什么是电脑系统最小化
最小启动就是最小系统。“最小系统”就是能够使电脑启动的最低硬件连接,包括主板、CPU、电源这三项,是判断电脑硬件故障范围比较有效的方法。“最小系统法”实际操作步骤如下:
1、主板安装CPU,连接电源,然后短接主板开机针脚,如果CPU风扇正常转动,主板蜂鸣器有报警声,说明已连接的这三样硬件设备正常,这时可以继续添加其他硬件。
2、主板插上显卡、内存条,连接显示器。通电开机,如果能看到“无系统引导盘”或“系统引导失败”等类似信息,说明目前所有已连接的硬件都是正常的,不能进入系统是因为没找到硬盘。
3、连接硬盘、键盘、鼠标等外部设备,如果有错误信息,就可以断定故障出在第三步添加的硬件中,查找起来就很方便了。
操作系统安全设置最小化 是自己设置安全级别和参数
操作系统是你使用计算机的起点,所有对资料、文件的操作都需要通过操作系统来协同完成。由于操作系统本身所存在的一些缺陷,使得黑客能在你的计算机系统中随意进出。配置一个安全的计算机系统,将黑客“拒之门外”。
(一)Windows 2000服务器安全配置
1. 定制自己的Windows 2000 Server
(1)版本的选择:Windows 2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版。强烈建议,在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。
(2)组件的定制:Windows 2000在默认情况下会安装一些常用的组件。但是,正是这个默认安装是极度危险的你应该确切地知道你需要哪些服务,而且仅仅安装你确实需要的服务。根据安全原则,最少的服务+最小的权限=最大的安全。典型的Web服务器需要的最小组件选择是:只安装IIS的ComFiles、IIS Snap-In、WWW Server组件。如果你确实需要安装其他组件,请慎重,特别是Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager(HTML)这几个危险服务。
(3)管理应用程序的选择:选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需要。Windows 2000的终端服务是基于RDP(远程桌面协议)的远程控制软件,它速度快,操作方便,比较适合用来进行常规操作。但是,终端服务也有其不足之处,由于它使用的是虚拟桌面,当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如,使用终端服务重启微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,建议再配备一个远程控制软件作为辅助,与终端服务互补,如PcAnyWhere就是一个不错的选择。
2. 正确安装Windows 2000 Server
(1)分区和逻辑盘的分配。有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的软件都装在C盘上。建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取Admin。推荐的安全配置是建立三个逻辑驱动器,第一个大于2GB,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。
(2)安装顺序的选择:Windows 2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络。Windows 2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Windows 2000之前,一定不要把主机接入网络。
其次,补丁的安装。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如,IIS的HotFix就要求每次更改IIS的配置都需要安装。
3. 端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。一般来说,仅打开你需要使用的端口会比较安全,配置的方法:打开“本地连接属性”对话框,依次点击“Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性”,在打开的对话框中启用TCP/IP筛选。
4. IIS
IIS是微软的组件中漏洞最多的一个,所以IIS的配置是我们的重点:
(1)将\Inetpub目录彻底删掉,然后在D盘建一个Inetpub目录,在IIS管理器中将主目录指向D:\Inetpub。
(2)将IIS安装时默认的Scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己建(特别注意写权限和执行程序的权限,没有必要千万不要给)。
(3)应用程序配置:在IIS管理器中删除必须之外的任何无用映射。
(4)为了保险起见,你可以使用IIS的备份功能,将上面的设定全部备份下来,这样就可以随时恢复IIS的安全配置。如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
5. 账号安全
Windows 2000的账号安全是另一个重点,首先,默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表HKEYLOCALMACHINE\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止139空连接,实际上Windows 2000的本地安全策略就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None. Rely on default permissions(无,取决于默认的权限)。这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。
