1. WindowsXP安全設(shè)置
1.1簡單文件共享
為了讓網(wǎng)絡(luò)上的用戶只需點擊幾下鼠標就可以實現(xiàn)文件共享,XP加入了一種稱為“簡單文件共享”的功能����,但同時也打開了許多NetBIOS漏洞�����。關(guān)閉簡單文件共享功能的步驟是:打開“我的電腦”,選擇菜單“工具”→“文件夾選項”,點擊“查看”,在“高級設(shè)置”中取消“使用簡單文件共享(推薦)”。
1.2 FAT32
凡是新買的機器�����,許多硬盤驅(qū)動器都被格式化成FAT32�����。要想提高安全性�,可以把FAT32文件系統(tǒng)轉(zhuǎn)換成NTFS��。NTFS允許更全面��、細粒度地控制文件和文件夾的權(quán)限,進而還可以使用加密文件系統(tǒng)(EFS,Encrypting File System)��,從文件分區(qū)這一層次保證數(shù)據(jù)不被竊取��。在“我的電腦”中用右鍵點擊驅(qū)動器并選擇“屬性”���,可以查看驅(qū)動器當前的文件系統(tǒng)����。如果要把文件系統(tǒng)轉(zhuǎn)換成NTFS����,先備份一下重要的文件����,選擇菜單“開始”→“運行”,輸入cmd�,點擊“確定”�����。然后,在命令行窗口中����,執(zhí)行convert x: /fs:ntfs(其中x是驅(qū)動器的盤符)���。
1.3Guest帳戶
Guest帳戶即所謂的來賓帳戶���,它可以訪問計算機�,但受到限制����。不幸的是,Guest也為黑客入侵打開了方便之門��。如果不需要用到Guest帳戶�����,最好禁用它�����。在Win XPPro中,打開“控制面板”→“管理工具”��,點擊“計算機管理”����。在左邊列表中找到“本地用戶和組”并點擊其中的“用戶”,在右邊窗格中��,雙擊Guest帳戶�����,選中“帳戶已停用”�����。WinXP Home不允許停用Guest帳戶,但允許為Guest帳戶設(shè)置密碼:先在命令行環(huán)境中執(zhí)行Net user guest password命令�����,然后進入“控制面板”�����、“用戶設(shè)置”�����,設(shè)置Guest帳戶的密碼。
1.4Administrator帳戶
黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼�����。每一臺計算機至少需要一個帳戶擁有Administrator(管理員)權(quán)限�����,但不一定非用“Administrator”這個名稱不可。所以�����,無論在XP Home還是Pro中�����,最好創(chuàng)建另一個擁有全部權(quán)限的帳戶�����,然后停用Administrator帳戶。另外,在WinXP Home中�����,修改一下默認的所有者帳戶名稱�����。最后�����,不要忘記為所有帳戶設(shè)置足夠復(fù)雜的密碼。
1.5交換文件
即使你的操作完全正常�����,Windows也會泄漏重要的機密數(shù)據(jù)(包括密碼)�����。也許你永遠不會想到要看一下這些泄漏機密的文件�����,但黑客肯定會。你首先要做的是,要求機器在關(guān)機的時候清除系統(tǒng)的頁面文件(交換文件)。點擊Windows的“開始”菜單�����,選擇“運行”�����,執(zhí)行Regedit�����。在注冊表中找到HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management,然后創(chuàng)建或修改ClearPageFileAtShutdown,把這個DWORD值設(shè)置為1�����。
1.6轉(zhuǎn)儲文件
系統(tǒng)在遇到嚴重問題時�����,會把內(nèi)存中的數(shù)據(jù)保存到轉(zhuǎn)儲文件�����。轉(zhuǎn)儲文件的作用是幫助人們分析系統(tǒng)遇到的問題�����,但對一般用戶來說沒有用�����;另一方面,就像交換文件一樣�����,轉(zhuǎn)儲文件可能泄漏許多敏感數(shù)據(jù)�����。禁止Windows創(chuàng)建轉(zhuǎn)儲文件的步驟如下:打開“控制面板”→“系統(tǒng)”�����,找到“高級”,然后點擊“啟動和故障恢復(fù)”下面的“設(shè)置”按鈕�����,將“寫入調(diào)試信息”這一欄設(shè)置成“(無)”�����。類似于轉(zhuǎn)儲文件�����,Dr. Watson也會在應(yīng)用程序出錯時保存調(diào)試信息�����。禁用Dr. Watson的步驟是:在注冊表中找到HKEY_local_machine\software\Microsoft\WindowsNT\CurrentVersion\AeDebug�����,把Auto值改成“0”�����。
