Posted on 2007-11-18 00:08
yukui 閱讀(870)
評論(1) 編輯 收藏 所屬分類:
技術
(一) 在“運行”項輸入“gpedit.msc”命令
用戶配置***********************************************************
1。用戶配置-管理模板-控制面板:雙擊右過單菜“禁止訪問控制面板”進入屬性,然后選擇“已啟用”或者選擇“只顯示指定的控制面板應用小程序”雙擊進入屬性,選擇“已啟用”然后點擊“顯示”進行自選添加設置,只需輸入控制面板里的項目名稱即可。需要還原時,相應在屬性選擇“未配置”即可。
2。用戶配置-管理模板-windows組件-NetMeeting-應用程序共享:右邊所有菜單欄項目均設置為“已啟用”這樣有效防止他人共享“命令提示符”,“資源管理器窗口”,“桌面”,“應用程序”等項目,有關詳情,請查看有關說明。
3。用戶配置-管理模板-windows組件-NetMeeting-音頻和視頻:點擊“防止發送視頻”雙擊進入屬性,選擇“而啟用”(描述:如果用戶有該硬件會防止用戶發送視頻。但用戶仍可從他人處接收視頻。)
4。用戶配置-管理模板-windows組件,直接單擊“NetMeeting”項,分別查找“防止發送文件”,“防止接收文件”,“防止自動接收呼叫”分別雙擊進入屬性選擇“已啟用”即可。有關說明請查看“描述”。
5。用戶配置-管理模板-windows組件-NetMeeting-選項頁:雙擊“隱藏“安全措施”頁”,進入屬性,選擇“已啟用”(說明:隱藏“工具選項”對話框的“安全措施”頁。這樣用戶就不能更改呼叫安全措施和身份驗證設置。)
6。用戶配置-管理模板-windows組件,單擊Internet Explorer:雙擊:分別查找“禁用更改Internet臨時文件設置”,“禁用更改郵件設置”,“禁止自動完成功能保存密碼”然后分別雙擊屬性均設置為“已啟用”即可。
7。用戶配置-管理模板-windows組件-Internet Explorer-瀏覽器菜單:分別查找“隱藏“收藏夾”菜單”,“禁用Internet選項...”菜單項”,“禁用“另存為...”菜單項”,雙擊進入屬性,選擇“已啟用”即可。注意:一但禁用Internet選項,將無法進行該項設置,如要恢復請進入該項屬性,選擇“未配置”恢復即可。
8。用戶配置-管理模板-windows組件-Internet Explorer-工具欄:分別把:“禁用自定義瀏覽器工具欄”,“禁用自定義瀏覽器工具欄按扭”,分別選擇“已啟用”。設置后將分別無法使用相應項目,如要恢復請進入該項屬性,選擇“未配置”恢復即可。
9。用戶配置-管理模板-windows組件,單擊windows資源管理器,右框菜單欄分別查找“網上鄰居中沒有我附近的計算機”,“網上鄰居中不含有整個網絡”,“從工具菜單刪除文件夾選項”,“從我的電腦刪除共享文檔”,分別進入屬性選擇“已啟用”,即可。(注:需要注意的是“從工具菜單刪除文件夾選項”,一經設置,文件夾選項將會隱藏,不能夠進行任何設置,如要將其恢復,在該項屬性選擇“未配置”即可恢復。)
10。用戶配置-管理模板-windows組件,單擊windows資源管理器,右框菜單欄查找“關閉縮略圖的緩存”進入屬性選擇“已啟用”,即可。
(特別說明:該設置控制是否緩存縮略圖視圖。
如果啟用該設置,縮略圖視圖將不被緩存。
如果禁用或不配置該設置,縮略圖視圖將被緩存。
注意: 對于安全性至關重要的共享企業工作站或計算機,您必須啟用該設置以關閉縮略圖視圖緩存,因為
縮圖圖緩存可以被任何人讀取。)
11。用戶配置-管理模板-windows組件,單擊windows資源管理器,右框菜單欄查找“刪除映射網絡驅動器和斷開網絡驅動器”,進入屬性選擇“已啟用”,即可。
12。用戶配置-管理模板-windows組件,單擊windows資源管理器,右框菜單欄查找“隱藏我的電腦中這些指定的驅動器”,進入屬性選擇“已啟用”,然后選擇自己要隱藏的驅動器即可。(注:上網時特別推薦此設置,確保硬盤文件不被非法瀏覽和讀取,對安全意識較高的用戶,此舉是首選的,也有必要這樣做。當用戶需要瀏覽本地驅動器時,在該項選擇“未配置”即可將“驅動器”還原顯示,不要謙麻煩呀!)