1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享)。这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)。这个值是在Windows 2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋,所以我推荐你还是设为1比较好。
好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了……慢着,至少还有一个账户是可以跑密码的,这就是系统内建的Administrator。怎么办?在“计算机管理→用户账号”中右击Administrator,然后改名。然后再来把HKEYLOCALMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon项中的“Don't Display Last User Name”串数据改成1,这样系统不会自动显示上次的登录用户名。
将服务器注册表\HKEYLOCALMACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。
6.安全日志
Windows 2000的默认安装是不开启任何安全审核的。请你到“本地安全策略”的“审核策略”中打开相应的审核。推荐的审核是:
账户管理 成功/失败
登录事件 成功/失败
对象访问 失败
策略更改 成功/失败
特权使用 失败
系统事件 成功/失败
目录服务访问 失败
账户登录事件 成功/失败
与之相关的是在“账户策略”的“密码策略”中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在”账户策略”的“账户锁定策略”中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
7.目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵,我们还必须设置目录和文件的访问权限,Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户是完全敞开的,你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
(1)权限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
(2)拒绝的权限要比允许的权限高。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也不能访问这个资源。
(3)文件权限比文件夹权限高。
(4)仅给用户真正需要的权限,权限的最小化原则是安全的重要保障。
8. 预防DoS
在注册表\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击:
名称 类型 值
SynAttackProtect REGDWORD 2
EnablePMTUDiscovery REGDWORD 0
NoNameReleaseOnDemand REGDWORD 1
EnableDeadGWDetect REGDWORD 0
KeepAliveTime REGDWORD 300,000
PerformRouterDiscovery REGDWORD 0
EnableICMPRedirects REGDWORD 0
9. ICMP攻击
ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,Windows 2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。例如,设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
(二)Windows 98安全配置
有时候,可能会有很多人共用一台计算机。每个使用者都不愿意将包含自己隐私的文件让其他人看到,但每个人又都有使用计算机的权利。这个时候,如何保证每个用户系统和文件的安全就显得十分重要,下面我们来告诉你如何解决这个问题。
1. 设置用户权限
对不同的用户设置不同的使用权限,限制一些用户对系统文件的修改权,将大大地提高系统的安全性。其具体步骤如下(这里以设立“管理员”和“用户”两个级别为例):
(1)依次点击“控制面板→密码→用户配置文件”,选择“用户可自定义首选项及桌面设置。登录时,Windows自动启用个人设置(C)”选项。单击“确定”按钮,按照屏幕提示设置“管理员”用户及密码。如图1所示。
(2)重启计算机后,以“管理员”身份进入Windows 98。依次点击“控制面板→用户”。按向导提示,设置用户及密码。此时要根据需要设置“用户”级别所需项目。
2. 防止非法用户进入
为防止非法用户以系统默认配置进入Windows 98,可采用以下措施:运行“Regedit”,打开注册表编辑器。在\HKEYUSER\Default\Software \Micorosoft\Windows\CurrentVersion\Run中创建新“字符串值”,串值名为“用户非法,退出”。编辑字符串值为“rundll.exe user.exe, EXITWINDOWS”。这样,当非法用户试图进入你的Windows 98系统时,计算机便会自动关机。
为了防止非法用户按F8键调出Windows 98的启动菜单,以安全方式进入系统,我们还需编辑Msdos.sys文件。在该文件的[option]小节中加入如下几行:
BootMulti=0:设置系统不能进行多重引导。
