个人电脑安全设置手册
《信息安全基础》课程论文
论文题目:个人电脑安全手册
姓名: 李 禾
学号: [1**********]8
专业:
个人电脑安全设置手册
摘 要
本部个人电脑安全设置手册主要针对的对象是个人电脑一般操作用户而非专业人士,所针对的操作系统是Windows XP,所涉及的安全设置问题包括操作系统安全和常用软件应用安全两个大方面,在手册最后也献上了一些养成良好上网习惯的建议,希望该手册能为打造我们身边安全个人电脑环境贡献一点力量。
关键词: 系统安全 密码安全 服务器安全 个人习惯
一、操作系统安全
安全一直是一个不容忽视的问题,如果发生了黑客攻击、被入侵、宝贵的资料被盗、密码被破解,想想这些事情就叫人害怕!应该说在默认情况下Windows XP是存在很多安全设计方面的缺陷的,而只要我们能够将这些缺陷弥补,对其进行正确的设置,是有可能提高系统安全性能的。
(一)用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。右击“我的电脑”-->管理-->计算机管理(本地)-->系统工具-->本地用户和组-->用户,左击“用户”-->guest-->“属性”,将“用户不能更改密码”,“密码永不过期”,“账户已停用”这三项全部勾选上。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
同上在用户选项里把不用的用户给禁用或是删除了。这些用户很多时候都是黑客们入侵系统的突破口。
3、创建两个管理员账号
创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators权限的用户只在需要的时候使用。同上在用户里单击右键---->新用户,就可以创建新用户及创建密码了,同时把系统Administrator账号改名尽量把它伪装成普通用户并创建一个陷阱用户。
(二)密码安全设置
为什么要设置密码,很多用户都不去设置密码或设置简单。但是在实际情况中,用户拥有什么权限病毒木马就有什么样的权限。没有权限控制的的计算机也就对病毒木马开绿灯。最关键是用户不要以为有了安全软件和防火墙就可以不设置密码因为这是完全没有关系的两个安全体系。由于密码设置的特使原因无法对所有的密码管理都进行详尽的设置,用户最好根据自己的软、硬件使用说明以及自己的使用情况进行设置!(但是唯一要提醒用户你自己最好不要忘记自己设置的密码)
1、使用安全密码
对ADMINISTRATOR账户进行密码设置而且密码应该是12位以上(因为木马病毒都带有弱口令密码字典,而且黑客账户都带有各种密码字典在可接受的时间内它们可以暴力破解95%以上的用户密码)。而且在我的电脑→管理→计算机管理→“本地用户和组”中用户应该停用除ADMINISTRATOR账外的所有账户比如GUEST账户,即使用户需要某些账户也应该对这些账户设置足够强健的密码。
2、设置屏幕保护密码
桌面单击“属性”→屏幕保护程序,对屏幕保护进行密码设置。
(三)系统安全设置
1. 使用NTFS格式分区
强烈建议大家的把C,D两个盘符分成NTFS格式。因为WINDOWS的安全全都是建立在NTFS基础之上的。抛弃了NTFS也就不要谈什么安全了(大家注意的是使用NTFS格式后在 DOS下是看不到NTFS分区的,你看到的C:应该是NTFS分区之后的那FAT32个区,但是借助其它软件也可以查看DOS下的 NTFS的数据)但是我也不推荐全部分区都使用NTFS,因为这样你备份以及一些其它的操作可能会受到一些影响。所以个人的意见是把最后一个区也就是备份区分成 FAT32。
2. 到微软网站下载最新的补丁程序
俗话说的好“病从口入”,要想把家里的蚊子消灭干净,必须要先把门窗把好,要想自己电脑没有病毒,就要先把补丁打好,打补丁不要认为是很轻松的事情,一款软件是搞不定的。必须将几款软件相结合,才能稳固系统。
一、安全卫士360
下载地址:http://www.360safe.com/
用以上软件把查到的补丁全部打上,注:有些补丁失败的需要在带网络的安全模式下,(开机一直按F8 然后选择带网络的安全模式)补丁完毕,重启,然后卸载掉360。
二、金山清理专家