13。用戶配置-管理模板-windows組件,單擊Microsoft Management Console,右框菜單欄查找“限制用戶進入編輯模式”,進入屬性選擇“已啟用”,即可。
(說明:防止用戶進入編輯模式。
這個設置防止用戶用編輯模式打開 Microsoft 管理控制臺 (MMC),防止用戶用編輯模式專門打開控制臺
文件,并防止用戶打開任何默認打開方式為編輯模式的控制臺文件。
結果是,用戶無法創建控制臺文件或添加/刪除管理單元。同時,因為無法打開編輯模式控制臺文件,用
戶無法使用這些文件包含的工具。
這個設置允許用戶打開 MMC 用戶模式控制臺文件,如在 Windows 2000 Server 中的“管理工具”菜單上
的文件。但是,用戶無法打開「開始」菜單上的空白的 MMC 控制臺窗口。(要打開 MMC,單擊“開始”,
單擊“運行”,再鍵入 MMC。) 用戶也無法從命令提示符打開空白的 MMC 控制臺窗口。
如果停用或不配置這個設置,用戶則可以進入編輯模式并打開編輯模式控制臺文件。)
14。用戶配置-管理模板-windows組件,單擊“任務計劃程序”,右框菜單欄分別查找“防止任務運行或停止”,“禁用創建新任務”,“禁止瀏覽”,分別進入屬性選擇“已啟用”,即可。
15。用戶配置-管理模板-windows組件-Microsoft Management Console-受限的/許可的管理單元,右框菜單欄查找“IP安全監視器”,進入屬性選擇“已啟用”,“遠程桌面”,進入屬性選擇“已禁用”,即可。
16。用戶配置-管理模板-windows組件-Windows Messenger ,右框菜單欄查找“初始化時不自動啟動Windows Messenger”,進入屬性選擇“已啟用”,即可。(說明:當用戶登錄 Windows XP 時,Windows Messenger 自動被加載和運行。您可以使用這個設置來停止 Windows Messenger 在登錄時自動運行。)
17。用戶配置-管理模板-windows組件-Windows Update,右框菜單欄查找“刪除所有Windows Update功能的訪問”,進入屬性選擇“已啟用”,即可。(特別說明:如果使用XP操作系統如不能夠上網升級的用戶,建議你將此功能刪除,如能夠上網升級的用戶,并且沒有出現問題,即保留該項設置不動為妙!)。
18。用戶配置-管理模板-windows組件-Windows Media Player-播放,右框菜單欄查找“防止下載編解碼器”,分別進入屬性選擇“已啟用”,即可。
19。用戶配置-管理模板-windows組件-Windows Media Player-網絡,右框菜單欄查找“配置網絡沖緩”,進入屬性選擇“已啟用”,緩沖時間:設置為:“自定義”,然后在“配置網絡緩沖:設置為“0”,即可。
(注:上網在線觀看電影的朋友,如出現短時間過度緩沖次數和緩沖等待時間過長,該項設置,能夠幫上
你忙了!也有效防止一些電影網站,進行對你的機器采用不定時緩沖,迫使你放棄你觀看的心愛電影,我
也飽嘗過這些痛苦,希望此項能夠幫助你解決實際問題,如不能夠解決,可能是對方網站寬帶不足和在線
觀看人數過多或你的網速較慢而影響,此項就無能為力了)。
20。用戶配置-管理模板-windows組件-Windows Media Player-網絡,右框菜單欄查找“隱藏網絡選項卡”,進入屬性選擇“已啟用”,即可。
21。用戶配置-管理模板-windows組件-任務欄和[開始]菜單:右框菜單欄分別查找“不要保留最近打開文檔的記錄”,“從開始菜單中刪除用戶名”,“阻止更改任務欄和[開始]菜單”,分別進入屬性選擇“已啟用”,即可。(特別說明:“阻止更改任務欄和[開始]菜單”,會相應出現在任欄單右鍵“屬性”不能夠登錄,如要恢復,請進入該屬性選擇“未配置”即可恢復。)
22。用戶配置-管理模板-windows組件-任務欄和[開始]菜單:右框菜單欄分別查找“關閉用戶跟蹤”,進入屬性選擇“已啟用”,即可。慎用或不選用。
(注:停用用戶跟蹤。
這個設置防止系統跟蹤用戶使用的程序、用戶導航的路徑和用戶打開的文檔。系統用這個信息來自定義
Windows 功能,如個性化菜單。
如果啟用這個設置,系統則不跟蹤這些用戶操作。系統停用需要用戶跟蹤信息的自定義功能,包括個性化
菜單。
同時,參閱"關閉個性化菜單" 設置。)
23。用戶配置-管理模板-windows組件-桌面:右框菜單欄分別查找“禁用調整桌面工具欄”,“隱藏桌面上網上鄰居圖標”,分別進入屬性選擇“已啟用”,即可。
24。用戶配置-管理模板-windows組件-桌面-Active Desktop:右框菜單欄分別查找“不允許更改”,“禁用活動桌面”,分別進入屬性選擇“已啟用”,即可。
25。用戶配置-管理模板-windows組件-桌面-Active Directory:右框菜單欄查找“隱藏Active Directory文件夾”,進入屬性選擇“已啟用”,即可。
