消防钩实物图片:新装系统安全设置

新装系统安全设置
----根据网络文章收集整理
@--取消远程协助和远程桌面连接
　　用鼠标右击桌面上的“我的电脑”图标，选择“属性”，在“系统属性”中选择“远程”选项卡，然后取消“远程协助”和“远程桌面连接”复选框中的钩。
@--关闭“远程注册表服务”
安全隐患:如果黑客连接到了我们的计算机，而且计算机启用了远程注册表服务(RemoteRegistry)，那么黑客就可远程设置注册表中的服务，因此远程注册表服务需要特别保护。
解决方法:我们可将远程注册表服务(RemoteRegistry)的启动方式设置为禁用。不过，黑客在入侵我们的计算机后，仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。
找到注册表中“HKEY_LOCAL_MACHINE_SYSTEM_CurrentControlSet_Services”下的RemoteRegistry项，右键点击该项选择“删除”，将该项删除后就无法启动该服务了。
在删除之前，一定要将该项信息导出并保存。想使用该服务时，只要将已保存的注册表文件导入即可。
@--禁用服务
打开控制面板，进入管理工具——服务，关闭以下服务
　　1.Alerter[通知选定的用户和计算机管理警报]
　　2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
　　3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享
　　4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
　　5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
　　6.IMAPI CD-Burning COM Service[管理 CD 录制]
　　7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]
　　8.Kerberos Key Distribution Center[授权协议登录网络]
　　9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
　　10.Messenger[警报]
　　11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
　　12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
　　13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
　　14.Print Spooler[打印机服务，没有打印机就禁止吧]
　　15.Remote Desktop Help Manager[管理并控制远程协助]
　　16.Remote Registry[使远程计算机用户修改本地注册表]
　　17.Routing and Remote Access[在局域网和广域网提供路由服务.黑客理由路由服务刺探注册信息]
　　18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
　　19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
　　20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
　　21.Telnet[允许远程用户登录到此计算机并运行程序]
　　22.Terminal Services[允许用户以交互方式连接到远程计算机]
　　23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄像机]
　　如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。
@--关闭135,139，445等端口
53端口 为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。以前美国一家公司公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。如果当前的计算机不是用于提供域名解析服务，建议关闭该端口
关闭方法 开始－设置－控制面版－管理工具－服务－DNS Client－反键属性－启动类型：禁用

1.关闭135端口
关闭方法：
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM 键－修改为“N”
2. HKEY_LOCAL_MACHINE－SOFTWARE－Microsoft－Rpc－DCOM Protocols 中删除“ncacn_ip_tcp”
3. 开始－设置－控制面版－管理工具－服务－禁用 Distributed Transaction Coordinator 服务

2.关闭445端口
　关闭445端口的方法有很多，但是我比较推荐以下这种方法：
修改注册表，添加一个键值
1)在命令行窗口运行修改注册表命令RegEdit。
2)在弹出的注册表编辑窗口的左边找到下面目录
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters
你可以一级一级目录往下点击，也可用“查找”命令找到NetBT项，然后点击Parameters项。
3)在编辑窗口的右边空白处点击鼠标右键，出现的“新建”菜单中选择“DWORD值”
4)将新建的DWORD参数命名为“SMBDeviceEnabled”，数值为缺省的“0”。
5)修改完后退出RegEdit，重启机器。
6)运行“netstat –an”，你将会发现你的445端口已经不再Listening了。
3、关闭自己的139端口，ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

4、3389的关闭
我的电脑上点右键选属性--/>远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。还需要找到这个服务 “Terminal Services”
修改3389默认端口：
1、在运行里面输入：”regedit”，进入注册表，然后找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp这一项。
2、找到“PortNumber”处，鼠标右键选择“修改”，选择十进制，换成你想修改的端口（范围在1024到65535）而且不能冲突，否则下次就无法正常启动系统了。
3、然后找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp。
4、在右侧找到” PortNumber处”。

5、4899端口的关闭：
首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能
算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服
务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口：
请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统
安装目录），输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件


