如何设置学校电脑的网络环境存在安全风险

‘壹’ 如何设置防火墙使网络安全

遇到的入侵方式大概包括了以下几种：
(1) 被他人盗取密码；
(2) 系统被木马攻击；
(3) 浏览网页时被恶意的java scrpit程序攻击；
(4) QQ被攻击或泄漏信息；
(5) 病毒感染；
(6) 系统存在漏洞使他人攻击自己。
(7) 骇客的恶意攻击。
下面我们就来看看通过什么样的手段来更有效的防范攻击。
1.察看本地共享资源
运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。
2.删除共享(每次输入一个）
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e，f，……可以继续删除）因为系统重启动后,自动恢复.可以保存为*.bat文件 在组策略设置开机登陆时 自动运行该脚本文件 就不用手动来删除这些默认共享了
3.删除ipc$空连接
在运行内输入regedit，在注册表中找到 HKEY-LOCAL_ 项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口，Ipc和RPC漏洞存在于此
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
5．防止Rpc漏洞
打开管理工具——服务——找到RPC(Remote Procere Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。
Windwos XP SP2和Windows2000 Pro Sp4，均不存在该漏洞。
6．445端口的关闭
修改注册表，添加一个键值HKEY_LOCAL_在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
7．3389的关闭
WindowsXP：我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）
使用Windows2000 Pro的朋友注意，网络上有很多文章说在Win2000pro 开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。
8．4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。
4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。
所以只要你的电脑做了基本的安全配置，骇客是很难通过4899来控制你的。
9、禁用服务
打开控制面板，进入管理工具——服务，关闭以下服务：
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无
法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务，没有打印机就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
持而使用户能够共享文件 、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机](可以禁用远程桌面 系统属性 远程 允许用户登陆次计算机前不选就好 或者服务选禁用 重启动电脑后就是禁用了)
23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。
10、账号密码的安全原则
首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。
如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置。
打开管理工具—本地安全设置—密码策略：
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
11、本地策略
这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)
打开管理工具，找到本地安全设置—本地策略—审核策略：
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
&nb sp;然后再到管理工具找到事件查看器：
应用程序：右键>属性>设置日志大小上限，我设置了50mb，选择不改写事件。
安全性：右键>属性>设置日志大小上限，我也是设置了50mb，选择不改写事件。
系统：右键>属性>设置日志大小上限，我都是设置了50mb，选择不改写事件。12、本地安全策略
打开管理工具，找到本地安全设置—本地策略—安全选项：
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登
陆的]。
2.网络访问.不允许SAM帐户的匿名枚举 启用。
3.网络访问.可匿名的共享 将后面的值删除。
4.网络访问.可匿名的命名管道 将后面的值删除。
5.网络访问.可远程访问的注册表路径 将后面的值删除。
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
7.网络访问.限制匿名访问命名管道和共享。
8.帐户.（前面已经详细讲过拉 ）。
13、用户权限分配策略
打开管理工具，找到本地安全设置—本地策略—用户权限分配：
1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属
于自己的ID。
2.从远程系统强制关机，Admin帐户也删除，一个都不留。
3.拒绝从网络访问这台计算机 将ID删除。
4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务。
5.通过远端强制关机。删掉。
14、终端服务配置
(看到有人提出问题 声明一下,此操作在2000或者2003下.xp下没有)
打开管理工具，终端服务配置：
1.打开后，点连接，右键，属性，远程控制，点不允许远程控制。
2.常规，加密级别，高，在使用标准Windows验证上点√!
3.网卡，将最多连接数上设置为0。
4.高级，将里面的权限也删除。
再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话。
15、用户和组策略
打开管理工具，计算机管理—本地用户和组—用户：
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
计算机管理—本地用户和组—组，组.我们就不分组了。

‘贰’ 您的网络环境存在安全风险。为了您的帐号安全，请切换网络

如果是WIFI,先关闭机器等待重启
如果是直连，哪就在其他浏览器试试

‘叁’ 当前网络环境在风险，怎么办呢

你好，如果你看见提示当前网络环境存在风险
那么就根据具体情况，尽快终止当前交易或者
退出当时的网络环境，改用自己手机的4g网络
大部分是由于连接了一些公共的WIFI引起来的
进行一些交易支付之类的，需要注意财产安全

