13、用戶權(quán)限分配策略:

　打開管理工具
　　
　　找到本地安全設(shè)置.本地策略.用戶權(quán)限分配
　　　　
　　1.從網(wǎng)絡(luò)訪問計(jì)算機(jī) 里面一般默認(rèn)有5個(gè)用戶，除Admin外我們刪除4個(gè)，當(dāng)然，等下我們還得建一個(gè)屬于自己的ID
　　2.從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)，Admin帳戶也刪除，一個(gè)都不留　　　　
　　3.拒絕從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī) 將ID刪除
　　4.從網(wǎng)絡(luò)訪問此計(jì)算機(jī)，Admin也可刪除，如果你不使用類似3389服務(wù)
　　5.通過遠(yuǎn)端強(qiáng)制關(guān)機(jī)。刪掉

　　14、終端服務(wù)配置

　　打開管理工具
　　
　　終端服務(wù)配置

　　　　1.打開后，點(diǎn)連接，右鍵，屬性，遠(yuǎn)程控制，點(diǎn)不允許遠(yuǎn)程控制
　　　　2.常規(guī)，加密級別，高，在使用標(biāo)準(zhǔn)Windows驗(yàn)證上點(diǎn)√!
　　　　3.網(wǎng)卡，將最多連接數(shù)上設(shè)置為0
　　　　4.高級，將里面的權(quán)限也刪除.[我沒設(shè)置]
　　　　再點(diǎn)服務(wù)器設(shè)置，在Active Desktop上，設(shè)置禁用，且限制每個(gè)使用一個(gè)會話

　　15、用戶和組策略

　　打開管理工具

　　計(jì)算機(jī)管理.本地用戶和組.用戶;

　　　　刪除Support_388945a0用戶等等
　　　　只留下你更改好名字的adminisrator權(quán)限　　

　　計(jì)算機(jī)管理.本地用戶和組.組
　　　　
　　　　組.我們就不分組了，每必要把

　　16、自己動手DIY在本地策略的安全選項(xiàng)
　　　　
　　　　1）當(dāng)?shù)顷憰r(shí)間用完時(shí)自動注銷用戶(本地) 防止黑客密碼滲透.
　　　　2）登陸屏幕上不顯示上次登陸名(遠(yuǎn)程)如果開放3389服務(wù)，別人登陸時(shí)，就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
　　　　3）對匿名連接的額外限制
　　　　4）禁止按 alt+crtl +del(沒必要）
　　　　5）允許在未登陸前關(guān)機(jī)[防止遠(yuǎn)程關(guān)機(jī)/啟動、強(qiáng)制關(guān)機(jī)/啟動]
　　　　6）只有本地登陸用戶才能訪問cd-rom
　　　　7）只有本地登陸用戶才能訪問軟驅(qū)
　　　　8）取消關(guān)機(jī)原因的提示
　　　　 A、打開控制面板窗口，雙擊“電源選項(xiàng)”圖標(biāo)，在隨后出現(xiàn)的電源屬性窗口中，進(jìn)入到“高級”標(biāo)簽頁面；
　　　　 B、在該頁面的“電源按鈕”設(shè)置項(xiàng)處，將“在按下計(jì)算機(jī)電源按鈕時(shí)”設(shè)置為“關(guān)機(jī)”，單擊“確定”按鈕，來退出設(shè)置框；
　　　　 C、以后需要關(guān)機(jī)時(shí)，可以直接按下電源按鍵，就能直接關(guān)閉計(jì)算機(jī)了。當(dāng)然，我們也能啟用休眠功能鍵，來實(shí)現(xiàn)快速關(guān)機(jī)和開機(jī)；
　　　　D4、要是系統(tǒng)中沒有啟用休眠模式的話，可以在控制面板窗口中，打開電源選項(xiàng)，進(jìn)入到休眠標(biāo)簽頁面，并在其中將“啟用休眠”選項(xiàng)選中就可以了。
　　　　9）禁止關(guān)機(jī)事件跟蹤
　　開始“Start ->”運(yùn)行“ Run ->輸入”gpedit.msc “，在出現(xiàn)的窗口的左邊部分，選擇 ”計(jì)算機(jī)配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates）-> ”系統(tǒng)“（System），在右邊窗口雙擊“Shutdown Event Tracker” 在出現(xiàn)的對話框中選擇“禁止”（Disabled），點(diǎn)擊然后“確定”（OK）保存后退出這樣，你將看到類似于Windows 2000的關(guān)機(jī)窗口

