Windows基础安全设置

大家好，欢迎来到IT知识分享网。

1、Windows7系统设置睡眠唤醒后需要密码解除锁定

开始菜单点击“控制面板”。

点击“系统和安全”。

找到“电源选项”，点击下方的“唤醒计算机时需要密码”。

窗口下方“唤醒时的密码保护”栏中，点击“更改当前不可用的设置”。

选择“需要密码”。

2、Windows7系统打开或关闭防火墙

打开“控制面板”，点击“系统和安全”进入“Windows防火墙”。

点击“Windows防火墙”，左侧可以看到“打开或关闭Window防火墙”的按钮。

点击“打开或关闭Windows防火墙”，可以分别选择不同网络位置的Windows防火墙的开启和关闭。

3、Windows 7系统分别设置不同网络位置的防火强规则

先进入“控制面板”-“Windows防火墙”。

选择“允许程序或功能通过Windows防火墙”。

可以设置每个程序是在哪个网络环境下允许通过。如果要新增程序，不同网络位置防火墙设置如下，先选择下面的“允许运行另一程序”按钮。

在新增的程序中，选择“网络位置类型”。

出现如下提示框，按需选择即可以实现在不同网络环境中的不同设置。

4、Windows7系统如何设置允许程序或功能通过防火墙

首先进入“控制面板”-“windows防火墙”。

选择“允许程序或功能通过Windows防火墙”。

可以选择对某一个程序设置是否允许通过防火墙,若列表中没有某程序,选择“允许运行另一程序”。

可以选择需要增加的程序运行规则。

选中应用程序后添加即可。

5、Windows7系统还原防火墙的默认设置

打开开始“控制面板”，点击“系统和安全”。

点击“系统和安全”下的“Windows防火墙”。

点击左侧的“还原默认设置”。

点击“还原默认设置”，在弹出的窗口中选择“是”。

完成防火墙的还原默认设置。

6、用户账户配置

步骤1：单击按钮，选择【控制面板】选项，打开【控制面板】窗口。

步骤2：在【控制面板】窗口中单击【用户账户和家庭安全】链接文字，然后单击【用户账户】链接文字，打开【用户账户】窗口。

步骤3：在【用户账户】窗口中单击【更改用户账户控制设置】链接文字，如图所示。

步骤4 拖曳滑块调整UAC通知模式，通知模式共有4种，拖曳滑块时右侧会显示当前模式的细节，设置完毕后，单击【确定】按钮，如图所示。

7、家长控制

为了确保家长控制能有效实施，必须确保以下几点：

• 所有系统管理员账户都设置密码。
• 家庭中未成年人的账户必须是标准账户，而非系统管理员账户。

1. 限制未成年人账户使用电脑的时间

为了防止未成年人过度沉迷电脑，家长可以通过以下步骤，限制未成年人账户使用电脑的时间，例如设置周一至周五的白天学习时间和深夜休息时间无法使用电脑。

设置的具体步骤如下：

步骤1：单击Win按钮，选择【控制面板】选项，打开【控制面板】窗口。

步骤2：在【控制面板】窗口单击【为所有用户设置家长控制】链接文字。

步骤3：在列表中可以看到这台电脑的所有账户，从中选择要控制的账户，如图所示。

步骤4：本例要控制账户使用电脑的时间，因此单击【时间限制】链接文字，如图所示。

步骤5：在列表中通过拖曳的方式设置控制用户使用电脑的时间，拖曳成蓝色的时间段表示限制使用，设置完毕后，单击【确定】按钮，如图所示。

2. 限制未成年人账户使用的程序

为了避免未成年人接触涉及色情、暴力等不良因素的游戏、应用程序，家长可以限制未成年人账户使用的程序，只有家长设置为允许的程序方能运行。

步骤1：单击Win按钮，选择【控制面板】选项，打开【控制面板】窗口。

步骤2：在【控制面板】窗口单击【为所有用户设置家长控制】链接文字。

步骤3：在列表中可以看到这台电脑的所有账户，从中选择要控制的账户，如图所示。

步骤4：在【用户控制】窗口中，单击【允许和阻止特定程序】链接文字，启用应用程序限制，如图所示。

步骤5：选择【××只能使用允许的程序】单选按钮，然后在列表中选择允许用户使用的程序，设置完毕后单击【确定】按钮，如图所示。

8、组策略

然而注册表是Windows的核心组件，直接编辑注册表危险性相当高，稍有不慎就有可能导致严重的系统故障甚至彻底崩溃，而且注册表中项目繁多，也不利于记忆和使用。为了方便系统管理员操作，微软将各种实用的注册表设置整理出来，以系统组件的方式提供给系统管理员，这就是组策略的由来。系统管理员只需在组策略编辑器中进行设置，系统就会根据系统管理员的设置修改注册表中相应的键值，既便于使用，又能减少直接编辑注册表的风险。

1. 设置不允许使用太短的密码

步骤1：单击Win按钮，在搜索栏输入“gpedit.msc”，按Enter键。

步骤2：在组策略编辑器中展开【计算机配置】→【Windows设置】→【安全设置】→【账户策略】列表，然后双击【密码长度最小值】选项，如图所示，打开【密码长度最小值属性】对话框。

