Windows操作系統常見安全問題解決方法Networksecurity:DonotstoreLANManagerhashvalueonnextpasswordchange，網絡安全：不要在下次更改密碼時存儲LANManager的Hash值。Systemobjects:Strengthendefaultpermissionsofinternalsystemobjects（e.g.,SymbolicLinks），系統對象：增強內部系統對象的默認權限（例如SymbolicLinks）。可靠的密碼盡管絕對安全的密碼時不存在的，但是相對安全的密碼還是可以實現的。這個還是需要運行secpol.msc來配置LocalSecuritySettings。展開至UAccountPolicies-PasswordPolicy，經過這里的配置，你就可以建立一個完備密碼策略，并且你的密碼也可以得到最大限度的保護。Enforcepasswordhistory（強制密碼歷史）。這個設置決定了保存用戶曾經用過的密碼的個數。很多人知道要經常性的更換自己的密碼，可是換來換去就是有限的幾個在輪換，配置這個策略就可以知道用戶更換的密碼是否是以前曾經使用過的。如果再配合Maximumpasswordage這個策略，就能保證密碼安全了。默認情況下，這個策略不保存用戶的密碼，你可以自己設置，建議保存5個以上，而最多可以保存24個。Maximumpasswordage（密碼最長存留期）。這個策略決定了一個密碼可以使用多久，之后就會過期，并要求用戶更換密碼。如果設置為0，則密碼永不過期。一般情況下設置為30到60天左右就可以了，具體的過期時間要看你的系統對安全的要求有多嚴格。而最長可以設置999天。Minimumpasswordage（密碼最短存留期）。這個策略決定了一個密碼要在使用了多久之后才能再次被使用。跟上面講到的Enforcepasswordhistory結合起來就可以得知新的密碼是否是以前使用過的，如果是，則不能繼續使用這個密碼。如果設置為0則表示一個密碼可以被無限制的重復使用，而最大值為999。Minimumpasswordlength（密碼長度最小值）。這個策略決定了一個密碼的長度，有效值在0至14之間。如果設置為0，則表示不需要密碼。建議的密碼長度不能小于6位。Passwordmustmeetcomplexityrequirements（密碼必須符合復雜性要求）。如果啟用了這個策略，則在設置和更改一個密碼的時候，系統將會按照下面的規則檢查密碼是否有效：密碼不能包含全部或者部分的用戶名。最少包括6個字符。并且在字符的使用上還要遵循以下的規則，密碼必須是：英文字母，A-Z，大小寫敏感。基本的10個數字，0-9。不能包含特殊字符，例如!,$,#,%等等。如果啟用了這個策略，相信你的密碼就會比較安全了。Storepasswordusingreversibleencryptionforallusersinthedomain（為域中的所有用戶使用可還原的加密來存儲密碼）。很明顯，這個策略最好不要啟用。安全使用InternetExplorerInternetExplorer是當今最流行的瀏覽器軟件。因為使用的人多，因此IE被發現的安全性問題也就最多，不過沒關系，看過本節，你完全可以使你的IE更加安全。需要注意的是，以下的敘述全部以IE6.0版為準，如果你使用了較低的版本，有些細節方面可能會不一樣。打開InternetExplorer，依次點擊工具-Internet選項，然后打開安全選項卡。在安全選項卡中選擇“Internet就可以針對Internet區域的一些安全選項進行設置。雖然有不同級別的默認設置，不過我們最好根據自己的實際情況親自調整一下。點擊下方的CustomLevel（自定義級別）。會出現圖三的窗口，這里顯示了所有的IE安全設置。DownloadsignedActiveXcontrols（下載已簽名的ActiveX控件）。經過第三方的認證機構簽名證明該ActiveX控件是安全的，并且你可以設置為允許下載這種控件，除非你不想安裝任何ActiveX控件，或者你想自己從一些網站下載，例如WindowsUpdate，還有播放Flash的插件等。DownloadunsignedActiveXcontrols（下載未簽名的ActiveX控件）。跟經過簽名認證的ActiveX控件相比，未經簽名認證的可能會包含潛在的安全隱患因此這個選項你最好不要設置為啟用，或禁用，或者設置為詢問，這樣你可以根據正在訪問的站點的性質自己決定是否下載安裝未經認證的控件。