下载地址:http://www.duba.net/zt/ksc/down.shtml
升级为最新,然后点“漏洞补丁“打上所有补丁后重启,注(先打独立安装,其次在打非独立安装的,)一切搞定后点,在线系统听诊---隐藏所有已知安全项---启动项管理:发现自己不熟悉的就勾选上,然后点修复选中项。浏览器修复:熟悉的留不熟悉的修复网页防挂马:开启。安全工具箱:1、U盘病毒免疫:全选---启用;2、历史痕迹:全选---清理(有些小流氓软件会住在这里面清理了就搞定);3、垃圾文件:全选—清理。
(四)服务安全以及进程设置
1. 关闭不必要的进程
右击“任务栏” →任务管理器→进程,除了一下八个基本进程以外其他能关闭的进程都将其关闭以提升电脑自身的运转速率。
Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。
System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
Smss.exe:这是一个会话管理子系统,负责启动用户会话。
Services.exe:系统服务的管理工具。
Lsass.exe:本地的安全授权服务。
Explorer.exe:资源管理器(这个进程不能结束,若不小心结束了可打开资源管理器,在文件中选择新建任务,把这一项添加即可)。
Spoolsv.exe:管理缓冲区中的打印和传真作业。
Svchost.exe:这个进程要着重说明一下,有不少朋友都有这种错觉:若是在“任务管
理器”中看到多个Svchost.exe在运行,就觉得是有病毒了。其实并不一定,系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
2. 把敏感文件存放在另外的文件服务器中,一定要注意养成重要文件多地点备份的习惯。
二、常用应用软件安全
(一)IE的安全设置
大家平时在上网的过程中接触的最多的就是浏览器了,浏览器的安全设置也十分重要。对于IE我们可以打开属性面的安全选项来进行IE的安全设置。
在这个面板中我们可以设置受信任位置和安全级别,默认的安全级别是中级,可以适应大部分的需要,也可以根据自己的需要进行调整。在自定义级别中我们还可以对ActiveX控件,Microsoft VM和脚本等做具体的安全设置(如图3、4)。同时,在IE窗口“工具”→选项→管理加载项,对多余的加载项进行管理,尽量使加载项减少从而加快IE的启动速度。 其实所谓消除潜在威胁无非是定期清除一下internet临时文件夹、历史纪录、自动完成和cookie,但有两处我认为一些符合我描述条件的朋友需要注意:若你是使用页面模式进行登录的管理员或者你的邮箱非常的重要,例如论坛版主或邮件服务,如果黑客想窃取你们的权限搞破坏或窃取个人资料,那么机器中存留的cookie会成为黑客得逞的助手之一,所以如果有必要,可以将需要输入用户名和密码的页面放入编辑cookie策略中。
打开IE-->工具-->Internet选项-->高级,在打开的菜单栏里有一项“关闭浏览器时清空Internet临时文件夹”(如图3),要禁止掉。
图3
图4
图5
(二)IM软件的安全设置
IM软件即即时通讯软件的发展给我们带来了很多便利,如何根据自己的需要对他们进行设置是十分重要的,下面我们以QQ和MSN为例来介绍IM软件的安全设置。
QQ的配置面板在设置面板中,我们可以通过单击自己的头像来打开配置面板,在这里我们可以进行各种设置即个人设置、系统设置和安全设置,在个人设置和系统设置中我们可以对QQ的各种功能进行调整,在安全设置中我们可以设置各种安全策略,密码安全、木马查杀、自动更新、聊天记录和文件接收。
我们需要注意的主要是查杀木马和文件接收,查杀木马可以根据自己的实际情况选择,文件接收推荐设置为中级,在需要时再改成高级。
MSN的选项我们可以通过菜单栏里的工具-选项打开,在里面对MSN进行各种设置,在共享文件夹面板可以对共享文件夹进行设置,在文件传输菜单中对文件传输的权限路径和病毒扫描进行设置,在安全菜单中对密码策略、语音收发、链接和加密进行设置,在不需要的时候应该设置高安全级别。
(三)下载工具的安全设置
