略)-Security Options(安全選項),在右側窗口有一個“Accounts: Rename administrator (guest) account(賬戶:重命名Administrator/Guest賬戶)”的策略,雙擊打開後可以給Administrator重新設置一個不是很引人注目的用戶名。然後還可以再新建一個名稱為Administrator的受限製用戶,以迷惑闖入者。
安全選項的設置
同樣是在Local Security Settings中,展開Local Policies-Security Options,這裏還有很多其它的設置,經過合理的配置,可以使你的係統更加安全。一下列舉的選項最好全部禁止:
Interactive logon: Do not require CTRL+ALT+DEL,交互式登錄:不需要按Ctrl+Alt+Del。
Network access: Allow anonymous SID/name translation,網絡訪問:允許匿名SID/名稱轉換。
Network access: Let Everyone permissions apply to anonymous users,網絡訪問:讓Everyone權限應用到匿名用戶。
Recovery console: Allow automatic administrative logon,故障恢複控製台:允許自動係統管理級登錄。
而以下的選項最好啟用:
Devices: Restrict CD-ROM access to locally logged-on user only,設備:隻有本地登錄的用戶才能訪問CD-ROM。
Devices: Restrict floppy access to locally logged-on user only,設備:隻有本地登錄的用戶才能訪問軟驅。
Interactive logon: Do not display last user name,交互式登錄:不顯示上一次使用的用戶名。
Network access: Do not allow anonymous enumeration of SAM accounts,網絡訪問:不允許匿名SAM帳戶的匿名枚舉。
Network access: Do not allow anonymous enumeration of SAM accounts & shares,網絡訪問:不允許SAM賬戶和共享的匿名枚舉。
Network security: Do not store LAN Manager hash value on next password change,網絡安全:不要在下次更改密碼時存儲LAN Manager的Hash值。
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ,係統對象:增強內部係統對象的默認權限(例如Symbolic Links)。 可靠的密碼
盡管絕對安全的密碼時不存在的,但是相對安全的密碼還是可以實現的。這個還是需要運行secpol.msc來配置Local Security Settings。展開到Account Policies-Password Policy,經過這裏的配置,你就可以建立一個完備密碼策略,並且你的密碼也可以得到最大限度的保護。
Enforce password history(強製密碼曆史)。這個設置決定了保存用戶曾經用過的密碼的個數。很多人知道要經常性的更換自己的密碼,可是換來換去就是有限的幾個在輪換,配置這個策略就可以知道用戶更換的密碼是否是以前曾經使用過的。如果再配合Maximum password age這個策略,就能保證密碼安全了。默認情況下,這個策略不保存用戶的密碼,你可以自己設置,建議保存5個以上,而最多可以保存24個。
Maximum password age(密碼最長存留期)。這個策略決定了一個密碼可以使用多久,之後就會過期,並要求用戶更換密碼。如果設置為0,則密碼永不過期。一般情況下設置為30到60天左右就可以了,具體的過期時間要看你的係統對安全的要求有多嚴格。而最長可以設置999天。
Minimum password age(密碼最短存留期)。這個策略決定了一個密碼要在使用了多久之後才能再次被使用。跟上麵講到的Enforce password history結合起來就可以得知新的密碼是否是以前使用過的,如果是,則不能繼續使用這個密碼。如果設置為0則表示一個密碼可以被無限製的重複使用,而最大值為999。
Minimum password length(密碼長度最小值)。這個策略決定了一個密碼的長度,有效值在0到14之間。如果設置為0,則表示不需要密碼。建議的密碼長度不能小於6位。
