windows PC下安全设置愚见

  总结下这周学到的，菜鸟级别，高手勿喷。以前总不爱总结，努力改掉。

一、本地系统策略设置

（1）显示上次登录时间

打开电脑，一天的工作娱乐开始了。被文档淹没或者游戏电视剧包围之前，是不是看下，有木有人在你不在的时候，打开过你的电脑。

Windows中有一个庞大的数据库文件保存着各种各样的设置，听起来很复杂，但是不用怕。我们有两个方便的途径进行这个重要文件的安全修改，组策略和注册表。其中组策略更易操作。

在Win7组策略设置窗口中，选择左边的树形结构，进入“组策略→计算机配置→管理模块→Windows 组件→Windows 登录选项”，点击“在用户登录期间显示有关登录以前的信息”，将这个项目的设置状态改为”已启用“。 

据说效果是这样的。

（2）杀毒软件和防火墙

打开了电脑，是不是有杀软和防火墙已经勤恳的运行起来，马力十足的保护你的电脑了呢？如果没有，唔，还是装一个吧。当然高手请无视我这句话。这方面没有什么经验，所以没有什么可以推荐的╮(╯_╰)╭。

电脑不联网，就像海中的孤岛，孤独且安全。但是辣样怎么有乐趣呢，所以联网几乎是大家打开电脑后第一动作，有没有想过，面前的电脑是否已经准备好，面对这个满满恶意的网络世界了呢？

（3）局域网路由设置

还记得我家楼上那个不设密码网速10M/S的WIFI。有点点害怕那家里面坐着是个偷窥隐私狂来着。

路由器设置好了，可以上网了。突然发现网速变慢了。肿么办。唔，看着卡成PPT的夏洛克很伤心，那就来改造路由器吧。首先要修改路由器登录口令。

①　采用WPA/WPA2-PSK加密
蹭网一族一般用的都是傻瓜破解软件，只能破解WEP加密的无线信号；稍微高级点的蹭网大仙们会用抓包工具分析数据包里面的内容，从而破解得到WEP的密钥。但是如果采用了WPA-PSK或者WPA2-PSK加密的话，除非你遇上顶级黑客，给他个十天半个月时间，其他情况下没有人可以蹭到你的网啦。这是目前杜绝蹭网最有效的方法！
设置方法也很简单，只要进到无线参数→基本设置中，把加密模式改为WPA-PSK，再输入密钥就OK啦。
如图：

②　加MAC地址过滤无线设置一栏下，有一个功能为MAC过滤，用于组织或者允许对应MAC地址的电脑接入。每台电脑的网卡都有唯一的一个地址叫MAC地址，我们只需要允许自己的电脑可以接入，其他电脑不可以，就达到了防止蹭网的目的，首先，启用该功能，然后选择“阻止未定义的电脑接入”。其次，添加新条目，把自己电脑的MAC地址填进去（在线的MAC地址可以通过无线参数→主机状态里查看）就按照下图的设置，把MAC改为自己的电脑，点击保存，OK！如果是好几台电脑都要共享的，那么把这几台的MAC也都按如上方法添加～

③　防止ARP欺骗

a. 说明

 当使用了防止ARP欺骗功能（IP和MAC绑定功能）后，最好是不要使用动态IP，因为电脑可能获取到和IP与MAC绑定条目不同的IP，这时候可能会无法上网，通过下面的步骤来避免这一情况发生吧。1）把路由器的DHCP功能关闭：打开路由器管理界面，“DHCP服务器”－＞“DHCP服务”，把状态由默认的“启用”更改为“不启用”，保存并重启路由器。2）给电脑手工指定IP地址、网关、DNS服务器地址，即路由器的IP。

b. 设置路由器防止ARP欺骗

打开路由器的管理界面，在左侧的菜单中可以看到：“IP与MAC绑定”的功能，这个功能除了可以实现IP和MAC绑定外，还可以实现防止ARP欺骗功能。打开“静态ARP绑定设置”窗口如下：
注意，默认情况下ARP绑定功能是关闭，请选中启用后，点击保存来启用。在添加IP与MAC地址绑定的时候，可以手工进行条目的添加，也可以通过“ARP映射表”查看IP与MAC地址的对应关系，通过导入后，进行绑定。

1、手工进行添加，单击“增加单个条目”。
填入电脑的MAC地址与对应的IP地址，然后保存，就实现了IP与MAC地址绑定。2、通过“ARP映射表”，导入条目，进行绑定。

打开“ARP映射表”窗口如下：
这是路由器动态学习到的ARP表，可以看到状态这一栏显示为“未绑定”。如果确认这一个动态学习的表没有错误，也就是说当时不存在arp欺骗的情况下，把条目导入，并且保存为静态表，这样路由器重启后这些条目都会存在，实现绑定的效果。若存在许多计算机，可以点击“全部导入”，自动导入所有计算机的IP与MAC信息。导入成功以后，即已完成IP与MAC绑定的设置。如下：
可以看到状态中已经为已绑定，这时候，路由器已经具备了防止ARP欺骗的功能，上面的示范中只有一个条目，如果您的电脑多，操作过程也是类似的。有些条目如果没有添加，也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外，也可以使用手工添加的方式，只要知道电脑的MAC地址，手工添加相应条目就可。在“ARP映射表”中可以看到，此计算机的IP地址与MAC地址已经绑定，在路由器重启以后，该条目仍然生效

c. 设置电脑防止ARP欺骗

     路由器已经设置了防止ARP欺骗功能，接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序，我们可以在windows的命令行界面来进行配置。Windows XP系统的设置方法：点击“开始”，选择“运行”，输入“cmd”，打开windows的命令行提示符如下：

通过“arp –s 路由器IP+路由器MAC”这一条命令来实现对路由器的ARP条目的静态绑定，如：arp –s 192.168.1.1 00-0a-eb-d5-60-80；可以看到在arp -a 命令的输出中，已经有了我们刚才添加的条目，Type类型为static表示是静态添加的。至此，我们也已经设置了电脑的静态ARP条目，这样电脑发送到路由器的数据包就不会发送到错误的地方去了。怎么知道路由器的MAC地址是多少呢？可以打开路由器的管理界面，进入“网络参数”－＞“LAN口设置”：
LAN口的MAC地址就是电脑的网关的MAC地址。细心的人可能已经发现了，如果使用上面的方法，电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗，有没有更简单的方法自动来完成，不用手工输入呢？有！Windows 7系统的设置方法：1、管理员身份运行命令提示符。2、命令：netsh -c i i show in 查看网络连接准确名称。如：本地连接、无线网络连接。3、执行绑定:netsh -c i i add neighbors "网络连接名称" "IP地址" "MAC地址"。4、绑定完成，电脑重启静态ARP不失效。如图所示：

（4）关闭不必要的端口

（5）Administrator以及账户设置

（6）ipc$和共享设置

（7）关闭远程注册表及远程桌面