迅雷是我们常用的下载工具,它在网络上有个公共的称号“网络吸血鬼”对迅雷进行必要的配置是很重要的。迅雷的配置页面可以通过工具-配置选项卡打开在高级选项中可以对更新和消息设置进行配置,在下载安全选项中对杀毒和预警功能进行配置,在我们日常应用中应该开启杀毒功能。
我们可以下载迅雷的安全杀毒模块来提高迅雷的安全性能下载地址为:safe.xunlei.com/dl/ThunderKAV1.0.5.30.exe。
迅雷在使用过程中会占用大量的网络资源,这也许会影响到我们其他的工作,可以通过配置迅雷的“全局最大链接数”和限速来解决,这两个选项都能在配置面板中找到。最关键的是将上传速度限制设置为0,可以减小下载资源时对网络带宽的占有率从而提高上网速度。
(四)office的安全设置
微软自带的安全功能可以在一定程度上确保office文档安全,也可以防止宏病毒的危害。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会 “感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。对Word文档来说,最大的敌人当然就是宏病毒了。对于来源不明的文档,坚决拒之门外,以防止宏病毒混水摸鱼,当然我们也要恩怨分明,对于已经确信是“根正苗红”的宏,大可不必一棍子打死。在Word里设置防范措施十分简单,单击“工具”菜单→“宏”→“安全性”,打开如图1所示的对话框,确保选中其中的“高”或“中”单选按钮即可。还可以用文档中的加密功能进行加密操作来防止病毒威胁。
三、建议养成良好的上网习惯
一、要及时更新操作系统
目前使用微软Windows操作系统的用户占了绝大多数,但微软操作系统的安全漏洞一再被发现,通过这些漏洞,远程黑客可以将宽带用户的电脑完全控制,就像操作自己的机器一样。所以,要利用自动更新功能及时升级操作系统。
二、要安装防病毒软件并及时更新病毒代码。
目前计算机病毒的传播手段越来越复杂多变,通过软盘、光盘、邮件、浏览网页都能传播,而且,即使你不做任何操作,只要接入宽带网,有的病毒就能摧毁你的计算机。前两年风靡一时的震荡波病毒就是典型的例子。
三、分类设置密码并使密码设置尽可能复杂
在不同的场合使用不同的密码。网上需要设置密码的地方很多,如网上银行、上网账户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码,以免因一个密码泄露导致所有资料外泄。对于重要的密码(如网上银行的密码)一定要单独设置,并且不要与其他密码相同。
设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码,最好采用字符与数字混合的密码。
不要贪图方便在拨号连接的时候选择“保存密码”选项;如果您是使用Email客户端软件(Outlook Express、Foxmail、The bat等)来收发重要的电子邮箱,如ISP信箱中的电子邮件,在设置账户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的,但是这样的加密往往并不保险,一些初级的黑客即可轻易地破译你的密码。定期地修改自己的上网密码,至少一个月更改一次,这样可以确保即使原密码泄露,也能将损失减小到最少。
四、不下载来路不明的软件及程序,不打开来历不明的邮件及附件
不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件(尤其是可执行文件),在给你带来方便和快乐的同时,也会悄悄地把一些你不欢迎的东西带到你的机器中,比如病毒。因此应选择信誉较好的下载网站下载软件,将下载的软件及程序集中放在非引导分区的某个目录,在使用前最好用杀毒软件查杀病毒。有条件的话,可以安装一个实时监控病毒的软件,随时监控网上传递的信息。
不要打开来历不明的电子邮件及其附件,以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行,有些病毒就是通过电子邮件来传播的,这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件,如果您抵挡不住它的诱惑,而下载或运行了它的附件,就会受到感染,所以对于来历不明的邮件应当将其拒之门外。
六、防范间谍软件!