26。用戶配置-管理模板-windows組件-控制面板:右框菜單欄查找“禁止訪問控制面板”,進入屬性選擇“已啟用”,即可。(特別說明:需要注意的是,一經設置該項,連同右鍵單擊“我的電腦”屬性和在桌面上右鍵單擊出現菜單里的屬性,或者在任務欄-開始菜單最頂的用戶圖標進入“用戶帳戶”均可失效,無法登錄瀏覽,如要恢復,進入該項屬性選擇為“未配置”即可恢復。)
27。用戶配置-管理模板-windows組件-控制面板:右框菜單欄查找“隱藏指定控制面板應用小程序”,進入屬性選擇“已啟用”,然后點擊“顯示”項,按“添加”進行自定義個性化設置,并輸入相關控制面板相應名稱即可。
28。用戶配置-管理模板-windows組件-共享文件夾:右框菜單欄分別查找“允許發布 DFS 根目錄”,“允許發布共享文件夾”,分別進入屬性選擇“已禁用”,即可。
29。用戶配置-管理模板-windows組件-網絡-網絡連接:右框菜單欄查找“刪除所有用戶遠程訪問連接”,進入屬性選擇“已啟用”,即可。
(特別說明:
如果啟用此設置,所有用戶可刪除共享遠程訪問連接。另外,如果文件系統是 NTFS,用戶需要對
Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk 具有寫訪
問權限,以便刪除共享遠程訪問連接。)
30。用戶配置-管理模板-windows組件-系統:右框菜單欄查找“不要運行指定的Windows應用程序,進入屬性選擇“已啟用”,并在“顯示”項增加設置相關名稱即可。(說明例如:在該項增加svchost.exe,網速會相應加快。)
31。用戶配置-管理模板-windows組件-系統:右框菜單欄查找“關閉自動播放”,進入屬性選擇“已啟用”,即可。
32。用戶配置-管理模板-windows組件-系統:右框菜單欄查找“限制這些程序從幫助啟動”,“已啟用”,并增加相關程序名稱。即可。(說明例如:在該項增加svchost.exe,網速會相應加快。)
33。管理模板-windows組件-系統:右框菜單欄查找“阻止訪問注冊表編輯工具”,進入屬性選擇“已啟用”,即可。(需要注意的是,安裝軟件程序的過程最好把它恢復為默認設置,因為可能你某些安裝軟件過程時,相關注冊信息需要寫入注冊表里,一但被拒絕,可能會引起意想不到的后果,但上網的時候,仍需將該項設置,以免不法之徒,利用此這漏洞和空子,進行非法修改注冊表,以達到其入侵者的目的,危害性極大,也有效防止在瀏覽一些網站時,被非法網站進行修改注冊表,安全性在某個程度上來講是有所
提高的,建議選擇。)
34。用戶配置-管理模板-windows組件-系統:右框菜單欄查找“阻止訪問命令提示符”,進入屬性選擇“已啟用”,即可。(注:相信大家對此不再默生吧!不需要使用時,最好將它設置好,特別是上網的時候,沒有必要和不是很懂電腦的朋友,慎用此“命令提示符”項,但總有需要使用它的時候的,那就將該項恢復為“未配置”即可。有關怎么使用“命令提示符”,這里不作詳解,要學習和對“命令提示符感興趣的朋友,請看和查找有關書籍進行了解。)
35。用戶配置-管理模板-windows組件-系統-組策略:右框菜單欄查找“組策略慢速鏈接檢測”,進入屬性選擇“已啟用”,在“連接速度(Kbps)”:設置為“0”,相應鏈接刷新速度,會相應加快。
36。在“運行”項中,輸入“msconfig”命令,啟動進入介面,然后點擊“一般”菜單項,選擇“有選擇的啟動”,分別把“處理SYSTEM.INI 文件(P)”和“處理WIN.INI文件(W)取消選擇,即可。一般木馬都會經常在該兩項等方面進自動加載運行,取消該兩項,并且查看是否有不明程序啟動,如有將其相應取消即可。這樣大大減少病毒與木馬發作機會,但并不是絕對能夠防范,如上網使用一些帶有注入惡意代碼的軟件程序除外,因為好可能該軟件已經默認打開某個端口,透過該漏洞進行傳輸和發送,除了安裝網絡
防火壁和殺毒軟件之外,還需要進一步設置一下端口。請看下面帖子。
37。點擊任務欄里的“本地連接”類似網上鄰居的小圖標或到“控制面板”里點擊“網絡連接”,相對雙擊進入介面,然后右鍵單擊“本地連接”圖標,進入該“屬性”,在“常規”找到“Internet 協議(TCP/IP),然后再點屬性,進入介面“常規”項,點擊“高級”項進入介面,選擇菜單項中的“選項”,找到“TCP/IP 篩選”項,在“TCP/IP 篩選”項上再次點“屬性”,進入介面將會出三個框選,然后選擇“第一個框選”,把“全部允許”改選為“只允許”,在“TCP 端口”相應添加對應端口,例如:80代表“瀏覽器”打開的端口之一,如某些程序因為把“全部允許”改選為“只允許”而不能夠在網上運行使用,只要你上網時雙擊打開某個軟件程序,一般來講,網絡防火壁會相應詢問你是否允許應程序啟動進入網絡,例如瑞星防火壁,這時會相應顯示某個程序打開的默認端口,如能正常啟動進入網絡,就不必添加該端口,相反不能夠登錄就要在該列表中添加相應端口,即可。其它兩個選框默認不動,即可。最后按確定,重啟計算機。以后電腦就會按照你的設置規則運行,除了XP默認打開的端口和你設置好的端口外,其他全部端口就會默認為關閉,就是說你所安裝某些程序軟件,即使它已自動設置默認打開某個端口,只要它打開的默認端口,不在你所設置的端口和XP等操作系統默認打開的端口內,均不可透過它打開的默認端
