1. WindowsXP安全設置
1.1簡單文件共享
為了讓網絡上的用戶只需點擊幾下鼠標就可以實現文件共享,XP加入了一種稱為“簡單文件共享”的功能,但同時也打開了許多NetBIOS漏洞。關閉簡單文件共享功能的步驟是:打開“我的電腦”,選擇菜單“工具”→“文件夾選項”,點擊“查看”,在“高級設置”中取消“使用簡單文件共享(推薦)”。
1.2 FAT32
凡是新買的機器,許多硬盤驅動器都被格式化成FAT32。要想提高安全性,可以把FAT32文件系統轉換成NTFS。NTFS允許更全面、細粒度地控制文件和文件夾的權限,進而還可以使用加密文件系統(EFS,Encrypting File System),從文件分區這一層次保證數據不被竊取。在“我的電腦”中用右鍵點擊驅動器并選擇“屬性”,可以查看驅動器當前的文件系統。如果要把文件系統轉換成NTFS,先備份一下重要的文件,選擇菜單“開始”→“運行”,輸入cmd,點擊“確定”。然后,在命令行窗口中,執行convert x: /fs:ntfs(其中x是驅動器的盤符)。
1.3Guest帳戶
Guest帳戶即所謂的來賓帳戶,它可以訪問計算機,但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門。如果不需要用到Guest帳戶,最好禁用它。在Win XPPro中,打開“控制面板”→“管理工具”,點擊“計算機管理”。在左邊列表中找到“本地用戶和組”并點擊其中的“用戶”,在右邊窗格中,雙擊Guest帳戶,選中“帳戶已停用”。WinXP Home不允許停用Guest帳戶,但允許為Guest帳戶設置密碼:先在命令行環境中執行Net user guest password命令,然后進入“控制面板”、“用戶設置”,設置Guest帳戶的密碼。
1.4Administrator帳戶
黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼。每一臺計算機至少需要一個帳戶擁有Administrator(管理員)權限,但不一定非用“Administrator”這個名稱不可。所以,無論在XP Home還是Pro中,最好創建另一個擁有全部權限的帳戶,然后停用Administrator帳戶。另外,在WinXP Home中,修改一下默認的所有者帳戶名稱。最后,不要忘記為所有帳戶設置足夠復雜的密碼。
1.5交換文件
即使你的操作完全正常,Windows也會泄漏重要的機密數據(包括密碼)。也許你永遠不會想到要看一下這些泄漏機密的文件,但黑客肯定會。你首先要做的是,要求機器在關機的時候清除系統的頁面文件(交換文件)。點擊Windows的“開始”菜單,選擇“運行”,執行Regedit。在注冊表中找到HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management,然后創建或修改ClearPageFileAtShutdown,把這個DWORD值設置為1。
1.6轉儲文件
系統在遇到嚴重問題時,會把內存中的數據保存到轉儲文件。轉儲文件的作用是幫助人們分析系統遇到的問題,但對一般用戶來說沒有用;另一方面,就像交換文件一樣,轉儲文件可能泄漏許多敏感數據。禁止Windows創建轉儲文件的步驟如下:打開“控制面板”→“系統”,找到“高級”,然后點擊“啟動和故障恢復”下面的“設置”按鈕,將“寫入調試信息”這一欄設置成“(無)”。類似于轉儲文件,Dr. Watson也會在應用程序出錯時保存調試信息。禁用Dr. Watson的步驟是:在注冊表中找到HKEY_local_machine\software\Microsoft\WindowsNT\CurrentVersion\AeDebug,把Auto值改成“0”。
1.7多余的服務
為了方便用戶,WinXP默認啟動了許多不一定要用到的服務,同時也打開了入侵系統的后門。如果你不用這些服務,最好關閉它們:NetMeeting Remote Desktop Sharing,Remote Desktop Help Session Manager,Remote Registry,Routing and Remote Access,SSDP Discovery Service,telnet,Universal Plug and Play Device Host。打開“控制面板”→“管理工具”→“服務”,可以看到有關這些服務的說明和運行狀態。要關閉一個服務,只需右鍵點擊服務名稱并選擇“屬性”菜單,在“常規”選項卡中把“啟動類型”改成“手動”,再點擊“停止”按鈕。