最近公布的一份家用电脑调查结果显示,大约80%的用户对间谍软件入侵他们的电脑毫无知晓。间谍软件(Spyware)是一种能够在用户不知情的情况下偷偷进行安装(安装后很难找到其踪影),并悄悄把截获的信息发送给第三者的软件。它的历史不长,可到目前为止,间谍软件数量已有几万种。间谍软件的一个共同特点是,能够附着在共享文件、可执行图像以及各种免费软件当中,并趁机潜入用户的系统,而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯,有些间谍软件还可以记录用户的键盘操作,捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起,用户很难发现它们是什么时候被安装的。一旦间谍软件进入计算机系统,要想彻底清除它们就会十分困难,而且间谍软件往往成为不法分子手中的危险工具。
从一般用户能做到的方法来讲,要避免间谍软件的侵入,可以从下面三个途径入手:
(1)把浏览器调到较高的安全等级——Internet Explorer预设为提供基本的安全防护,但您可以自行调整其等级设定。将Internet Explorer的安全等级调到“高”或“中”可有助于防止下载。
(2)在计算机上安装防止间谍软件的应用程序,时常监察及清除电脑的间谍软件,以阻止软件对外进行未经许可的通讯。
(3)对将要在计算机上安装的共享软件进行甄别选择,尤其是那些你并不熟悉的,可以登录其官方网站了解详情;在安装共享软件时,不要总是心不在焉地一路单击“OK”按钮,
而应仔细阅读各个步骤出现的协议条款,特别留意那些有关间谍软件行为的语句。
七、只在必要时共享文件夹
不要以为你在内部网上共享的文件是安全的,其实你在共享文件的同时就会有软件漏洞呈现在互联网的不速之客面前,公众可以自由地访问您的那些文件,并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码,一旦不需要共享时立即关闭。
一般情况下不要设置文件夹共享,以免成为居心叵测的人进入你的计算机的跳板。 如果确实需要共享文件夹,一定要将文件夹设为只读。通常共享设定“访问类型”不要选择“完全”选项,因为这一选项将导致只要能访问这一共享文件夹的人员都可以将所有内容进行修改或者删除。Windows98/ME的共享默认是“只读”的,其他机器不能写入;Windows2000的共享默认是“可写” 的,其他机器可以删除和写入文件,对用户安全构成威胁。
不要将整个硬盘设定为共享。例如,某一个访问者将系统文件删除,会导致计算机系统全面崩溃,无法启动。
八、不要随意浏览黑客网站、色情网站
这点勿庸多说,不仅是道德层面,而且时下许多病毒、木马和间谍软件都来自于黑客网站和色情网站,如果你上了这些网站,而你的个人电脑恰巧又没有缜密的防范措施,哈哈,那么你十有八九会中招,接下来的事情可想而知。
九、定期备份重要数据
数据备份的重要性毋庸讳言,无论你的防范措施做得多么严密,也无法完全防止“道高一尺,魔高一丈”的情况出现。如果遭到致命的攻击,操作系统和应用软件可以重装,而重要的数据就只能靠你日常的备份了。所以,无论你采取了多么严密的防范措施,也不要忘了随时备份你的重要数据,做到有备无患!
好了,个人安全手册就为你介绍到这里,只要按照手册进行个人电脑的相关参数配置再加上良好的上网习惯应该安全系数不会低了!希望这本手册能物尽其用,为更多读者解除个人电脑安全烦恼!
附录
[1]安全卫士 360: http://www.360safe.com/
[2]金山清理专家: http://www.duba.net/zt/ksc/down.shtml
[3]《电脑常见疑难问题》
[4]《个人电脑安全手册》
清华同方出版社 2009 2005
电子工业出版社