@--彻底删除 Guest来宾帐户
把Guest账号禁用。禁止建立空连接，方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。
不论是个人计算机还是服务器，激活Guest帐户非常影响系统安全。因此可以通过以下方法删除：
操作：
开始-运行-输入“regedit”打开注册表
找到“HKEY_LOCAL_MACHINE\SAM\SAM”下本来看不到任何东西， 因此需要权限才能看到SAM下的东西，需要设置查看权限，通过右键即可设置权限。
从新打开注册表可以找到: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5 和 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest
删 除000001F5和Guest，然后退出regedit，再次运行regedt32，为了安全起见，恢复Administrators对sam的权限（同样通过右键设置即可），这样是为了安全考虑，防止用户不小 心删除系统账号。OK！
最后打开控制面板-用户下已经没有Guest帐户了！
运行 regedt32.exe 打开你的注册表，里面有一个目录树：
打开其中目录 HKEY_LOCAL_MACHINE
再打开其中目录 SAM
再打开其中目录 SAM
再打开其中目录 Domains
再打开其中目录 Account
再打开其中目录 Groups
好了，就是这个 Groups 就是负责建立用户的。删掉它，系统就不能建立用户了。无论木马怎样折腾，都无法建立用户，更谈不上提升为管理员了。这个目录里的文件如果被删除，是没有办法还原的。所以，在这个操作之前，你必须要进行备份，必要的时候，可以还原。
备份方法：右键点击 Groups 选择“导出”，给导出的文件起个名字，保存好，就可以了。
说明：
可能你进入注册表的时候，只能看到第一个 SAM 目录，其他的都看不到。别着急，那是因为你权限不够，右键点击相应目录选择“权限”，把你自己（通常是 Administrators ）设置为“允许完全控制”就可以了。以此类推，一直找到 Groups 目录为止。
还原：
很简单，找到你导出的那的文件，直接点击就可以了。
由于删除 Groups 目录之后，你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能，因此，备份文件很重要。需要使用相应功能的时候，先还原一下，就跟以前一样了。当然，如果你是一个个人用户，一直都是你一个人使用这台计算机，那就无所谓了。
同样，还可以删除Administrator用户！
Administrator相对应的项一般000001F4！
删除！！！
是吧，都没了！
附录：
HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliases，这个项是用户组！你也可以删掉不用的，或者不爽的用户组！

@--不允许从临时文件夹启动任何可执行文件

通过在组策略建立路径规则，不允许从临时文件夹启动任何可执行文件（.exe/.bat./.cmd/.com等)，以此达到防病毒的目的。具体的方法如下
运行里面输入 GPEDIT.MSC,然后----计算机配置---WINDOWS设置---安全设置---软件限制策略----其他规则，
点右键选创建新的规则---然后选新路径规则，在路径栏目里面输入 %USERPROFILE%\Local Settings\Temp\（这个是当前用户临时文件夹的变量）*.exe，*.exe这个是你想要限制从临时文件夹启动的文件类型，比如*.bat/*.cmd等，一般我们限制可执行文件就好了，当然你也可以通过这个方法限制其他路径的文件是否允许执行。)
一般IE临时文件默认的下载目录都是在临时文件夹中，我们禁止任何可执行文件从临时文件夹启动，这样应该对病毒防御有一定的效果，另外比如某些游戏比如大话等需要从临时文件夹启动的游戏自动升级可能无法运行，不过我们只要随时注意在自己的游戏主机升级这些游戏，也没有什么影响的吧。
@--本地策略
找到本地安全设置.本地策略.审核策略