BootGUI=1:在启动时直接进入Windows 98图形用户界面。
BootDelay=0:设置在启动时“Staring Windows 98……”信息停留的时间为0秒。
BootKeys=0:设置在启动过程中F4、F5、F6、F8功能键失效。
3.“用户”级别用户新建使用权限
使用“用户”身份进入Windows 98,此时你可以通过修改文件注册表来限制“用户”级用户的使用权限。
(1)隐藏“开始”菜单的部分内容:打开注册表,在\HKEYCURRENTUSER\Software\Micorsoft\Windows \Current Version\Policies\Explorer中新建一个DWORD值“NoSetFolders”,键值为“1”。这样,用户便不能使用“控制面板”和“设置”中的“打印机”。
在该分支下新建一个DWORD值“NoSetTaskbar”,键值为“1”,则“任务栏属性”功能被禁止;在该分支下新建一个DWORD值“NoFind”,键值为“1”,则“查找”功能被禁止;在该分支下新建一个二进制值“NoRun”,键值为“0x00000001”,则“运行”菜单项被关闭。
(2)禁用“活动桌面”:在关闭了“控制面板”和“打印机”功能后,普通用户可以通过“活动桌面”更改显示属性,因此要关闭“活动桌面”,在\HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Policies\System中新建DWORD值“NoDispCPL”,键值为“1”。这样“活动桌面”也被禁用。
(3)禁用注册表编辑器:为了防止普通用户使用注册表,我们可以用如下的方法禁止普通用户使用注册表:
在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies\System中新建DWORD值“DisableRegistryTools”,键值为“1”。
(4)禁用MS-DOS方式:隐藏了驱动器后,普通用户还可以通过MS-DOS方式进入任何驱动器,为了限制用户进入,可关闭MS-DOS功能:\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies中新建“WinOldApp”主键,在其下新建一个DOWRD值“Disabled”,键值为“1”。
(5)隐藏口令文件:在Windows 98系统中,用户设置的口令都被存放于Windows子目录中,其文件名为xxx.pwl。普通用户可以方便地找到你设置的口令文件,并将其删除。这样,他便能顺利地以管理员身份进入系统。为此,你有必要将口令文件隐藏起来。在System.ini文件中的[Password Lists]中将存放口令文件的存放位置修改到你隐藏的驱动器下的目录中。这样,普通用户便无法找到口令文件,也无法将它删除了。
(6)禁止光盘的自动运行功能
为屏幕保护设置了密码后,你是否就认为万无一失了吗?不!光盘的自动运行功能会给我们带来麻烦。众所周知,Windows 98具有自动运行光盘的功能,当我们在光驱中插入CD之后,CD会自动进行播放,而当我们插入根目录中带有Autorun.inf文件的光盘后,光盘也会自动运行。Windows 98的屏幕保护功能并没有禁止光盘的自动运行功能,也就是说即使处于屏幕保护程序密码控制之下,用户在插入一个根目录中含有Autorun.inf文件的光盘之后,系统仍会自动运行,这就给恶意攻击者带来了可乘之机。目前市面上出现了一种专门用于破解屏幕保护程序的自动运行光盘,为此我们必须关闭系统的光盘自动运行功能。有两种方法可以关闭光驱的自动运行功能:
选择“我的电脑→属性”,打开“系统属性”对话框,单击“设备管理器”标签;展开“CDROM”分支,从中选择用户所用光驱。单击“属性”按钮,打开光驱属性对话框,单击“设置”标签,取消“自动插入功能”即可。这一方法可有效的禁止光盘的自动运行功能,但它同时也将CD的自动播放功能禁止了。
第二种方法是:打开注册表在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies\Explorer,创建一个DWORD值“NoDriveTypeAutoRun”,键值为“1”。
这样光盘的自动运行功能将被禁止,插入根目录中含有Autorun.inf文件的光盘后将不会发生任何作用,而CD的自动播放功能将不受影响。
经过上面的设置,你的Windows 98系统的安全性将大大提高,你不必再担心非法用户的进入,也不用担心普通用户误操作毁坏你的系统了,你要做的就是牢记你的密码。
最后,再谈谈用户设置的删除问题。首先,在“控制面板→用户”中选中用户设置,单击“删除”按钮,删除用户。然后在注册表\HKEYLOCALMACHINE中将Network主键删除,在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion中将ProfileList主键删除。重启计算机,在进入Windows 98的“输入Windows密码”提示框中的用户栏输入用户名,但一定不要输入密码,单击“确定”按钮。则将用户设置删除了,以后启动时将不再出现“输入Windows密码”的提示框了。
“最小系统法”是指只保留主板、内存条、CPU、显示卡、显示器和电源等基本设备,先通电检查这些基本设备组成的最小系统,经检查确认保留的最小系统能正常工作以后,再进一步检查其它设备。
使用“最小系统法”时,在打开机箱拔去其它设备前,建议先用替换法检查显示器是否能正常工作。如果仅保留最小系统,通电后电脑还是不能正常工作,一般用替换法依次检查内存条、显示卡和CPU。确认显示器、内存条、显示卡和CPU能够工作后,故障源只剩下主板和电源,区分是主板故障还是电源故障的最简单方法是换一只好电源试试。
最小系统法是指,从维修判断的角度能使电脑开机或运行的最基本的硬件和软件环境。
最小系统有两种形式:
硬件最小系统:由电源,主板和CPU组成,在这个系统中,没有任何信号线的连接,只有电源到主板的电源连接,在判断的过程中通过声音来判断这一核心组成部分是否可正常工作;
软件最小系统:由电源、主板、CPU、内存、显示卡/显示器、键盘和硬盘组成,这个最小系统主要用来判断系统是否可完成正常的启动与运行。
系统最小化,一般是指,只有电源,主板,CPU,内存,显卡来测试问题在那里
在一次更换显卡,内存,硬盘等设备测试问题在那里
计算机最小测试是指,从维修判断的角度能使电脑开机或运行的最基本的硬件和软件环境。最小测试有两种形式与目的:硬件最小系统:由电源,主板和CPU组成,在这个系统中,没有任何信号线的连接,只有电源到主板的电源连接,目的在于判断的过程中通过声音来判断这一核心组成部分是否可正常工作;软件最小系统:由电源、主板、CPU、内存、显示卡/显示器、键盘和硬盘组成,这个最小测试法目的主要用来判断系统是否可完成正常的启动与运行。操作系统安全设置最小化 是自己设置安全级别和参数
操作系统是你使用计算机的起点,所有对资料、文件的操作都需要通过操作系统来协同完成。由于操作系统本身所存在的一些缺陷,使得黑客能在你的计算机系统中随意进出。配置一个安全的计算机系统,将黑客“拒之门外”。
(一)Windows 2000服务器安全配置
1. 定制自己的Windows 2000 Server
(1)版本的选择:Windows 2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版。强烈建议,在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。
(2)组件的定制:Windows 2000在默认情况下会安装一些常用的组件。但是,正是这个默认安装是极度危险的你应该确切地知道你需要哪些服务,而且仅仅安装你确实需要的服务。根据安全原则,最少的服务+最小的权限=最大的安全。典型的Web服务器需要的最小组件选择是:只安装IIS的ComFiles、IIS Snap-In、WWW Server组件。如果你确实需要安装其他组件,请慎重,特别是Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager(HTML)这几个危险服务。
(3)管理应用程序的选择:选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需要。Windows 2000的终端服务是基于RDP(远程桌面协议)的远程控制软件,它速度快,操作方便,比较适合用来进行常规操作。但是,终端服务也有其不足之处,由于它使用的是虚拟桌面,当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如,使用终端服务重启微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,建议再配备一个远程控制软件作为辅助,与终端服务互补,如PcAnyWhere就是一个不错的选择。
2. 正确安装Windows 2000 Server
(1)分区和逻辑盘的分配。有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的软件都装在C盘上。建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取Admin。推荐的安全配置是建立三个逻辑驱动器,第一个大于2GB,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。
(2)安装顺序的选择:Windows 2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络。Windows 2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Windows 2000之前,一定不要把主机接入网络。
其次,补丁的安装。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如,IIS的HotFix就要求每次更改IIS的配置都需要安装。
3. 端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。一般来说,仅打开你需要使用的端口会比较安全,配置的方法:打开“本地连接属性”对话框,依次点击“Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性”,在打开的对话框中启用TCP/IP筛选。
4. IIS
IIS是微软的组件中漏洞最多的一个,所以IIS的配置是我们的重点:
(1)将\Inetpub目录彻底删掉,然后在D盘建一个Inetpub目录,在IIS管理器中将主目录指向D:\Inetpub。
(2)将IIS安装时默认的Scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己建(特别注意写权限和执行程序的权限,没有必要千万不要给)。
(3)应用程序配置:在IIS管理器中删除必须之外的任何无用映射。
(4)为了保险起见,你可以使用IIS的备份功能,将上面的设定全部备份下来,这样就可以随时恢复IIS的安全配置。如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
5. 账号安全