步骤3：在【密码必须至少是：】文本框中输入密码长度最小值，本例输入8，然后单击【确定】按钮，如图所示。

经过上述设置后，用户在新建或更改密码时，将无法创建长度小于8的密码，从而提高了系统安全性。

2. 设置多次登录失败后锁定账户

为了防止入侵者恶意猜解密码，系统管理员可以通过组策略，设置系统在登录失败达到指定次数后，强行锁定账户，以提高系统安全性。不过需要注意的是，这项功能可能会被某些攻击者利用，通过连续错误输入锁定账户，使得用户无法正常登录系统，因此要谨慎考虑是否使用。

步骤1：单击Win按钮，在搜索栏输入“gpedit.msc”，按Enter键。

步骤2：在组策略编辑器中展开【计算机配置】→【Windows设置】→【安全设置】→【账户策略】列表，然后双击【账户锁定阈值】选项，如图所示，打开【账户锁定阈值属性】对话框。

步骤3：在【在发生以下情况之后，锁定账户：】文本框中输入无效登录的次数，本例输入5，单击【确定】按钮，然后在弹出的对话框中单击【确定】按钮，如图所示。

设置登录失败达到指定次数锁定账户之后，系统会自动对【账户锁定时间】和【重置账户锁定计数器】选项进行设置，默认为锁定30分钟后解锁，并重置锁定计数器。用户也可以根据实际需要进行调整，如图所示。

9、文件存取控制

在Windows 7操作系统中，所有文件的访问都有严格的权限控制，无论是系统管理员还是普通用户，都可以借助这一特性，防止自己的资料被其他人非法获取。

1. NTFS安全存取机制

Windows 7的安全存取机制实质是基于NTFS文件系统构建的一个访问控制架构，它主要由以下几个部分组成：

1）资源（Resources）

用户访问的各种对象都可以统称为资源，例如，文件夹、文档、应用程序，等等。

2）安全主体（Security Principal）

3）权限（Permission）

一个典型的文件访问过程如下：用户（安全主体）向操作系统发出访问某个文件（资源）的请求，操作系统根据用户SID和文件访问控制列表上的规则，判断该用户是否具备相应的权限，如果具备则允许访问；如果用户不具备相应的权限，则拒绝用户的请求，从而避免文件被非法访问。

NTFS安全存取机制看起来非常完善，但需要提醒注意的是，它并非无懈可击，由于访问控制是基于操作系统层面，因此一旦切换了操作系统，访问控制即形同虚设。换句话说，如果将硬盘拆卸下来挂载到其他电脑上，即可随意访问原来受保护的文件。因此，要确保文件安全，还需要与其他安全措施配合使用。

2. 文件/文件夹存取限制设置

在Windows 7 中，设置文件或文件夹的权限非常简单，下面以禁止指定用户访问某文件夹为例，演示文件和文件夹的存取限制设置。

步骤1：在要设置的文件夹上单击鼠标右键，在弹出的快捷菜单中选择【属性】命令，如图所示，打开该文件夹的属性窗口。

步骤2：选择【安全】选项卡，然后单击【编辑】按钮，如图所示。

步骤3：如果所需要修改权限的用户处于列表内，可直接跳过本步骤。如果不在列表内，单击【添加】按钮，然后在弹出的【选择用户或组】对话框中单击【高级】按钮，在弹出的对话框中单击【立即查找】按钮，然后在列表中选择要添加的用户，再依次单击【确定】按钮，如图所示。

步骤4：将用户添加到安全列表后，在下方的列表中设置权限，本例要禁止用户访问该文件夹，因此选择相应的【拒绝】复选框，然后单击【确定】按钮，并在弹出的对话框中单击【是】按钮，如图所示。

3. 权限类型

在Windows 7中，常用的权限主要有以下几种，如图所示。

1）完全控制

用户可以查看文件夹和文件的内容，更改及删除现有文件和文件夹，创建新的文件和文件夹，假如资源为可执行程序也可以运行该程序。

2）修改

用户可以更改现有的文件夹及文件，但是不能创建新的文件夹和文件。

3）读取和执行

用户可以查看文件和文件夹中的内容，假如资源为可执行程序也可以运行该程序。

4）列出文件夹内容

用户可以查看文件夹中的子文件夹和文件的名称，但是无法打开文件查看其中的内容。

5）读取

用户可以打开文件夹和文件，查看其中的内容。

6）写入

用户可以对现有的文件夹和文件进行更改，以及创建、删除文件夹和文件。

4. 权限设置的原则

管理员在设置权限时，需要清楚权限设置的一些原则，才能设计出符合实际需要的权限组合。权限设置的原则主要有以下几条：

1）权限累加原则

如果用户同时拥有多项权限，而且这些权限之间不存在冲突，则权限可以累加。例如，一项权限允许用户Nike访问Tools文件夹，另一项权限允许用户Nike访问Video文件夹，同时用户Nike隶属于User用户组，而该组允许访问Information文件夹，则权限累加的结果是：用户Nike可以访问Tools、Video和Information文件夹。

2）拒绝优先原则

当用户拥有的权限相互冲突时，拒绝访问的权限将优先于允许访问的权限。例如，用户Nike属于User用户组，一项权限允许用户Nike访问Tools文件夹，而另一项权限拒绝User用户组访问Tools文件夹，则权限累加的结果是：用户Nike无法访问Tools文件夹。