Initialize&scriptActiveXcontrolsnotmarkedassafe（對沒有標記為安全的ActiveX控件進行初始化和腳本運行）。跟前面的設置類似的，如果你之前都設置為禁用，那么這個選項同樣禁用就可以，否則可以設置為詢問（建議的設置）或者允許（不建議）來禁止那些為經簽名的控件運行。RunActiveXcontrols&plug-ins（運行ActiveX控件和插件）。假設你已經禁止了所有ActiveX控件和插件的運行，那么這個選項就可以放心的設置為管理員認可。這里不建議設置為允許。ScriptActiveXcontrolsmarkedsafeforscripting（對標記為可安全執行腳本的ActiveX控件執行腳本）。這個設置可以設置的跟前面的選項相同。Activescripting（活動腳本）。現在各種的腳本程序非常流行，通過腳本程序可以建立很多實用的網頁，例如WindowsUpdate網頁，就是通過腳本程序來判斷你需要下載的補丁的。因此如果禁用掉腳本程序，一些網頁將不能正常瀏覽。這里建議你設置為禁用，至于少數重要的但是不能正常瀏覽的網頁，我們將在后面看到解決辦法。Allowpasteoperationsviascript（允許通過腳本進行粘貼操作）。這個選項允許網頁通過腳本把文件復制進你的剪貼板，為了安全考慮最好禁用。ScriptingofJavaapplets（JAVA小程序腳本"javascript是一種公開的，多平臺，面向對象的腳本語言。很多網頁中都使用了JAVA腳本，但是安全起見最好禁用它。如果以上的設置會影響到少數你必須要訪問的站點（例如WindowsUpdate網站），但是安全起見你又不想把Internet區域的安全級別設置的太低，那么你可以把一些你信任的站點添加到Trustedsites（信任站點）中去。方法是：在Internet選項的安全選項卡下，點擊Trustedsites（信任站點），然后點擊Sites（站點）按鈕，會出現圖四的窗口，在新窗口中輸入我們希望添加的網絡地址（例如）然后點擊右側的Add（添加），這樣就可以了。現在，打開Internet選項中的Content（內容）選項卡，點擊AutoComplete（自動完成），在這里也有一些東西需要調整。對于所列出來的每一項，自動完成功能都會保存特定的內容，其中Webaddress（Web地址）會保存你在IE地址欄中輸入過的內容；Forms（表單）會保存你在網頁中填寫的資料，例如論壇上的發言（除用戶名和密碼），搜索引擎中使用過的關鍵字;Usernamesandpasswordsonforms（表單上的用戶名和密碼）會保存你登陸論壇或其它網頁時輸入的用戶名和密碼。自動完成可以幫助你節省很多時間，但是同時也帶來了很大的安全隱患。一旦有人使用你的賬號登陸，你登陸網站的用戶名和密碼等資料就有可能全部被別人看到。因此你可以根據你的電腦的使用情況適當的調整，決定哪些內容可以自動保存，哪些不行。現在我們轉到Internet選項的高級選項卡。這里有一下幾點需要注意：UsePassiveFTP（forfirewall&DSLmodemcompatibility）（使用被動FTP，為防火墻和DSL調制解調器兼容性），這個設置將會允許在使用IE瀏覽FTP服務器時使用被動模式，這種模式更加安全，因為服務器方無法獲得你的IP地址，如果某些FTP服務器你不能正常訪問，就可以試試啟用或者禁用這個設置。Checkforpublisher’scertificaterevocation（檢查發行商的證書吊銷），如果選擇了這個選項，當你訪問某些需要認證的站點時，IE會首先檢查給站點提供的證書是否依然有效。一般情況下，建議你啟用這個設置。Checkforservercertificaterevocation（檢查服務器的證書吊銷），這個選項將會使IE檢查站點服務器的證書是否仍然有效，一般也應該啟用這個設置。Checkforsignaturesondownloadedprograms（檢查下載的程序的簽名），如果啟用了這個設置，在你下載了程序后IE會通過簽名自動檢查程序是否被非法改動過。一般應當啟用這個設置。Donotsaveencryptedpagetodisk（不將加密的頁面存入硬盤），啟用了這個選項后，對于加密頁面（主要是URL以https打頭的）將不會保存到Internet臨時文件夾中。如果多人共用同一臺電腦，這個選項是很有必要的，這樣別人就無法通過Internet臨時文件窺探到你訪問過的加密網頁了（例如某些電子商務網站的信用卡付費頁面）。接下來的三個設置：UseSSL2.0,UseSSL3.0&UseTLS1.0（使用SSL2.0,使用SSL3.0和使用TLS1.0）都跟在Internet上通過協議加密數據有關。