一网打尽WinXP系统安全实用技巧
作者:
一网打尽WinXP系统安全实用技巧
随着Windows XP在个人电脑上面的普及,越来越多的人开始与Windows XP形影不离,尽管Windows XP有着超强的稳定性和可靠的安全性。然而,陆续发现的漏洞,还是让Windows XP已经有了被攻击的威胁。本文将就Windows XP操作系统如何在安全性上得到改善,进一步提高用户使用Windows XP操作系统的安全性,以及平时维护应注意的一些事情展开讨论,希望能对广大Windows XP用户有些帮助。
1.安装安全策略
(1) 不要选择从网络上安装
虽然微软支持在线安装,但这绝对不安全。在系统未全部安装完之前不要连入网络,特别是Internet。甚至不要把一切硬件都连接好来再安装。因为Windows XP安装时,在输入用户管理员账号“Administrator”的密码后,系统会建立一个“ADMIN”的共享账号,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“ADMIN”进入系统;同时,安装完成,各种服务会马上自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。
(2) 要选择NTFS格式来分区
最好所有的分区都是NTFS格式,因为NTFS格式的分区在安全性方面更加有保障。就算其他分区采用别的格式(如FAT32),但至少系统所在的分区中应是NTFS格式。另外,应用程序不要和系统放在同一个分区中,以免攻击者利用应用程序的漏洞(如微软的IIS的漏洞)导致系统文件的泄漏,甚至让入侵者远程获取管理员权限。
(3) 系统版本的选择
版本的选择:Windows XP有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。
(4) 组件的定制
Windows XP在默认情况下会安装一些常用的组件,但是正是这个默认安装是很危险的,你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。
(5) 分区和逻辑盘的分配
建议建立多于两个分区,一个系统分区,一个以上应用程序分区,把系统分区和应用程序分区分开,以此来保护应用程序,一般来说,病毒或者黑客利用漏洞攻击,损坏的是系统分区,而不会对应用程序分区造成损坏。
2.账号安全策略
(1)用户安全设置
检查用户账号,停止不需要的账号,建议更改默认的账号名。
1)、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。
2)、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
3)、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrator权限的用户只在需要的时候使用。
4)、把系统Administrator账号改名Windows XP的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
5)、创建一个陷阱用户创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
6)、把共享文件的权限从Everyone组改成授权用户 不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的。
7)、不让系统显示上次登录的用户名 打开注册表编辑器并找到注册表项HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName,把键值改成1。
8)、系统账号/共享列表 Windows XP的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,还可以在Windows XP的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None. Rely on default permissions(无,取决于默认的权限)
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等等,对服务器来说这样的设置非常危险。
1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM账号和共享)
1这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
2这个值是在win2000中才支持的,如果不想有任何共享,就设为2。一般推荐设为1。
(2) 口令安全设置
1)、使用安全密码 要注意密码的复杂性,还要记住经常改密码。
2)、开启密码策略 注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为8位,设置强制密码历史为5次,时间为42天。
3.应用安全策略
(1)安装杀毒软件
杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,因此要注意经常运行程序并升级病毒库。
(2)安装防火墙
侦听外界对本机所采取的攻击,及早提醒用户采取防范措施。
(3)安装系统补丁
到微软网站下载最新的补丁程序:经常访问微软和一些安全站点,下载最新的Service Pack和漏洞补丁,是保障服务器长久安全的唯一方法。
(4)启用电源保护功能
使用电脑处理文件时, 最担心的就是计算机突然掉电, 因为这种突然掉电不但会使自己的辛勤劳动成果顷刻间化为乌有, 严重的话还会使计算机受到损伤。为了防止各种情况下的意外掉电, 保证计算机的安全正常工作, 我们应该在电源管理中启用按下电源按钮时询问或直接休眠的功能。
如果您要启动电源保护功能的话, 可以用鼠标在Windows XP的桌面上依次单击“开始”/“控制面板”/“性能和维护”/“电源选项”,在弹出的设置框中选择“高级”标签,在对应的标签页面下找到“按下计算机电源按钮时”设置项,然后在设置框中选择“休眠”或者“问我要做什么”选项,如果选择“关机”选项的话,就相当于没有启用电源保护功能。
(5)使用屏保程序
看到“屏保”二字, 大家肯定会很自然地想到计算机中的屏幕保护程序, 它主要是通过采用不同方式轮流显示指定图片来达到屏幕保护的目的。但是只有当不操作电脑达到事先设置的时间后, 系统才会启动屏幕保护程序, 如果想在任意指定的时间内启动屏幕保护程序,该怎么办呢?