　　17、常見端口的介紹
　　　　　　　　　　　　
　　TCP
　　21　　 FTP
　　22　　 SSH
　　23　　 TELNET
　　25　　 TCP SMTP
　　53　　 TCP DNS
　　80　　 HTTP
　　135　　epmap
　　138　　[沖擊波]
　　139　　smb
　　445
　　1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
　　1026 DCE/12345778-1234-abcd-ef00-0123456789ac
　　1433 TCP SQL SERVER
　　5631 TCP PCANYWHERE
　　5632 UDP PCANYWHERE
　　3389　　 Terminal Services
　　4444[沖擊波]
　
　　UDP
　　67[沖擊波]
　　137 netbios-ns
　　161 An SNMP Agent is running/ Default community names of the SNMP Agent

　　關(guān)于UDP一般只有騰訊QQ會打開4000或者是8000端口或者8080，那么，我們只運(yùn) 行本機(jī)使用4000這幾個(gè)端口就行了

　　18、另外介紹一下如何查看本機(jī)打開的端口和tcp\ip端口的過濾
　　開始－－運(yùn)行－－cmd

　　輸入命令netstat -a

　　會看到例如（這是我的機(jī)器開放的端口）

Proto Local Address　　　　Foreign Address　　　　State
TCP　　yf001:epmap　　　　 yf001:0　　　　　　 LISTE
TCP　　yf001:1025（端口號）　　　　　　yf001:0　　　　　　 LISTE
TCP　　(用戶名）yf001:1035　　　　　　yf001:0　　　　　　 LISTE
TCP　　yf001:netbios-ssn　　 yf001:0　　　　　　 LISTE
UDP　　yf001:1129　　　　　　*:*
UDP　　yf001:1183　　　　　　*:*
UDP　　yf001:1396　　　　　　*:*
UDP　　yf001:1464　　　　　　*:*
UDP　　yf001:1466　　　　　　*:*
UDP　　yf001:4000　　　　　　*:*
UDP　　yf001:4002　　　　　　*:*
UDP　　yf001:6000　　　　　　*:*
UDP　　yf001:6001　　　　　　*:*
UDP　　yf001:6002　　　　　　*:*
UDP　　yf001:6003　　　　　　*:*
UDP　　yf001:6004　　　　　　*:*
UDP　　yf001:6005　　　　　　*:*
UDP　　yf001:6006　　　　　　*:*
UDP　　yf001:6007　　　　　　*:*
UDP　　yf001:1030　　　　　　*:*
UDP　　yf001:1048　　　　　　*:*
UDP　　yf001:1144　　　　　　*:*
UDP　　yf001:1226　　　　　　*:*
UDP　　yf001:1390　　　　　　*:*
UDP　　yf001:netbios-ns　　 *:*
UDP　　yf001:netbios-dgm　　 *:*
UDP　　yf001:isakmp　　　　 *:*

　　現(xiàn)在講講基于Windows的tcp/ip的過濾

　　控制面板——網(wǎng)絡(luò)和撥號連接——本地連接——INTERNET協(xié)議（tcp/ip)--屬性－－高級－－－選項(xiàng)－tcp/ip篩選－－屬性!!