1.7多余的服務(wù)
為了方便用戶,WinXP默認啟動了許多不一定要用到的服務(wù)�����,同時也打開了入侵系統(tǒng)的后門�����。如果你不用這些服務(wù)�����,最好關(guān)閉它們:NetMeeting Remote Desktop Sharing,Remote Desktop Help Session Manager�����,Remote Registry�����,Routing and Remote Access,SSDP Discovery Service,telnet,Universal Plug and Play Device Host。打開“控制面板”→“管理工具”→“服務(wù)”,可以看到有關(guān)這些服務(wù)的說明和運行狀態(tài)�����。要關(guān)閉一個服務(wù)�����,只需右鍵點擊服務(wù)名稱并選擇“屬性”菜單�����,在“常規(guī)”選項卡中把“啟動類型”改成“手動”,再點擊“停止”按鈕�����。
1.8禁用遠處協(xié)助/桌面
跟其他所有遠程控制技術(shù)一樣�����,遠程協(xié)助和遠程桌面因為用途的關(guān)系具有一定的安全風險�����。建議不要在需要高度安全性的網(wǎng)絡(luò)中使用遠程控制技術(shù),若要禁用遠程協(xié)助,可設(shè)置以下的組策略(輸入gpedit.msc命令訪問):定位到計算配置\管理模板\系統(tǒng)\遠程協(xié)助節(jié)點 雙擊右側(cè)面板的請求遠程協(xié)助設(shè)置 點擊禁用按鈕禁止用戶請求遠程助 應(yīng)用設(shè)置并關(guān)閉窗口 雙擊右側(cè)面板的提供遠程協(xié)助設(shè)置 點擊禁用按鈕禁止用戶在這臺計算機上向別人提供遠程協(xié)助幫助 應(yīng)用設(shè)置并關(guān)閉窗口 注意:組策略的設(shè)置將會覆蓋其他任何的系統(tǒng)屬性中遠程選項卡的設(shè)置�����?����!∫褂嬎銠C接受遠程桌面連接,進行如下操作: 右鍵點擊我的電腦�����,選擇屬性打開系統(tǒng)屬性對話框 在系統(tǒng)屬性對話框打開遠程選項卡 確保允許用戶遠程連接到這臺計算機復(fù)選框沒有被選中 點擊選擇遠程用戶...按鈕�����,打開遠程桌面用戶對話框 從Remote Desktop Users用戶組刪除所有用戶和用戶組�����。
1.9網(wǎng)絡(luò)初始化
默認情況下�����,Windows XP在允許用戶登錄之前并不會等待網(wǎng)絡(luò)初始化完全完成;相反,在登錄一些已經(jīng)存在的用戶是多半會使用緩存的憑證�����,這會減少登錄所需的時間�����。用戶登錄后組策略才會在后臺被應(yīng)用�����。
這種行為造成了組策略的某些擴展�����,例如軟件安裝和文件夾重定向應(yīng)用�����,都需要用戶登錄至少兩次后才能被成功應(yīng)用。因為這些擴展都要求在被處理的過程中沒有已經(jīng)登錄的用戶�����,并且最好是強制在用戶登錄之前再前臺進行�����,同時�����,用戶策略的改變例如添加配置文件路徑或者添加登錄腳本都需要兩次登錄以便生效。
為了遵守在Windows2000或者Windows NT域中不對從登錄到Windows XP客戶端的用戶進行密碼過期提醒這一策略�����,文體發(fā)生了�����。如果用戶是在組策略應(yīng)用之前使用緩存的憑據(jù)登錄的�����,當密碼過期警告信息應(yīng)該被顯示時這個響應(yīng)卻不能被處理�����,直到用戶下一次登錄�����。因此用戶的密碼應(yīng)當在用戶收到警告消息之后再過期。
不建議緩存登錄憑證(交互式登錄:可被緩存的前次登錄的個數(shù)這個安全選項被設(shè)置為0)�����,這樣緩存的用戶憑證就不能被用來驗證登錄到域的用戶�����,強制等待網(wǎng)絡(luò)初始化完全完成后進行�����。然而�����,如果緩存的前次登錄的格式被設(shè)置為非0的數(shù)字,問題同樣會存在�����。關(guān)于Windows XP中密碼過期問題的詳細內(nèi)容請參考微軟知識庫文章Q313194:
通常來說�����,把所有與計算機有關(guān)的組策略的改變放在用戶登錄之前應(yīng)用是一個好習慣,這樣用戶就可以在最新的安全設(shè)置下使用系統(tǒng)�����,因此建議使用以下的組策略設(shè)置:(輸入gpedit.msc命令訪問)
定位到計算機配置\管理模板\系統(tǒng)\登錄選項
在右側(cè)面板�����,雙擊“計算機啟動和登錄時總是等待網(wǎng)絡(luò)”
點擊“啟用”按鈕
點擊確定
1.10禁用媒體的自動播放
自動播放功能會在可以動媒體插入后讀取其中的數(shù)據(jù)�����,默認情況下,Windows XP會自動運行光驅(qū)中插入的所有光盤,這將會允許可執(zhí)行的內(nèi)容在被允許前自動被執(zhí)行�����。默認情況下軟盤和網(wǎng)絡(luò)驅(qū)動器的自動播放功能被禁用了�����。要禁止所有驅(qū)動器上的自動播放功能�����,可采取如下操作: (輸入gpedit.msc命令訪問)
定位到計算機配置\管理模板\系統(tǒng)
在右側(cè)的面板,雙擊關(guān)閉自動播放
點擊啟用按鈕
在關(guān)閉自動播放: 下拉菜單�����,選擇所有驅(qū)動器
點擊確定
1.11封閉網(wǎng)絡(luò)中的NetBIOS和SMB端口
在Windows環(huán)境中�����,NetBIOS定義了一個軟件接口和命名協(xié)議,基于TCP/IP之上的NetBIOS(NetBT)為TCP/IP協(xié)議提供了NetBIOS程序接口�����。Windows 2000和Windows XP使用NetBT與Windows NT以及更老版本的Windows(例如Windows 9x)系統(tǒng)交流�����。然而�����,當與其他Windows 2000或者Windows XP計算機交流時,Windows XP使用了direct hosting�����。Direct hosting在命名協(xié)議方面利用了DNS代替NetBIOS�����,并使用了TCP端口445而不是TCP端口139�����。服務(wù)器消息過濾服務(wù)使用直接通過TCP/IP協(xié)議的網(wǎng)絡(luò)資源共享�����,而不是使用NetBIOS作為“中間人”。
Windows NetBIOS和SMB端口(端口135-139還有端口445)之間的交流可以提供關(guān)于Windows系統(tǒng)的很多信息,并且可能引起潛在的攻擊�����。因此禁止從局域網(wǎng)外連向系統(tǒng)這些端口的連接是很重要的�����。
建議在防火墻或者路由器上阻擋到端口135、137�����、138�����、139和445的出站以及入站連接�����,大量的攻擊以及潛在的威脅都是因為出站的SMB連接造成的。
1.12 Win XP自動更新
當Windows 有了更新時�����,自動更新系統(tǒng)會提示你進行Windows的升級工作�����,當然這項功能會在上網(wǎng)之后才會有真正的效果�����。有一點可以肯定的就是�����,要想實現(xiàn)自動更新�����,系統(tǒng)必定會收集用戶的電腦信息,然后傳送到微軟站點,通過反饋信息來決定是否要進行升級工作�����。這項設(shè)置也是在“系統(tǒng)屬性”窗口�����,切換到“自動更新”選項卡可以看到這里有三個選擇�����,選了最后一個“關(guān)閉自動更新”,這樣系統(tǒng)就不會出現(xiàn)經(jīng)常提示你進行自動更新了�����,如果你沒用正版的Windows XP操作系統(tǒng)�����,建議你關(guān)閉此功能�����,因為他可能會讓你在不知道的情況就把系統(tǒng)升級至Windows XP SP2版,這樣會造成系統(tǒng)的不穩(wěn)定。
1.13配置Windows防火墻
在默認情況下�����,SP2會針對所有網(wǎng)絡(luò)連接自動打開內(nèi)置的Windows防火墻�����。如果你在安裝了SP2之后遇到數(shù)據(jù)交換方面的麻煩�����,就需要檢查一下防火墻的設(shè)置情況。在“控制面板”中雙擊“Windows防火墻”圖標就能進入Windows防火墻設(shè)置選項。在“例外”選項卡中�����,你可以允許“文件和打印共享”服務(wù)或者打開某個特定的TCP或UDP端口�����。讓“安全中心”閉嘴