Password must meet complexity requirements(密碼必須符合複雜性要求)。如果啟用了這個策略,則在設置和更改一個密碼的時候,係統將會按照下麵的規則檢查密碼是否有效:密碼不能包含全部或者部分的用戶名。
最少包括6個字符。
並且在字符的使用上還要遵循以下的規則,密碼必須是:
英文字母,A-Z,大小寫敏感。
基本的10個數字,0-9。
不能包含特殊字符,例如!,$,#,%等等。
如果啟用了這個策略,相信你的密碼就會比較安全了。
Store password using reversible encryption for all users in the domain(為域中的所有用戶使用可還原的加密來存儲密碼)。很明顯,這個策略最好不要啟用。
安全使用Internet Explorer
Internet Explorer是當今最流行的瀏覽器軟件。因為使用的人多,因此IE被發現的安全性問題也就最多,不過沒關係,看過本節,你完全可以使你的IE更加安全。需要注意的是,以下的敘述全部以IE 6.0版為準,如果你使用了較低的版本,有些細節方麵可能會不一樣。
打開Internet Explorer,依次點擊工具-Internet選項,然後打開安全選項卡。
在安全選項卡中選擇“Internet”,就可以針對Internet區域的一些安全選項進行設置。雖然有不同級別的默認設置,不過我們最好根據自己的實際情況親自調整一下。點擊下方的Custom Level(自定義級別)。會出現圖三的窗口,這裏顯示了所有的IE安全設置。
Download signed ActiveX controls(下載已簽名的ActiveX控件)。經過第三方的認證機構簽名證明該ActiveX控件是安全的,並且你可以設置為允許下載這種控件,除非你不想安裝任何ActiveX控件,或者你想自己從一些網站下載,例如Windows Update,還有播放Flash的插件等。
Download unsigned ActiveX controls(下載未簽名的ActiveX控件)。跟經過簽名認證的ActiveX控件相比,未經簽名認證的可能會包含潛在的安全隱患因此這個選項你最好不要設置為啟用,或禁用,或者設置為詢問,這樣你可以根據正在訪問的站點的性質自己決定是否下載安裝未經認證的控件。
Initialize & ActiveX controls not marked as safe(對沒有標記為安全的ActiveX控件進行初始化和腳本運行)。跟前麵的設置類似的,如果你之前都設置為禁用,那麽這個選項同樣禁用就可以,否則可以設置為詢問(建議的設置)或者允許(不建議)來禁止那些為經簽名的控件運行。
Run ActiveX controls & plug-ins(運行ActiveX控件和插件)。假設你已經禁止了所有ActiveX控件和插件的運行,那麽這個選項就可以放心的設置為管理員認可。這裏不建議設置為允許。
ActiveX controls marked safe for ing(對標記為可安全執行腳本的ActiveX控件執行腳本)。這個設置可以設置的跟前麵的選項相同。
Active ing(活動腳本)。現在各種的腳本程序非常流行,通過腳本程序可以建立很多實用的網頁,例如Windows Update網頁,就是通過腳本程序來判斷你需要下載的補丁的。因此如果禁用掉腳本程序,一些網頁將不能正常瀏覽。這裏建議你設置為禁用,至於少數重要的但是不能正常瀏覽的網頁,我們將在後麵看到解決辦法。
Allow paste operations via (允許通過腳本進行粘貼操作)。這個選項允許網頁通過腳本把文件複製進你的剪貼板,為了安全考慮最好禁用。
ing of Java applets(JAVA小程序腳本)。java是一種公開的,多平台,麵向對象的腳本語言。很多網頁中都使用了JAVA腳本,但是安全起見最好禁用它。
如果以上的設置會影響到少數你必須要訪問的站點(例如Windows Update網站),但是安全起見你又不想把Internet區域的安全級別設置的太低,那麽你可以把一些你信任的站點添加到Trusted sites(信任站點)中去。方法是:
在Internet選項的安全選項卡下,點擊Trusted sites(信任站點),然後點擊Sites(站點)按鈕,會出現圖四的窗口,在新窗口中輸入我們希望添加的網絡地址(例如https://windowsupdate.microsoft.com)然後點擊右側的Add(添加),這樣就可以了。
現在,打開Internet選項中的Content(內容)選項卡,點擊AutoComplete(自動完成),在這裏也有一些東西需要調整。
