来源：http://bbs.ichunqiu.com/thread-9406-1-1.html?from=ch

个人引言：人类最大的敌人也是人类，作为信息安全领域也是如此，如何保护好自己，一方面是意识，另一方面就是技术。首先自身要加将安全意识，自身本身的系统也要做好基本的防护。我们在挖掘漏洞的同时，更重要的是保护自己，操作系统的安全防护通常包括以下几个方面的内容：

(1)操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统 本身的安全性能进行研究和开发使之符合选定的环境和需求。

(2)针对各种常用的操作系统，进行相关配置，使之能正确对付和防御 各种入侵。

(3)保证操作系统本身所提供的网络服务能得到安全配置。

一般所说的操作系统的安全通常包含两方面的含义：① 操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴 定等机制实现的安全；  ② 操作系统在使用中，通过一系列的配置，保证操作系统避免由于实 现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力，才能够最大可能地建立安全的操作系统。

（1）首要问题服务和端口：端 口是计算机与外界通讯的渠道，它们就像一道道门一样控制着数据与指令的传输。各类数据包在最终封包时都会加入端口信息，以便在数据包接收后拆包识别。我们 知道，许多蠕虫病毒正是利用了端口信息才能实现恶意 骚扰的。所以，对于原本脆弱的 Windows 系统来说，有必要把一些危险而又 不常用到的端口关闭或是封锁，以保证网络安全。

解决办法：关闭端口的方法非常简单，在“控制面板”→“管理工具”→“服务” 中即可配置。  一些端口常常会被攻击者或病毒木马所利用，如端口 21、22、23、25、 80、110、111、119、135、137、138、139、161、177、389、3389 等。关 于常见木马程序所使用的端口可以在网上查找到。 这里重点说说 139 端口，139 端口也就是 NetBIOS Session 端口，用作文 件和打印的共享。 关闭 139 端口的方法是在“本地连接”中选取“Internet 协议(TCP/IP)” 属性，进入“高级 TCP/IP 设置”，在“WINS”选项卡中，有一“禁用 TCP/IP 的 NETBIOS”选项，选中后即可关闭 139 端口。

（2）组策略和注册表：是 Windows 系统中重要的两部控制台。对于系统中安全方面的部署，组策略又以其直观化的表现形式更受用户青睐。我们可以通过组策略禁止第三方非法更改地址，也可以禁止别人随意修改防火墙配置参 数，更可以提高共享密码强度免遭其被破解。

解决办法：打开组策略后在左侧列表区域中的“‘本地计算机’策略”→“计算机 配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”

选项，在“审核策略”中找到“审核对象访问”，选中属性界面中的“失败” 、“成功”选项，以后出现问题时就能有针对性地进入系统安全日志文件，来 查看相关事件记录。

（3）账户与密码安全：账户与密码的使用通常是许多系统预设的防护措施。事实上，有许多用 户的密码是很容易被猜中的，或者使用系统预设的密码、甚至不设密码。

解决办法：用户应该要避免使用不当的密码、系统预设密码或是使用空白密码，也 可以配置本地安全策略要求密码符合安全性要求。

接下来给大家详细介绍一下：

由 “开始→程序→管理工具→本地安全策略”启动Windows本地安全策略管理工具，工具中包括：帐户策略、本地策略、软件限制策略、公钥策略与IP安全策略。

密码策略：密码必须符合复杂性要求：启用后要求口令包含大写、小写字母、数字和不可打印字符。如果输入密码时过于简单或过短，则会弹出相应的对话框，如新建新用户并使其密码过短，确定后提示错误；密码长度最小值：可以自定义密码的长度，一旦确定立即生效，再更改密码时如密码过短，也会报错 密码最长存留期：设置后当设定的密码过期后，系统会要求用户重新输入新密码。密码最短存留期：设置后为到达制定期限无法修改密码，这可以防止黑客侵入系统后更改用户密码。密码历史：设置后可记录制定个数的历史密码。

图一：密码策略

账户锁定策略：帐户锁定时间和帐户锁定阙值可以共同来规定如何锁定帐户，例如设置帐户锁定阙值为1，帐户锁定时间为1分钟，注销当前用户，然后故意输错密码，帐户即被锁定，1分钟内无法登录。

图二：账户锁定策略

本地策略：包括审核策略、用户指派策略与安全选项

审核策略：决定记录在计算机 “安全”日志上的安全事件（记录什么时间，在什么情况下——成功或失败——记录）

用户权利指派：大家可以把默认的Administrator用户指派到一个权力比较低的组中（进行欺骗入侵者），然后创建另一个用户名，进行指派其权限最大

图三：用户权利指派

图四：安全选项

图五：审核策略

公钥策略配置：合理设置公钥策略可以保证您在故障时能恢复您的证书。可以右键所有任务—新建数据恢复代理

图六：添加数据恢复代理

我相信大家很多台电脑被攻破，无非也就是上面的几方面没有做好。做安全，首先要保护自己，如果我们自身把安全做好了，何惧天下，希望能够给大家一些小小的安全措施。

做好自己，何惧天下！！！