一個安全穩(wěn)定的系統(tǒng)，對于每個人來說都是至關(guān)重要的。怎么才能擁有這樣一個系統(tǒng)呢？下面教大家親手來打造自己的安全系統(tǒng)。

系統(tǒng)安全定制

1．盡量安裝英文版的操作系統(tǒng)

如果只是為了提高操作系統(tǒng)的安全性，筆者強烈推薦大家安裝英文原版Windows，因為當(dāng)一個新漏洞被發(fā)現(xiàn)后，通常是英文版的漏洞補丁先行，其他語言版本的補丁要滯后一段時間。這段時間也許就能決定系統(tǒng)的“生”或“死”。

2．不安裝無用的組件

Windows系統(tǒng)在安裝時，會提示我們選擇安裝的組件。一般來說，那些一時用不到的組件，盡量不要安裝。比如對于那些既不打算架設(shè)個人站點，又不太可能用本地計算機調(diào)試ASP等腳本的普通用戶來說，完全沒有必要安裝Windows 2000/XP的Internet信息服務(wù)（IIS），自然也就可以避免諸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通過IIS來進行的外部攻擊。

3．選擇安全的文件格式

對于Windows 2000/XP的用戶而言，NTFS文件格式是最佳選擇。因為無論是從文件檢索速度、系統(tǒng)資源權(quán)限控制上來看，NTFS都明顯要優(yōu)于FAT系統(tǒng)。我們可以在采用了NTFS格式的磁盤分區(qū)上單擊鼠標(biāo)右鍵，從彈出的菜單中選擇“屬性”，就會看到NTFS格式下的磁盤屬性中多了“配額”和“安全”兩個選項卡，用戶通過這兩個選項卡可以詳細地設(shè)置系統(tǒng)中每個用戶對該邏輯盤的訪問權(quán)限！

4．定制系統(tǒng)服務(wù)

Windows 2000/XP系統(tǒng)正常啟動后，會為用戶提供很多服務(wù)，但絕大多數(shù)用戶并不需要所有的服務(wù)。顯然，多余的服務(wù)只能增加系統(tǒng)負荷和不穩(wěn)定性。我們可以在桌面上用鼠標(biāo)右鍵單擊 “我的電腦→管理”，然后在打開的界面左側(cè)窗口中選擇“服務(wù)和應(yīng)用程序→服務(wù)”，我們可以在這里關(guān)掉那些不必要的服務(wù)，以提高系統(tǒng)穩(wěn)定性、安全性并加快系統(tǒng)運行速度。需要特別說明的是，Remote Registry Service、Telnet等幾個高風(fēng)險的服務(wù)是一定要停止的：用鼠標(biāo)雙擊相應(yīng)項目，然后在打開的窗口中將它們設(shè)置為“手動”或“禁止”即可。

5．定制默認賬號

我們說過，凡是默認的，都是不安全的，至少系統(tǒng)賬號是這樣的，先不說現(xiàn)在大多數(shù)朋友使用的密碼都簡單得可憐，使用空密碼的用戶也不在少數(shù)。重要的是在已知用戶名的情況下，從理論上講密碼很難逃脫被暴力解除的厄運。

在桌面上用鼠標(biāo)右鍵單擊 “我的電腦→管理”，然后在打開的界面左側(cè)窗口中選擇“系統(tǒng)工具→本地用戶和組”。然后為“用戶”或“組”下面的“Administrators”賬號更名。對于那些系統(tǒng)自帶的、我們不使用的用戶，最好也設(shè)置密碼，避免被惡意程序或者攻擊者利用。

6．定制安全日志和審核策略

在一場災(zāi)難到來之前，我們可以為避免災(zāi)難做大量的準備，但是卻絕對不能不去考慮如果災(zāi)難真的降臨，我們該怎么辦？對于系統(tǒng)加固來說，我們同樣要做好完全準備，日志和審核策略就是專門針對這個工作的。注意，操作系統(tǒng)在默認情況下不會打開任何安全審核！