‘肆’ 您的安全设置级别导致计算机存在安全风险 怎么解决啊

安全设置级别导致计算机存在安全风险是因为IE浏览器的安全设置检查功能没有关闭造成的，可以在本地组策略编辑器中修改相关设置来解决。其中的具体步骤如下：

1、打开IE浏览器的主页，会出现图示的问题。

‘伍’ 如何配置网络服务器安全

服务器的安全设置很重要，所以相对也会很繁琐，需要进行的操作有很多：
系统漏洞扫描与修复；管理员账号、来宾账号、普通账号、影子账号的优化保护系
统不被黑客恶意添加或修改；
对IIS下的ASP、ASPX网站相关的EXE和DLL文件进行保护操作防止网站被恶意上传和特殊权限的运行；
对系统文件夹下
的关键二进制文件进行保护操作，确保存储的DLL文件和以及其他用于支持、配置或操作的文件的安全；对系统文件夹下的文件进行保护操作，防止系统文件被修
改，以确保系统的正常运行；
对用户配置信息的文件夹进行保护操作，以防止用户当前桌面环境、应用程序设置和个人数据信息的泄露；
对数据库进行权限优化以及
安全加固；
停止了类似Remote Registry（远程修改注册表服务） Remote Desktop Help Session
Manager（远程协助服务）
这种不必要的服务，以防被黑客利用，降低安全隐患；
关闭135和445这类用于远程过程调用，局域网中轻松访问各种共享文件夹或共享打印机的端口；
禁止掉
ICP空连接功能，以防止连接者与目标主机建立无需用户名与密码的空连接造成的风险出现；
配置backlog，提高网络并发性及网络的处理能力；
优化设置
SYN-ACK等待时间，检查无效网关用以提高网络性能；
检查TCPIP协议栈IGMP堆栈溢出本地拒绝服务、检查ICMP重定向报文，并进行优化操作，
防止被用于攻击；
禁止路由发现功能，用以防止ICMP路由通告报文带来的增加路由表纪录的攻击；
限制处于TIME_WAIT状态的最长时间，使运行的应用
程序可以更快速地释放和创建连接；
卸载掉wshom.ocx组件和shell32.dll组件，防止默认允许asp运行、exe可执行文件带来的安全隐
患；
禁止掉系统自动启动服务器共享的功能，用以防止服务器上的资源被共享功能泄露出去。
在手动配置的同时也可以安装服务器安全狗进行相应的设置，能够更加的完善服务器的安全设置，并且服务器安全狗也能给服务器提供实时防护，一举两得，新手和老手同样适合使用，免费又安全。建议可以去试试
我的服务器用的是小鸟云的，性能稳定，访问很流畅。

‘陆’ 网络环境存在安全风险怎么办

我这边知道的，防护手机安全的软件都可以，我用的是腾讯手机管家，手机和电脑都在用。下载量很高，你可以下下来试试。像一些有病毒或者钓鱼网址会有提醒，也可以设置直接屏蔽，平时也可以自己扫描一下手机里的软件是否安全。适用所有型号和系统的手机。保护自身信息不泄露更能保护手机安全。希望可以帮助到你

‘柒’ 您所处的网络环境存在安全风险

注意两点
1.确认手机里面安全中心是否设置了，网络安全等级权限之类，还是某个杀毒，防御软件和你的网络有了冲突，网络被屏蔽了。
2.还有你所连接的网络加密等级不够高，你可以登陆你连接的网络，看一下能不能设置一下。

‘捌’ 如何维护校园网络安全

如何维护校园网络安全

如何维护校园网络安全，随着校园网络的普及,校园网络的安全问题直接影响着学校各项教育教学活动的开展，校园网络安全也越来越被重视，那如何维护校园网络安全呢？下面就和大家一起接着往下看吧！

如何维护校园网络安全1

网络边缘安全区

网络边缘安全区所处的位置在校园网络与外网的衔接处，处在整个校园网络的边界区域，这个区域的物理设备主要的功能一是通过电信接入Internet。 二是通过学校接入中国教育网。三是联接学校内网并实现校内资源共享上网。四是发布对外服务器和提供远程访问服务。网络边缘安全区直接面临的就是外部高风险连接，在这个网络区域的物理设备既要保证联接外网又要保证校园网络正常事务的运行。所以网络边缘安全区的

网络边缘安全区

主要需求为：

禁止外部用户非法访问校内网络资源。校园网络进出的流量记录信息。将校园网络内网IP地址隐藏。有条件的提供安全的远程访问服务。具备检测和抵御入侵的能力。确保校园网络用户身份真实可靠，这是保证校园网络安全的最基本要求，当然合法的用户也会做出威胁校园网络安全的事情，还需详细记录用户对网络资源的访问行为和访问信息，便于之后的审计和追溯。