對於所列出來的每一項,自動完成功能都會保存特定的內容,其中Web address(Web地址)會保存你在IE地址欄中輸入過的內容; Forms(表單)會保存你在網頁中填寫的資料,例如論壇上的發言(除用戶名和密碼),搜索引擎中使用過的關鍵字;User names and passwords on forms(表單上的用戶名和密碼)會保存你登陸論壇或其它網頁時輸入的用戶名和密碼。自動完成可以幫助你節省很多時間,但是同時也帶來了很大的安全隱患。一旦有人使用你的賬號登陸,你登陸網站的用戶名和密碼等資料就有可能全部被別人看到。因此你可以根據你的電腦的使用情況適當的調整,決定哪些內容可以自動保存,哪些不行。
現在我們轉到Internet選項的高級選項卡。這裏有一下幾點需要注意:
Use Passive FTP (for firewall & DSL modem compatibility)(使用被動FTP,為防火牆和DSL調製解調器兼容性),這個設置將會允許在使用IE瀏覽FTP服務器時使用被動模式 ,這種模式更加安全,因為服務器方無法獲得你的IP地址,如果某些FTP服務器你不能正常訪問,就可以試試啟用或者禁用這個設置。
Check for publisher’s certificate revocation(檢查發行商的證書吊銷),如果選擇了這個選項,當你訪問某些需要認證的站點時,IE會首先檢查給站點提供的證書是否依然有效。一般情況下,建議你啟用這個設置。
Check for server certificate revocation(檢查服務器的證書吊銷),這個選項將會使IE檢查站點服務器的證書是否仍然有效,一般也應該啟用這個設置。
Initialize & ActiveX controls not marked as safe(對沒有標記為安全的ActiveX控件進行初始化和腳本運行)。跟前麵的設置類似的,如果你之前都設置為禁用,那麽這個選項同樣禁用就可以,否則可以設置為詢問(建議的設置)或者允許(不建議)來禁止那些為經簽名的控件運行。
Run ActiveX controls & plug-ins(運行ActiveX控件和插件)。假設你已經禁止了所有ActiveX控件和插件的運行,那麽這個選項就可以放心的設置為管理員認可。這裏不建議設置為允許。
ActiveX controls marked safe for ing(對標記為可安全執行腳本的ActiveX控件執行腳本)。這個設置可以設置的跟前麵的選項相同。
Active ing(活動腳本)。現在各種的腳本程序非常流行,通過腳本程序可以建立很多實用的網頁,例如Windows Update網頁,就是通過腳本程序來判斷你需要下載的補丁的。因此如果禁用掉腳本程序,一些網頁將不能正常瀏覽。這裏建議你設置為禁用,至於少數重要的但是不能正常瀏覽的網頁,我們將在後麵看到解決辦法。
Allow paste operations via (允許通過腳本進行粘貼操作)。這個選項允許網頁通過腳本把文件複製進你的剪貼板,為了安全考慮最好禁用。
ing of Java applets(JAVA小程序腳本)。java是一種公開的,多平台,麵向對象的腳本語言。很多網頁中都使用了JAVA腳本,但是安全起見最好禁用它。
如果以上的設置會影響到少數你必須要訪問的站點(例如Windows Update網站),但是安全起見你又不想把Internet區域的安全級別設置的太低,那麽你可以把一些你信任的站點添加到Trusted sites(信任站點)中去。方法是:
在Internet選項的安全選項卡下,點擊Trusted sites(信任站點),然後點擊Sites(站點)按鈕,會出現圖四的窗口,在新窗口中輸入我們希望添加的網絡地址(例如https://windowsupdate.microsoft.com)然後點擊右側的Add(添加),這樣就可以了。
現在,打開Internet選項中的Content(內容)選項卡,點擊AutoComplete(自動完成),在這裏也有一些東西需要調整。
對於所列出來的每一項,自動完成功能都會保存特定的內容,其中Web address(Web地址)會保存你在IE地址欄中輸入過的內容; Forms(表單)會保存你在網頁中填寫的資料,例如論壇上的發言(除用戶名和密碼),搜索引擎中使用過的關鍵字;User names and passwords on forms(表單上的用戶名和密碼)會保存你登陸論壇或其它網頁時輸入的用戶名和密碼。自動完成可以幫助你節省很多時間,但是同時也帶來了很大的安全隱患。一旦有人使用你的賬號登陸,你登陸網站的用戶名和密碼等資料就有可能全部被別人看到。因此你可以根據你的電腦的使用情況適當的調整,決定哪些內容可以自動保存,哪些不行。
現在我們轉到Internet選項的高級選項卡。這裏有一下幾點需要注意:
Use Passive FTP (for firewall & DSL modem compatibility)(使用被動FTP,為防火牆和DSL調製解調器兼容性),這個設置將會允許在使用IE瀏覽FTP服務器時使用被動模式 ,這種模式更加安全,因為服務器方無法獲得你的IP地址,如果某些FTP服務器你不能正常訪問,就可以試試啟用或者禁用這個設置。
Check for publisher’s certificate revocation(檢查發行商的證書吊銷),如果選擇了這個選項,當你訪問某些需要認證的站點時,IE會首先檢查給站點提供的證書是否依然有效。一般情況下,建議你啟用這個設置。
Check for server certificate revocation(檢查服務器的證書吊銷),這個選項將會使IE檢查站點服務器的證書是否仍然有效,一般也應該啟用這個設置。
加固你的Internet連接
默認情況下,為了建立網絡連接,Windows會安裝很多協議和運行很多服務其中一些協議和服務都不是必須的,例如NetBIOS、文件和打印機共享等,而“最小的服務+最小的權限=最大的安全”這個等式是永遠成立的,因此我們有必要關掉不需要的服務,卸載不需要的協議,來增強我們的係統安全。
對於Windows 9x/Me的係統
1.在控製麵板中雙擊網絡圖標
2.選擇Microsoft網絡客戶端,然後點擊卸載
3.禁用文件和打印機共享,如果你確實需要共享,可以給它們設置一個密碼
4.選擇TCP/IP,然後點擊屬性按鈕,打開NetBIOS選項卡,取消對“我要在TCP/IP上使用NetBIOS的選擇。然後選擇DNS設置選項卡,並選擇禁用DNS(如果你確實不需要的話)。在WINS設置選項卡下,選中禁用WINS解析
5.確定,然後重啟動電腦
對於Windows 2000/XP的係統
1.打開控製麵板中的網絡連接,右鍵點擊Internet連接,選擇屬性
2.如果你不需要共享文件和打印機,那麽選中並卸載(可以不卸載,但是至少不要再使用)Windows網絡的文件和打印機共享
3.雙擊Internet 協議 (TCP/IP),然後點擊高級按鈕
4.打開WINS選項卡,取消對啟用LMHOSTS查詢的選擇,然後選擇禁用TCP/IP上的NetBIOS
5.在運行中輸入Services.msc然後回車
6.找到TCP/IP NetBIOS Helper這個服務,把這個服務停止掉,並且設置啟動類型為手動或者禁止
7. 重啟動電腦
防火牆和殺毒軟件
不管你做了怎樣的設置,隻要你連接在Internet上,防火牆都是必要的。防火牆可以完全保護你的係統,把網絡上有害的東西擋在門外。推薦你使用的防火牆主要有兩種,一是Symantec公司的Norton Internet Security,這個軟件不僅包含網絡防火牆,還包含Norton Antivirus,一個著名的殺毒軟件。Norton Internet Security的功能非常強大,不僅可以防病毒,防黑客,還可以幫助你過濾瀏覽網頁時看到的廣告,過濾收到的電子郵件,過濾網絡中的一些seqing和其它非法內容。不過Norton Internet Security對係統的要求比較高老的電腦運行起來可能會慢一些。這樣的話你可以試試Zone Alarm或者國產的天網,他們對係統的要求都不錯,功能也夠強大,還有一點,他們兩者都可以從互聯網上免費下載到。
對於使用Windows XP的用戶也可以用係統自帶的防火牆,雖然沒有那麽多花哨的功能,不過最基本的防護還是可以勝任的。啟用的方法是:打開控製麵板-網絡和Internet連接,雙擊網絡連接打開屬性對話框,在高級選項卡下,選中在我的電腦上使用Internet連接防火牆,之後還可以點擊設置進行更進一步的配置。
總結
經過以上的設置,你的係統安全應該提高不少了,不過需要注意的是,不管在係統和軟件上做怎樣的防護,正確的使用習慣才是最重要的,因此從現在就開始養成良好的使用習慣的,否則在怎麽防護也是白搭。希望你能有一個安全的係統! 下載不會中毒的瀏覽器
這篇文章將針對一些常見的安全問題給你一些解決方法,其中大部分的操作都是針對Windows 2000/XP的。
準備活動
給係統安裝補丁程序的重要性是不言而喻的,尤其是一些重要的安全補丁和針對IE,OE漏洞的補丁(即使你並不打算使用它們)。微軟會經常的發布一些已知漏洞的修補程序,這些東西一般都可以通過Windows Update來安裝。你需要做的隻是經常性的訪問Windows Update網站
。或者直接點擊開始菜單中Windows Update的快捷方式。而Windows XP和最新的Windows 2000更加進步了,可以自動檢查更新,在後台下載,完成後通知你下載完成並詢問是否開始安裝。對於Windows 2000/XP的用戶,微軟還提供了一個檢查安全性的實用工具:基準安全分析器(Microsoft Baseline Security Analyzer),這個程序可以自動對你的係統進行安全性檢測,並且對於出現的問題,都可以提供一個完整的解決方案。非常適合對於安全性要求高的用戶使用。你可以在這裏詳細了解和下載這個工具。
