使用Windows的人非常多，而Windows系統的安全問題也越來越被人們關注。雖然Windows的漏洞眾多，安全隱患也很多，不過經過適當的設置和調整，你還是可以用上相對安全的Windows的。本文就為你詳細講述了Windows的安全調整，希望對你有用。

這篇文章將針對一些常見的安全問題給你一些解決方法，其中大部分的操作都是針對Windows 2000/XP的，不保證在Windows 98/Me上可行。

準備活動

給系統安裝補丁程序的重要性是不言而喻的，尤其是一些重要的安全補丁和針對IE，OE漏洞的補丁(即使你并不打算使用它們)。微軟會經常的發布一些已知漏洞的修補程序，這些東西一般都可以通過Windows Update來安裝。你需要做的只是經常性的訪問Windows Update網站 。或者直接點擊開始菜單中Windows Update的快捷方式。而Windows XP和最新的Windows 2000更加進步了，可以自動檢查更新，在后臺下載，完成后通知你下載完成并詢問是否開始安裝。對于Windows 2000/XP的用戶，微軟還提供了一個檢查安全性的實用工具：基準安全分析器(Microsoft Baseline Security Analyzer)，這個程序可以自動對你的系統進行安全性檢測，并且對于出現的問題，都可以提供一個完整的解決方案。非常適合對于安全性要求高的用戶使用。你可以在這里詳細了解和下載這個工具。

在你安裝了所有的補丁程序后，下面開始我們的調整設置。

重命名和禁用默認的帳戶

安裝好Windows后，系統會自動建立兩個賬戶：Administrator和Guest，其中Administrator擁有最高的權限，Guest則只有基本的權限并且默認是禁用的。而這種默認的帳戶在給你帶來方便的同時也嚴重危害到了你的系統安全。如果有黑客入侵或者其他什么問題，他將輕易的得知你的超級用戶的名稱，剩下的就是尋找密碼了。因此，安全的做法是把Administrator賬戶的名稱改掉，然后再建立一個幾乎沒有任何權限的假Administrator賬戶。具體的方法是：

在運行中輸入secpol.msc然后回車，打開“Local Security Settings(本地安全設置)”對話框，依次展開Local Policies(本地策略)-Security Options(安全選項)，在右側窗口有一個“Accounts: Rename administrator (guest) account(賬戶：重命名Administrator/Guest賬戶)”的策略，雙擊打開后可以給Administrator重新設置一個不是很引人注目的用戶名。然后還可以再新建一個名稱為Administrator的受限制用戶，以迷惑闖入者。

安全選項的設置

同樣是在Local Security Settings中，展開Local Policies-Security Options，這里還有很多其它的設置，經過合理的配置，可以使你的系統更加安全。一下列舉的選項最好全部禁止：

 

Interactive logon: Do not require CTRL+ALT+DEL，交互式登錄：不需要按Ctrl+Alt+Del。

Network access: Allow anonymous SID/name translation，網絡訪問：允許匿名SID/名稱轉換。

Network access: Let Everyone permissions apply to anonymous users，網絡訪問：讓Everyone權限應用到匿名用戶。

Recovery console: Allow automatic administrative logon，故障恢復控制臺：允許自動系統管理級登錄。

 

而以下的選項最好啟用：

 

Devices: Restrict CD-ROM access to locally logged-on user only,設備：只有本地登錄的用戶才能訪問CD-ROM。

 

Devices: Restrict floppy access to locally logged-on user only，設備：只有本地登錄的用戶才能訪問軟驅。

 

Interactive logon: Do not display last user name，交互式登錄：不顯示上一次使用的用戶名。

Network access: Do not allow anonymous enumeration of SAM accounts，網絡訪問：不允許匿名SAM帳戶的匿名枚舉。

Network access: Do not allow anonymous enumeration of SAM accounts & shares，網絡訪問：不允許SAM賬戶和共享的匿名枚舉。

Network security: Do not store LAN Manager hash value on next password change，網絡安全：不要在下次更改密碼時存儲LAN Manager的Hash值。

System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ，系統對象：增強內部系統對象的默認權限(例如Symbolic Links)。

可靠的密碼

盡管絕對安全的密碼時不存在的，但是相對安全的密碼還是可以實現的。這個還是需要運行secpol.msc來配置Local Security Settings。展開到Account Policies-Password Policy，經過這里的配置，你就可以建立一個完備密碼策略，并且你的密碼也可以得到最大限度的保護。

Enforce password history(強制密碼歷史)。這個設置決定了保存用戶曾經用過的密碼的個數。很多人知道要經常性的更換自己的密碼，可是換來換去就是有限的幾個在輪換，配置這個策略就可以知道用戶更換的密碼是否是以前曾經使用過的。如果再配合Maximum password age這個策略，就能保證密碼安全了。默認情況下，這個策略不保存用戶的密碼，你可以自己設置，建議保存5個以上，而最多可以保存24個。