口進出和發送傳輸,大大有效提高安全性,對防范非法入侵,有較大力度阻截和防預。
38。在“運行”里輸入“eventvwr”命令,打開“事件查看器”經常檢查一下“應用程序”,“安全性”,“系統”三項里產生的事件和錯誤,如有出現異常和不明白的地方,請在你喜歡的論壇發表帖子和請教一下你認識和熟悉電腦操作的朋友,讓他們幫助你分析和找出原因所在,及時對正下藥,并且及時打上新安全補丁和及時升級殺毒軟件,壁火壁,方為上策。
39。用戶配置-管理模板-控制面板-添加/刪除程序:右框菜單欄查找“隱藏從網絡中添加程序選項”,設置為“已啟用”,即可。
40。最后把重啟或者注銷一次,在用戶配置-管理模板-系統-組策略:右框菜單欄查找“關閉自動更新 ADM 文件”,進入屬性選擇“已啟用”,即可。
(說明:防止系統在您打開組策略時自動更新管理模板的源文件,有關詳細說明,請查看描述。)
(二)在“運行”項輸入“gpedit.msc”命令
計算機配置**********************************************************************
41。計算機配置-管理模板-Windows 組件-終端服務:右框菜單欄查找“連接時啟動程序”設置為“已禁用”,即可。(說明:如果禁用或不配置此設置,則終端服務起始于完整桌面,除非服務器管理員或用戶指定了其它設置。)
42。計算機配置-管理模板-Windows 組件-終端服務:右框菜單欄查找“不允許新客戶連接”,設置為“已啟用”,即可。(使用客戶端服務的朋友,切莫選擇此設置,一般用戶可選擇。)
43。計算中心配置-管理模板-Windows 組件-終端服務:右框菜單欄查找“遠程控制設置”,設置為“已啟用”,在下選框中“選項”,設置為“不允許遠程控制”。即可禁止所有遠程控制,網速相應加快。
44。計算機配置-管理模板-Windows 組件-NetMeeting:右框菜單欄查找“禁止遠程桌面共享”,設置為“已啟用”,即可。
45。計算機配置-管理模板-Windows 組件-Internet Explorer:右框菜單欄查找“禁用Internet Explorer組件的自動安裝”,設置為“已啟用”即可。(注:如果啟用該策略,則可防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件。)
46。計算機配置-管理模板-Windows 組件-Internet Explorer:右框菜單欄查找“禁用定期檢查Internet Explorer軟件更新”,設置為“已啟用”即可。
47。計算機配置-管理模板-Windows 組件-Internet Explorer:右框菜單欄查找“禁用啟動時的軟件更新外殼通知”,設置為“已啟用”即可。(注:如果啟用該策略,則在使用軟件分發頻道更新程序時,用戶將不會收到通知。要獲取相關內容將要到相關渠道獲取。)
48。計算機配置-管理模板-Windows 組件-任務計劃程序:右框菜單欄分別查找“防止任務運行或停止”,“禁用“創建新任務”,“禁止瀏覽”,分別設置為“已啟用”,即可。
49。計算機配置-管理模板-Windows 組件-終端服務-客戶端/服務器數據重新定向:右框菜單欄查找“不將默認客戶端打印機設置為會話中的默認打印機”,設置為“已啟用”即可。(注:如有打印機的朋友,需要在網絡上使用打印機交流,設莫選用或者避免有麻煩也推薦選用,如沒有打印機的朋友,請選擇,不分初級與高級用戶)
50。計算機配置-管理模板-Windows 組件-終端服務-加密與安全性:右框菜單欄查找“設置客戶端連接加密級”,設置為“已啟用”,下邊框選“加密級別”:“高等級”,即可。
51。計算機配置-管理模板-Windows 組件-終端服務-Windows Installer: 右框菜單欄查找“關閉創建系統還原檢查點”,設置為“已啟用”即可。
52。計算機配置-管理模板-Windows 組件-終端服務-Windows Messenger:右框菜單欄查找“初始化時不自動啟動Windows Messenger”,設置為“已啟用”即可。
53。計算機配置-管理模板-系統:右框菜單欄查找“關完自動播放”,查找下邊框選“關閉自動播放”設置為“CD-ROM 驅動器”,即可。