在你安裝了所有的補丁程序後,下麵開始我們的調整設置。
重命名和禁用默認的帳戶
安裝好Windows後,係統會自動建立兩個賬戶:Administrator和Guest,其中Administrator擁有最高的權限,Guest則隻有基本的權限並且默認是禁用的。而這種默認的帳戶在給你帶來方便的同時也嚴重危害到了你的係統安全。如果有黑客入侵或者其他什麽問題,他將輕易的得知你的超級用戶的名稱,剩下的就是尋找密碼了。因此,安全的做法是把Administrator賬戶的名稱改掉,然後再建立一個幾乎沒有任何權限的假Administrator賬戶。具體的方法是:
在運行中輸入secpol.msc然後回車,打開“Local Security Settings(本地安全設置)”對話框,依次展開Local Policies(本地策略)-Security Options(安全選項),在右側窗口有一個“Accounts: Rename administrator (guest) account(賬戶:重命名Administrator/Guest賬戶)”的策略,雙擊打開後可以給Administrator重新設置一個不是很引人注目的用戶名。然後還可以再新建一個名稱為Administrator的受限製用戶,以迷惑闖入者。
安全選項的設置
同樣是在Local Security Settings中,展開Local Policies-Security Options,這裏還有很多其它的設置,經過合理的配置,可以使你的係統更加安全。一下列舉的選項最好全部禁止:
Interactive logon: Do not require CTRL+ALT+DEL,交互式登錄:不需要按Ctrl+Alt+Del。
Network access: Allow anonymous SID/name translation,網絡訪問:允許匿名SID/名稱轉換。
Network access: Let Everyone permissions apply to anonymous users,網絡訪問:讓Everyone權限應用到匿名用戶。
Recovery console: Allow automatic administrative logon,故障恢複控製台:允許自動係統管理級登錄。
而以下的選項最好啟用:
Devices: Restrict CD-ROM access to locally logged-on user only,設備:隻有本地登錄的用戶才能訪問CD-ROM。
Devices: Restrict floppy access to locally logged-on user only,設備:隻有本地登錄的用戶才能訪問軟驅。
Interactive logon: Do not display last user name,交互式登錄:不顯示上一次使用的用戶名。
Network access: Do not allow anonymous enumeration of SAM accounts,網絡訪問:不允許匿名SAM帳戶的匿名枚舉。
Network access: Do not allow anonymous enumeration of SAM accounts & shares,網絡訪問:不允許SAM賬戶和共享的匿名枚舉。
Network security: Do not store LAN Manager hash value on next password change,網絡安全:不要在下次更改密碼時存儲LAN Manager的Hash值。
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ,係統對象:增強內部係統對象的默認權限(例如Symbolic Links)。 可靠的密碼
盡管絕對安全的密碼時不存在的,但是相對安全的密碼還是可以實現的。這個還是需要運行secpol.msc來配置Local Security Settings。展開到Account Policies-Password Policy,經過這裏的配置,你就可以建立一個完備密碼策略,並且你的密碼也可以得到最大限度的保護。
Enforce password history(強製密碼曆史)。這個設置決定了保存用戶曾經用過的密碼的個數。很多人知道要經常性的更換自己的密碼,可是換來換去就是有限的幾個在輪換,配置這個策略就可以知道用戶更換的密碼是否是以前曾經使用過的。如果再配合Maximum password age這個策略,就能保證密碼安全了。默認情況下,這個策略不保存用戶的密碼,你可以自己設置,建議保存5個以上,而最多可以保存24個。
