13、用戶權限分配策略:

　打開管理工具
　　
　　找到本地安全設置.本地策略.用戶權限分配
　　　　
　　1.從網絡訪問計算機 里面一般默認有5個用戶，除Admin外我們刪除4個，當然，等下我們還得建一個屬于自己的ID
　　2.從遠程系統強制關機，Admin帳戶也刪除，一個都不留　　　　
　　3.拒絕從網絡訪問這臺計算機 將ID刪除
　　4.從網絡訪問此計算機，Admin也可刪除，如果你不使用類似3389服務
　　5.通過遠端強制關機。刪掉

　　14、終端服務配置

　　打開管理工具
　　
　　終端服務配置

　　　　1.打開后，點連接，右鍵，屬性，遠程控制，點不允許遠程控制
　　　　2.常規，加密級別，高，在使用標準Windows驗證上點√!
　　　　3.網卡，將最多連接數上設置為0
　　　　4.高級，將里面的權限也刪除.[我沒設置]
　　　　再點服務器設置，在Active Desktop上，設置禁用，且限制每個使用一個會話

　　15、用戶和組策略

　　打開管理工具

　　計算機管理.本地用戶和組.用戶;

　　　　刪除Support_388945a0用戶等等
　　　　只留下你更改好名字的adminisrator權限　　

　　計算機管理.本地用戶和組.組
　　　　
　　　　組.我們就不分組了，每必要把

　　16、自己動手DIY在本地策略的安全選項
　　　　
　　　　1）當登陸時間用完時自動注銷用戶(本地) 防止黑客密碼滲透.
　　　　2）登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務，別人登陸時，就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
　　　　3）對匿名連接的額外限制
　　　　4）禁止按 alt+crtl +del(沒必要）
　　　　5）允許在未登陸前關機[防止遠程關機/啟動、強制關機/啟動]
　　　　6）只有本地登陸用戶才能訪問cd-rom
　　　　7）只有本地登陸用戶才能訪問軟驅
　　　　8）取消關機原因的提示
　　　　 A、打開控制面板窗口，雙擊“電源選項”圖標，在隨后出現的電源屬性窗口中，進入到“高級”標簽頁面；
　　　　 B、在該頁面的“電源按鈕”設置項處，將“在按下計算機電源按鈕時”設置為“關機”，單擊“確定”按鈕，來退出設置框；
　　　　 C、以后需要關機時，可以直接按下電源按鍵，就能直接關閉計算機了。當然，我們也能啟用休眠功能鍵，來實現快速關機和開機；
　　　　D4、要是系統中沒有啟用休眠模式的話，可以在控制面板窗口中，打開電源選項，進入到休眠標簽頁面，并在其中將“啟用休眠”選項選中就可以了。
　　　　9）禁止關機事件跟蹤
　　開始“Start ->”運行“ Run ->輸入”gpedit.msc “，在出現的窗口的左邊部分，選擇 ”計算機配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates）-> ”系統“（System），在右邊窗口雙擊“Shutdown Event Tracker” 在出現的對話框中選擇“禁止”（Disabled），點擊然后“確定”（OK）保存后退出這樣，你將看到類似于Windows 2000的關機窗口

　　17、常見端口的介紹
　　　　　　　　　　　　
　　TCP
　　21　　 FTP
　　22　　 SSH
　　23　　 TELNET
　　25　　 TCP SMTP
　　53　　 TCP DNS
　　80　　 HTTP
　　135　　epmap
　　138　　[沖擊波]
　　139　　smb
　　445
　　1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
　　1026 DCE/12345778-1234-abcd-ef00-0123456789ac
　　1433 TCP SQL SERVER
　　5631 TCP PCANYWHERE
　　5632 UDP PCANYWHERE
　　3389　　 Terminal Services
　　4444[沖擊波]
　
　　UDP
　　67[沖擊波]
　　137 netbios-ns
　　161 An SNMP Agent is running/ Default community names of the SNMP Agent