Maximum password age(密碼最長存留期)。這個策略決定了一個密碼可以使用多久，之后就會過期，并要求用戶更換密碼。如果設置為0，則密碼永不過期。一般情況下設置為30到60天左右就可以了，具體的過期時間要看你的系統對安全的要求有多嚴格。而最長可以設置999天。

Minimum password age(密碼最短存留期)。這個策略決定了一個密碼要在使用了多久之后才能再次被使用。跟上面講到的Enforce password history結合起來就可以得知新的密碼是否是以前使用過的，如果是，則不能繼續使用這個密碼。如果設置為0則表示一個密碼可以被無限制的重復使用，而最大值為999。

Minimum password length(密碼長度最小值)。這個策略決定了一個密碼的長度，有效值在0到14之間。如果設置為0，則表示不需要密碼。建議的密碼長度不能小于6位。

Password must meet complexity requirements(密碼必須符合復雜性要求)。如果啟用了這個策略，則在設置和更改一個密碼的時候，系統將會按照下面的規則檢查密碼是否有效：密碼不能包含全部或者部分的用戶名。

最少包括6個字符。

并且在字符的使用上還要遵循以下的規則，密碼必須是：

英文字母，A-Z，大小寫敏感。

基本的10個數字，0-9。

不能包含特殊字符，例如!,$,#,%等等。

如果啟用了這個策略，相信你的密碼就會比較安全了。

Store password using reversible encryption for all users in the domain(為域中的所有用戶使用可還原的加密來存儲密碼)。很明顯，這個策略最好不要啟用。 #p#副標題#e#

安全使用Internet Explorer

Internet Explorer是當今最流行的瀏覽器軟件。因為使用的人多，因此IE被發現的安全性問題也就最多，不過沒關系，看過本節，你完全可以使你的IE更加安全。需要注意的是，以下的敘述全部以IE 6.0版為準，如果你使用了較低的版本，有些細節方面可能會不一樣。

打開Internet Explorer，依次點擊工具-Internet選項，然后打開安全選項卡。

在安全選項卡中選擇“Internet”，就可以針對Internet區域的一些安全選項進行設置。雖然有不同級別的默認設置，不過我們最好根據自己的實際情況親自調整一下。點擊下方的Custom Level(自定義級別)。會出現圖三的窗口，這里顯示了所有的IE安全設置。

Download signed ActiveX controls(下載已簽名的ActiveX控件)。經過第三方的認證機構簽名證明該ActiveX控件是安全的，并且你可以設置為允許下載這種控件，除非你不想安裝任何ActiveX控件，或者你想自己從一些網站下載，例如Windows Update，還有播放Flash的插件等。

Download unsigned ActiveX controls(下載未簽名的ActiveX控件)。跟經過簽名認證的ActiveX控件相比，未經簽名認證的可能會包含潛在的安全隱患因此這個選項你最好不要設置為啟用，或禁用，或者設置為詢問，這樣你可以根據正在訪問的站點的性質自己決定是否下載安裝未經認證的控件。

Initialize & script ActiveX controls not marked as safe(對沒有標記為安全的ActiveX控件進行初始化和腳本運行)。跟前面的設置類似的，如果你之前都設置為禁用，那么這個選項同樣禁用就可以，否則可以設置為詢問(建議的設置)或者允許(不建議)來禁止那些為經簽名的控件運行。

Run ActiveX controls & plug-ins(運行ActiveX控件和插件)。假設你已經禁止了所有ActiveX控件和插件的運行，那么這個選項就可以放心的設置為管理員認可。這里不建議設置為允許。

Script ActiveX controls marked safe for scripting(對標記為可安全執行腳本的ActiveX控件執行腳本)。這個設置可以設置的跟前面的選項相同。

Active scripting(活動腳本)。現在各種的腳本程序非常流行，通過腳本程序可以建立很多實用的網頁，例如Windows Update網頁，就是通過腳本程序來判斷你需要下載的補丁的。因此如果禁用掉腳本程序，一些網頁將不能正常瀏覽。這里建議你設置為禁用，至于少數重要的但是不能正常瀏覽的網頁，我們將在后面看到解決辦法。

Allow paste operations via script(允許通過腳本進行粘貼操作)。這個選項允許網頁通過腳本把文件復制進你的剪貼板，為了安全考慮最好禁用。

Scripting of Java applets(JAVA小程序腳本)。javascript是一種公開的，多平臺，面向對象的腳本語言。很多網頁中都使用了JAVA腳本，但是安全起見最好禁用它。