Maximum password age(密碼最長存留期)。這個策略決定了一個密碼可以使用多久,之後就會過期,並要求用戶更換密碼。如果設置為0,則密碼永不過期。一般情況下設置為30到60天左右就可以了,具體的過期時間要看你的係統對安全的要求有多嚴格。而最長可以設置999天。
Minimum password age(密碼最短存留期)。這個策略決定了一個密碼要在使用了多久之後才能再次被使用。跟上麵講到的Enforce password history結合起來就可以得知新的密碼是否是以前使用過的,如果是,則不能繼續使用這個密碼。如果設置為0則表示一個密碼可以被無限製的重複使用,而最大值為999。
Minimum password length(密碼長度最小值)。這個策略決定了一個密碼的長度,有效值在0到14之間。如果設置為0,則表示不需要密碼。建議的密碼長度不能小於6位。
Password must meet complexity requirements(密碼必須符合複雜性要求)。如果啟用了這個策略,則在設置和更改一個密碼的時候,係統將會按照下麵的規則檢查密碼是否有效:密碼不能包含全部或者部分的用戶名。
最少包括6個字符。
並且在字符的使用上還要遵循以下的規則,密碼必須是:
英文字母,A-Z,大小寫敏感。
基本的10個數字,0-9。
不能包含特殊字符,例如!,$,#,%等等。
如果啟用了這個策略,相信你的密碼就會比較安全了。
Store password using reversible encryption for all users in the domain(為域中的所有用戶使用可還原的加密來存儲密碼)。很明顯,這個策略最好不要啟用。
安全使用Internet Explorer
Internet Explorer是當今最流行的瀏覽器軟件。因為使用的人多,因此IE被發現的安全性問題也就最多,不過沒關係,看過本節,你完全可以使你的IE更加安全。需要注意的是,以下的敘述全部以IE 6.0版為準,如果你使用了較低的版本,有些細節方麵可能會不一樣。
打開Internet Explorer,依次點擊工具-Internet選項,然後打開安全選項卡。
在安全選項卡中選擇“Internet”,就可以針對Internet區域的一些安全選項進行設置。雖然有不同級別的默認設置,不過我們最好根據自己的實際情況親自調整一下。點擊下方的Custom Level(自定義級別)。會出現圖三的窗口,這裏顯示了所有的IE安全設置。
Download signed ActiveX controls(下載已簽名的ActiveX控件)。經過第三方的認證機構簽名證明該ActiveX控件是安全的,並且你可以設置為允許下載這種控件,除非你不想安裝任何ActiveX控件,或者你想自己從一些網站下載,例如Windows Update,還有播放Flash的插件等。
Download unsigned ActiveX controls(下載未簽名的ActiveX控件)。跟經過簽名認證的ActiveX控件相比,未經簽名認證的可能會包含潛在的安全隱患因此這個選項你最好不要設置為啟用,或禁用,或者設置為詢問,這樣你可以根據正在訪問的站點的性質自己決定是否下載安裝未經認證的控件。
Initialize & ActiveX controls not marked as safe(對沒有標記為安全的ActiveX控件進行初始化和腳本運行)。跟前麵的設置類似的,如果你之前都設置為禁用,那麽這個選項同樣禁用就可以,否則可以設置為詢問(建議的設置)或者允許(不建議)來禁止那些為經簽名的控件運行。
Run ActiveX controls & plug-ins(運行ActiveX控件和插件)。假設你已經禁止了所有ActiveX控件和插件的運行,那麽這個選項就可以放心的設置為管理員認可。這裏不建議設置為允許。
ActiveX controls marked safe for ing(對標記為可安全執行腳本的ActiveX控件執行腳本)。這個設置可以設置的跟前麵的選項相同。
Active ing(活動腳本)。現在各種的腳本程序非常流行,通過腳本程序可以建立很多實用的網頁,例如Windows Update網頁,就是通過腳本程序來判斷你需要下載的補丁的。因此如果禁用掉腳本程序,一些網頁將不能正常瀏覽。這裏建議你設置為禁用,至於少數重要的但是不能正常瀏覽的網頁,我們將在後麵看到解決辦法。
Allow paste operations via (允許通過腳本進行粘貼操作)。這個選項允許網頁通過腳本把文件複製進你的剪貼板,為了安全考慮最好禁用。
ing of Java applets(JAVA小程序腳本)。java是一種公開的,多平台,麵向對象的腳本語言。很多網頁中都使用了JAVA腳本,但是安全起見最好禁用它。