3）权限继承原则

默认情况下，文件夹里的文件及子文件夹会继承该文件夹的权限。例如，book.txt文件位于D:\Information文件夹内，而D分区允许用户Nike访问，则基于权限继承原则，D分区内的Information也允许用户Nike访问，同样该文件夹下的book.txt文件也允许用户Nike访问。值得注意的是，拥有完全控制权限的用户，可以随时中止资源的权限继承。

5. 设置审核

1）在组策略中启用审核

步骤1：单击Win按钮，在搜索栏输入“gpedit.msc”，按Enter键。

步骤2：在组策略编辑器中展开【计算机配置】→【Windows设置】→【安全设置】→【本地策略】→【审核策略】列表，然后双击右侧的【审核对象访问】项目，如图所示。

步骤3：本例要审核失败的操作，因此选择【失败】复选框，然后单击【确定】按钮，如图所示。

2）设置要审核的资源

步骤1：在要启用审核的文件夹上单击鼠标右键，在弹出的快捷菜单中选择【属性】命令，如图所示，打开文件夹属性对话框。

步骤2：选择【安全】选项卡，然后单击【高级】按钮，在弹出的对话框中选择【审核】选项卡，再单击【继续】按钮，如图所示。

步骤3：单击【添加】按钮，然后在弹出的对话框中输入要审核的账户名，再单击【确定】按钮，如图所示。

技巧：如果不记得准确的账户名，可单击【高级】按钮，再单击【立即查找】按钮，即可查找本机所有账户。

步骤4：在列表中勾选要审核的项目，本例要审核尝试删除该文件夹和文件失败的操作，因此选择【删除】和【删除子文件夹及文件】选项对应的失败复选框。设置完毕后，单击【确定】按钮，如图所示。

重复步骤3和步骤4，把需要审核的用户全部添加到审核项目列表中。设置完毕后，系统会自动记录该文件夹所有失败的删除操作。系统管理员可以通过以下操作来查看这些记录：单击Win按钮，选择【控制面板】选项，打开【控制面板】窗口，然后单击【系统安全】链接文字，再单击【查看事件日志】链接文字，然后展开【Windows日志】→【安全】列表，即可查看审核记录。

10、磁盘配额

1. 启用磁盘配额

磁盘配额需要针对每个分区进行设置，设置的具体步骤如下：

步骤1：单击Win按钮，选择【计算机】选项，打开【计算机】窗口。

步骤2：在要配置的硬盘分区上单击鼠标右键，在弹出的快捷菜单中选择【属性】命令，然后在弹出的对话框中选择【配额】选项卡，再单击【显示配额设置】按钮，如图所示。

2. 设置指定用户的磁盘配额

如果需要为单独用户设置磁盘配额，例如，指定某用户获得更多或更少的磁盘空间，则可通过以下步骤进行。需要注意的是，系统管理员（Administrator）组的成员不受磁盘配额限制。

步骤1：打开配额设置对话框，单击【配额项】按钮，如图所示，打开【配额项】窗口。

步骤2：选择【配额】→【新建配额项】命令，如图所示。

步骤3：单击【高级】按钮，然后单击【立即查找】按钮，在列表中选择要设置磁盘配额的用户，再单击【确定】按钮，如图所示。

步骤4 选择【将磁盘空间限制为】单选按钮，然后设置限制用户使用的容量和发出警告的容量。设置完毕后，单击【确定】按钮，如图所示。

设置完毕后，在列表中就可以看到新增的磁盘配额项目，如图所示，如果日后系统管理员要清除用户的磁盘配额，只需将相应的项目删除即可。

11、EFS加密

1. EFS透明加密

2. 启用EFS加密

EFS加密可以针对单个文件，也可以针对整个文件夹进行加密，启用EFS加密的具体操作如下：

步骤1：在要加密的文件夹或文件上单击鼠标右键，在弹出的快捷菜单中选择【属性】命令，如图所示。

步骤2：在弹出的对话框中单击【高级】按钮，然后在弹出的【高级属性】对话框中选择【加密内容以便保护数据】复选框，再单击【确定】按钮，如图所示。

步骤3：在弹出的【确认属性更改】对话框中选择【将更改应用于此文件夹、子文件夹和文件】单选按钮，则加密此文件夹下所有内容；如果选择【仅将更改应用于此文件夹】单选按钮，则该文件夹内所有文件都不会加密，而此后新加入此文件夹的文件，才会自动进行加密保护。

本例要加密所有内容，因此选择前者，选择完毕后，单击【确定】按钮，如图所示。

加密完毕后，受保护的文件夹和文件的名称会显示成绿色，如图所示，用户自己可以直接访问这些文件，并不需要进行输入密码之类的操作。

而其他用户试图访问这些文件时，则会出现拒绝访问的提示，即使将此文件转移到其他系统里，也无法读取其中的内容。

3. 解除加密

当文档不再需要被保护时，可以通过以下步骤解除加密。解除加密后，其他用户也可以打开该文件。

步骤1：在加密的文件夹或文件上单击鼠标右键，在弹出的快捷菜单中选择【属性】命令，如图所示

步骤2：单击【高级】按钮，然后在弹出的【高级属性】对话框中取消选择【加密内容以便保护数据】复选框，再单击【确定】按钮，如图所示。

步骤3：在【确认属性更改】对话框中选择【将更改应用于此文件夹、子文件夹和文件】单选按钮，再单击【确定】按钮，如图所示。

4. 多用户分享加密文档

通常情况下，加密后的文档只有用户本身才能打开，但有些时候用户需要与其他用户分享这个文件，此时可以通过以下步骤进行操作。需要注意的是，如果要把文件共享给本机的其他用户，对方必须至少使用过一次EFS加密功能，否则无法进行共享；而如果要把文件分享给非本机用户，则需要获得对方加密文件所使用的公钥，获得公钥文件后，双击将其导入本机。步骤如下：