1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
&nb sp;然后再到管理工具找到
事件查看器
应用程序：右键/>属性/>设置日志大小上限，我设置了50mb，选择不覆盖事件
安全性：右键/>属性/>设置日志大小上限，我也是设置了50mb，选择不覆盖事件
系统：右键/>属性/>设置日志大小上限，我都是设置了50mb，选择不覆盖事件
@--本地策略的安全选项
1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3）对匿名连接的额外限制
4）禁止按 alt+crtl +del(没必要）
5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6）只有本地登陆用户才能访问cd-rom
7）只有本地登陆用户才能访问软驱
8）取消关机原因的提示
@--软件限制策略
打开始菜单-开运行输入secpol.msc开启本地安全策略(XP专业版本才有,XP HOME没有).右击软件限制策略,选择创建新的策略.然后软件限制策略下会自动创建多个子项..别的地方都不用改.其他规则才是我们要任意发挥水平的地方.注意其他规则里有系统默认的四个注册表规则,不能修改,否则系统将崩溃.现在再右击"其他规则".会发现他的菜单里有个新路径规则.好我们就要在路径规则里做文章.这里允许使用通配符",""?""%"比如"%windows%"就表示c:\windows d:\windows等不管你windows文件夹在哪个分区,都给你认出来.
很多病毒木马为了逃过用户的追杀都藏在很隐秘的地方,比如回收站,System Volume Information(系统还原文件夹)等,加上隐藏属性,用户很难发觉.而实际上这些文件夹在正常情况下是不会有任何可执行程序的.所以我们可以建立如下规则(右击其他规则,在菜单中选择新建路径规则):
在路径框中输入 ?:\Recycled\*.* 安全级别设置为"不允许的"
特别注意。如果分区文件系统是NTFS，在Windows的NT架构的系统中，即Windows NT/2000/XP/2003，会为系统中的每位用户创建各自的回收站文件夹，如果分区文件系统是NTFS，则会保存在Recycler这个文件夹里，而不是Recycled文件夹，因此不用担心是病毒文件夹。则会保存在Recycler这个文件夹里.（在这特别感谢发现问题的cml45朋友）那我们应该：
在路径框中输入 ?:\Recycler\*.* 安全级别设置为"不允许的"
在路径框中输入 ?:\System Volume Information\*.* 安全级别设置为"不允许的"
在路径框中输入 %windir%\system32\Drivers\*.* 安全级别设置为"不允许的"
在路径框中输入 %windir%\system\*.* 安全级别设置为"不允许的"
通过这四条规则就能屏蔽掉该四个文件夹下任意可执行文件的运行.完美防御了这一类病毒木马的进攻.放心这种格式是不会秒杀掉诸如.txt .jpg
权限的办法对付一般病毒木马算够用了,但是黑客可不是傻瓜.他们可以利用系统的Shell权限来提升自己木马或破解程序在系统里的运行权限.那么我们都知道windows的权限提升是靠net命令实现的.我们只需要对net命令实施一个加密,那么黑客就需要破解了,一般的黑客是不会花大力气来破解我们个人用户的.学过系统加密的人都了解一种叫哈希值的散列函数,用哈希加密后的密文只能用暴力破解.好,如果不知道什么叫哈希值,暴力破解还是去百度知道,我不想为常识浪费篇幅.
打开本地安全策略(运行secpol.msc)-软件限制策略-其他规则.右击其他规则选则新建散列规则.在文件新建散列下位置里输入c:\windows\system32\net.exe或者用浏览查找.写完规则后点击应用.
http://pimg.qihoo.com/qhimg/baike/387_402/11/03/d4/1103d48q113453.ca75b1.jpg
看到了吧里面就是随机的哈希值密文.这样就把黑客提升曲线想法逼到了绝境,这样花大力气的破解我们个人电脑值得吗?