　　關于UDP一般只有騰訊QQ會打開4000或者是8000端口或者8080，那么，我們只運 行本機使用4000這幾個端口就行了

　　18、另外介紹一下如何查看本機打開的端口和tcp\ip端口的過濾
　　開始－－運行－－cmd

　　輸入命令netstat -a

　　會看到例如（這是我的機器開放的端口）

Proto Local Address　　　　Foreign Address　　　　State
TCP　　yf001:epmap　　　　 yf001:0　　　　　　 LISTE
TCP　　yf001:1025（端口號）　　　　　　yf001:0　　　　　　 LISTE
TCP　　(用戶名）yf001:1035　　　　　　yf001:0　　　　　　 LISTE
TCP　　yf001:netbios-ssn　　 yf001:0　　　　　　 LISTE
UDP　　yf001:1129　　　　　　*:*
UDP　　yf001:1183　　　　　　*:*
UDP　　yf001:1396　　　　　　*:*
UDP　　yf001:1464　　　　　　*:*
UDP　　yf001:1466　　　　　　*:*
UDP　　yf001:4000　　　　　　*:*
UDP　　yf001:4002　　　　　　*:*
UDP　　yf001:6000　　　　　　*:*
UDP　　yf001:6001　　　　　　*:*
UDP　　yf001:6002　　　　　　*:*
UDP　　yf001:6003　　　　　　*:*
UDP　　yf001:6004　　　　　　*:*
UDP　　yf001:6005　　　　　　*:*
UDP　　yf001:6006　　　　　　*:*
UDP　　yf001:6007　　　　　　*:*
UDP　　yf001:1030　　　　　　*:*
UDP　　yf001:1048　　　　　　*:*
UDP　　yf001:1144　　　　　　*:*
UDP　　yf001:1226　　　　　　*:*
UDP　　yf001:1390　　　　　　*:*
UDP　　yf001:netbios-ns　　 *:*
UDP　　yf001:netbios-dgm　　 *:*
UDP　　yf001:isakmp　　　　 *:*

　　現在講講基于Windows的tcp/ip的過濾

　　控制面板——網絡和撥號連接——本地連接——INTERNET協議（tcp/ip)--屬性－－高級－－－選項－tcp/ip篩選－－屬性!!

　　然后添加需要的tcp 和UDP端口就可以了～如果對端口不是很了解的話，不要輕易進行過濾，不然可能會導致一些程序無法使用。

　　19、胡言亂語


　　(1)、TT瀏覽器

　　選擇用另外一款瀏覽器瀏覽網站.我推薦用TT，使用TT是有道理的。
　　TT可以識別網頁中的腳本，JAVA程序，可以很好的抵御一些惡意的腳本等等，而且TT即使被感染，你刪除掉又重新安裝一個就是。

　　MYIE瀏覽器
　　是一款非常出色的瀏覽器，篇幅有險，不做具體介紹了。（建議使用）

　　(2)、移 動“我的文檔”

　　進入資源管理器，右擊“我的文檔”，選擇“屬性”，在“目標文件夾”選項卡中點“移 動”按鈕，選擇目標盤后按“確定”即可。在Windows 2003 中“我的文檔”已難覓芳蹤，桌面、開始等處都看不到了，建議經常使用的朋友做個快捷方式放到桌面上。

　　(3)、移 動IE臨時文件

　　進入“開始→控制面板→Internet 選項”，在“常規”選項“Internet 文件”欄中點“設置”按鈕，在彈出窗體中點“移 動文件夾”按鈕，選擇目標文件夾后，點“確定”，在彈出對話框中選擇“是”，系統會自動重新登錄。點本地連接>高級>安全日志，把日志的目錄更改專門分配日志的目錄，不建議是C:再重新分配日志存儲值的大小，我是設置了10000KB。

　　20、避免被惡意代碼 木馬等病毒攻擊
　　
　　以上主要講怎樣防止黑客的惡意攻擊，下面講避免機器被惡意代碼，木馬之類的病毒攻擊。

　　其實方法很簡單，所以放在最后講。

　　我們只需要在系統中安裝殺毒軟件

　　如 卡巴基斯，瑞星，金山獨霸等

　　還有防止木馬的木馬克星和金山的反木馬軟件（可選）

　　并且能夠及時更新你的病毒定義庫，定期給你的系統進行全面殺毒。殺毒務必在安全模式下進行，這樣才能有效清除電腦內的病毒以及駐留在系統的非法文件。

　　還有就是一定要給自己的系統及時的打上補丁，安裝最新的升級包。微軟的補丁一般會在漏洞發現半個月后發布，而且如果你使用的是中文版的操作系統，那么至少要等一個月的時間才能下到補丁，也就是說這一個月的時間內你的系統因為這個漏洞是很危險的。

　　本人強烈建議個人用戶安裝使用防火墻（目前最有效的方式）

　　例如：天網個人防火墻、諾頓防火墻、瑞星防火墻等等。

　　因為防火墻具有數據過濾功能，可以有效的過濾掉惡意代碼，和阻止DDOS攻擊等等。總之如今的防火墻功能強大，連漏洞掃描都有，所以你只要安裝防火墻就可以杜絕大多數網絡攻擊，但是就算是裝防火墻也不要以為就萬事無憂。因為安全只是相對的，如果哪個邪派高手看上你的機器，防火墻也無濟于事。我們只能盡量提高我們的安全系數，盡量把損失減少到最小。

　　安全意識也很重要，我們平時上網的時候都應該有一個好的安全意識。加上我們的不懈努力，相信我們的網絡生活會更美好。