如果以上的設置會影響到少數你必須要訪問的站點(例如Windows Update網站),但是安全起見你又不想把Internet區域的安全級別設置的太低,那麽你可以把一些你信任的站點添加到Trusted sites(信任站點)中去。方法是:
在Internet選項的安全選項卡下,點擊Trusted sites(信任站點),然後點擊Sites(站點)按鈕,會出現圖四的窗口,在新窗口中輸入我們希望添加的網絡地址(例如https://windowsupdate.microsoft.com)然後點擊右側的Add(添加),這樣就可以了。
現在,打開Internet選項中的Content(內容)選項卡,點擊AutoComplete(自動完成),在這裏也有一些東西需要調整。
對於所列出來的每一項,自動完成功能都會保存特定的內容,其中Web address(Web地址)會保存你在IE地址欄中輸入過的內容; Forms(表單)會保存你在網頁中填寫的資料,例如論壇上的發言(除用戶名和密碼),搜索引擎中使用過的關鍵字;User names and passwords on forms(表單上的用戶名和密碼)會保存你登陸論壇或其它網頁時輸入的用戶名和密碼。自動完成可以幫助你節省很多時間,但是同時也帶來了很大的安全隱患。一旦有人使用你的賬號登陸,你登陸網站的用戶名和密碼等資料就有可能全部被別人看到。因此你可以根據你的電腦的使用情況適當的調整,決定哪些內容可以自動保存,哪些不行。
現在我們轉到Internet選項的高級選項卡。這裏有一下幾點需要注意:
Use Passive FTP (for firewall & DSL modem compatibility)(使用被動FTP,為防火牆和DSL調製解調器兼容性),這個設置將會允許在使用IE瀏覽FTP服務器時使用被動模式 ,這種模式更加安全,因為服務器方無法獲得你的IP地址,如果某些FTP服務器你不能正常訪問,就可以試試啟用或者禁用這個設置。
Check for publisher’s certificate revocation(檢查發行商的證書吊銷),如果選擇了這個選項,當你訪問某些需要認證的站點時,IE會首先檢查給站點提供的證書是否依然有效。一般情況下,建議你啟用這個設置。
Check for server certificate revocation(檢查服務器的證書吊銷),這個選項將會使IE檢查站點服務器的證書是否仍然有效,一般也應該啟用這個設置。
Initialize & ActiveX controls not marked as safe(對沒有標記為安全的ActiveX控件進行初始化和腳本運行)。跟前麵的設置類似的,如果你之前都設置為禁用,那麽這個選項同樣禁用就可以,否則可以設置為詢問(建議的設置)或者允許(不建議)來禁止那些為經簽名的控件運行。
Run ActiveX controls & plug-ins(運行ActiveX控件和插件)。假設你已經禁止了所有ActiveX控件和插件的運行,那麽這個選項就可以放心的設置為管理員認可。這裏不建議設置為允許。
ActiveX controls marked safe for ing(對標記為可安全執行腳本的ActiveX控件執行腳本)。這個設置可以設置的跟前麵的選項相同。
Active ing(活動腳本)。現在各種的腳本程序非常流行,通過腳本程序可以建立很多實用的網頁,例如Windows Update網頁,就是通過腳本程序來判斷你需要下載的補丁的。因此如果禁用掉腳本程序,一些網頁將不能正常瀏覽。這裏建議你設置為禁用,至於少數重要的但是不能正常瀏覽的網頁,我們將在後麵看到解決辦法。
Allow paste operations via (允許通過腳本進行粘貼操作)。這個選項允許網頁通過腳本把文件複製進你的剪貼板,為了安全考慮最好禁用。
ing of Java applets(JAVA小程序腳本)。java是一種公開的,多平台,麵向對象的腳本語言。很多網頁中都使用了JAVA腳本,但是安全起見最好禁用它。
如果以上的設置會影響到少數你必須要訪問的站點(例如Windows Update網站),但是安全起見你又不想把Internet區域的安全級別設置的太低,那麽你可以把一些你信任的站點添加到Trusted sites(信任站點)中去。方法是:
在Internet選項的安全選項卡下,點擊Trusted sites(信任站點),然後點擊Sites(站點)按鈕,會出現圖四的窗口,在新窗口中輸入我們希望添加的網絡地址(例如https://windowsupdate.microsoft.com)然後點擊右側的Add(添加),這樣就可以了。
現在,打開Internet選項中的Content(內容)選項卡,點擊AutoComplete(自動完成),在這裏也有一些東西需要調整。
