在默认情况下，系统会安装各种网络协议，其实有些协议纯属多余，完全可以将其删除，这有益于提高安全性和使用效率。例如，在本地连接的属性窗口中只保留“Internet协 议（TCP/IP）” 项（包括TCP/IPv4或者TCP/IPv6）。对于其它协议，点击“卸载”按钮，将其全部删除。双击“Internet协议（TCP/IP）”项，在其属性窗口中点击“高级”按钮，在“WINS”面 板（如 图 1所示）中选择“禁用TCP/IP上的NetBIOS”项，来禁用NetBIOS通信方式，该通讯方式适用于早期的Windows系统，之后的系统采用的是Direct Hosting通信方式，可以提高连接的效率。

图1 禁用TCP/IP上的NetBIOS

图2 禁止生成DUMP文件

当系统出现蓝屏故障或者崩溃时，系统会产生DUMP文件，在其中存储相关的记录信息，这本来是便于管理员查找故障原因的。但是，这些DUMP文件一旦落入黑客手中，就有可能暴露本机的一些敏感信息，例如相关的密码等。因此，最好禁止生成DUMP文件。在系统属性窗口中的“高级”面板中的“启动和故障恢复”栏中点击“设置”按钮，在“写入调试信息”列表中选择“无”项，就可以实现上述功能（如图2所示）。在运行窗口中执行“drwtsn32”程序，就会打开系统自带的华医生窗口，在其中只选择“转储全部线程上下文”项，不选择其余项目。否则一旦程序出错，系统就可能长时间读取硬盘，并产生记录文件占用硬盘空间。如果系统出现过这样的情况，可以寻找并删除“user.dmp”文件。

在默认状态下，系统会自动设置一些具有潜在威胁的参数，例如允许建立空连接、自动启动服务器共享等等。为了提高系统安全性，最好将这些可能被黑客恶意利用的参数关闭。另外，为了防止黑客对服务器进行各种攻击操作，还需要防止SYN洪水攻击，防止ICMP重定向报文攻击、禁用IGMP协议、禁止响应ICMP路由通告报文等。其实，和上述各项紧密相关的参数全部存储在注册表中，为了便于使用，这里将其相关的修改数据全部保存在名为“security.reg”的文件中。双击该文件，将修改信息导入到注册表中，之后重启系统，就可以使之生效。

系统和外界通讯，需要使用到相关的端口。在默认情况下，135、445等端口处于开启状态，为了提高安全性，有时需要将其关闭。对注册表进行适当修改，就可以关闭445端口。为了便于使用，这里提供了名为“closeport”的批处理文件，可以关闭这些存在安全威胁的端口。运行该批处理文件后，重启系统就可以了。关闭135端口的方法是运行“dcomcnfg”程序，在组建服务窗口左侧选择“控制台根目录”→“组件服务”→“我的电脑”项，在其属性窗口中的“默认属性”面板中取消“在此计算机上启用分布式COM”项的选择状态。在“默认协议”面板中选择“面向连接的TCP/IP”项，点击“删除”按钮，点击确定按钮保存设置信息。之后重启电脑，就可以关闭135端口。

对于系统安全来说，合理设置磁盘和文件访问权限是很重要的。依次选中所有的磁盘，在其属性窗口中的“安全”面板中的“组或用户名称”列表中只保留Admibistrators组和SYSTEM账户，将其余的账户全部删除。对于系统盘的权限设置尤为重要，对于系统盘中的“Windows”文件夹来说，在其属性窗口中的“安全”面板中只保留Administrators组，SYSTEM账户，User组，将其余的账户删除。让Administrators组和SYSTEM账户拥有全部权限，User组采用默认权限。对于其它目录来说，建议在“安全”面板中删除Everyone账户。对于系统盘中的“Document and Settings”文件夹来说，在其属性窗口中的安全面板中只赋予Administrators组完全控制权限。因为在该文件夹中存在很多目录，应该根据不提情况分别配置。例如对于“C:Documents and SettingsAll UserDocument”目录来说，其中的“All User”目录应该只让Administrator账户拥有完全控制权，对于“Document”目录来说，因为很多用户都可能对其访问，所以应该不同的账户分别设置合适的控制权。对 于“C:WindowsTemp”目录来说，其中存储一些临时文件，应该让“Everyone”账户拥有对其的读写权限，否则可能会导致系统或者其中的网站无法顺利运作。