步骤1：在加密文件上单击鼠标右键，在弹出的快捷菜单中选择【属性】命令，如图所示。

步骤2：单击【高级】按钮，然后在弹出的对话框中单击【详细信息】按钮，如图所示。

步骤3：在列表中可以看到允许访问该文件的用户，单击【添加】按钮，然后在弹出的列表中选择要添加的用户，再依次单击【确定】按钮，如图所示。

5. 备份EFS密钥

在加密文件之后，用户必须及时备份EFS密钥，否则一旦重装系统或其他原因导致密钥遗失，将再也无法打开加密的文件。备份EFS密钥的步骤如下：

步骤1：单击按钮，选择【控制面板】选项，打开【控制面板】窗口。

步骤2：在【控制面板】窗口中单击【用户账户和家庭安全】链接文字，再单击【用户账户】链接文字，打开【用户账户】窗口。

步骤3：打开【用户账户】窗口后，单击【管理文件加密证书】链接文字，如图所示。

步骤4：单击【下一步】按钮，通常电脑里只有一个文件加密证书，因此选择【使用此证书】单选按钮，然后单击【下一步】按钮，如图所示。

步骤5：单击【浏览】按钮，在弹出的对话框中选择保存证书的位置，输入文件名，再单击【保存】按钮。设置好备份位置后，输入密码以确保证书安全，再单击【下一步】按钮，如图所示。

步骤6：单击【下一步】按钮开始备份，备份完毕后，单击【关闭】按钮关闭向导，如图所示。

备份完毕后，打开备份文件夹，即可看到证书文件，如下图所示，日后重装系统或其他原因需要重新安装证书时，只需双击证书，根据向导提示进行安装即可。

12、Bitlocker加密

Bitlocker的主要用途有两个：一是对操作系统进行保护，所有系统文件均被高强度加密，入侵者即使盗走硬盘，将其挂接到其他电脑上，也无法获得系统的使用权，或者从用户账户文件中获取EFS密钥；二是可以对硬盘分区或者移动存储装备上的数据进行加密，确保数据不会被非法访问。

1. Bitlocker加密系统分区

Bitlocker既可以加密系统分区，也可以加密非系统分区，但要加密系统分区的话，电脑必须至少满足以下一种条件：

• 电脑集成了TPM芯片，并且BIOS与TPM芯片兼容。
• 用户有U盘，并且主板支持从U盘启动。

如果电脑满足第一种条件，则Bitlocker的加密密钥将存储在TPM芯片中，启动过程中用户需要输入PIN码，从TPM芯片中获取密钥进行解密；如果电脑满足第二种条件，则密钥存储在U盘，用户需要在系统启动之前插入U盘，通过U盘里的密钥进行解密。

1）调整组策略设置

对于不具备TPM模块的电脑，需要对组策略进行调整，才能使用Bitlocker功能加密系统分区，具体步骤如下：

步骤1：单击Win按钮，然后在搜索栏输入“gpedit.msc”，然后在搜索出来的程序上单击鼠标右键，在弹出的快捷菜单中选择【以管理员身份运行】命令，启动组策略编辑器。

步骤3：选择【已启用】单选按钮，然后选择【没有兼容的TPM时允许Bitlocker】复选框。设置完毕后，单击【确定】按钮，如图所示。

经过上述设置后，没有TPM模块的电脑也可以使用Bitlocker功能了。

2）设置Bitlocker

调整完毕后，接下来就可以设置Bitlocker功能了，具体步骤如下：

步骤1：单击Win按钮，选择【计算机】选项，打开【计算机】窗口。

步骤2：在要加密的磁盘上单击鼠标右键，在弹出的快捷菜单中选择【启用Bitlocker】命令，然后在弹出的对话框中单击【下一步】按钮，如图所示。

步骤3：系统需要对磁盘驱动器进行一些准备，以便能满足Bitlocker的要求，单击【下一步】按钮，然后单击【立即重新启动】按钮，如图所示。

步骤4：重新启动电脑之后，将准备放置密钥的U盘插入电脑，然后单击【下一步】按钮，再选择【每次启动时要求启动密钥】选项，如图所示。

步骤5：在列表中选择保存密钥的U盘，然后单击【保存】按钮，如图所示。

步骤6：为了避免启动密钥意外损坏或者遗失，系统还会生成一个恢复密钥。恢复密钥是一串字符串，建议用户将其保存到另一个U盘中，或者打印出来收藏好，如图所示。

步骤7：一切准备就绪后，单击【继续】按钮，然后在弹出的对话框中单击【立即重新启动】按钮，准备开始加密，如图所示。

步骤8：将刚才制作的启动密钥U盘插入电脑，系统会自动开始加密，加密可能需要较长时间，请耐心等候。加密完成后，在弹出的对话框中单击【关闭】按钮，如图所示。

加密完成后，每次启动电脑时，系统都会检测启动密钥，只有插入带有启动密钥的U盘才能解锁并登录系统。如果启动密钥遗失或损坏，则可以通过步骤6生成的恢复密钥来登录系统。