Windows 2000的账号安全是另一个重点,首先,默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表HKEYLOCALMACHINE\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止139空连接,实际上Windows 2000的本地安全策略就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None. Rely on default permissions(无,取决于默认的权限)。这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。
1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享)。这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)。这个值是在Windows 2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋,所以我推荐你还是设为1比较好。
好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了……慢着,至少还有一个账户是可以跑密码的,这就是系统内建的Administrator。怎么办?在“计算机管理→用户账号”中右击Administrator,然后改名。然后再来把HKEYLOCALMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon项中的“Don't Display Last User Name”串数据改成1,这样系统不会自动显示上次的登录用户名。
将服务器注册表\HKEYLOCALMACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。
6.安全日志
Windows 2000的默认安装是不开启任何安全审核的。请你到“本地安全策略”的“审核策略”中打开相应的审核。推荐的审核是:
账户管理 成功/失败
登录事件 成功/失败
对象访问 失败
策略更改 成功/失败
特权使用 失败
系统事件 成功/失败
目录服务访问 失败
账户登录事件 成功/失败
与之相关的是在“账户策略”的“密码策略”中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在”账户策略”的“账户锁定策略”中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
7.目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵,我们还必须设置目录和文件的访问权限,Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户是完全敞开的,你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
(1)权限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
(2)拒绝的权限要比允许的权限高。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也不能访问这个资源。
(3)文件权限比文件夹权限高。
(4)仅给用户真正需要的权限,权限的最小化原则是安全的重要保障。
8. 预防DoS
在注册表\HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击:
名称 类型 值
SynAttackProtect REGDWORD 2
EnablePMTUDiscovery REGDWORD 0
NoNameReleaseOnDemand REGDWORD 1
EnableDeadGWDetect REGDWORD 0
KeepAliveTime REGDWORD 300,000
PerformRouterDiscovery REGDWORD 0
EnableICMPRedirects REGDWORD 0
9. ICMP攻击
ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,Windows 2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。例如,设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
(二)Windows 98安全配置
有时候,可能会有很多人共用一台计算机。每个使用者都不愿意将包含自己隐私的文件让其他人看到,但每个人又都有使用计算机的权利。这个时候,如何保证每个用户系统和文件的安全就显得十分重要,下面我们来告诉你如何解决这个问题。
1. 设置用户权限
对不同的用户设置不同的使用权限,限制一些用户对系统文件的修改权,将大大地提高系统的安全性。其具体步骤如下(这里以设立“管理员”和“用户”两个级别为例):
(1)依次点击“控制面板→密码→用户配置文件”,选择“用户可自定义首选项及桌面设置。登录时,Windows自动启用个人设置(C)”选项。单击“确定”按钮,按照屏幕提示设置“管理员”用户及密码。如图1所示。
(2)重启计算机后,以“管理员”身份进入Windows 98。依次点击“控制面板→用户”。按向导提示,设置用户及密码。此时要根据需要设置“用户”级别所需项目。
2. 防止非法用户进入
为防止非法用户以系统默认配置进入Windows 98,可采用以下措施:运行“Regedit”,打开注册表编辑器。在\HKEYUSER\Default\Software \Micorosoft\Windows\CurrentVersion\Run中创建新“字符串值”,串值名为“用户非法,退出”。编辑字符串值为“rundll.exe user.exe, EXITWINDOWS”。这样,当非法用户试图进入你的Windows 98系统时,计算机便会自动关机。
