隨著Windows XP在個人電腦上面的普及,越來越多的人開始與Windows XP形影不離,盡管Windows XP有著超強的穩定性和可靠的安全性。然而,陸續發現的漏洞,還是讓Windows XP已經有了被攻擊的威脅。本文將就Windows XP操作系統如何在安全性上得到改善,進一步提高用戶使用Windows XP操作系統的安全性,以及平時維護應注意的一些事情展開討論,希望能對廣大Windows XP用戶有些幫助。
1.安裝安全策略 (1) 不要選擇從網絡上安裝 雖然微軟支持在線安裝,但這絕對不安全。在系統未全部安裝完之前不要連入網絡,特別是Internet。甚至不要把一切硬件都連接好來再安裝。因為Windows XP安裝時,在輸入用戶管理員賬號“Administrator”的密碼後,系統會建立一個“ADMIN”的共享賬號,但是並沒有用剛輸入的密碼來保護它,這種情況一直會持續到計算機再次啟動。在此期間,任何人都可以通過“ADMIN”進入系統;同時,安裝完成,各種服務會馬上自動運行,而這時的服務器還到處是漏洞,非常容易從外部侵入。
(2) 要選擇NTFS格式來分區 最好所有的分區都是NTFS格式,因為NTFS格式的分區在安全性方面更加有保障。就算其他分區采用別的格式(如FAT32),但至少系統所在的分區中應是NTFS格式。另外,應用程序不要和系統放在同一個分區中,以免攻擊者利用應用程序的漏洞(如微軟的IIS的漏洞)導致系統文件的洩漏,甚至讓入侵者遠程獲取管理員權限。
(3) 系統版本的選擇 版本的選擇:Windows XP有各種語言的版本,對於我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug & Patch而著稱的,中文版的Bug遠遠多於英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公布了漏洞後你的機子還會有半個月處於無保護狀況)。
(4) 組件的定制
Windows XP在默認情況下會安裝一些常用的組件,但是正是這個默認安裝是很危險的,你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的權限=最大的安全。
(5) 分區和邏輯盤的分配
建議建立多於兩個分區,一個系統分區,一個以上應用程序分區,把系統分區和應用程序分區分開,以此來保護應用程序,一般來說,病毒或者黑客利用漏洞攻擊,損壞的是系統分區,而不會對應用程序分區造成損壞。
2.賬號安全策略 (1)用戶安全設置 檢查用戶賬號,停止不需要的賬號,建議更改默認的賬號名。
1)、禁用Guest賬號在計算機管理的用戶裡面把Guest賬號禁用。為了保險起見,最好給Guest加一個復雜的密碼。
2)、限制不必要的用戶 去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限,並且經常檢查系統的用戶,刪除已經不再使用的用戶。
3)、創建兩個管理員賬號創建一個一般權限用戶用來收信以及處理一些日常事物,另一個擁有Administrator權限的用戶只在需要的時候使用。
4)、把系統Administrator賬號改名Windows XP的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。
5)、創建一個陷阱用戶創建一個名為“Administrator”的本地用戶,把它的權限設置成最低,什麼事也干不了的那種,並且加上一個超過10位的超級復雜密碼。
6)、把共享文件的權限從Everyone組改成授權用戶 不要把共享文件的用戶設置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的。
7)、不讓系統顯示上次登錄的用戶名 打開注冊表編輯器並找到注冊表項HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName,把鍵值改成1。
8)、系統賬號/共享列表 Windows XP的默認安裝允許任何用戶通過空用戶得到系統所有賬號/共享列表,這個本來是為了方便局域網用戶共享文件的,但是一個遠程用戶也可以得到你的用戶列表並使用暴力法破解用戶密碼。可以通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空連接,還可以在Windows XP的本地安全策略(如果是域服務器就是在域服務器安全和域安全策略中)就有這樣的選項RestrictAnonymous(匿名連接的額外限制),這個選項有三個值:
0:None. Rely on default permissions(無,取決於默認的權限)
0這個值是系統默認的,什麼限制都沒有,遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網絡傳輸列表等等,對服務器來說這樣的設置非常危險。
1:Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM賬號和共享)
1這個值是只允許非NULL用戶存取SAM賬號信息和共享信息。
2:No Access without explicit anonymous permissions(沒有顯式匿名權限就不允許訪問)
2這個值是在win2000中才支持的,如果不想有任何共享,就設為2。一般推薦設為1。
(2) 口令安全設置 1)、使用安全密碼 要注意密碼的復雜性,還要記住經常改密碼。
2)、開啟密碼策略 注意應用密碼策略,如啟用密碼復雜性要求,設置密碼長度最小值為8位,設置強制密碼歷史為5次,時間為42天。
3.應用安全策略 (1)安裝殺毒軟件
殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序,因此要注意經常運行程序並升級病毒庫。
(2)安裝防火牆
偵聽外界對本機所采取的攻擊,及早提醒用戶采取防范措施。
(3)安裝系統補丁
到微軟網站下載最新的補丁程序:經常訪問微軟和一些安全站點,下載最新的Service Pack和漏洞補丁,是保障服務器長久安全的唯一方法。
(4)啟用電源保護功能
使用電腦處理文件時, 最擔心的就是計算機突然掉電, 因為這種突然掉電不但會使自己的辛勤勞動成果頃刻間化為烏有, 嚴重的話還會使計算機受到損傷。為了防止各種情況下的意外掉電, 保證計算機的安全正常工作, 我們應該在電源管理中啟用按下電源按鈕時詢問或直接休眠的功能。
如果您要啟動電源保護功能的話, 可以用鼠標在Windows XP的桌面上依次單擊“開始”/“控制面板”/“性能和維護”/“電源選項”,在彈出的設置框中選擇“高級”標簽,在對應的標簽頁面下找到“按下計算機電源按鈕時”設置項,然後在設置框中選擇“休眠”或者“問我要做什麼”選項,如果選擇“關機”選項的話,就相當於沒有啟用電源保護功能。
(5)使用屏保程序
看到“屏保”二字, 大家肯定會很自然地想到計算機中的屏幕保護程序, 它主要是通過采用不同方式輪流顯示指定圖片來達到屏幕保護的目的。但是只有當不操作電腦達到事先設置的時間後, 系統才會啟動屏幕保護程序, 如果想在任意指定的時間內啟動屏幕保護程序,該怎麼辦呢?
我們可以按照下面的操作方法來實現: 在Windows XP 的開始菜單中,依次單擊“開始”/“搜索”/“文件或文件夾”, 然後在彈出的搜索對話框中, 點擊“所有文件和和文件夾”類型並在對應文件名的文本框中, 輸入“* . scr”字符,再在搜索范圍下拉列表中, 選擇“本機磁盤(C:) ”或計算機上存儲系統文件的驅動器, 最後單擊“搜索”按鈕。
然後在找到的屏幕保護程序列表中,選擇需要的屏保程序, 並給這個屏保程序建立一個存放在桌面上的快捷方式。以後要啟動屏保程序時直接用鼠標雙擊桌面上的屏保快捷方式, 必要時還可以給“屏保”加上密碼,這樣在恢復時需重新輸入用戶名和密碼,能更加安全地保護計算機資源。
(6) 停止不必要的服務
服務開的太多也不是個好事,將沒有必要的服務通通關掉吧!服務組件安裝得越多, 用戶可以享受的服務功能也就越多。但是用戶平時使用到的服務組件畢竟有限, 而那些很少用到的組件除占用了不少系統資源,會引起系統不穩定外,還為黑客的遠程入侵提供了多種途徑。
為此我們應該盡量把那些暫不需要的服務組件屏蔽掉。具體的操作方法為: 首先在控制面板中找到“管理工具”/“服務”,然後再打開“服務”對話框,在該對話框中選中需要屏蔽的程序,並單擊鼠標右鍵, 從彈出的快捷菜單中依次選擇“屬性”/“停止”命令,同時將“啟動類型”設置為“手動”或“已禁用”,這樣就可以對指定的服務組件進行屏蔽了。
4.網絡安全策略 (1)關閉不必要的端口
關閉端口意味著減少功能,在安全和功能上面需要你做一點決策。如果服務器安裝在防火牆的後面,冒險就會少些。但是,永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統已開放的端口,確定系統開放的哪些服務可能引起黑客入侵。在系統目錄中的\system32\drivers\etc\services 文件中有知名端口和服務的對照表可供參考。具體方法為:打開“ 網上鄰居/屬性/本地連接/屬性/internet 協議(TCP/IP)/屬性/高級/選項/TCP/IP篩選/屬性” 打開“TCP/IP篩選”,添加需要的TCP、UDP協議即可。
(2)設置好安全記錄的訪問權限
安全記錄在默認情況下是沒有保護的,把它設置成只有Administrators和系統賬戶才有權訪問。
(3)使用Web格式的電子郵件系統
不要實用Outlook、Fox mail等客戶端郵件系統接受郵件,現在的一些郵件危害性很大,一旦植入本機,就有可能造成系統的癱瘓。同時,不要察看陌生人郵件中的附件,這些附件往往帶有病毒和木馬。