1.8禁用遠處協助/桌面
跟其他所有遠程控制技術一樣,遠程協助和遠程桌面因為用途的關系具有一定的安全風險。建議不要在需要高度安全性的網絡中使用遠程控制技術,若要禁用遠程協助,可設置以下的組策略(輸入gpedit.msc命令訪問):定位到計算配置\管理模板\系統\遠程協助節點 雙擊右側面板的請求遠程協助設置 點擊禁用按鈕禁止用戶請求遠程助 應用設置并關閉窗口 雙擊右側面板的提供遠程協助設置 點擊禁用按鈕禁止用戶在這臺計算機上向別人提供遠程協助幫助 應用設置并關閉窗口 注意:組策略的設置將會覆蓋其他任何的系統屬性中遠程選項卡的設置。 要禁止計算機接受遠程桌面連接,進行如下操作: 右鍵點擊我的電腦,選擇屬性打開系統屬性對話框 在系統屬性對話框打開遠程選項卡 確保允許用戶遠程連接到這臺計算機復選框沒有被選中 點擊選擇遠程用戶...按鈕,打開遠程桌面用戶對話框 從Remote Desktop Users用戶組刪除所有用戶和用戶組。
1.9網絡初始化
默認情況下,Windows XP在允許用戶登錄之前并不會等待網絡初始化完全完成;相反,在登錄一些已經存在的用戶是多半會使用緩存的憑證,這會減少登錄所需的時間。用戶登錄后組策略才會在后臺被應用。
這種行為造成了組策略的某些擴展,例如軟件安裝和文件夾重定向應用,都需要用戶登錄至少兩次后才能被成功應用。因為這些擴展都要求在被處理的過程中沒有已經登錄的用戶,并且最好是強制在用戶登錄之前再前臺進行,同時,用戶策略的改變例如添加配置文件路徑或者添加登錄腳本都需要兩次登錄以便生效。
為了遵守在Windows2000或者Windows NT域中不對從登錄到Windows XP客戶端的用戶進行密碼過期提醒這一策略,文體發生了。如果用戶是在組策略應用之前使用緩存的憑據登錄的,當密碼過期警告信息應該被顯示時這個響應卻不能被處理,直到用戶下一次登錄。因此用戶的密碼應當在用戶收到警告消息之后再過期。
不建議緩存登錄憑證(交互式登錄:可被緩存的前次登錄的個數這個安全選項被設置為0),這樣緩存的用戶憑證就不能被用來驗證登錄到域的用戶,強制等待網絡初始化完全完成后進行。然而,如果緩存的前次登錄的格式被設置為非0的數字,問題同樣會存在。關于Windows XP中密碼過期問題的詳細內容請參考微軟知識庫文章Q313194:
通常來說,把所有與計算機有關的組策略的改變放在用戶登錄之前應用是一個好習慣,這樣用戶就可以在最新的安全設置下使用系統,因此建議使用以下的組策略設置:(輸入gpedit.msc命令訪問)
定位到計算機配置\管理模板\系統\登錄選項
在右側面板,雙擊“計算機啟動和登錄時總是等待網絡”
點擊“啟用”按鈕
點擊確定
1.10禁用媒體的自動播放
自動播放功能會在可以動媒體插入后讀取其中的數據,默認情況下,Windows XP會自動運行光驅中插入的所有光盤,這將會允許可執行的內容在被允許前自動被執行。默認情況下軟盤和網絡驅動器的自動播放功能被禁用了。要禁止所有驅動器上的自動播放功能,可采取如下操作: (輸入gpedit.msc命令訪問)
定位到計算機配置\管理模板\系統
在右側的面板,雙擊關閉自動播放
點擊啟用按鈕
在關閉自動播放: 下拉菜單,選擇所有驅動器
點擊確定
1.11封閉網絡中的NetBIOS和SMB端口
在Windows環境中,NetBIOS定義了一個軟件接口和命名協議,基于TCP/IP之上的NetBIOS(NetBT)為TCP/IP協議提供了NetBIOS程序接口。Windows 2000和Windows XP使用NetBT與Windows NT以及更老版本的Windows(例如Windows 9x)系統交流。然而,當與其他Windows 2000或者Windows XP計算機交流時,Windows XP使用了direct hosting。Direct hosting在命名協議方面利用了DNS代替NetBIOS,并使用了TCP端口445而不是TCP端口139。服務器消息過濾服務使用直接通過TCP/IP協議的網絡資源共享,而不是使用NetBIOS作為“中間人”。
Windows NetBIOS和SMB端口(端口135-139還有端口445)之間的交流可以提供關于Windows系統的很多信息,并且可能引起潛在的攻擊。因此禁止從局域網外連向系統這些端口的連接是很重要的。
建議在防火墻或者路由器上阻擋到端口135、137、138、139和445的出站以及入站連接,大量的攻擊以及潛在的威脅都是因為出站的SMB連接造成的。
1.12 Win XP自動更新