为了防止非法用户按F8键调出Windows 98的启动菜单,以安全方式进入系统,我们还需编辑Msdos.sys文件。在该文件的[option]小节中加入如下几行:
BootMulti=0:设置系统不能进行多重引导。
BootGUI=1:在启动时直接进入Windows 98图形用户界面。
BootDelay=0:设置在启动时“Staring Windows 98……”信息停留的时间为0秒。
BootKeys=0:设置在启动过程中F4、F5、F6、F8功能键失效。
3.“用户”级别用户新建使用权限
使用“用户”身份进入Windows 98,此时你可以通过修改文件注册表来限制“用户”级用户的使用权限。
(1)隐藏“开始”菜单的部分内容:打开注册表,在\HKEYCURRENTUSER\Software\Micorsoft\Windows \Current Version\Policies\Explorer中新建一个DWORD值“NoSetFolders”,键值为“1”。这样,用户便不能使用“控制面板”和“设置”中的“打印机”。
在该分支下新建一个DWORD值“NoSetTaskbar”,键值为“1”,则“任务栏属性”功能被禁止;在该分支下新建一个DWORD值“NoFind”,键值为“1”,则“查找”功能被禁止;在该分支下新建一个二进制值“NoRun”,键值为“0x00000001”,则“运行”菜单项被关闭。
(2)禁用“活动桌面”:在关闭了“控制面板”和“打印机”功能后,普通用户可以通过“活动桌面”更改显示属性,因此要关闭“活动桌面”,在\HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Policies\System中新建DWORD值“NoDispCPL”,键值为“1”。这样“活动桌面”也被禁用。
(3)禁用注册表编辑器:为了防止普通用户使用注册表,我们可以用如下的方法禁止普通用户使用注册表:
在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies\System中新建DWORD值“DisableRegistryTools”,键值为“1”。
(4)禁用MS-DOS方式:隐藏了驱动器后,普通用户还可以通过MS-DOS方式进入任何驱动器,为了限制用户进入,可关闭MS-DOS功能:\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies中新建“WinOldApp”主键,在其下新建一个DOWRD值“Disabled”,键值为“1”。
(5)隐藏口令文件:在Windows 98系统中,用户设置的口令都被存放于Windows子目录中,其文件名为xxx.pwl。普通用户可以方便地找到你设置的口令文件,并将其删除。这样,他便能顺利地以管理员身份进入系统。为此,你有必要将口令文件隐藏起来。在System.ini文件中的[Password Lists]中将存放口令文件的存放位置修改到你隐藏的驱动器下的目录中。这样,普通用户便无法找到口令文件,也无法将它删除了。
(6)禁止光盘的自动运行功能
为屏幕保护设置了密码后,你是否就认为万无一失了吗?不!光盘的自动运行功能会给我们带来麻烦。众所周知,Windows 98具有自动运行光盘的功能,当我们在光驱中插入CD之后,CD会自动进行播放,而当我们插入根目录中带有Autorun.inf文件的光盘后,光盘也会自动运行。Windows 98的屏幕保护功能并没有禁止光盘的自动运行功能,也就是说即使处于屏幕保护程序密码控制之下,用户在插入一个根目录中含有Autorun.inf文件的光盘之后,系统仍会自动运行,这就给恶意攻击者带来了可乘之机。目前市面上出现了一种专门用于破解屏幕保护程序的自动运行光盘,为此我们必须关闭系统的光盘自动运行功能。有两种方法可以关闭光驱的自动运行功能:
选择“我的电脑→属性”,打开“系统属性”对话框,单击“设备管理器”标签;展开“CDROM”分支,从中选择用户所用光驱。单击“属性”按钮,打开光驱属性对话框,单击“设置”标签,取消“自动插入功能”即可。这一方法可有效的禁止光盘的自动运行功能,但它同时也将CD的自动播放功能禁止了。
第二种方法是:打开注册表在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion\Policies\Explorer,创建一个DWORD值“NoDriveTypeAutoRun”,键值为“1”。
这样光盘的自动运行功能将被禁止,插入根目录中含有Autorun.inf文件的光盘后将不会发生任何作用,而CD的自动播放功能将不受影响。
经过上面的设置,你的Windows 98系统的安全性将大大提高,你不必再担心非法用户的进入,也不用担心普通用户误操作毁坏你的系统了,你要做的就是牢记你的密码。
最后,再谈谈用户设置的删除问题。首先,在“控制面板→用户”中选中用户设置,单击“删除”按钮,删除用户。然后在注册表\HKEYLOCALMACHINE中将Network主键删除,在\HKEYCURRENTUSER\Software\Micorsoft\Windows\CurrentVersion中将ProfileList主键删除。重启计算机,在进入Windows 98的“输入Windows密码”提示框中的用户栏输入用户名,但一定不要输入密码,单击“确定”按钮。则将用户设置删除了,以后启动时将不再出现“输入Windows密码”的提示框了。
谁知道最小化当前窗口(一个,不是所有窗口)的快捷键是什么?
最小化当前窗口的快捷键还有一种按法:Alt+空格+N。这个组合键的缺点是比较难按,并且没有相关联的“当前窗口最大化”快捷键。如果想让特定的窗口最小化,而不使用鼠标操作,可以使用 Alt+Tab 键。使用该组合键后会弹出窗口的缩略图,这样比ALT+Esc键更方便快捷。当选中特定的窗口,该窗口将会最小...