“安全中心”經(jīng)常會冒出一些讓人厭煩的提示信息�����,這通常是由于它認為你的“自動更新”、防火墻或是防病毒軟件沒有正確配置。修改注冊表當然是讓“安全中心”閉嘴的一種辦法�����,但更簡單的辦法是在“安全中心”的“資源”選項卡中單擊“更改‘安全中心’通知我的方式”�����,然后取消選擇所有警報設(shè)置項目即可。
徹底關(guān)閉“安全中心”�����。
1.14Administrator賬號更名
進入系統(tǒng)"控制面板"->"計算機管理"�����,進入"計算機管理"窗口�����,如圖所示。選擇"本地用戶和組"->"用戶"�����;在窗口右面使用鼠標右鍵單擊Administrator�����,在右鍵菜單中選擇"重命名"�����;重新輸入一個名稱。
1.15共享驅(qū)動器或文件夾的設(shè)置
使用Windows XP可以很方便地將驅(qū)動器或文件夾設(shè)置成“共享”�����,而且�����,若不想讓這些共享的驅(qū)動器或文件夾被遠程計算機用戶看到的話�����,只需在共享驅(qū)動器或文件夾的“共享名”后面加上一個“$”就行了,如“C$”�����。然而�����,當遠程計算機用戶知道了該機的計算機名以及管理員�����、服務(wù)器操作員的用戶名和密碼后,那么任何遠程計算機用戶都能通過局域網(wǎng)絡(luò)或Internet訪問該計算機�����,無疑�����,這也使具有共享驅(qū)動器或文件夾的計算機存在著安全隱患�����。為保障共享驅(qū)動器或文件夾的安全,我們應(yīng)該禁用服務(wù)器服務(wù)�����。禁用服務(wù)器服務(wù)后�����,所有遠程計算機都將無法連接到該計算機上的任意驅(qū)動器或文件夾,但本機的管理員仍然能夠訪問其他計算機上的共享文件夾�����。禁用服務(wù)器服務(wù)的操作方法是:依次進入“控制面板”——“性能和維護”——“管理工具”�����,雙擊“服務(wù)”圖標�����,在“服務(wù)”窗口中雙擊“Server”項,可看到對話框,在“啟動類型”列表中選擇“已禁用”或“手動”項即可。
1.16安全中心
在Windows操作系統(tǒng)的“服務(wù)”中有一項“security center”�����,我們也可以關(guān)閉和開啟安全中心服務(wù)�����。
具體方法:
在Windows中右鍵單擊“我的電腦”-“管理”-“服務(wù)”-“security center”�����。右鍵單擊該服務(wù)-“常規(guī)”-“服務(wù)狀態(tài)”,選“啟動”或“停止”即可。如果希望今后啟動計算機時此安全中心不再自動啟動,可在上圖界面中雙擊該服務(wù),然后將啟動類型改為“已禁用”即可。
1.17禁止修改IE瀏覽器的主頁
如果您不希望他人或網(wǎng)絡(luò)上的一些惡意代碼對自己設(shè)定的IE瀏覽器主頁進行隨意更改的話,我們可以輸入gpedit.msc命令訪問�����,選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支�����,然后在右側(cè)窗格中,雙擊“禁用更改主頁設(shè)置”策略啟用即可�����。
1.18禁用IE組件自動安裝
輸入gpedit.msc命令訪問,選擇“計算機配置”→“管理模板”→“Windows組件”→“Internet Explorer”項目,雙擊右邊窗口中“禁用Internet Explorer組件的自動安裝”項目�����,在打開的窗口中選擇“已啟用”單選按鈕�����,將會禁止 Internet Explorer 自動安裝組件�����。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網(wǎng)站時下載該組件,篡改IE的行為也會得到遏制!相對來說IE也會安全許多�����!
1.19限制IE瀏覽器的保存功能
當多人共用一臺計算機時�����,為了保持硬盤的整潔,需要對瀏覽器的保存功能進行限制使用�����,那么如何才能實現(xiàn)呢�����?具體方法為:輸入gpedit.msc命令訪問�����,選擇“用戶設(shè)置”→“管理模板”→“Windows組件”→“Internet Explorer”→“瀏覽器菜單”分支。雙擊右側(cè)窗格中的“‘文件’菜單:禁用‘另存為…’菜單項”�����。