2. BitlockerToGo加密U盘

已经提到，Bitlocker还可以加密移动存储设备。Windows 7将这项功能称为Bitlocker To Go，其使用的具体步骤如下：

步骤1：单击按钮，选择【计算机】选项，打开【计算机】窗口。

步骤2：在U盘的驱动器图标上单击鼠标右键，在弹出的快捷菜单中选择【启用Bitlocker】命令，如图所示，打开Bitlocker驱动器加密向导。

步骤3 选择【使用密码解锁驱动器】复选框，然后在下方的文本框中输入两次密码，再单击【下一步】按钮，如图所示。

步骤4：为了避免忘记密码，系统还会要求用户保存恢复密钥，选择【将恢复密钥保存到文件】选项，然后指定保存恢复密钥的位置，再单击【保存】按钮，如图所示。

日后如果忘记了密码，就可以通过此恢复密钥解锁。注意此文件应妥善保管，以免被他人获取。

步骤5 单击【启动加密】按钮，系统将开始对U盘进行加密。加密所需的时间可能较长，请耐心等候。当出现加密已完成的提示信息时，单击【关闭】按钮即可，如图所示。

3. 解密Bitlocker

当用户不再需要使用Bitlocker功能时，可以将其解密。Bitlocker和Bitlocker To Go的解密过程相同。

步骤1：单击Win按钮，选择【控制面板】选项，打开【控制面板】窗口。

步骤2：在【控制面板】窗口单击【系统和安全】链接文字，再单击【Bitlocker驱动器加密】链接文字，如图所示。

13、关闭自动播放

曾经有一种病毒大出风头，俗称“U盘病毒”，这个病毒是利用Windows的自动播放功能传染和传播的。

可以说，自动播放功能简化了我们很多的日常工作，但这也容易带来隐患，例如U盘病毒。如果我们的可移动存储介质感染了病毒，那么当这种存储介质连接到计算机后，自动播放功能就会自动运行病毒，感染计算机，并感染其他没有染毒的可移动存储介质。

被U盘病毒感染的可移动存储介质的根目录下会保存一个名为“autorun.inf”的文件，该文件中则指向了一个可执行的.exe文件。而根据设计，以前Windows一旦检测到可移动存储介质的根目录下存在autorun.inf文件，就会自动执行该文件指定的可执行文件。因此，一旦原本无毒的计算机中连接了感染病毒的存储设备，很可能我们还来不及反应，自己的系统就已经被感染了。

打开“控制面板”，依次进入“程序”→“默认程序”→“更改自动播放设置”，随后可以看到如图所示的自动播放设置界面。

如果希望彻底禁用自动播放功能，只需要反选窗口顶部的“为所有媒体和设备使用自动播放”选项即可。

设置好所有类型和设备的自动播放选项后，单击“保存”按钮可以保存更改，或者单击“重置所有默认值”按钮可以将所有的选项恢复为默认设置。

14、Syskey

怎样预防脱机攻击，激活成功教程本地账户的密码？

对于Windows 7企业版和旗舰版，可以使用BitLocker，如果用的Windows 7是其他版本，且不支持该功能，有什么好办法吗？

Syskey.exe可用于Windows 2000/XP/2003/Vista/7系统，并且在这些系统中的操作方式都是一样的。

在继续操作之前，请确定计算机上装有软驱，并且手头有空白的被格式化过的软盘。很令人费解，现在配备软驱的计算机已经很少了，毕竟软盘的容量小、速度慢，可靠性还差，但这里只能使用软盘。为了避免软盘损坏后无法使用系统，在创建好这张“密钥盘”后，建议直接将其中的文件复制到别的软盘中以进行备份，这样一张软盘损坏了，还可以使用其他软盘应急。同时请注意，一定要将密钥盘和密钥盘的备份保存在安全的地方。另外，该功能一旦启用，就无法禁用，除非重装操作系统或者进行系统还原。

如果不使用外部设备，还可以通过设置额外一层密码的方式使用该功能。我们可以指定一个密码，将SAM数据库加密。这样等于在系统启动时首先需要输入一个解锁SAM数据库的密码，随后选择用户账户，并输入账户密码，以便正确登录。因此，为了方便起见，这里会介绍使用密码进行加密的方式。对于使用软盘保存密钥的方式，可操作性太低，这里不再介绍。

打开“开始”菜单，在搜索框中输入“Syskey”后按回车键，即可打开该程序。

在随后出现的“保证Windows账户数据库的安全”对话框中，确保已经选中了“启用加密”选项，然后单击“更新”按钮，随后可以看到如图所示的界面。

随后单击“确定”按钮两次，关闭该工具。

切换Syskey工作方式的方法很简单，正常启动系统，并使用管理员账户登录，运行Syskey界面上选中“启用加密”，单击“更新”按钮，然后选中“系统产生的密码”，并选择“在本机上保存启动密钥”选项，并输入目前使用的启动密码即可。

经过上述操作，SAM数据库实际上依然被加密保存，只不过解密所需的密钥已经保存到本地硬盘上，因此，启动系统的时候可以直接看到登录界面。

15、操作中心

对于一般用户，可能很难判断出自己的系统当前是否是安全的，因为有太多因素会影响系统的安全性，例如，是否安装了反病毒软件，反病毒软件的实时监控功能是否被启用，病毒定义是否被更新到最新，是否安装了网络防火墙，网络防火墙是否被启用，系统的安全设置是否存在问题等。

