本地安全设置

设置本地策略
本地策略包括审核策略、用户权限分配和安全选项三项安全设置，其中，审核策略确定了是否将安全事件记录到计算机上的安全日志中；用户权利指派确定了哪些用户或组具有登录计算机的权利或特权；安全选项确定启用或禁用计算机的安全设置。
(1)审核策略
审核被启用后，系统就会在审核日志中收集审核对象所发生的一切事件，如应用程序、系统以及安全的相关信息，因此审核对于保证域的安全是非常重要的。审核策略下的各项值可分为成功、失败和不审核三种，默认是不审核，若要启用审核，可在某项上双击鼠标，就会bomb出"属性"窗口，首先选中"在模板中定义这些策略设置"，然后按需求选择"成功"或"失败"即可。
审核策略包括审核账户登录事件、审核策略更改、审核账户管理、审核登录事件、审核系统事件等，下面分别进行介绍。
①审核策略更改：主要用于确定是否对用户权限分配策略、审核策略或信任策略作出更改的每一个事件进行审核。建议设置为"成功"和"失败"；
②审核登录事件：用于确定是否审核用户登录到该计算机、从该计算机注销或建立与该计算机的网络连接的每一个实例。如果设定为审核成功，则可用来确定哪个用户成功登录到哪台计算机；如果设为审核失败，则可以用来检测入侵，但攻击者生成的庞大的登录失败日志，会造成拒绝服务(DoS)状态。建议设置为"成功"；
③审核对象访问：确定是否审核用户访问某个对象，例如文件、文件夹、注册表项、打印机等，它们都指定了自己的系统访问控制列表(SACL)的事件。建议设置为"失败"；
④审核过程跟踪：确定是否审核事件的详细跟踪信息，如程序激活、进程退出、间接对象访问等。如果你怀疑系统被攻击，可启用该项，但启用后会生成大量事件，正常情况下建议将其设置为"无审核"；
⑤审核目录服务访问：确定是否审核用户访问那些指定有自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。启用后会在域控制器的安全日志中生成大量审核项，因此仅在确实要使用所创建的信息时才应启用。建议设置为"无审核"；
⑥审核特权使用：该项用于确定是否对用户行使用户权限的每个实例进行审核，但除跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录等权限。建议设置为"不审核"；
⑦审核系统事件：用于确定当用户重新启动或关闭计算机时，或者对系统安全或安全日志有影响的事件发生时，是否予以审核。这些事件信息是非常重要的，所以建议设置为"成功"和"失败"；
⑧审核账户登录事件：该设置用于确定当用户登录到其他计算机(该计算机用于验证其他计算机中的账户)或从中注销时，是否进行审核。建议设置为"成功"和"失败"；
⑨审核账户管理：用于确定是否对计算机上的每个账户管理事件，如重命名、禁用或启用用户账户、创建、修改或删除用户账户或管理事件进行审核。建议设置为"成功"和"失败"。
(2)用户权利指派
用户权利指派主要是确定哪些用户或组被允许做哪些事情。具体设置方法是：
①双击某项策略，在bomb出"属性"窗口中，首先选中"在模板中定义这些策略设置"；
②点击"添加用户或组"按钮就会出现"选择用户或组"窗口，先点击"对象类型"选择对象的类型，再点击"位置"选择查找的位置，最后在"输入对象名称来选择"下的空白栏中输入用户或组的名称，输完后可点击"检查名称"按钮来检查名称是否正确；
③最后点击"确定"按钮即可将输入的对象添加到用户列表中。
(3)安全选项
在这里可以启用或禁用计算机的安全设置，如数据的数字签名、Administrator和Guest账户的名称、软盘驱动器和CD-ROM驱动器访问、驱动程序安装行为和登录提示等。下面介绍几个适合于一般用户使用的设置。
①防止用户安装打印机驱动程序。对于要打印到网络打印机的计算机，网络打印机的驱动程序必须安装在本地打印机上。该安全设置确定了允许哪些人安装作为添加网络打印机一部分的打印机驱动程序。使用该设置可防止未授权的用户下载和安装不可信的打印机驱动程序。
双击"设备：防止用户安装打印机驱动程序"，会bomb出属性窗口，首先选中"在模板中定义这个策略设置"项，然后将"已启用"选中，最后点击"确定"按钮。这样则只有管理员和超级用户才可以安装作为添加网络打印机一部分的打印机驱动程序；
②无提示安装未经签名的驱动程序。当试图安装未经Windows硬件质量实验室(WHQL)颁发的设备驱动程序时，系统默认会bomb出警告窗口，然后让用户选择是否安装，这样很麻烦，你可以将其设置为无提示就直接安装。
双击"设备：未签名驱动程序的安装 *** 作"项，在出现的属性窗口中，选中"在模板中定义这个策略设置"项，然后点击后面的下拉按钮，选择"默认安装"，最后点击"确定"按钮即可；
③登录时显示消息文字。指定用户登录时显示的文本消息。利用这个警告消息设置，可以警告用户不得以任何方式滥用公司信息或者警告用户其 *** 作可能会受到审核，从而更好地保护系统数据。
双击"交互式登录：用户试图登录时消息文字"，进入属性窗口，先将"在模板中定义这个策略设置"选中，然后在下面的空白输入框中输入消息文字，最多可以输入512个字符，最后点击"确定"按钮。这样，用户在登录到控制台之前就会看到这个警告消息对话框。