如果以上的設置會影響到少數你必須要訪問的站點(例如Windows Update網站)，但是安全起見你又不想把Internet區域的安全級別設置的太低，那么你可以把一些你信任的站點添加到Trusted sites(信任站點)中去。方法是：

在Internet選項的安全選項卡下，點擊Trusted sites(信任站點)，然后點擊Sites(站點)按鈕，會出現圖四的窗口，在新窗口中輸入我們希望添加的網絡地址(例如https://windowsupdate.microsoft.com)然后點擊右側的Add(添加)，這樣就可以了。

現在，打開Internet選項中的Content(內容)選項卡，點擊AutoComplete(自動完成)，在這里也有一些東西需要調整。

對于所列出來的每一項，自動完成功能都會保存特定的內容，其中Web address(Web地址)會保存你在IE地址欄中輸入過的內容; Forms(表單)會保存你在網頁中填寫的資料，例如論壇上的發言(除用戶名和密碼)，搜索引擎中使用過的關鍵字;User names and passwords on forms(表單上的用戶名和密碼)會保存你登陸論壇或其它網頁時輸入的用戶名和密碼。自動完成可以幫助你節省很多時間，但是同時也帶來了很大的安全隱患。一旦有人使用你的賬號登陸，你登陸網站的用戶名和密碼等資料就有可能全部被別人看到。因此你可以根據你的電腦的使用情況適當的調整，決定哪些內容可以自動保存，哪些不行。

現在我們轉到Internet選項的高級選項卡。這里有一下幾點需要注意：

Use Passive FTP (for firewall & DSL modem compatibility)(使用被動FTP，為防火墻和DSL調制解調器兼容性)，這個設置將會允許在使用IE瀏覽FTP服務器時使用被動模式 ,這種模式更加安全，因為服務器方無法獲得你的IP地址，如果某些FTP服務器你不能正常訪問，就可以試試啟用或者禁用這個設置。

Check for publisher’s certificate revocation(檢查發行商的證書吊銷)，如果選擇了這個選項，當你訪問某些需要認證的站點時，IE會首先檢查給站點提供的證書是否依然有效。一般情況下，建議你啟用這個設置。

Check for server certificate revocation(檢查服務器的證書吊銷)，這個選項將會使IE檢查站點服務器的證書是否仍然有效，一般也應該啟用這個設置。

Check for signatures on downloaded programs(檢查下載的程序的簽名)，如果啟用了這個設置，在你下載了程序后IE會通過簽名自動檢查程序是否被非法改動過。一般應當啟用這個設置。

Do not save encrypted page to disk(不將加密的頁面存入硬盤)，啟用了這個選項后，對于加密頁面(主要是URL以https打頭的)將不會保存到Internet臨時文件夾中。如果多人共用同一臺電腦，這個選項是很有必要的，這樣別人就無法通過Internet臨時文件窺探到你訪問過的加密網頁了(例如某些電子商務網站的信用卡付費頁面)。

接下來的三個設置：Use SSL 2.0, Use SSL 3.0 & Use TLS 1.0( 使用SSL 2.0, 使用SSL 3.0和使用 TLS 1.0)都跟在Internet上通過協議加密數據有關。例如一些網站的身分認證和重要數據的傳輸，在這過程中都會使用到SSL加密。因此最佳建議是這三個選項全部啟用。但是如果啟用后你訪問某些加密站點時出現錯誤，那么可以禁用除SSL 2.0之外的其它兩個協議，因為不同版本之間可能會有沖突，而SSL 2.0是被采用的最廣泛的，一般的加密站點都會支持。

Warn about invalid site certificates(對無效站點證書發出警告)，啟用這個設置之后，在遇到無效的站點證書時IE就會發出警告，提醒你注意。一般情況下可以啟用這個。

Warn about changing between secure & not secure mode(在安全和非安全模式之間轉換時發出警告)，當啟用這個設置之后，如果你要從一個安全的網頁(可能是經過SSL加密的)進入到一個不安全的網頁的時候，IE會發出警告提醒你，以避免你在不知情的情況下泄漏一些私人的信息。

Warn if forms submittal is being redirected(重定向提交的表單時發出警告)，啟用這個設置后，你在某些論壇或類似的地方提交的一些信息如果被發送到了其它的服務器上，IE就會發出警報提醒你。所以安全起見這個也應當啟用。　安全使用Outlook Express

Outlook Express是Windows自帶的一個電子郵件程序，通過OE不僅可以收發電子郵件，還可以瀏覽新聞組，十分方便。不過很多人并不喜歡這個程序，還想千方百計的把它從自己的系統中卸載掉，主要是因為使用OE容易傳染病毒。菜刀也容易傷人呢，但是每個家庭都得有個菜刀吧，所以，與其考慮怎么卸載OE還不如考慮一下怎么設置才能讓OE更安全。本節全部以OE 6為主，如果你使用得是較低的版本，某些細節方面可能會不同。