54。計算機配置-管理模板-系統-用戶配置文件:右框菜單欄查找“不要檢測慢速網絡連接”,“防止漫游配置文件復制到服務器”,分別設置為“已啟用”,即可。
55。計算機配置-管理模板-系統-組策略:右框菜單欄查找“注冊表策略處理”,設置為“已啟用”,并在下選框“不要在周期性后臺處理時采用”,設置為“選擇”即可。(注:此設置的好處是有效防止某程序和不明軟件,例如:木馬,病毒等,通過隱藏方式,對某其程序已設定某些默認自定義設置,不定時通過修改注冊表而達到某其目的,如不想其得建議與“阻止訪問注冊表編輯工具”同時靈活調配運用,方可有效防止木馬和病毒發作的機會,缺點就是可能某特定軟件設置也同時失效,正是黑客們看中弱點之一。
但以安全角度考慮本人推薦該項設置,比較安全一點。)
56。計算機配置-管理模板-系統-遠程協助:右框菜單欄分別查找“請求的遠程協助”,“提供遠程協助”,分別設置為“已禁用”,即可。
57。計算機配置-管理模板-系統-系統還原:右框菜單欄分別查找“關閉系統還原”,“關閉配置”,分別設置為“已禁用”,即可。(注:“關閉配置”如啟用該項,連同登錄介面均為失效。初級用戶慎用,一但系統發生故障,難以修復,所以設置前必需事先考慮自身實際情況而作決定。)
58。計算機配置-管理模板-網絡-脫機文件:右框菜單欄分別查找“文件沒有緩存”設置為“已啟用”,并在下選框“擴展名”:設置為:例如:
*.dbf;*.ndx;*.lnk*.syd;*.tmp*.mscreate.dir*.#Res*.cdr_*.xlk*.wbk*.dmp*.diz*.ms*._mp*.tmp*.old*.gid*.ftg*.bak*.??$*.---*.~*等擴展名,設置時注意格式即可。有關更多擴展名稱,請參閱
“Windows憂化大師-系統清理維護-垃圾文件清理-文件類型:框選中有更多擴展名稱和說明,這里不作詳細講解。相應添加“擴展名”名稱,會相應加快系統運行速度,減少系統緩存時積累的垃圾產生,從而提升系統性能,但可能有某些緩存的備份文件,將會相應失效和丟失。設置時請查看相關“擴展名”的功能和作用的說明,根據個人實際情況而決定設置取向。)67。計算機配置-管理模板-網絡-脫機文件:右框菜單欄分別查找“配置慢速鏈接速度”,設置為“已啟用”,在下選框中“值”,設置為“0”,即可。
(注:該項設置的好處是,防范某些網站,對你的計算機“鏈接刷新速度”進行非法修改,相應會提高,
加速網絡瀏覽和下載速度,推存設置)
59。計算機配置-管理模板-網絡-網絡連接:右框菜單欄分別查找“禁止使用DNS域網絡上的Internet連接共享”,“禁止在你的DNS域網絡上安裝和配置網橋”,分別設置為“已啟用”,即可。
60。計算機配置-管理模板-網絡-QoS 數據包調度程序:右框菜單欄查找“限制可保留帶寬”,選擇“已啟用”,并在下選框“帶寬限制”,設置為“0”。(注:有關說明,請查看說明書!不過這個當然很有用呢!)
61。計算機配置-管理模板-打印機:右框菜單欄查找“自動在Active Directory上公布新的打印機”
,設置為“已禁用”,(注:如果停用這個設置,添加打印機向導則不自動公布打印機。但是,您可以手動公布共享打印機,平是沒有必要采用自動公布的,有需要時才采用。)
62。計算機配置-Windows設置-安全設置-本地策略-安全選項:右框菜單欄查找對照表設置:
(一)Microsoft 網絡服務器:當登錄時間完時自動注銷用戶:已啟用。
(二)Microsoft 網絡服務器:數字簽字的通信(若客戶同意):已停用。
(三)Microsoft 網絡服務器:數字簽字的通信(總是):已停用。
(四)Microsoft 網絡服務器:在掛起會話之前所需要的空閑時間:15分種。
(五)Microsoft 網絡客戶:發送未加密的密碼到第三方SMB服務器:已停用。
(六)Microsoft 網絡客戶:數字簽字的通信(若服務器同意):已啟用。
(七)Microsoft 網絡客戶:數字簽字的通信(總是):已停用。
(八)故障恢復控制臺:允許對所有驅動器和文件進行軟盤復制和訪問:已停用。
(九)故障恢復控制臺:允許自動系統管理級登錄:已停用。
(十)關機:清理虛似內存頁面文件:已啟用。(注:可選可不選,如果選擇啟用,每次重新登錄系統,
各方面性能都會相對提高,但關機時會占用一定時間,那就視乎內存占用頁面文件間大小區別而決定。但
為了新一輪登錄系統操作快便,建議還是選用“已啟用”較為合適。)
(十一)關機:允許在未登錄前關機:已啟用。
(十二)交互式登錄:不顯示上次的用戶名:已停用。
(十三)交互式登錄:不需要按CTRL+ALT+DEL:沒有定義
(十四)交互式登錄:可被緩沖保存的前次登錄個數(在域控制器不可用的情況下):緩存:10次登錄。
(十五)交互式登錄:要求域控制器身份驗證以脫離工作站:已停用。
(十六)交互式登錄:用戶試圖登錄時消息標題:自定義個性化設置。(注:例如:“歡迎下次光臨!”