對於所列出來的每一項,自動完成功能都會保存特定的內容,其中Web address(Web地址)會保存你在IE地址欄中輸入過的內容; Forms(表單)會保存你在網頁中填寫的資料,例如論壇上的發言(除用戶名和密碼),搜索引擎中使用過的關鍵字;User names and passwords on forms(表單上的用戶名和密碼)會保存你登陸論壇或其它網頁時輸入的用戶名和密碼。自動完成可以幫助你節省很多時間,但是同時也帶來了很大的安全隱患。一旦有人使用你的賬號登陸,你登陸網站的用戶名和密碼等資料就有可能全部被別人看到。因此你可以根據你的電腦的使用情況適當的調整,決定哪些內容可以自動保存,哪些不行。
現在我們轉到Internet選項的高級選項卡。這裏有一下幾點需要注意:
Use Passive FTP (for firewall & DSL modem compatibility)(使用被動FTP,為防火牆和DSL調製解調器兼容性),這個設置將會允許在使用IE瀏覽FTP服務器時使用被動模式 ,這種模式更加安全,因為服務器方無法獲得你的IP地址,如果某些FTP服務器你不能正常訪問,就可以試試啟用或者禁用這個設置。
Check for publisher’s certificate revocation(檢查發行商的證書吊銷),如果選擇了這個選項,當你訪問某些需要認證的站點時,IE會首先檢查給站點提供的證書是否依然有效。一般情況下,建議你啟用這個設置。
Check for server certificate revocation(檢查服務器的證書吊銷),這個選項將會使IE檢查站點服務器的證書是否仍然有效,一般也應該啟用這個設置。
加固你的Internet連接
默認情況下,為了建立網絡連接,Windows會安裝很多協議和運行很多服務其中一些協議和服務都不是必須的,例如NetBIOS、文件和打印機共享等,而“最小的服務+最小的權限=最大的安全”這個等式是永遠成立的,因此我們有必要關掉不需要的服務,卸載不需要的協議,來增強我們的係統安全。
對於Windows 9x/Me的係統
1.在控製麵板中雙擊網絡圖標
2.選擇Microsoft網絡客戶端,然後點擊卸載
3.禁用文件和打印機共享,如果你確實需要共享,可以給它們設置一個密碼
4.選擇TCP/IP,然後點擊屬性按鈕,打開NetBIOS選項卡,取消對“我要在TCP/IP上使用NetBIOS的選擇。然後選擇DNS設置選項卡,並選擇禁用DNS(如果你確實不需要的話)。在WINS設置選項卡下,選中禁用WINS解析
5.確定,然後重啟動電腦
對於Windows 2000/XP的係統
1.打開控製麵板中的網絡連接,右鍵點擊Internet連接,選擇屬性
2.如果你不需要共享文件和打印機,那麽選中並卸載(可以不卸載,但是至少不要再使用)Windows網絡的文件和打印機共享
3.雙擊Internet 協議 (TCP/IP),然後點擊高級按鈕
4.打開WINS選項卡,取消對啟用LMHOSTS查詢的選擇,然後選擇禁用TCP/IP上的NetBIOS
5.在運行中輸入Services.msc然後回車
6.找到TCP/IP NetBIOS Helper這個服務,把這個服務停止掉,並且設置啟動類型為手動或者禁止
7. 重啟動電腦
防火牆和殺毒軟件
不管你做了怎樣的設置,隻要你連接在Internet上,防火牆都是必要的。防火牆可以完全保護你的係統,把網絡上有害的東西擋在門外。推薦你使用的防火牆主要有兩種,一是Symantec公司的Norton Internet Security,這個軟件不僅包含網絡防火牆,還包含Norton Antivirus,一個著名的殺毒軟件。Norton Internet Security的功能非常強大,不僅可以防病毒,防黑客,還可以幫助你過濾瀏覽網頁時看到的廣告,過濾收到的電子郵件,過濾網絡中的一些seqing和其它非法內容。不過Norton Internet Security對係統的要求比較高老的電腦運行起來可能會慢一些。這樣的話你可以試試Zone Alarm或者國產的天網,他們對係統的要求都不錯,功能也夠強大,還有一點,他們兩者都可以從互聯網上免費下載到。
對於使用Windows XP的用戶也可以用係統自帶的防火牆,雖然沒有那麽多花哨的功能,不過最基本的防護還是可以勝任的。啟用的方法是:打開控製麵板-網絡和Internet連接,雙擊網絡連接打開屬性對話框,在高級選項卡下,選中在我的電腦上使用Internet連接防火牆,之後還可以點擊設置進行更進一步的配置。
總結
經過以上的設置,你的係統安全應該提高不少了,不過需要注意的是,不管在係統和軟件上做怎樣的防護,正確的使用習慣才是最重要的,因此從現在就開始養成良好的使用習慣的,否則在怎麽防護也是白搭。希望你能有一個安全的係統! 下載不會中毒的瀏覽器