OE的主要設置都可以在工具-選項下看到，在這里我們主要關注的是安全選項卡。 #p#副標題#e#

Select the Internet Explorer security zone to use(選擇要使用的Internet Explorer安全區域)，這個設置可以讓你決定把電子郵件(尤其是使用HTML語言的電子郵件)當作什么安全區域對待(也就是我們在Internet Explorer的Internet選項中設置的不同安全級別的區域).把它設置為Restricted sites zone(受限制的區域)是比較明智和安全的做法。這樣，如果你收到的HTML郵件中含有一些有害的代碼就不會危害到你的系統了。

Warn me when other applications try to send mail as me(當其他程序以我的名義發送電子郵件時提醒我)，這也是一個很有效的安全策略，曾經有很多病毒都是通過OE的地址簿中的聯系人地址來發送含病毒的右鍵來擴散的，而啟用這個設置就可以有效的解決這個問題。一旦有其他程序通過OE發送電子郵件，OE會首先詢問你是否發送，對于那些可疑的右鍵，只要取消發送就可以了。

Do not allow attachments to be saved or opened that could potentially be a virus(不允許可能包含病毒的附件被保存或者被打開)，當啟用這個設置后，電子郵件中某些格式的附件就不能被保存和打開了，這時如果你收到了含有附件的右鍵，保存和打開附件的選項將為不可用，進一步增強了安全性。

加固你的Internet連接

默認情況下，為了建立網絡連接，Windows會安裝很多協議和運行很多服務其中一些協議和服務都不是必須的，例如NetBIOS、文件和打印機共享等，而“最小的服務+最小的權限=最大的安全”這個等式是永遠成立的，因此我們有必要關掉不需要的服務，卸載不需要的協議，來增強我們的系統安全。

對于Windows 9x/Me的系統

1.在控制面板中雙擊網絡圖標

2.選擇Microsoft網絡客戶端，然后點擊卸載

3.禁用文件和打印機共享，如果你確實需要共享，可以給它們設置一個密碼

4.選擇TCP/IP，然后點擊屬性按鈕，打開NetBIOS選項卡，取消對“我要在TCP/IP上使用NetBIOS的選擇。然后選擇DNS設置選項卡，并選擇禁用DNS(如果你確實不需要的話)。在WINS設置選項卡下，選中禁用WINS解析

5.確定，然后重啟動電腦

對于Windows 2000/XP的系統

1.打開控制面板中的網絡連接，右鍵點擊Internet連接，選擇屬性

2.如果你不需要共享文件和打印機，那么選中并卸載(可以不卸載，但是至少不要再使用)Windows網絡的文件和打印機共享

3.雙擊Internet 協議 (TCP/IP)，然后點擊高級按鈕

4.打開WINS選項卡，取消對啟用LMHOSTS查詢的選擇，然后選擇禁用TCP/IP上的NetBIOS

5.在運行中輸入Services.msc然后回車

6.找到TCP/IP NetBIOS Helper這個服務，把這個服務停止掉，并且設置啟動類型為手動或者禁止

7. 重啟動電腦

防火墻和殺毒軟件

不管你做了怎樣的設置，只要你連接在Internet上，防火墻都是必要的。防火墻可以完全保護你的系統，把網絡上有害的東西擋在門外。推薦你使用的防火墻主要有兩種，一是Symantec公司的Norton Internet Security，這個軟件不僅包含網絡防火墻，還包含Norton Antivirus，一個著名的殺毒軟件。Norton Internet Security的功能非常強大，不僅可以防病毒，防黑客，還可以幫助你過濾瀏覽網頁時看到的廣告，過濾收到的電子郵件，過濾網絡中的一些色情和其它非法內容。不過Norton Internet Security對系統的要求比較高老的電腦運行起來可能會慢一些。這樣的話你可以試試Zone Alarm或者國產的天網，他們對系統的要求都不錯，功能也夠強大，還有一點，他們兩者都可以從互聯網上免費下載到。

對于使用Windows XP的用戶也可以用系統自帶的防火墻，雖然沒有那么多花哨的功能，不過最基本的防護還是可以勝任的。啟用的方法是：打開控制面板-網絡和Internet連接，雙擊網絡連接打開屬性對話框，在高級選項卡下，選中在我的電腦上使用Internet連接防火墻，之后還可以點擊設置進行更進一步的配置。

總結

經過以上的設置，你的系統安全應該提高不少了，不過需要注意的是，不管在系統和軟件上做怎樣的防護，正確的使用習慣才是最重要的，因此從現在就開始養成良好的使用習慣的，否則在怎么防護也是白搭。希望你能有一個安全的系統!