最直接的办法，把系统不用的端口都关闭掉，然后从新启动都要2005年的类，MS-04011的补丁还没打啊~个补丁毛重要类，危害不比比冲击波小
注：关闭的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，还有tcp
具体 *** 作如下：
默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP
135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129
端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口：
第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP
安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，d出快捷菜单，选择“创建 IP
安全策略”（如右图），于是d出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP
安全策略。
第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后d出“新规则属性”对话框，在画面上点击“添加”按钮，d出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。
第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何
IP 地址”，目标地址选“我的 IP
地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如左图），这样就添加了一个屏蔽
TCP
135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加
TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。
重复以上步骤添加TCP
1025、2745、3127、6129、3389
端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。
第四步，在“新规则属性”对话框中，选择“新 IP
筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器 *** 作”选项卡。在“筛选器 *** 作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止” *** 作（右图）：在“新筛选器 *** 作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
第五步、进入“新规则属性”对话框，点击“新筛选器 *** 作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的
IP 安全策略，然后选择“指派”。
于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。

1、服务器初始安全防护

安装服务器时，要选择绿色安全版的防护软件，以防有被入侵的可能性。对网站提供服务的服务器，软件防火墙的安全设置最高，防火墙只要开放服务器端口，其他的一律都关闭，你要访问网站时防火墙会提示您是否允许访问，在根据实际情况添加允许访问列表。这样至少给系统多一份安全。

2、修改服务器远程端口。

因为有不少不法分子经常扫描公网IP端口，如果使用默认的3389或者Linux的22端口，相对来说是不安全的，建议修改掉默认远程端口。

3、设置复杂密码。

一但服务器IP被扫描出来默认端口，非法分子就会对服务器进行暴力破解，利用第三方字典生成的密码来尝试破解服务器密码，如果您的密码足够复杂，非法分子就需要大量的时间来进行密码尝试，也许在密码未破解完成，服务器就已经进入保护模式，不允许登陆。

4、修补已知的漏洞

如果网站出现漏洞时不及时处理，网站就会出现一系列的安全隐患，这使得服务器很容易受到病毒入侵，导致网络瘫痪，所以，平时要养成良好的习惯，时刻关注是否有新的需修补的漏洞。

5、多服务器保护

一个网站可以有多个服务器，网站被攻击时，那么我们就可以选择不一样的方式进行防范，针对不同的服务器，我们应该设置不同的管理，这样即使一个服务器被攻陷，其他的服务还可以正常使用。

6、防火墙技术

现在防火墙发展已经很成熟了，防火墙可以选择安全性检验强的，检验的时间会较长，运行的过程会有很大负担。如果选择防护性低的，那么检验时间会比较短。我们在选择防护墙时，要根据网络服务器自身的特点选择合适的防火墙技术。

7、定时为数据进行备份。

定时为数据做好备份，即使服务器被破解，数据被破坏，或者系统出现故障崩溃，你只需要进行重装系统，还原数据即可，不用担心数据彻底丢失或损坏。

做好网站服务器的安全维护是一项非常重要的工作，只有做好了服务器安全工作，才能保证网站可以稳定运营。要想做好网站服务器安全维护，还要学习更多的维护技巧。

1点击 “开始菜单/设置/控制面板/管理工具”,双击打开”本地策月”,选中”ip安全策月,在本地计算机”右边的空白位置右击鼠标,谈出快捷菜单,选择”创建ip安全策月”,d出向导在向导中点击下一步 下一步,当显示”安全通信请求”画面时,把”激活默认相应规则”左边的钩去掉,点”完成”就创建了一个新的ip安全策月
2右击该ip安全策月,在”属性”对话框中，把”使用添加向导”左边的钩去掉,然后再点击右边的”添加”按纽添加新的规则,随后d出”新规则属性”对话框,在画面上点击”添加”按纽,d出ip筛选器列表窗口在列表中,首先把”使用添加向导”左边的钩去掉,然后再点击右边的”添加”按纽添加新的筛选器
3进入”筛选器属性’对话框,首先看到的是寻地址,源地址选”一个特定的IP地址”,目标地址选”我的ip地址”,在特定的IP地址那填上你要阻止的IP地址，点击确定
4在”新规则属性”对话框中,选择”新ip筛选器列表’然后点击其左边的复选框,表示已经激活最后点击”筛选器 *** 作”选项卡中,把”使用添加向导”左边的钩去掉,点击”添加”按钮,进行”阻止” *** 作,在”新筛选器 *** 作属性”的”安全措施”选项卡中,选择”阻止”,然后点击”确定”
5进入”新规则属性”对话框,点击”新筛选器 *** 作”,选取左边的复选框,表示已经激活,点击”关闭”按钮,关闭对话框最后”新ip安全策略属性”对话框,在”新的ip筛选器列表”左边打钩,按确定关闭对话框在”本地安全策略”窗口,用鼠标右击新添加的ip安全策略,然后选择”指派”

现在的服务器防护软件都有对服务器进行安全设置以及优化，只要安装后进行体检，然后选择优化，就可以一步到位的实现安全设置。在这里推荐360主机卫士和服务器安全狗，选择一款进行安装，不建议两款同时安装，因为同一层面的防护软件会有冲突。另外友情提醒：安全策略不管是自己设置还是由服务器防护软件设置，都没有一劳永逸的办法，必须时时刻刻的监护，安全无小事。

---