等字眼。)
(十七)交互式登錄:用戶試圖登錄時消息文字:自定義個性化設置。(注:例如:“今天心情如何!”
等字眼。也可以是一篇自己喜歡的散文,詩歌,名言,歌詞,作文等。)
(十八)交互式登錄:在密碼到期前提示用戶更改密碼:默認為14天。(注:可自定義更改)
(十九)交互式登錄:智能卡移除操作:無操作。
(二十)設備:防止用戶安裝打印機驅動程序:已停用。
(二十一)設備:未簽名驅動程序的安裝操作:允許安裝但發出警告。
(二十二)設備:允許不登錄脫離:已啟用。
(二十三)設備:允許格式化和彈出可移動媒體:Administors
(二十四)只有本地登錄的用戶才能訪問CD-ROM:已啟用。
(二十五)只有本地登錄的用戶才能訪問軟盤:已啟用。
(二十六)審計:對備份和還原權限的使用進行審計:已停用。
(二十七)審計:對全局系統對象的訪問進行審計:對全局系統對象的訪問審計:已停用。
(二十八)審計:如果無法紀錄安全審計則立即關閉系統:已啟用。
(二十九)網絡安全:LAN Manager身份驗證級別:發送 LM & NTLM 響應。(注:沒有必要不要亂動)
(三十)網絡安全:LDAP 客戶答名要求:協商簽名。
(三十一)網絡安全:不要在下次更改密碼時存儲 LAN Manager 的 Hash 值:已停用。(注:如設置“已啟用”,那么使用 Manager聊天工具時,總是要求輸入密碼。)
(三十二)網絡安全:在超過登錄時間后強制注銷:已停用。
(三十三)網絡安全設置:基于 MTLM SSP (包括安全 RPC)服務器的最小會話安全:分別把“要求消息的完整性”,“要求消息的保密性”,“要求 MTLMv2 會話安全”,“要求128-位 加密”選擇即可。
(三十四)網絡安全設置:基于 NTLM SSP (包括安全RPC)客戶的最小會話安全:分別把“要求消息的
完整性”,“要求消息的保密性”,“要求 MTLMv2 會話安全”,“要求128-位 加密”選擇即可。
(三十五)網絡訪問:本地帳戶的共享和安全模式:僅來賓-本地用戶以來賓身份驗證。
(三十六)網絡訪問:不允許 SAN 帳戶的若名枚舉:已啟用。
(三十七)網絡訪問:不允許 SAN 帳戶和共享的若名枚舉:已啟用。
(三十八)網絡訪問:不允許為網絡身份驗證儲存憑據或 .NET Passports:已停用。
(三十九)網絡訪問:可若名訪問的共享:把COMCFG和DFS$刪除。(注:需要時分別把COMCFG和DFS$名稱
分別復制粘帖進入框選即可恢復。)網速會相應加快。
(四十)網絡訪問:可若名訪問的命名管道:分別把COMNAP,COMNODE,SQL\QUERY,SPOOLSS,LLSRPC,
EPMAPPER,LOCATOR,TrkWks,TrkSvr全部刪除。(需要時把COMNAP,COMNODE,SQL\QUERY,SPOOLSS,
LLSRPC,EPMAPPER,LOCATOR,TrkWks,TrkSvr名稱分別粘帖進入框選即可恢復。)網速會相應加快。
(四十一)網絡訪問:可遠程訪問的注冊表路徑:
(System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration)
全部刪除。(注:除了系統升級時,把以上“可遠程訪問的注冊表路徑”恢復,并且把“阻止訪問注冊表
編輯工具”和阻止訪問命令提示符”恢復為“未配置”之外,平時是沒有需要將它們打開的,這樣會給人
有可剩之機,為了不被干擾,最好將它全部刪除為妙,相應網速會加快。)
(四十二)網絡訪問:讓“每個人”權應用于若名用戶:已停用。
(四十三)允許若名勝古跡SID/名稱 轉換:已停用。
(四十四)系統對象:對非 Windows 子系統不要求區分大小寫:已啟用。
(四十五)系統對象:由 Administrators 組成員所創建的對象默認所有者:Object creator
(四十六 )系統對象:系統對象:增強內部系統對象的默認權限(例如 Symbolic Links):已啟用。
(四十七)系統加密:使用 FIPS 兼容的算法來加密,散列和簽名:已停用。
(四十八)域成員:對安全通道數據進行數字加密(如果可能):已啟用。
(四十九)域成員:對安全通道數據進行數字加密或簽名(總是):已啟用。
(五十)域成員:對安全通道數據進行數字加密或簽名(如果可能):已啟用。
(五十一)域成員:需要強(Windows 2000 或 以上版本)會話密鑰:已啟用。
