文章大概介绍了下基于WINDOWS下的一般安全设置。

申明：该文章并不适用于所有WINDOWS的版本，所以在不同的WINDOWS OS 中，设置可能有点不同。

本问涉及到的25个小技巧都为一些常见的设置。

1).系统启动密码的设置在Windows XP中单击“开始→运行”，在输入框中输入“Syskey”，运行系统密码设置程序，在弹出对话框中单击“更新”按钮，进入密码设置对话框。

选择“密码启动”单选按钮，然后在下面的窗口中依次输入同样的密码，保存设置后就完成了系统启动密码的设置。

如想取消系统启动密码，只需在“启动密码”窗口中选择“在本机上保存启动密码”，“确定”后系统会让您输入设定的系统启动密码，完成后系统密码就保存到您的硬盘上了，下次启动时就不再有系统启动密码窗口出现了。

2).禁止他人ping你的电脑第一步:添加管理单元按下Win+R组合键，打开“运行”，输入:mmc，启动打开“控制台”窗口。

再点选“控制台”菜单下的“添加/删除管理单元”，单击“添加”按钮，在弹出的窗口中选择“IP安全策略管理”项，单击“添加”按钮。

在打开窗口中选择管理对象为“本地计算机”，单击“完成”按钮，同时关闭“添加/删除管理单元”窗口，返回主控台。

第二步:创建IP安全策略右击刚刚添加的“IP安全策略管理单元”，选择“创建IP安全策略”，单击“下一步”，然后输入一个策略描述，如“禁止Ping”。

单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。

开始设置身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，然后随便输入一些字符(下面还会用到这些字符)。

单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。

第三步:配置安全策略单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。

单击“下一步”，并选择“所有网络连接” 以保证所有的计算机都Ping不通（超时）。

单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。

单击“下一步”，在打开窗口中单击“添加”按钮，打开“IP筛选器列表”窗口。

单击“添加”，单击“下一步”，设置源地址为“我的 IP地址”，单击“下一步”，设置目标地址为“任何IP地址”，单击“下一步”，选择协议为ICMP，现在就可依次单击“完成”和“关闭”按钮返回。

此时，可以在IP筛选器列表中看到刚刚创建的筛选器，将其选中之后单击“下一步”，选择筛选器操作为“要求安全设置”选项，然后依次点击“完成”、“关闭” 按钮，保存相关的设置返回管理控制台。

第四步:指派安全策略最后只需在“控制台根节点”中右击配置好的“禁止Ping”策略，选择“指派”命令使配置生效。

经过上面的设置，当其他计算机再Ping该计算机时，就不再相通了。

但如果自己Ping本地计算机，仍可相通。

此法对于Windows 2000/XP均有效。

3).禁止修改用户文件夹找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplor er。

如果要锁定“图片收藏”、“我的文档”、“收藏夹”、“我的音乐”这些用户文件夹的物理位置，分别把下面这些键设置成1：DisableMyPicturesDirChange，DisablePersonalDirChange，DisableFavoritesDirChange，DisableMyMusicDirChange4)、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。

为了保险起见，最好给Guest 加一个复杂的密码。

你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

5)、限制不必要的用户去掉所有的Duplicate User用户、测试用户、共享用户等等。

用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。

这些用户很多时候都是黑客们入侵系统的突破口。

6)、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。

7)、把系统Administrator账号改名大家都知道，Windows 2000的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。

尽量把它伪装成普通用户，比如改成Guesycludx。

8)、创建一个陷阱用户什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图。

9)、把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

10)、开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

11)、不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。

这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。

修改注册表可以不让对话框里显示上次登录的用户名。

方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。

12).密码安全设置1、使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。

因此，要注意密码的复杂性，还要记住经常改密码。

2、设置屏幕保护密码这是一个很简单也很有必要的操作。

设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。

如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

13)设置生存时间HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机操作系统.14)防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.15)禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter faces\interfacePerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积, 长时间的网络异常. 因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用.16)防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersSynAttackProtect REG_DWORD 0x2(默认值为0x0)说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2, 则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时, 保护机制才会采取措施.17) 禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareServer、REG_DWORD、0x018) 禁止ADMIN$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareWks、REG_DWORD、0x019) 限制IPC$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsarestrictanonymous REG_DWORD 0x0 缺省0x1 匿名用户无法列举本机用户列表0x2 匿名用户无法连接本机IPC$共享说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server20)不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersIGMPLevel REG_DWORD 0x0(默认值为0x2)说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用route print将看不到那个讨厌的224.0.0.0项了.21)设置arp缓存老化时间设置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP 缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife, 未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期. 每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。