确保校园网络用户身份真实可靠

核心汇聚安全区

核心汇聚安全区域的设备是整个校园网络的关键节点，在校园网络中确保所连接的主干网络高速和稳定的传输，并作为校园网络流量的汇聚中心，核心汇聚设备在控制数据传输方面起着重要作用。核心汇聚安全区主要需求为：

根据具体用途划分VLAN网段。各网段间实施访问控制。根据用途对设备端口进行绑定。对设备端口的最大连接数进行限制。预防病毒流量的传输。划分VLAN，主要是缩小了广播域，一方面是防止基于广播的病毒感染整个校园网络，比如近期的勒索病毒就是一个基于广播的病毒。另一方面可以实现某.种用途的访问控制，这样就能控制VLAN间的数据传输，比如办公段、宿舍区段、校园卡段等。

某校园网络的拓扑图

接入层安全区

接入层安全区主要面临的威胁是接入主机感染的病毒利用二层协议的相关漏洞进行攻击，如MAC地址泛洪攻击、ARP欺骗攻击等。接入层设备直接与用户的主机相连，如何识别接入主机用户身份的合法性也是接入层设备在部署和配置时要做的工作。另外校园网络提供的接入点数量庞大，而且用户成份不同，可能人为的造成端口环路的现象。因此，接入层安全区的需求为：

配置接入主机对应的VLAN段。主机端口绑定。采用二次身份认证。设备接入主机数限制。防ARP攻击。端口环路检测。服务器群安全区

校园网络的服务器主要集中在计算机中心机房，主要有学校的门户网站服务器、VP N服务器以及各种应用系统服务器。为了确保这些服务器的安全主要从管理、技术和防范三个方面入手。根据服务器的用途可以分成对外服务和对校内服务两个安全区域。对外的服务器区放置的服务器相对于校园内网的服务器来说属于高风险区域，所以必须将对外服务器区与校园内网的通讯进行控制。另外校园内网中各种应用服务器安全性也不相同，为了防止出现被入侵的服务器成为“肉鸡”，来进一步攻击其它的'服务器，所以在服务器之间还需要实施隔离。服务器安全区的需求为：

服务器隔离。端口访问控制。设置DMZ区。防病毒。漏洞扫描。补丁升级。建立日志服务器。目前还没有专门收集各个网络设备日志以备事后审计和追溯的円志服务器。如果要查看某个网络设备的日志，必须通过该设备提供的接口访问查询，相对比较麻烦，所以建立日志服务器，定期对日志服务器进行审计，可以及时发现安全风险，及时杜绝安全漏洞。

杜绝安全漏洞

主机安全区

校园网络中每一个客户端带来的安全威胁主要是病毒和木马，它们可以作为一个校园网络的接入点，对校园网络造成威胁。主机安全区的需求主要为安装网络安全软件，如防病毒软件、桌面防火墙软件、漏洞扫描工具和补丁升级软件等，尽可能的保证接入主机的安全。

确保主机安全

其它的安全需求

传输线路的安全。校园网络传输线路所经过的物理位置必须远离具有电磁千扰、福射干扰等数据信号干扰源(如东侧的移动和联通的倍号驻站)。校园网络线路的安全传输。必须采取相应的检测手段来减少传输线路中数据的侦听、窃取、QoS下降及欺骗等。加强网络维护人员的管理。配置门禁系统、监控系统，增强相关设施的安全保卫，对进入机房的人员进行管理(比如刷校园卡进行管理)，建立《机房出入记录日志》。

对校园网络目前的现状进行调研。通过基于专家评分的网络安全评估方法对校园网络进行风险评估，得到校园网络安全处在高风险的结果，针对校园网络的安全现状及暴露的安全问题，通过拓扑结构将校园网络划分成网络边缘安全区、核心汇聚安全区、接入层安全区、服务器群安全区和主机安全区五个区域分别的进行了安全需求分析，最后补充了其它方面的安全需求，最终完善了校园网络的安全需求。