當Windows 有了更新時,自動更新系統會提示你進行Windows的升級工作,當然這項功能會在上網之后才會有真正的效果。有一點可以肯定的就是,要想實現自動更新,系統必定會收集用戶的電腦信息,然后傳送到微軟站點,通過反饋信息來決定是否要進行升級工作。這項設置也是在“系統屬性”窗口,切換到“自動更新”選項卡可以看到這里有三個選擇,選了最后一個“關閉自動更新”,這樣系統就不會出現經常提示你進行自動更新了,如果你沒用正版的Windows XP操作系統,建議你關閉此功能,因為他可能會讓你在不知道的情況就把系統升級至Windows XP SP2版,這樣會造成系統的不穩定。
1.13配置Windows防火墻
在默認情況下,SP2會針對所有網絡連接自動打開內置的Windows防火墻。如果你在安裝了SP2之后遇到數據交換方面的麻煩,就需要檢查一下防火墻的設置情況。在“控制面板”中雙擊“Windows防火墻”圖標就能進入Windows防火墻設置選項。在“例外”選項卡中,你可以允許“文件和打印共享”服務或者打開某個特定的TCP或UDP端口。讓“安全中心”閉嘴
“安全中心”經常會冒出一些讓人厭煩的提示信息,這通常是由于它認為你的“自動更新”、防火墻或是防病毒軟件沒有正確配置。修改注冊表當然是讓“安全中心”閉嘴的一種辦法,但更簡單的辦法是在“安全中心”的“資源”選項卡中單擊“更改‘安全中心’通知我的方式”,然后取消選擇所有警報設置項目即可。
徹底關閉“安全中心”。
1.14Administrator賬號更名
進入系統"控制面板"->"計算機管理",進入"計算機管理"窗口,如圖所示。選擇"本地用戶和組"->"用戶";在窗口右面使用鼠標右鍵單擊Administrator,在右鍵菜單中選擇"重命名";重新輸入一個名稱。
1.15共享驅動器或文件夾的設置
使用Windows XP可以很方便地將驅動器或文件夾設置成“共享”,而且,若不想讓這些共享的驅動器或文件夾被遠程計算機用戶看到的話,只需在共享驅動器或文件夾的“共享名”后面加上一個“$”就行了,如“C$”。然而,當遠程計算機用戶知道了該機的計算機名以及管理員、服務器操作員的用戶名和密碼后,那么任何遠程計算機用戶都能通過局域網絡或Internet訪問該計算機,無疑,這也使具有共享驅動器或文件夾的計算機存在著安全隱患。為保障共享驅動器或文件夾的安全,我們應該禁用服務器服務。禁用服務器服務后,所有遠程計算機都將無法連接到該計算機上的任意驅動器或文件夾,但本機的管理員仍然能夠訪問其他計算機上的共享文件夾。禁用服務器服務的操作方法是:依次進入“控制面板”——“性能和維護”——“管理工具”,雙擊“服務”圖標,在“服務”窗口中雙擊“Server”項,可看到對話框,在“啟動類型”列表中選擇“已禁用”或“手動”項即可。
1.16安全中心
在Windows操作系統的“服務”中有一項“security center”,我們也可以關閉和開啟安全中心服務。
具體方法:
在Windows中右鍵單擊“我的電腦”-“管理”-“服務”-“security center”。右鍵單擊該服務-“常規”-“服務狀態”,選“啟動”或“停止”即可。如果希望今后啟動計算機時此安全中心不再自動啟動,可在上圖界面中雙擊該服務,然后將啟動類型改為“已禁用”即可。
1.17禁止修改IE瀏覽器的主頁
如果您不希望他人或網絡上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話,我們可以輸入gpedit.msc命令訪問,選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支,然后在右側窗格中,雙擊“禁用更改主頁設置”策略啟用即可。
1.18禁用IE組件自動安裝
輸入gpedit.msc命令訪問,選擇“計算機配置”→“管理模板”→“Windows組件”→“Internet Explorer”項目,雙擊右邊窗口中“禁用Internet Explorer組件的自動安裝”項目,在打開的窗口中選擇“已啟用”單選按鈕,將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件,篡改IE的行為也會得到遏制!相對來說IE也會安全許多!
1.19限制IE瀏覽器的保存功能
當多人共用一臺計算機時,為了保持硬盤的整潔,需要對瀏覽器的保存功能進行限制使用,那么如何才能實現呢?具體方法為:輸入gpedit.msc命令訪問,選擇“用戶設置”→“管理模板”→“Windows組件”→“Internet Explorer”→“瀏覽器菜單”分支。雙擊右側窗格中的“‘文件’菜單:禁用‘另存為…’菜單項”。