五、系统安全优化:为了弥补Windows系统安全性的不足,Windows优化大师为用户提供了增强系统安全的一些措施。
1、Windows9x用户
系统启动时显示的警告窗口标题、系统启动时显示的警告窗口内容。Windows用户可以在开机时显示提示信息,通过这两个选项,用户可以设置提示信息窗口的标题和内容。部分恶意网站访问后开机时,会弹出诸如推荐网站“欢迎访问http://”样式的窗口,用户也可以在此将其删除。
开机自动进入屏幕保护。选中该选项后,在右栏选择屏保文件后,单击优化。重新启动系统后,Windows启动时将直接进入屏幕保护。
每次退出系统后,自动清除文档记录。选中该项Windows每次启动时自动清除“运行”、“文档”、“历史记录”框中的历史记录。
启用Word97宏病毒保护。如果您安装了Word97,可以选中此项。
去除IE分级审查口令。如果您忘记了IE分级审查口令,建议选择此选项。
禁止光盘自动运行。选中该项,插入光盘,Windows将不自动运行光盘上的AutoRun.inf文件。
开始菜单。单击该项后出现的列表框中列出了一些可以屏蔽的开始菜单中的选项,根据提示,去掉选项前的小勾,单击确认,退出Windows优化大师后重启系统,即可隐藏开始菜单中的该项目。
应用程序。单击该项后出现的列表框中列出了开始菜单/程序中的所有选项,选中要隐藏的程序后,单击确认后,退出Windows优化大师后,重启系统即可。
控制面板。单击该项后出现的窗口中列出了用户电脑中控制面板中所有可以显示的项目,每一项Windows优化大师都给出了对应的详细说明信息。如果用户看了控制面板项目的相关说明信息后依然不能确定该项目的用途,可以选中控制面板项目列表中的某一项后点击“运行”按钮来进一步确定该项目的用途。确定用途后,用户如果不想这些项目被电脑的其他使用者设置,可以在此将需要隐藏的项目打上勾,然后单击“确定”按钮即可将这些项目隐藏。
更多设置,在更多设置里提供了一些高级选项给对Windows有一定使用经验的用户。包括隐藏控制面板中的一些选项,锁定桌面,隐藏桌面上的所有图标,禁止运行注册表编辑器Regedit,禁止运行任何程序等。
检查和免疫。Windows优化大师可以检查一些常见的黑客木马、蠕虫等病毒,并且可以针对一些系统安全漏洞进行修改和弥补。用户选中扫描动作后单击“扫描”即可。
附加工具。附加工具包括端口分析、端口说明、Ping等功能模块。
(1)、端口分析能够检测当前系统开放的TCP和UDP端口,并且根据分析结果结合Windows优化大师自带的端口说明数据库向用户报告网络的可疑活动。同时,Windows优化大师还向用户报告开启每一端口的进程。
(2)、端口说明是向有经验的用户提供的以端口为特征的黑客木马病毒库维护模块。用户可在此添加、修改和删除可以程序的特征端口。编辑的格式为:协议名称(TCP或者UDP) 端口号=端口说明。若“Windows优化大师”退出附加工具时发现用户改变了端口说明数据库,将提示用户是否保存已进行的更改。备注:Windows进程管理在2000/XP/2003下运行时也使用了该端口说明列表,因此,用户在此处的改动还会影响Windows进程管理中进程开启端口的说明信息。
(3)、Ping。Ping是常用的检测网络通断的方式。Windows本身就有一个命令行下的Ping程序。Windows优化大师提供的Ping功能有所增强,它能在极短的时间内检测一个网段内的指定IP地址区间中各地址是否可以连接,向用户提供可连接地址的IP、工作组、计算机名称、用户名、网卡物理地址、共享资源等信息。适合网吧或局域网用户及时了解局域网内部的网络情况。提示:1、在共享资源下方选择“计算机”并输入欲检测对象的IP地址或计算机名可以检测该计算机的共享资源;选择“工作组”并输入工作组名称,可以检测该工作组下属的共享资源。2、选中“自动检测可连接地址的共享资源”可在Ping的同时检测出对方的共享资源。
2、Windows2000/XP/2003:(以下仅说明与Windows9x不同的选项)
屏蔽Windows2000登录漏洞。选择此项将去除Windows2000(未安装Pack1包的系统)的登录漏洞,若选择此项处理后对您的应用造成影响,不选择本项再点击“分析处理”即可。备注:在WindowsXP中没有此选项。
关闭445端口。当部分Windows系统(即部分禁止了基于TCP/IP的NetBIOS协议的Windows系统)作为客户端连接SMB服务器(如:文件和打印共享服务器)将使用445端口,然而部分木马、蠕虫或扫描器也利用了该端口来破坏系统。选择此项将关闭445端口,若选择此项处理后对您的应用(例如文件和打印机共享)造成影响,不选择本项再点击“分析处理”即可。
防止SYN泛滥攻击。SYN泛滥攻击(SYN flooding attack)是专门针对专门针对TCP协议栈在两台主机间初始化连接握手过程中的DoS攻击,其在TCP连接握手的三个步骤中只进行了前两个步骤,由于第三步应答ACK未进行,造成服务方等待,最终服务方系统的TCP缓冲区满溢(泛滥),从而资源耗尽,失去响应。备注:TCP连接握手三步骤及SYN泛滥攻击的原理请参阅TCP/IP协议。选择此项Windows优化大师将在Windows2000/XP/2003中防止该类攻击。备注:在设置本项时,Windows优化大师还设置了TCP转发无应答的SYN-ACK的时间,以确保防止SYN泛滥攻击的成功。
禁止Windows2000/XP/2003自动登录功能。选中该选项将不允许Windows2000/XP/2003自动登录。
自动登录。该项是将Windows设置为登录时不需输入用户名和密码即可自动进入系统。用户在设置时需要输入用户名称、密码和登录的主机(或登录的域)。为了保护系统的安全,不建议多人共用一台电脑时使用该功能。
禁止用户向Windows2000/XP/2003建立空连接。默认情况下,Windows2000/XP/2003的任何用户可通过空会话(无信任支持的NULL 会话)连上服务器,枚举账号并猜测密码。建议选择该选项来消除此安全隐患。注:空会话可能是微软自己设置的后门,它能够非常容易地找到PDC,通过安全通道的密码验证,从而在多域中建立信任关系。详情请参阅微软官方网站的相关说明。
禁止系统自动启用服务器共享。在 Windows 2000/XP/2003中,计算机上所有的驱动器(如驱动器 C 或 D)都使用形如驱动器字母加$的名称(如 C$ 或 D$)自动共享。由于在驱动器字母后面添加了$符号,因此这些驱动器不会显示如“我的电脑”和“Windows资源管理器”中表示共享的手形图标,并且当用户远程连接到您的计算机时它们也会隐藏。为保证安全,建议选择该项。
禁止系统自动启用管理共享。说明同上,区别在于该项为禁止Admin$的默认共享。建议选择。