單擊“開始→運行”，鍵入“Gpedit.msc”后按下回車鍵，在打開的組策略窗口中依次展開“計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→審核策略”，然后雙擊右側(cè)窗口中的“賬戶管理”，打開如圖1所示的窗口，將“成功”、“失敗”前的復(fù)選框全部選中，再“確定”退出。用同樣的方法將 “登錄事件”、“策略更改”、“系統(tǒng)事件”、“賬戶登錄事件”均設(shè)置為“成功”、“失敗”，將“對象訪問”、“特權(quán)使用”、“目錄服務(wù)訪問”設(shè)置為“失敗”即可。

接下來在“賬戶策略→密碼策略”中，將“密碼復(fù)雜性要求”設(shè)置為“啟用”；將“密碼長度最小值”設(shè)置為“6位”；將“強制密碼歷史”設(shè)置為“5次”，將“最長存留期”設(shè)置為“30天”。

在“賬戶策略→賬戶鎖定策略”中，將“賬戶鎖定”設(shè)置為“3次錯誤登錄”；將“鎖定時間”設(shè)置為“20分鐘”；將“復(fù)位鎖定計數(shù)”設(shè)置為“20分鐘”

系統(tǒng)安全三劍客

1．用WSU提升系統(tǒng)權(quán)限

在默認情況下，Windows 2000及以上的操作系統(tǒng)不允許我們刪除系統(tǒng)默認賬號。但實際上，如果用戶取得了System權(quán)限，就能刪除這些擁有Administrator權(quán)限所不能刪除的系統(tǒng)默認賬號了！

先去 http://www.binglesite.net 下載WSU這個小工具，該軟件適用于 Windows NT4/2000/XP/2003，它是一個能以其他用戶身份或進程身份創(chuàng)建新的進程的小程序，你可以用其他用戶身份創(chuàng)建新的進程，而不論你是否知道該用戶密碼，也不需要該用戶當(dāng)前有程序在運行。當(dāng)然，前提是你必須以系統(tǒng)管理員身份登錄。

安裝并下載軟件后，在控制臺（DOS模式）下輸入“WSU REGEDIT”，然后在打開的注冊表編輯器中找到“GUEST”鍵，將它刪除即可！

同理，我們可以用這個方法對系統(tǒng)內(nèi)置的其他用戶進行操作。來完成我們的靈活定制系統(tǒng)的初衷。

2．為“視窗”加個窗簾

在使用WSU調(diào)整過系統(tǒng)默認賬號后，我們有效地防止了來自系統(tǒng)以外的解除方式為主的攻擊、破壞，有力地加強了系統(tǒng)的穩(wěn)定性。不過，由于操作系統(tǒng)本身設(shè)計的原因，我們?nèi)匀恍枰褂肐nternet防火墻來保證系統(tǒng)安全。

3．及時發(fā)現(xiàn)操作系統(tǒng)漏洞

在我們完成前面的種種設(shè)置后，最好還是自己來動手進行一次安全評估。從http://www.ttian.net下載Retina Network Security Scanner后，程序會要求大家立即升級程序的漏洞庫。漏洞庫升級完畢后，我們可以在程序主界面左上角找到地址欄，輸入本機的IP地址（或者是需要檢測的IP地址后）后回車，即可開始掃描。看到界面右側(cè)的情況分析了嗎？這里很詳細地給出了系統(tǒng)所存在的各種安全隱患，用鼠標(biāo)單擊任何一個條目，程序都會自動出現(xiàn)最佳加固策略供用戶參考。

成敗皆在一念間

其實整個系統(tǒng)加固過程看起來并不復(fù)雜，但筆者不得不提醒大家的是，系統(tǒng)安全或不安全，穩(wěn)固或不穩(wěn)固，全在乎操作者的心態(tài)，可以說“成敗皆在一念間”：你重視它，時時關(guān)注它，對新出現(xiàn)的一些問題及時尋找相應(yīng)的解決辦法，你的系統(tǒng)安全性自然會大大提高。

比如對于操作系統(tǒng)，我們應(yīng)該定時在“控制面板”中運行“Windows Update”及時升級?；蚴歉纱鄬ⅰ跋到y(tǒng)屬性”下“自動更新”選項卡將相關(guān)選項前的復(fù)選框選中，讓系統(tǒng)自動進行升級。

此外，及時升級殺毒軟件，保持殺毒軟件病毒庫始終是最新的，無疑會對系統(tǒng)安全起到最好的保護