　　然后添加需要的tcp 和UDP端口就可以了～如果對端口不是很了解的話，不要輕易進(jìn)行過濾，不然可能會導(dǎo)致一些程序無法使用。

　　19、胡言亂語


　　(1)、TT瀏覽器

　　選擇用另外一款瀏覽器瀏覽網(wǎng)站.我推薦用TT，使用TT是有道理的。
　　TT可以識別網(wǎng)頁中的腳本，JAVA程序，可以很好的抵御一些惡意的腳本等等，而且TT即使被感染，你刪除掉又重新安裝一個(gè)就是。

　　MYIE瀏覽器
　　是一款非常出色的瀏覽器，篇幅有險(xiǎn)，不做具體介紹了。（建議使用）

　　(2)、移 動“我的文檔”

　　進(jìn)入資源管理器，右擊“我的文檔”，選擇“屬性”，在“目標(biāo)文件夾”選項(xiàng)卡中點(diǎn)“移 動”按鈕，選擇目標(biāo)盤后按“確定”即可。在Windows 2003 中“我的文檔”已難覓芳蹤，桌面、開始等處都看不到了，建議經(jīng)常使用的朋友做個(gè)快捷方式放到桌面上。

　　(3)、移 動IE臨時(shí)文件

　　進(jìn)入“開始→控制面板→Internet 選項(xiàng)”，在“常規(guī)”選項(xiàng)“Internet 文件”欄中點(diǎn)“設(shè)置”按鈕，在彈出窗體中點(diǎn)“移 動文件夾”按鈕，選擇目標(biāo)文件夾后，點(diǎn)“確定”，在彈出對話框中選擇“是”，系統(tǒng)會自動重新登錄。點(diǎn)本地連接>高級>安全日志，把日志的目錄更改專門分配日志的目錄，不建議是C:再重新分配日志存儲值的大小，我是設(shè)置了10000KB。

　　20、避免被惡意代碼 木馬等病毒攻擊
　　
　　以上主要講怎樣防止黑客的惡意攻擊，下面講避免機(jī)器被惡意代碼，木馬之類的病毒攻擊。

　　其實(shí)方法很簡單，所以放在最后講。

　　我們只需要在系統(tǒng)中安裝殺毒軟件

　　如 卡巴基斯，瑞星，金山獨(dú)霸等

　　還有防止木馬的木馬克星和金山的反木馬軟件（可選）

　　并且能夠及時(shí)更新你的病毒定義庫，定期給你的系統(tǒng)進(jìn)行全面殺毒。殺毒務(wù)必在安全模式下進(jìn)行，這樣才能有效清除電腦內(nèi)的病毒以及駐留在系統(tǒng)的非法文件。

　　還有就是一定要給自己的系統(tǒng)及時(shí)的打上補(bǔ)丁，安裝最新的升級包。微軟的補(bǔ)丁一般會在漏洞發(fā)現(xiàn)半個(gè)月后發(fā)布，而且如果你使用的是中文版的操作系統(tǒng)，那么至少要等一個(gè)月的時(shí)間才能下到補(bǔ)丁，也就是說這一個(gè)月的時(shí)間內(nèi)你的系統(tǒng)因?yàn)檫@個(gè)漏洞是很危險(xiǎn)的。

　　本人強(qiáng)烈建議個(gè)人用戶安裝使用防火墻（目前最有效的方式）

　　例如：天網(wǎng)個(gè)人防火墻、諾頓防火墻、瑞星防火墻等等。

　　因?yàn)榉阑饓�具有�?shù)據(jù)過濾功能，可以有效的過濾掉惡意代碼，和阻止DDOS攻擊等等。總之如今的防火墻功能強(qiáng)大，連漏洞掃描都有，所以你只要安裝防火墻就可以杜絕大多數(shù)網(wǎng)絡(luò)攻擊，但是就算是裝防火墻也不要以為就萬事無憂。因?yàn)榘踩�只是相對的，如果哪個(gè)邪派高手看上你的機(jī)器，防火墻也無濟(jì)于事。我們只能盡量提高我們的安全系數(shù)，盡量把損失減少到最小。

　　安全意識也很重要，我們平時(shí)上網(wǎng)的時(shí)候都應(yīng)該有一個(gè)好的安全意識。加上我們的不懈努力，相信我們的網(wǎng)絡(luò)生活會更美好。