(五十二)域控制器:LDAP 服務器簽名要求:沒有定義。
(五十三)域控制器:禁用更改機器帳戶密碼:已啟用。(注:默認設置為:“已禁用”,如要使用設置
機器帳戶密碼時,還原恢復即可。禁用更改機器帳戶密碼,是為了防止他人在本地和網絡連接時,被不法
之徒弟所利用。)
(五十四)域控制器:拒絕更改機器帳戶密碼:拒絕更改機器帳戶密碼:已啟用。(注:同上)
(五十五)域控制器:允許服務器操作員計劃任務:已停用。
(五十六)域控制器:最長機器帳戶密碼壽命:默認為30天。(注:可自由根據自己實際情況作決定)
(五十七)帳戶:管理員帳戶狀態:已啟用。
(五十八)帳戶:來賓帳戶狀態:已停用。
(五十九)帳戶:使用空白密碼的本地帳戶只允許進行控制臺登錄:已啟用。
(六十)帳戶:生命名來賓帳戶:Guest (注:可自由進行自定義改命)最好不動為妙。
(六十一)帳戶:生命名系統管理帳戶:Administrator(注:可自由進行自定義改命)最好不動為妙。
63。計算機配置-Windows設置-安全設置-IP安全策略,在本地計算機:右框菜單欄分別查找雙擊“安全服務器(需要安全)屬性”,“服務器(請求安全)屬性”,并分別相對把下選框“所有IP通訊量”,“所有ICMP通訊量”,雙擊進入介面,在菜單項中“篩選器操作”設置為“需要安全”,并雙擊進入操作介面,在菜單項中“安全措施”設置為“阻止”,分為三個級別,按自己實際需要設置,但是設置為“阻止”級別相對是最安全的。(注:其他默認設置不動,需要時還原默認操作即可。)
(以上六十一項設置和所有設置,均由本人進行測試通過。網路使用正常,有關功能被限制和允許,請仔細查看有關說明)如帶來不便之處,敬請原諒。請設置前,分別備份以下項目:
(System.INI
Win.INI
Msdos.sys
Boot.INI
Config.sys
Autoexec.bat
Windows注冊表)
特別說明---------請朋友們設置前覽閱一下有關內容
***********************************************************
***本帖子所有設置均適合高級用戶使用*****************
********初學者請陪同熟悉電腦操作和有一定電腦經驗使用者陪同一起操作********************************
***********如帶來不便,敬請原諒**************************
(一)不會做備份的朋友,請使用Windows憂化大師-系統清理維護-其他憂化選項:進入介面即可看到。將備份路徑:設置為“A盤”,然后手動按“備份”鍵即可進行備份。
(二)如要恢復注意事項,恢復時,請把26條規則,33條規則,還原為“未配置”,即可進行正常還原恢復工作特別注意的是,恢復后重新啟動計算機時,將會出現類似安全模式的菜單欄,請選擇“最后一次正確的配置),其他千萬別選,一但誤選將會無法登錄進入系統窗口,帶來無窮后果。)
(三)或用“搜索”功能進行搜索“regedit.exe”,用一張空白軟盤,單獨把整個“注冊表”備份好。
(如要恢復,必須登錄DOS進行還原恢復,恢復方法如下:請注意格式:
A:dir
A:copy a:regedit.exe c:windows\regedit.exe
(Y/N)
選擇“Y”
即可開始還原恢復注冊表..............................................(注:如果你的系統默認安
裝路徑為:D盤,E盤......H盤等,相應轉換恢復路徑即可。例如:安裝盤在D盤,即將
c:windows\regedit.exe轉為d:windows\regedit.exe即可。
(四)因為要把以上所有規則都設置,會占極大時間,最好事先設置規則前備份一次,然后在設置完所有規則后再用另外一個空白軟盤備份一次,這樣會大大提高工作效率。如恢復后,覺得系統變慢,或者其他情況,請使用Windows憂化大師V5.2注冊版-系統清理維護-注冊信息清理:進入介面,選擇“掃描”,將出現的所有子鍵,“全部刪除”即可相應提升和還原系統性能和速度。
(注:如要使用“還原系統”功能進行備份,如看到有關于“系統還原”的設置規則,請忽略不動,如你
已設置前將“系統還原”以關閉,請將其設置為“打開”,即可,以免帶來不便,敬請注意。做到以上放心和安心進行設置了。
(新增與補充規則設置)
本帖子所有規則都很重要,請朋友們高度重視!以免日后帶來后患!!!!