系统自带了一些实用程序，其中一些如果被黑客恶意利用，就可能对系统构成潜在威胁。所以需要对其配置合理的权限，利用系统的搜索功能，搜索诸如net.exe、net1.exe、cmd.exe、等，注意其中有些可能是隐藏文件。依次选中这些文件，在其属性窗口中的安全面板中只保留Administrators组和SYSTEM账户，将其余的账户全部删除。

对于系统路径下的一些文件夹来说，可能存在被黑客恶意利用的威胁，为了安全起见，最好将其删除。例如， 对 于“C:WindowsWebPrinters”目 录 来 说，可能会造成在IIS中加入一个“.printers”的扩展名的情况，引发黑客的溢出攻击，建议将其删除。IISde错误页面某人保存在“C:WindowsHelpiisHelp”目录中，不过因为很少使用最好将其删除。IIS的密码信息一般保存在“C:WindowsSystem32inetsrviisadmpwd”目录中，因为一些密码不同步导致IIS出错时，就存在被黑客使用特定程序（例如lisadmpwd等）修改同步密码的问题，因此可以将其删除。如果无法正常删除的话，可以进入安全模式对其删除。

利用组策略，可以有效提高系统安全性。例如，运行“gpedit.msc”程序，在组策略窗口左侧选择“计算机配置”→“Windows设置”→“安全设置”→“密码策略”项，在右侧窗口中将“密码最短使用期限”设置为0，让密码不过期，避免出现IIS密码不同步的问题。选择“账户策略”→“账户锁定策略”项，在右侧窗口将“账户锁定阀值”设置为5次，将“账户锁定时间”设置为10分钟。选择“本地策略”→“审核策略”项，在右侧窗口（如图3所示）双击“审核策略修改”项，为其启用成功和失败审核操作。针对“审核登录事件”启用成功和失败审核操作，针对“审核对象反问”启用失败审核操作。针对“审核过程追踪”启用成功和失败审核操作。针对“审核目录服务访问”启用失败审核操作，针对“审核特权使用”启用失败审核操作。针对“审核系统事件”启用成功和失败审核操作，针对“审核账户登录事件”启用成功和失败审核操作，针对“审核账户管理”启用成功和失败审核操作。

图3 设置审核策略

选择“本地策略”→“安全选项”项，在右侧窗口中将“交互式登录：不显示上次的用户名”，“交互式登录：不需 要 按 Ctr+Alt+Del”，“网络访问：不允许SAM账户的匿名枚举”，“网络访问：不允许SAM账户和共享的匿名枚举”等状态设置为“已启用”。双击“网络访问：可匿名访问的共享”，“网络访问：可匿名访问的命名管道”，“网络访问 ：可远程访问的注册表路径”，“网络访问：可远程访问的注册表路径和子路径”项，将其内容彻底清空。双击“账户：重命名来宾账户”项，将Guest账户修改为别的名称。双击“账户：重命名系统管理员账户”项，将Administrator账户更改为别的名称，为了迷惑黑客，最好建立一个名为“Administrator”的账户，让其拥有最小权限。

对于系统自带的Wscript等组件，最好将其删除，否则黑客很容易通过ASP，PHP木马来读取系统敏感信息。例如管理员账户等。甚至还会执行一些危险的命令。这里采取的是对这些控件进行更名，防止被黑客恶意利用。运行“regedit.exe”程 序，在 注 册 表编辑器中对“HKEY_CLASSES_ROOT”分支 下“WScript.Shell”，“WScript.Shell.1”，“WScript.Network”，“WScript.Network.1”子健进行更名处理。或者直接运行“regsvr32/uwshom.dll”和“regsvr32/ushell32.dll”命 令，将Wshell和Shell.application组件卸载掉。

运 行“services.msc”程序，在服务管理器中会显示大量的服务信息，其实，其中的一些服务对系统正常运行没有影响，甚至一些默认开启的服务还会针对系统安全构成威胁。因此，最好将不需要的服务关闭，避免其被黑了非法利用。管理服务可以使用“sc”命令来实现。例如禁用管理打印作业的Print Spooler服务的话，可以在CMD窗口中执行“sc config Spooler start= disabled”命令来实现。为了便于使用，这里提供了名为“closefuwu.bat”的命令，将其运行后可以关闭各种不需要的服务，来提高系统运行速度和安全性。