注意：Windows操作中心功能并不是安全软件。

全新安装好Windows后，可能很快就会看到操作中心警报如下图所示，因为它会提醒我们系统中没有安装反病毒软件，或者病毒定义过期。

按照提示安装好反病毒软件或更新病毒定义后，操作中心程序就开始在后台工作。很多人可能觉得，如果系统已经完全满足操作中心的要求，需要的软件都安装了，需要的设置也都设置好了，那以后是否可以禁用该功能，以节约系统资源。在这里建议尽量不要这样做，因为有时候可能会有恶意软件修改我们的系统设置，让原本安全的系统变得不够安全。

这时候，正常情况下的反病毒软件是需要干预的，然而一旦发生漏报，就会直接危害到系统安全。如果启用了操作中心，系统会立刻提醒我们系统的安全设置发生了改变；如果将其禁用，我们可能就会在很长一段时间内在毫无察觉的情况下进行在线交易或者网上支付等活动，危险不言而喻。

单击桌面右下角通知区域内的操作中心图标后，可以看到类似下图所示的弹出菜单，这里会列出所有可能存在的问题。

单击对应的条目，即可查看详细信息，以及建议的解决方法，例如，如果没有安装反病毒软件，那么操作中心会提供获取这些软件的方法；如果反病毒软件被禁用，直接单击操作中心提供的按钮就可以将反病毒软件启用，或者对其进行更新。

在图中所示的界面中单击“打开操作中心”链接后，即可看到操作中心主界面，如图所示。

之前已经提过，操作中心可以提示有关安全性，以及维护工作的相关事件，从图中也可以看出，这些内容被划分为“安全”和“维护”两个类别。

默认情况下，这两个类都是被合并的，只有需要注意的问题才会突出显示出来，并且取决于问题的严重程度，不同的问题会用不同的颜色进行标识。红色通常意味着可能严重影响系统安全性或稳定性的问题，需要尽快着手解决；黄色意味着问题虽然存在，但影响不会太大，不过依然有必要解决，取决于具体的问题，我们需要单击对应的操作按钮进行解决。

例如，病毒防护软件被关闭，那么这里就提供了“立即启用”按钮，单击它即可将该软件启动。

单击打开“安全”类别后可以看到，Windows 7的操作中心可以监控多个与安全有关的内容，这些内容包括：

• 网络防火墙默认情况下，该项目会检测Windows防火墙的状态，查看该防火墙是否启用，如果被禁用，则提供启用Windows防火墙的选项。如果系统中安装了第三方网络防火墙软件，并且支持安全中心所用的 WIM 标准，那么从这里就可以监控安装的其他防火墙。
• WindowsUpdate这里可以检测WindowsUpdate是否启用，以及是否使用了推荐的设置。如果没有启用，或者没有使用推荐设置，这里就会用不同的颜色进行区别。
• 病毒防护这里可以检测系统中是否安装了反病毒软件，以及软件的状态。如果没有安装，则通过这里提供的按钮，我们可以在网页中查看微软推荐的所有反病毒软件。如果已经安装，但没有启用，或病毒库定义过期，则可以通过这里提供的选项直接启用反病毒软件，或更新病毒库定义。
• 间谍软件和不需要的软件防护除了病毒，网上还有一些不受欢迎的程序，由于这些内容的破坏性不强，因此，很多人将其称之为间谍软件或恶意软件。Windows 7中自带了微软的反间谍软件Windows Defender，该项目对应了这个软件的相关信息。另外，很多第三方的反病毒软件往往具有反间谍软件功能，或者我们可能安装其他第三方的专门反间谍软件，这种情况下，取决于软件对操作中心功能的支持情况，也可以从操作中心直接查看软件的状态，或对其进行管理。
• Internet安全设置Windows7包含InternetExplorer8浏览器，这是迄今为止微软提供的最安全的浏览器软件，该软件的大部分设置都是以保持安全性为首要目标的。但由于各种原因，Internet Explorer选项的安全性可能会降低，例如，为了浏览某些网站，我们可能需要将原本安全的设置修改为不太安全的状态；或者系统中感染了恶意软件，可能会偷偷修改Internet Explorer配置。此时可使用操作中心对IE的安全状态进行监控，一旦发现配置被改动，即可立刻发出警报，并提供用于纠正问题的选项。
• 用户账户控制用户账户控制（UAC）是从Windows Vista开始增加的一个功能，可以有效地防范管理员特权的滥用。然而因为各种原因，大家对该功能的评价并不太好。不过，在Windows 7中，这一现象将彻底得到改善，因为微软已经重新设计了整个UAC功能的行为，并且提供了更细致的选项供我们根据实际情况进行调整。
• 网络访问保护这个网络访问保护也是从Windows Vista开始新增的功能，但该功能需要配合Windows Server 2008以上的服务器操作系统在域环境中使用。简单来说，在将计算机（主要是笔记本等便携式计算机）连接到企业网络之前，系统首先需要通过健康度检查，例如，是否安装了所有的补丁程序，反病毒软件定义是否为最新等。如果不符合要求，则这台计算机将无法访问网络，或者只能访问网络中被隔离的修补服务器，并通过修补服务器修复健康问题。该功能需要域环境的支持，并且需要专门的服务器，因此，并不适合一般用户使用。