我们可以按照下面的操作方法来实现: 在Windows XP 的开始菜单中,依次单击“开始”/“搜索”/“文件或文件夹”, 然后在弹出的搜索对话框中, 点击“所有文件和和文件夹”类型并在对应文件名的文本框中, 输入“* . scr”字符,再在搜索范围下拉列表中, 选择“本机磁盘(C:) ”或计算机上存储系统文件的驱动器, 最后单击“搜索”按钮。
然后在找到的屏幕保护程序列表中,选择需要的屏保程序, 并给这个屏保程序建立一个存放在桌面上的快捷方式。以后要启动屏保程序时直接用鼠标双击桌面上的屏保快捷方式, 必要时还可以给“屏保”加上密码,这样在恢复时需重新输入用户名和密码,能更加安全地保护计算机资源。
(6) 停止不必要的服务
服务开的太多也不是个好事,将没有必要的服务通通关掉吧!服务组件安装得越多, 用户可以享受的服务功能也就越多。但是用户平时使用到的服务组件毕竟有限, 而那些很少用到的组件除占用了不少系统资源,会引起系统不稳定外,还为黑客的远程入侵提供了多种途径。
为此我们应该尽量把那些暂不需要的服务组件屏蔽掉。具体的操作方法为: 首先在控制面板中找到“管理工具”/“服务”,然后再打开“服务”对话框,在该对话框中选中需要屏蔽的程序,并单击鼠标右键, 从弹出的快捷菜单中依次选择“属性”/“停止”命令,同时将“启动类型”设置为“手动”或“已禁用”,这样就可以对指定的服务组件进行屏蔽了。
4.网络安全策略
(1)关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面,冒险就会少些。但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口,确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:打开“ 网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性” 打开“TCP/IP筛选”,添加需要的TCP、UDP协议即可。
(2)设置好安全记录的访问权限
安全记录在默认情况下是没有保护的,把它设置成只有Administrators和系统账户才有权访问。
(3)使用Web格式的电子邮件系统
不要实用Outlook、Fox mail等客户端邮件系统接受邮件,现在的一些邮件危害性很大,一旦植入本机,就有可能造成系统的瘫痪。同时,不要察看陌生人邮件中的附件,这些附件往往带有病毒和木马。
1.安装安全策略
(1) 不要选择从网络上安装
虽然微软支持在线安装,但这绝对不安全。在系统未全部安装完之前不要连入网络,特别是Internet。甚至不要把一切硬件都连接好来再安装。因为Windows XP安装时,在输入用户管理员账号“Administrator”的密码后,系统会建立一个“ADMIN”的共享账号,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“ADMIN”进入系统;同时,安装完成,各种服务会马上自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。
(2) 要选择NTFS格式来分区
最好所有的分区都是NTFS格式,因为NTFS格式的分区在安全性方面更加有保障。就算其他分区采用别的格式(如FAT32),但至少系统所在的分区中应是NTFS格式。另外,应用程序不要和系统放在同一个分区中,以免攻击者利用应用程序的漏洞(如微软的IIS的漏洞)导致系统文件的泄漏,甚至让入侵者远程获取管理员权限。
(3) 系统版本的选择
版本的选择:Windows XP有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。
(4) 组件的定制
Windows XP在默认情况下会安装一些常用的组件,但是正是这个默认安装是很危险的,你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。
(5) 分区和逻辑盘的分配
建议建立多于两个分区,一个系统分区,一个以上应用程序分区,把系统分区和应用程序分区分开,以此来保护应用程序,一般来说,病毒或者黑客利用漏洞攻击,损坏的是系统分区,而不会对应用程序分区造成损坏。
2.账号安全策略
(1)用户安全设置
检查用户账号,停止不需要的账号,建议更改默认的账号名。
1)、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。
2)、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
3)、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrator权限的用户只在需要的时候使用。
4)、把系统Administrator账号改名Windows XP的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
5)、创建一个陷阱用户创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
6)、把共享文件的权限从Everyone组改成授权用户 不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的。