电脑窗口最小化的快捷键是什么?
如果要全部窗口最小化,按Win+D(Win是键盘上有个Windows窗口标志的那个键,不是Ctrl)。如果只要当前窗口最小化,先按Alt+空格,然后按N。
最小化是哪个快捷键
Windows+M:最小化所有窗口 快捷方式汇总 1 win快捷键:单独按Windows:显示或隐藏 “开始”功能表 Windows+BREAK:显示“系统属性” 对话框 Windows+D:显示桌面或恢复桌面 Windows+M:最小化所有窗口 Windows+Shift+M:还原最小化的窗口 Ctrl+Shift+N:新建文件夹 Windows+E:打开"我的电脑"Windows...
窗口最小化和全屏化的快捷键是什么?
具体操作步骤如下:1、首先在电脑上点击打开一个对话窗口,在此窗口可看到其处于正常化状态,接着在此页面中按键盘上的“windows+M”组合键。2、然后就可以看到该对话框已经最小化到电脑页面下方的任务栏上了。3、接着点击打开刚的对话窗口,在此窗口内按键盘上的“F11”键,并敲击,然后此时此对话...
windows10如何将窗口最小化?
如何还原最小化的窗口 1、苹果电脑将最小化的窗口恢复回来的方法: 按住Cmd + Tab激活程序切换 -》 按住Cmd不放按Tab(Shift + Tab)选中程序 -》 松开Tab,按住Cmd不放的同时按住Opt(alt)-》 松开Cmd。 2、WINDOWS系统最小化的窗口恢复回来的方法: (1)最小化时,如果“开始”和快捷...
电脑屏幕缩小的快捷键是什么?
电脑屏幕缩小的快捷键是:1、ALT+Esc: 可以使当前窗口最小化。2、Win+D:最小化所有窗口,再按一下就可以还原窗口。3、Windows+M:最小化所有窗口 。4、Alt+空格+N:最小化当前窗口(和浏览器的最小化一样)。5、ALT+TAB:这个是切换窗口的按钮,切换到另外一个窗口,这个窗口自然也可以最小化...
什么是最小系统(硬件)?为什么要做最小系统?
最小系统是指,从维修判断的角度能使电脑开机或运行的最基本的硬件和软件环境。最小系统有两种形式:硬件最小系统:由电源、主板和CPU组成。在这个系统中,没有任何信号线的连接,只有电源到主板的电源连接。在判断过程中是通过声音来判断这一核心组成部分是否可正常工作;软件最小系统:由电源、主板、CPU...
我的电脑如何默认打开是最小化窗口?
电脑默认打开是最小化窗口的方法如下:方法一:先把所有的IE窗口关了,只打开一个IE窗口,最小化这个窗口,关了它。以后的默认都是最小化的了。方法二:1、先关闭所有的浏览器窗口,用鼠标右键点击快速启动栏的浏览器图标,在出现的快捷菜单中点击“属性”,系统随即弹出“启动InternetExplorer浏览器属性...
为什么我的电脑所有窗口都自动最小化?
1. 如果您的电脑突然间所有窗口都最小化,不必过于担心。2. 首先,尝试按下"Ctrl + Alt + Delete"组合键,打开任务管理器。3. 在任务管理器中,找到"explorer"进程,如果发现异常,选择结束该进程。4. 结束后,您可能会发现桌面和任务栏消失。这时,在任务管理器中点击"文件",然后选择"新建任务"...
如何把电脑屏幕调小一些?
3、Alt+Tab键 如果想让特定的窗口最小化,而不使用鼠标操作,可以使用“Alt+Tab键”。电脑使用注意事项 安放电脑的地方必须要干净,防火,防潮和防雷以及防磁等,必须要避免电脑周围环境受到影响电脑的正常使用与寿命。为了电脑系统一定要安装一些安全保护软件,这样是为了预防木马程序,病毒等一些入侵电脑中...