操作中心中有关安全问题的内容，主要可以分为下列几种情况：

对于错误的设置，操作中心则会在对应的类别下提供一个“还原设置”按钮，只要单击这个按钮，不用知道具体有哪些设置需要改变，操作中心就会自动将不安全的设置修改为推荐的安全的设置。

如果已经安装了反病毒软件，但操作中心无法检测到该软件的存在，依然报告说没有安装反病毒软件，这时候可以单击对应类别下的“关闭有关×××的消息”链接，这样的内容就会被操作中心隐藏，不再反复提示。

在这里可以根据实际需要进行选择，例如，如果不希望操作中心频繁通知我们已经知道的安全问题，可将对应的类别反选。如果随后希望重新看到相关类别的通知，也只需要在这里将其选中即可。

16、更安全的64位系统

当前，64位计算是一个很流行的话题，那么到底什么是64位计算？相比传统的32位计算，有什么好处？又有什么不足？

要获得64位环境，必须有64位的处理器，现阶段，AMD以及Intel的主流处理器基本都已经支持这一技术（x64）。除此之外，还需要有64位操作系统，以及驱动程序和软件的配合。对于x64架构（也是普通用户所能接触到的唯一64位架构环境）系统，可以运行大部分32位应用程序，但依然要求使用64位驱动程序，32位驱动程序在这种情况下根本无法安装。

注意：有关64位处理器的架构。

64位架构的处理器类型有很多，例如，Intel的安腾处理器就使用了IA-64架构，但这种硬件需要专用版本的Windows系统，主要用于服务器以及高端工作站等领域，不是普通用户所能接触到的。

对于普通用户，最常见的则是x64架构的处理器，这种环境下使用的操作系统和驱动程序，以及应用程序通常更容易获得。

在使用64位环境后，除了可以使用更多的内存外，还有很多其他的好处，最主要的可能就是一些需要较大运算量或内存占用多的专业程序，例如图形和视频处理、编辑软件、数据库应用等。因为应用程序在64位环境下可以使用更多的内存，并且处理器的总线更宽，数据的传输速度更快。因此，在一些专业领域，如果能配合使用64位应用程序，操作效率将得到大幅度提高。

那么对于普通用户，如果不需要处理大量的数据，不需要使用大量的内存，64位是否毫无价值？其实也并不是这样，它可以获得更好的安全性。对于64位Windows，因为使用了与传统的32位系统完全不同，并且更先进的内核，因此，可以从中获得大量有关安全性的改进，就算是普通用户，如果可以使用64位环境，系统的安全性也将得到很大的提高。

注意，这些改进是64位Windows 7独有的。

1. 数据执行保护

在对计算机系统进行攻击时，缓冲区溢出攻击是一种很常见的做法。缓冲区是在内存中划分出的一块供应用程序临时存储数据的区域，每个应用程序可以使用的缓冲区大小是固定的，而一旦应用程序尝试给缓冲区中写入超过固定大小的数据，就会导致缓冲区溢出，这将导致超出缓冲区大小的数据会覆盖掉内存中的其他非缓冲区数据。这个就像是一个水池，装水的容量是固定的，如果一定要装入更多的水，那么自然会溢出到水池外。

因此，攻击者可能会尝试输入超出应用程序可接受范围的数据的方式，在系统内存中产生缓冲区溢出现象，而如果攻击者的技术水平够高，就会使得“溢出”的数据成为某种指令，让操作系统执行某些恶意代码，并且这一执行工作是按照被溢出的程序的特权级别来运行的。可想而知，如果是Windows系统本身，或者某些需要高特权的应用程序存在缓冲区溢出漏洞，攻击者将使用非常高的特权执行自己的恶意代码，并导致严重的后果。

其实，32位Windows中也包含DEP功能，不过是通过软件形式实现的，而64位Windows则可以充分利用64位处理器所包含的硬件DEP功能，在硬件层面上实施DEP保护。因此，这样的保护更难以被攻破。

要配置Windows 7的DEP功能，请按照下列步骤操作：

• 打开“开始”菜单，在“计算机”上单击鼠标右键，选择“属性”，打开系统属性窗口。
• 在窗口左侧的列表中单击“高级系统设置”，打开系统属性对话框，单击第一个“设置”按钮，打开“性能选项”对话框。
• 选择“数据执行保护”选项卡，随后可以看到如图所示的内容。

• 在对话框底部可以看到本机所能支持的DEP模式。如果使用了64位处理器，那么从这里可以看到，本机支持“基于硬件的 DEP”，否则将显示为“基于软件的DEP”。
• 默认情况下，系统只针对重要的Windows服务和内建程序启用DEP功能，我们安装的其他应用程序将无法受到保护。因此，如果希望获得更全面的保护，可以选中“为除下列选定程序之外的所有程序和服务启用DEP”选项。
• 通过上述设置，系统中运行的所有内容都将受到DEP的保护。然而该功能存在一定的问题，如果某个程序的编写不够完善，即存在Bug，可能导致完全无法正常运行，或者运行一段时间后自动出错并退出的情况。因此，在进行上述设置后，如果发现某个程序开始出错，可以将其添加到列表中，这样系统就不会对该程序启用DEP。为此，只需要单击“添加”按钮，并将该程序的可执行文件（.exe）添加到列表中即可。