杜绝仿冒危险程序:
进程仿冒是病毒和木马用得最多的手段.比如system32文件夹下的svchost.exe系统文件,病毒就可以同样用svchost.exe命名,然后放到windows其他任意文件夹下.那运行是XP默认的任务管理器就只会显示svchost.exe进程,而XP正常情况下本来就有很多个svchost.exe进程.这就欺骗了一般的用户.而一般的杀软也只有干瞪眼.本地安全策略则可以永久的免疫这种方式的木马和病毒.我们只需两条规则(右击其他规则,在菜单中选择新建路径规则,在路径中写规则):
在路径框中输入 svchost.exe 安全级别设置为"不允许的"
在路径框中输入 %windir%\system32\svchost.exe 安全级别设置为"不受限的"注意是不受限的
学过程序的人知道优先级关系,那么第二条使用绝对路径的优先级高于第一条基于文件名的路径.也就是system32下的svchost.exe是允许运行的,而其他任意文件夹下的svchost.exe都是是不允许运行的.
防止U盘病毒那么就:
在路径框中输入 I:\*exe 安全级别设置为"不允许的"
在路径框中输入 I:\*com 安全级别设置为"不允许的"
一般的U盘病毒还会自己在U盘根目录下建立隐藏的System Volume Information文件夹和Recycled文件夹(哈哈,Recycled其实就是回收站文件夹)那么我给的第一个策略就挡住了.
@--防止关联被病毒木马替换
打开注册表(xp系统直接在运行里输入regedit)分别右击
HKEY_CLASS_ROOT\exefile和HKEY_CLASS_ROOT\txtfile这两个分支,选择权限.只保留Administrators和SYSTEM用户组,并把权限设置成"只读"(必须去掉完全控制)如果权限设置是灰色不选的话,可以选高级,然后去除"从父项继承那些可以到子对象的权限项目,包含在此明确定义的项目"前的勾并点击确定,然后在弹出框中选择删除.即可
@--给危险的系统目录(system32)修围墙
经常中木马的朋友可能会留意木马老会去感染SYSTEM32文件夹里的文件,比如输入法劫持.在中招后木马会劫持我们的ctfmon.exe(输入法可执行程序),那么我们变无法打字.菜鸟往往第一时间就吓的赶紧重装,其实一个好的防御就能避免.在满足我给的三个前提的情况下,打开资源管理器,
win(crtl和alt中间的微软徽标键)+e,在系统盘下(一般是c盘)找到windows文件夹右击选择属性打开安全选项把除了Administrators和SYSTEM的用户组都删除,然后左键选择Administrators在下面的权限选项中取消"完全控制\","写入","修改"权限前的勾.点应用,最后再左键选择SYSTEM在下面的权限选项中取消"完全控制,"写入","修改"权限前的勾,点应用(注意不要把读取的勾选掉了,否则后果是下次无法启动系统.并且无法恢复.一般我们吊销修改,根据优先级写入也吊销)
再照此法对windows文件夹进行用户权限设置.我们就能加固系统,不论正常程序还是病毒都要我们同意后方可进入电脑.
那么这样做了后我们模仿病毒在system32和windows文件夹下随便新建个东西,看看后果.是不是被系统以权限不够拦截了呢.
好.说到这要千万注意:因为系统是死的,这样设置了后我们在安装其他软件时系统也会以权限不够为理由阻挡.好办.我们反过来分别对增加windows文件夹和system32文件夹属性里安全项Administrators和SYSTEM用户组的","写入"和"修改"权限.分别应用后(这时写入的优先级就大于修改了,我们可以先点写入的勾,修改则自动打勾)就可以了.注意不要增加完全控制.我们安好程序或者软件后,需要重启的等重启后再吊销windows文件夹和system32文件夹的权限.这样做连系统最高权限都被我们控制了.所以强权之下病毒木马都滚蛋.
@--取消文件夹隐藏默认共享
取消文件夹隐藏默认共享方法很简单，打开 注册表 编辑器，进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\
parameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。
也可使用命令模式-------。
运行CMD输入net
share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。
删除共享(每次输入一个） 　　
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e，f盘，……可以继续删除）
@--删除空连接
默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：
方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。