如何维护校园网络安全2

校园网络分为内网和外网，就是说他们可以上学校的内网也可以同时上互联网，大学的学生平时要玩游戏购物，学校本身有自己的服务器需要维护；

在大环境下，首先在校园网之间及其互联网接入处，需要设置防火墙设备，防止外部攻击，并且要经常更新抵御外来攻击；

由于要保护校园网所有用户的安全，我们要安全加固，除了防火墙还要增加如ips，ids等防病毒入侵检测设备对外部数据进行分析检测，确保校园网的安全；

外面做好防护措施，内部同样要做好防护措施，因为有的学生电脑可能带回家或者在外面感染，所以内部核心交换机上要设置vlan隔离，旁挂安全设备对端口进行检测防护

内网可能有ddos攻击或者arp病毒等传播，所以我们要对服务器或者电脑安装杀毒软件，特别是学校服务器系统等，安全正版安全软件，保护重要电脑的安全；

对服务器本身我们要安全server版系统，经常修复漏洞及更新安全软件，普通电脑一般都是拨号上网，如果有异常上层设备监测一般不影响其他电脑。做好安全防范措施，未雨绸缪。

如何维护校园网络安全3

校园网络安全及防范措施

校园网络安全及防范措施校园网建设的宗旨，是服务于教学、科研和管理，其建设原则也无外乎先进性、实用性、高性能性、开放性、可扩展性、可维护性、可操作性，但人们大多都忽略了网络的安全性，或者说在建设校园网过程中对安全性的考虑不够。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏给企业造成的损失令人触目惊心。人们在享受到网络的优越性的同时，对网络安全问题变得越来越重视。由于学校是以教学活动为中心的场所，网络的安全问题也有自己的特点。

主要表现在：

1.不良信息的传播。在校园网接入Internet后，师生都可以通过校园网络在自己的机器上进入Internet。目前Internet上各种信息良莠不齐，有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反人类的道德标准和有关法律法规，对世界观和人生观正在形成的学生来说，危害非常大。如果安全措施不好，不仅会有部分学生进入这些网站，还会把这些信息在校园内传播。

2.病毒的危害。通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入Internet后，为外面病毒进入学校大开方便之门，下载的程序和电子邮件都可能带有病毒。

3.非法访问。学校涉及到的机密不是很多，来自外部的非法访问的可能性要少一些，关键是内部的非法访问。一些学生可能会通过非正常的手段获得习题的答案，使正常的教学练习失去意义。更有甚者，有的学生可能在考前获得考试内容，严重地破坏了学校的管理秩序。

4.恶意破坏。这包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、通信媒体、工作站等，它们分布在整个校园内，管理起来非常困难，某些人员可能出于各种目的，有意或无意地将它们损坏，这样会造成校园网络全部或部分瘫痪。另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面：对学校网站的主页面进行修改，破坏学校的形象；向服务器发送大量信息使整个网络陷于瘫痪；利用学校的BBS转发各种非法的信息等。

‘玖’ 请大家帮我看下我们学校的网络要怎样弄才好管理，才能防止局域网ARP病毒： 我们学校的网络情况是这样的：

现在遇到arp攻击问题很多，像传统的解决arp攻击问题，就像你路由器的设置无非就是一个arp防火墙的软件，如，双绑，arp防火墙等都解决不了根本问题，arp属于以太网中正常的协议行为。arp欺骗属于以太网自身的协议漏洞。现在网络环境中arp攻击现象很多，往往遭到攻击时网速会很卡很慢甚至全网瘫痪，很麻烦，现在防止arp的措施也是很有限，无非就是做双绑，arp防火墙等但是这些效果都不是很好，就拿arp防火墙来说吧，ARP个人防火墙也有很大缺陷：
1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。即使配置中不默认而发出提示，缺乏网络知识的用户恐怕也无所适从。
2 、ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个“双头怪”。在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。
因为arp攻击的原理是：
1、终端对网关的绑定要坚实可靠，这个绑定能够抵制被病毒捣毁。
2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。
3、网络内要有一个最可依赖的机构，提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息，又能够对出现的假网关信息立即封杀。
所以建议你们网络升级为免疫网络，大家共享的网络谁也别想攻击，网络环境干净了。自然不会影响使用

‘拾’ 电脑连接校园网一直显示不安全

1、一般是因为无线WIFI外发信号处理弱，加密状态（也叫安全级别低的情况下）的。

2、WIFI现在加密最低级别的是WPA模式，这种方式会被很容易硬解的。如果要想更安全，就要将密码加密方式改成AES或WPA2加密模式，（即WPA-PSK/WPA2-PSK AES）。

3、将密码加密方式改成AES或WPA2加密模式，一般方法是：
进入路由->无线设置->密钥->设置密码并选择加密方式，（除了WPA外，其它2种都是安全的；密码建议设置复杂且长一些，至少大于16个字符以上。）->保存设置->重启路由就可以了。