DEP功能可以有效地防范缓冲区溢出攻击，然而需要提醒注意的是，缓冲区溢出攻击并非唯一的攻击方式，因此，不能因为启用了DEP就不使用其他安全软件。反病毒软件、反间谍软件，以及网络防火墙等安全工具的使用还是很有必要的。

2. Kernel Patch Protection

KPP功能可以检测对内核内存中重要位置的改动操作，如果改动是通过未经授权的方式（例如用户模式的应用程序试图恶意调用某些操作系统函数）进行的，那么，KPP会立刻生成一个STOP错误（也就是让整个操作系统蓝屏挂起），防止系统内核被恶意修改。同时，该功能还可防范内核模式的驱动（要知道，很多病毒或恶意软件为了感染或驻留在系统中，往往会给系统中安装驱动程序）影响到重要的内核服务，或者其他第三方软件更改系统内核。

根据微软的介绍，如果驱动程序尝试执行下列操作，KPP功能将会生成STOP错误：

• 修改系统服务表。
• 修改中断描述表（InterruptDescriptorTable，IDT）。
• 修改全局描述表（GlobalDescriptorTable，GDT）。
• 使用并非由内核所分配的内核堆栈。
• 在AMD64架构的系统中对内核进行任何形式的更新。

由此可见，在正常运行Windows的过程中所遇到的蓝屏死机，并非总是代表系统不稳定，有些情况下属于系统的自我保护手段。因此，如果遇到蓝屏死机问题，还需要结合错误信息仔细分析。

对于普通用户，KPP没有任何可供配置的选项。不过一定要确保自己使用的所有设备驱动都是符合要求的。

3. 驱动强制签名

强制签名的另一项好处是，可以更清晰地知道某个驱动的来源。为了让自己的驱动获得微软的签名，硬件厂商在提交自己的驱动给微软的同时，还需要提供自己的详细信息，微软会根据这些信息为每个驱动创建标识符。这样，一旦驱动导致系统崩溃或其他问题，通过Windows的错误报告机制，微软就可以知道问题具体是由哪个驱动导致的，这个驱动又是谁发布的。在收集了大量这样的信息后，还可以直接将相关内容告诉驱动的作者，由作者改进自己的驱动。

如果只希望加载未签名驱动程序一次，例如，驱动程序开发人员希望测试自己开发的驱动，可以按照下列步骤操作：

重新启动计算机，在BIOS自检之后按下“F8”键，打开如图所示的高级启动选项页面。

通过键盘上的方向键，选中“禁用驱动程序签名强制”选项，并按下回车键。系统会自动启动，并且会加载未经签名的驱动。

如果重新启动系统，并使用正常方式启动，此类驱动将被禁止加载。

如果是一般用户，希望在64位Windows 7中使用驱动未经签名的硬件设备，则需要永久性禁用强制驱动签名，为此，可执行下列操作：

打开“开始”菜单，在搜索框中输入“cmd”，在搜索结果中的“程序 cmd”上单击鼠标右键，选择“以管理员身份运行”，打开管理员权限的命令行窗口。

运行下面两条命令：

bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS bcdedit.exe -set TESTSIGNING ON 

重新启动系统，强制驱动签名功能将被彻底禁用。

bcdedit,exe -set loadoptions ENABLE_INTEGRITY_CHECKS bededit.exe -set TESTSIGNING OFF 

17、更安全的系统内核

除了64位Windows 7中的安全性改进外，在Windows 7中还有很多与安全有关的改进，并且32位版本的Windows也可以享受到。

1. 代码完整性检查

2. Windows资源保护

任何运行于内核模式的代码都有可能导致内核数据的损坏，而这些问题的诊断和修复可能非常困难，也非常麻烦。

在Windows 7中，可以受到Windows资源保护功能保护的内容包括：

• 可执行文件、库文件，以及其他Windows自带的重要文件。
• 重要的系统文件夹。
• 重要的注册表键设置。

该功能没有可配置的选项。

3. Windows服务加固

以前，很多攻击方式（尤其是蠕虫）都会利用Windows服务中存在的漏洞进行网络攻击，这主要是因为很多Windows服务都需要监听传入的连接，并且通常具有系统级的特权。因此，一旦出现漏洞，就可以让攻击者通过远程的方式执行高权限任务。

Windows服务加固功能可通过下列手段降低被攻陷服务所造成的影响：

• 为每个服务添加安全标识符（SID），使得不同的服务可被正确区分，并可利用现有的Windows访问控制模型对每个服务可访问的对象和资源进行限制。
• 将服务原本使用的LocalSystem转为使用特权更少的账户，例如，LocalService或NetworkService，这样可以进一步降低服务的权限级别。
• 将每个服务中非必需的Windows特权进行严格限制。
• 为服务实施写入限制令牌，使得服务只能访问有限的文件和其他资源，而无法修改系统的其他部分。
• 为服务分配网络防火墙策略，防范服务涉及用途之外的不必要的网络访问，而且这些防火墙策略还可以直接针对每个服务的SID进行分配，也可以忽略用户在防火墙中设置的例外或规则。

4. 地址空间布局随机化

最后

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。

干货主要有：

①1000+CTF历届题库（主流和经典的应该都有了）

②CTF技术文档（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ CTF大赛、web安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

扫码领取