大邱欧乃: 应该是最小系统法,不是系统最小化. “最小系统法”是指只保留主板、内存条、CPU、显示卡、显示器和电源等基本设备,先通电检查这些基本设备组成的最小系统,经检查确认保留的最小系统能正常工作以后,再进一步检查其它设备. 使用“最小系统法”时,在打开机箱拔去其它设备前,建议先用替换法检查显示器是否能正常工作.如果仅保留最小系统,通电后电脑还是不能正常工作,一般用替换法依次检查内存条、显示卡和CPU.确认显示器、内存条、显示卡和CPU能够工作后,故障源只剩下主板和电源,区分是主板故障还是电源故障的最简单方法是换一只好电源试试.
海珠区15356535246: 最小化系统? - ?
大邱欧乃: 最小化系统就是在电脑启动时之安装最基本的部件(CPU 主板 显卡和内存),并连接上显示器和键盘,如果电脑能够正常启动表明这些部件没有问题,然后逐步安装其他设备查找故障产生的部件.使用最小化系统如果不能启动,可根据发生的报警声来分析故障.
海珠区15356535246: 什么是电脑的最小化测试?通常在什么情况不使用? - ?
大邱欧乃: 计算机最小测试是指,从维修判断的角度能使电脑开机或运行的最基本的硬件和软件环境.最小测试有两种形式与目的:硬件最小系统:由电源,主板和CPU组成,在这个系统中,没有任何信号线的连接,只有电源到主板的电源连接,目的在于判断的过程中通过声音来判断这一核心组成部分是否可正常工作;软件最小系统:由电源、主板、CPU、内存、显示卡/显示器、键盘和硬盘组成,这个最小测试法目的主要用来判断系统是否可完成正常的启动与运行.
海珠区15356535246: 什么是最小系统(硬件)?为什么要做最小系统? - ?
大邱欧乃: 最小系统是指,从维修判断的角度能使电脑开机或运行的最基本的硬件和软件环境.最小系统有两种形式: 硬件最小系统:由电源、主板和CPU组成.在这个系统中,没有任何信号线的连接,只有电源到主板的电源连接.在判断过程中是通过...
海珠区15356535246: 什么叫最小系统化啊! - ?
大邱欧乃: 最小系统法; 最小系统法是指,从维修判断的角度能使电脑开机或运行的最基本的硬件和软件环境. 最小系统有两种形式: 硬件最小系统:由电源,主板和CPU组成.在这个系统中,没有任何信号线的连接,只有电源到主板的电源连接.在判断的...
海珠区15356535246: 电脑当中的最小系统是什么意思? - ?
大邱欧乃: 硬件最小系统:由电源,主板和CPU组成.在这个系统中,没有任何信号线的连接,只有电源到主板的电源连接.在判断的过程中通过声音来判断这一核心组成部分是否可正常工作: 软件最小系统:由电...
海珠区15356535246: 电脑装系统的最后一步是最小化安装,这一步的作用是什么??
大邱欧乃:最小化安装的意思就是只安装系统所需要的文件,其他的不安装,也就是所谓的最精简的系统... 这样的系统其实并非很稳定,除非你只是单机操作一下软件或者是游戏,并不适合一般用户... 至于你的问题,是因为你省略了安装程序进系统而导致系统不正常,.... 安装系统急不来的吖.... 你还是给点耐心比较好
海珠区15356535246: 电脑的最大化和最小化的快捷键是什么啊? - ?
大邱欧乃: 最大化:alt+空格+X 最小化:alt+空格+N 改变窗口大小:Alt+空格+S 多个窗口切换:alt+tab 最小化所有窗口:Windows+M 全部最小化(即显示桌面):WIN+D win+↑(方向键上):最大化窗口win+↓(方向键下):往下缩放窗口.扩展资料 ...
海珠区15356535246: 最小化是什么意思 - ?
大邱欧乃: 有的窗口最小化和最大化只有一点点区别 实际上相当于没最小化.你很可能属于这种情况~
海珠区15356535246: 电脑最小化变慢了 - 电脑突然最小化 ?
大邱欧乃: 1. 电脑突然最小化具体操作步骤如下:1、系统的设置,也会影响任务栏显示最小化窗口,可以重新设置一下系统的设置,方法,在桌面“计算机”快捷图标上右键,选择...