@--关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。
虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USER\Software\ Microsoft \Windows\CurrentVersion\Policies\NetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。
@--禁止建立空连接
首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous（DWORD）的键值改为：00000001。
禁止自动打开默认共享
对于server版，找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。
对于pro版，则是[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。
如果上面所说的主键不存在，就新建一个再改键值。
@--本地策略
打开组策略(gpedit.msc)：-windows设置，找到安全设置—本地策略—安全选项：
网络访问.不允许SAM帐户的匿名枚举 启用。
网络访问.可匿名的共享 将后面的值删除。
网络访问.可匿名的命名管道 将后面的值删除。
网络访问.可远程访问的注册表路径 将后面的值删除。
网络访问.可远程访问的注册表的子路径 将后面的值删除。
网络访问.限制匿名访问命名管道和共享。
用户权限分配策略
打开组策略，找到windows设置—本地策略—用户指派权利：
从网络访问计算机 里面一般默认有5个用户，除Admin..外删除4个，当然，等下我们可建一个属
于自己的ID。 　　　
拒绝从网络访问这台计算机 将ID删除。
从网络访问此计算机，Admin..也可删除，如果你不使用类似3389服务。
通过远端强制关机。删掉。(如果你没有建在桌面快速关机之类的快捷方式)。
打开管理工具，计算机管理—本地用户和组—用户：
删除Support_388945a0用户等等只留下你更改好名字的Adminisrator好了。
@--禁用系统默认共享
　　在组策略编辑器中，计算机配置——Windows设置——安全设置——安全选项，将“网络访问：不允许SAM帐户的匿名枚举”及“网络访问：不允许SAM帐户和共享的匿名枚举”全部启用;将“网络访问：可匿名访问的共享”、“可匿名访问的管道”及“可远程访问的注册表路径”中的内容全部删除。
　　打开注册表编辑器，进入HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters项，在其右边新建一个键值名为“Autoshareserver”，键值为0的DWORD值，这样就可以禁止系统C$、D$、E$等方式的共享;为了能禁止admin$共享，还应当在此注册表项中新建一个键值名为“Autosharewks”，键值为0的DWORD值。
　　最后，打开“资源管理器”，选择“工具”菜单中的“文件夹选项”，在出现的文件夹选项界面中的“高级设置”框中，取消“使用简单文件共享”的多项选择项。
@--关闭系统的自动运行功能
打开组策略(运行gpedit.msc)点开左分支.计算机配置-管理摸板-系统.找到右侧的关闭自动播放项目.双击打开.在弹出的属性窗口中进入"设置"选项卡,选择"已启用"在下拉菜单中选择所有驱动器.点确定.最后在运行中输入cmd打开命令提示字符,再输入gpupdate /force
OK搞定.

@--关闭不必要的端口
关闭不必要的端口，(注：这个很关键)，如果用卡巴kis的就方便得多了，在防火墙设置就可以了。只是打个比如：防火墙设置-----包过滤规则----添加
规则名 : 写什么都可以....
属性 :选住"本地端口".....
规则描述 : 阻止 入站&出站 本地端口:1434
其它的有害端口见下面。加入的方法同理
如果用kav就要用第三方的防火墙设置了。也可在系统内关，方法较烦琐，但为了安全就只能这样了。
第一步，第一步开始-运行--gpedit.msc---组策略--双击打开“WINDOWS设置”-安全设置-，选中“IP 安全策略，在本地计算机”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。
第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。
第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。
重复以上步骤添加TCP 25 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。
第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作（右图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。
立即刷新组策略.使用"gpupdate machine_policy"命令可立即刷新组策略.还有一个方法就是使用Windows xp 支持工具,(ipseccmd.exe)很容易用的不必去学习IP安全策略难烦琐的设置步骤。ipseccmd不默认安装的是在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中，而且要正常使用pseccmd还必须保证IPSEC Services 服务开启和正常状态,否则引用命令时会出错,另外还必须保证有这两个文件：ipsecutil.dll和text2pol.dll。不然ipseccmd也不能正常运行。
@--U盘关闭自动播放
U盘很容易中毒，特别是Autorun.inf之类的病毒。如果关闭自动播放，就能大大减少U盘中毒的机会的。现在介绍四种方法如下：
（一）开始——运行——gpedit.msc打开组策略——计算机配置——管理模板——系统——关闭自动播放——已启用-——选取中所有驱动器——确定。 Wm>[5h%>
（二）开始——运行-——gpedit.msc打开组策略——用户配置——管理模板——系统——关闭自动播放——已启用——选取中所有驱动器——确定。
（三）在Windows下，右击U盘盘符——属性——自动播放——逐一关闭——确定即可。（这是真正关闭U盘上的自动播放）
（四）开始——运行——regedit——HKEY-LOCAL-MACHINE\SYSTEM\current control set\ services\cdrom 子键右侧窗口中，将Autorun设为0（原为1）（这是用注册表来禁止自动播放）
附录：
巧设开机密码
　　背景：不想让人打开或进入自己的电脑，方法有很多，但用得多了，破解也变得容易了。本例也有破解方法，但旨在提供思路，可能会有出奇制胜的效果。
　　原理：“障眼法”--利用Choice命令(等待输入一个字符)、Echo命令(显示错误信息)达到加密目的。
　　编程：用记事本打开或新建Autoexec.bat，输入以下内容：
　　@echo oFF
　　echo non-system disk or disk error
　　choice /c:#/n
　　使用：开机时显示“non-system disk or disk error”，造成“死机”，别人看了会吓一跳。如果是自己开机，可以从容地输入“＃”(相当于开机密码，引号不要输入，下同)即可让电脑继续运行，直至进入桌面。
　　吓退非法来客
　　背景：如果认为上面例子的威力不够，可以用这个程序试试。
　　原理：用Echo命令显示每行80个“_”(80个下划线)再用Goto命令设置一个死循环程序，以达到“屏幕花屏”的效果。
　　编程：打开记事本新建C:\windows\winstart.bat，输入以下内容
　　@echo off
　　:abc
　　echo_　//“_”是英文下划线，请输入80个“_”才能达到效果。
　　goto abc