本帖子已將重要存在的安全隱患,都一一列舉出來了,如按照本帖子一 一列舉出來的規則設置加上配合殺毒軟件和防火壁同時運用,以及及時升級各方面安全補丁,相信,你的系統安全性將會進入前所沒有的高峰!!
(一)計算機配置-管理模板-Windows組件-Internet Explorer:右邊菜單欄分別查找:“安全區域:禁止用更改策略”,“安全區域:禁止用用戶添加或刪除站點”,“禁止Internet Explorer組件的自動安裝”,“禁用定期檢查Internet Explorer軟件更新”,“禁用程序啟動時的軟件更新外殼通知”,分別設置為“已啟用”,即可。(注:有關說明請查看說明書。)
(二)用戶配置-管理模板-Windows組件-Internet Explorer:右邊菜單欄除了“對撥號連接使用自動檢測”,“禁用表單的自動完成功能”,“搜索:禁用自定義搜索”三項設置之外,全部均可設置為“已啟用,即可。(特別說明:對于“IE瀏覽器”的屬性設置最為不陌生不過了,應該對它的屬性設置會有一定知識和了解的。以上規則設置,是在你設置“IE瀏覽器”的屬性為最佳狀態時,方可按以上規則設置。當你再想把“IE瀏覽器”的屬性設置時,把以上操作還原為“未配置”即可進行設置。)
(三)用戶配置-管理模板-Windows組件-Internet Explorer-Internet 控制面板:如果右邊菜單里的所有設置分別設置為“已啟用”,那么將在“IE瀏覽器”的屬性的有關“菜單項”名稱將會消失和禁用。(注:但這個一般情況下,是沒有必要動的,不過本作者想更詳細說明一下而已。如有興趣的朋友,可進行自定義設置一下。如設置時,可分別進入“IE瀏覽器”的屬性欄,看看有什么變化,你就會知道和明白相應關聯功能的作用了。)
(四)計算機配置-管理模板-網絡-QoS數據包調度程序:右框菜單欄查找“設置定時器分辨率”,選擇“已啟用”,在下面選框“定時單位(以微秒計)”:設置為“0”,即可。(注:參數可自由設定。)(特別說明:設置完以后,看看你的電腦上網的時候,是否有加快的反應和使用應用軟件和其他方面的性能是否有所提高。)
(五)用戶配置-管理模板-系統:右框菜單欄查找“不要運行指定的windows程序”,進入屬性選擇“已啟用”,在下面選框“不允許的應用程序的列表中進入“顯示”,按“添加”鍵進行任意自定義添加應用程序,即可。(注:這種方法與下面帖子設置區別就不多說了,不過要說一下,這條沒有禁止在運動項輸入“gpedit.msc”命令,再深入了解,看看下面帖子就知道了。添加方法下面有說,請仔細查看。)
(六)用戶配置-管理模板-系統:右框菜單欄查找“只運行許可的windows程序”,雙擊進入屬性,選擇“已啟用”,在下面框選“允許的應用程序列表”點擊“顯示”,按“添加”鍵,即可自定義添加程序。(注:不知道怎么添加的朋友,在你桌面上某一個圖標,右鍵單擊,進入屬性,舉個例子,例如:C:\3dsmax5\3dsmax.exe 就把“3dsmax.exe”,最后一個后綴相應復制添加進“允許的應用程序列表”中就可以了,其他一切應用程序將不能點擊登錄,只要自己試試就明白了。)
(“特別說明”:如果萬一連同1條規則-“禁止訪問控制面板”,33條規則-“阻止訪問注冊表編輯工具”,51條規則-“關閉創建系統還原檢查點”,57條規則-“關閉系統還原”,都已經選擇“已啟用”,并且你都設置本條規則,這時你就不能夠在運動項輸入“gpedit.msc”命令,進入“組策略”進行任何設置。看起來這條規則連同我所說以上規則一起共用,那整個系統的功能就等同全部費掉了,是不是很恐怖呀!不要害怕!用“安全模式”進入登錄介面窗口后,在“運行”項里輸入“gpedit.msc”命令,把這條規則取消即可還原恢復,再進入“正常模式”,再一次在“運行”項里輸入“gpedit.msc”命令,即可進行任何設置,又把整個系統的生命力還原過來了。此方法千萬不要用來在別人家的電腦玩呀!不會恢復的朋友,真的會害得人家不知道怎么辦的。哭笑不得,只適合用來學習和研究,萬一有人在你家的電腦使用這種方法把你
電腦的功能全部禁止,就可以用此方法恢復。不然,在你沒有任何預防和備份的情況,就等著重裝系統了。黑客們也特別喜歡這樣做,通過修改注冊表,也可以實施這種效果!33條規則-“阻止訪問注冊表編輯工具”這一條就有這個好處呀!)