例如一些網站的身分認證和重要數據的傳輸，在這過程中都會使用到SSL加密。因此最佳建議是這三個選項全部啟用。但是如果啟用后你訪問某些加密站點時出現錯誤，那么可以禁用除SSL2.0之外的其它兩個協議，因為不同版本之間可能會有沖突，而SSL2.0是被采用的最廣泛的，一般的加密站點都會支持。Warnaboutinvalidsitecertificates對無效站點證書發出警告），啟用這個設置之后，在遇到無效的站點證書時IE就會發出警告，提醒你注意。一般情況下可以啟用這個。Warnaboutchangingbetweensecure¬securemode（在安全和非安全模式之間轉換時發出警告），當啟用這個設置之后，如果你要從一個安全的網頁（可能是經過SSL加密的）進入到一個不安全的網頁的時候，IE會發出警告提醒你，以避免你在不知情的情況下泄漏一些私人的信息。Warnifformssubmittalisbeingredirected（重定向提交的表單時發出警告），啟用這個設置后，你在某些論壇或類似的地方提交的一些信息如果被發送到了其它的服務器上，IE就會發出警報提醒你。所以安全起見這個也應當啟用。安全使用OutlookExpressOutlookExpress是Windows自帶的一個電子郵件程序，通過OE不僅可以收發電子郵件，還可以瀏覽新聞組，十分方便。不過很多人并不喜歡這個程序，還想千方百計的把它從自己的系統中卸載掉，主要是因為使用OE容易傳染病毒。菜刀也容易傷人呢，但是每個家庭都得有個菜刀吧，所以，與其考慮怎么卸載OE還不如考慮一下怎么設置才能讓OE更安全。本節全部以OE6為主，如果你使用得是較低的版本，某些細節方面可能會不同。OE的主要設置都可以在工具-選項下看到，在這里我們主要關注的是安全選項卡。SelecttheInternetExplorersecurityzonetouse（選擇要使用的InternetExplorer安全區域），這個設置可以讓你決定把電子郵件（尤其是使用HTML語言的電子郵件）當作什么安全區域對待（也就是我們在InternetExplorer的Internet選項中設置的不同安全級別的區域）.把它設置為Restrictedsiteszone（受限制的區域）是比較明智和安全的做法。這樣，如果你收到的HTML郵件中含有一些有害的代碼就不會危害到你的系統了。Warnmewhenotherapplicationstrytosendmailasme（當其他程序以我的名義發送電子郵件時提醒我），這也是一個很有效的安全策略，曾經有很多病毒都是通過OE的地址簿中的聯系人地址來發送含病毒的右鍵來擴散的，而啟用這個設置就可以有效的解決這個問題。一旦有其他程序通過OE發送電子郵件，OE會首先詢問你是否發送，對于那些可疑的右鍵，只要取消發送就可以了。Donotallowattachmentstobesavedoropenedthatcouldpotentiallybeavirus（不允許可能包含病毒的附件被保存或者被打開），當啟用這個設置后，電子郵件中某些格式的附件就不能被保存和打開了，這時如果你收到了含有附件的右鍵，保存和打開附件的選項將為不可用，進一步增強了安全性。加固你的Internet連接默認情況下，為了建立網絡連接，Windows會安裝很多協議和運行很多服務其中一些協議和服務都不是必須的，例如NetBIOS、文件和打印機共享等，而“最小的服務+最小的權限=最大的安全”這個等式是永遠成立的，因此我們有必要關掉不需要的服務，卸載不需要的協議，來增強我們的系統安全。對于Windows9x/Me的系統在控制面板中雙擊網絡圖標選擇Microsoft網絡客戶端，然后點擊卸載禁用文件和打印機共享，如果你確實需要共享，可以給它們設置一個密碼選擇TCP/IP，然后點擊屬性按鈕，打開NetBIOS選項卡，取消對“我要在TCP/IP上使用NetBIOS的選擇。然后選擇DNS設置選項卡，并選擇禁用DNS（如果你確實不需要的話）。在WINS設置選項卡下，選中禁用WINS解析確定，然后重啟動電腦對于Windows2000/XP的系統打開控制面板中的網絡連接，右鍵點擊Internet連接，選擇屬性如果你不需要共享文件和打印機，那么選中并卸載（可以不卸載，但是至少不要再使用）Windows網絡的文件和打印機共享雙擊Internet協議（TCP/IP），然后點擊高級按鈕打開WINS選項卡，取消對啟用LMHOSTS查詢的選擇，然后選擇禁用TCP/IP上的NetBIOS在運行中輸入Services.msc然后回車找到TCP/IPNetBIO