　　使用：当别人打开电脑时，会以为显示器“坏了”或有病毒了，以达到吓退非法来客的目的。暂时跟上的方法：按Ctrl+Break组合键，再按Y键。彻底解除跟上的方法：开机按F8进入DOS，把C:\WINDOWS\winstart.bat文件删除即可恢复。
把“隐藏账户”请出系统
　　隐藏账户的危害可谓十分巨大。因此我们有必要在了解了账户隐藏技术后，再对相应的防范技术作一个 了解，把隐藏账户彻底请出系统
　　1、添加“$”符号型隐藏账户
　　对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后，会把隐藏账户提升为 管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有 的隐藏账户现形。如果嫌麻烦，可以直接打开“计算机管理”进行查看，添加“$”符号的账户是无法在这 里隐藏的。
　　2、修改注册表型隐藏账户
　　由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的，因此可以到注册表 中删除隐藏账户。来到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”，把这里存在的账户和“ 计算机管理”中存在的账户进行比较，多出来的账户就是隐藏账户了。想要删除它也很简单，直接删除以隐 藏账户命名的项即可。
　3、无法看到名称的隐藏账户
　　如果黑客制作了一个修改注册表型隐藏账户，在此基础上删除了管理员对注册表的操作权限。那么管理 员是无法通过注册表删除隐藏账户的，甚至无法知道黑客建立的隐藏账户名称。不过世事没有绝对，我们可 以借助“组策略”的帮助，让黑客无法通过隐藏账户登陆。点击“开始”→“运行”，输入“gpedit.msc” 运行“组策略”，依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策 略”，双击右边的“审核策略更改”，在弹出的设置窗口中勾选“成功”，然后“确定”。对“审核登陆事 件”和“审核过程追踪”进行相同的设置。
　　开启登陆事件审核功能
　　进行登陆审核后，可以对任何账户的登陆操作进行记录，包括隐藏账户，这样我们就可以通过“计算机 管理”中的“事件查看器”准确得知隐藏账户的名称，甚至黑客登陆的时间。即使黑客将所有的登陆日志删 除，系统还会记录是哪个账户删除了系统日志，这样黑客的隐藏账户就暴露无疑了。通过事件查看器找到隐藏帐户
　　得知隐藏账户的名称后就好办了，但是我们仍然不能删除这个隐藏账户，因为我们没有权限。但是我们 可以在“命令提示符”中输入“net user 隐藏账户名称 654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效，黑客无法再用这个隐藏账户登陆。
　　编者按：
　　每一个黑客都拥有自已的隐匿方法，但万变不离其中，黑客入侵一台计算机后在其中建立隐藏帐户名和密码的方法不过上面几种。读者有空不妨看看自已的计算机是否有隐藏帐户，让黑客无处隐匿！