7)、不让系统显示上次登录的用户名 打开注册表编辑器并找到注册表项HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName,把键值改成1。
8)、系统账号/共享列表 Windows XP的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,还可以在Windows XP的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None. Rely on default permissions(无,取决于默认的权限)
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等等,对服务器来说这样的设置非常危险。
1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM账号和共享)
1这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
2这个值是在win2000中才支持的,如果不想有任何共享,就设为2。一般推荐设为1。
(2) 口令安全设置
1)、使用安全密码 要注意密码的复杂性,还要记住经常改密码。
2)、开启密码策略 注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为8位,设置强制密码历史为5次,时间为42天。
3.应用安全策略
(1)安装杀毒软件
杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,因此要注意经常运行程序并升级病毒库。
(2)安装防火墙
侦听外界对本机所采取的攻击,及早提醒用户采取防范措施。
(3)安装系统补丁
到微软网站下载最新的补丁程序:经常访问微软和一些安全站点,下载最新的Service Pack和漏洞补丁,是保障服务器长久安全的唯一方法。
(4)启用电源保护功能
使用电脑处理文件时, 最担心的就是计算机突然掉电, 因为这种突然掉电不但会使自己的辛勤劳动成果顷刻间化为乌有, 严重的话还会使计算机受到损伤。为了防止各种情况下的意外掉电, 保证计算机的安全正常工作, 我们应该在电源管理中启用按下电源按钮时询问或直接休眠的功能。
如果您要启动电源保护功能的话, 可以用鼠标在Windows XP的桌面上依次单击“开始”/“控制面板”/“性能和维护”/“电源选项”,在弹出的设置框中选择“高级”标签,在对应的标签页面下找到“按下计算机电源按钮时”设置项,然后在设置框中选择“休眠”或者“问我要做什么”选项,如果选择“关机”选项的话,就相当于没有启用电源保护功能。
(5)使用屏保程序
看到“屏保”二字, 大家肯定会很自然地想到计算机中的屏幕保护程序, 它主要是通过采用不同方式轮流显示指定图片来达到屏幕保护的目的。但是只有当不操作电脑达到事先设置的时间后, 系统才会启动屏幕保护程序, 如果想在任意指定的时间内启动屏幕保护程序,该怎么办呢?
我们可以按照下面的操作方法来实现: 在Windows XP 的开始菜单中,依次单击“开始”/“搜索”/“文件或文件夹”, 然后在弹出的搜索对话框中, 点击“所有文件和和文件夹”类型并在对应文件名的文本框中, 输入“* . scr”字符,再在搜索范围下拉列表中, 选择“本机磁盘(C:) ”或计算机上存储系统文件的驱动器, 最后单击“搜索”按钮。
然后在找到的屏幕保护程序列表中,选择需要的屏保程序, 并给这个屏保程序建立一个存放在桌面上的快捷方式。以后要启动屏保程序时直接用鼠标双击桌面上的屏保快捷方式, 必要时还可以给“屏保”加上密码,这样在恢复时需重新输入用户名和密码,能更加安全地保护计算机资源。
(6) 停止不必要的服务
服务开的太多也不是个好事,将没有必要的服务通通关掉吧!服务组件安装得越多, 用户可以享受的服务功能也就越多。但是用户平时使用到的服务组件毕竟有限, 而那些很少用到的组件除占用了不少系统资源,会引起系统不稳定外,还为黑客的远程入侵提供了多种途径。
为此我们应该尽量把那些暂不需要的服务组件屏蔽掉。具体的操作方法为: 首先在控制面板中找到“管理工具”/“服务”,然后再打开“服务”对话框,在该对话框中选中需要屏蔽的程序,并单击鼠标右键, 从弹出的快捷菜单中依次选择“属性”/“停止”命令,同时将“启动类型”设置为“手动”或“已禁用”,这样就可以对指定的服务组件进行屏蔽了。
4.网络安全策略
(1)关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面,冒险就会少些。但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口,确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:打开“ 网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性” 打开“TCP/IP筛选”,添加需要的TCP、UDP协议即可。
(2)设置好安全记录的访问权限
安全记录在默认情况下是没有保护的,把它设置成只有Administrators和系统账户才有权访问。
(3)使用Web格式的电子邮件系统
不要实用Outlook、Fox mail等客户端邮件系统接受邮件,现在的一些邮件危害性很大,一旦植入本机,就有可能造成系统的瘫痪。同时,不要察看陌生人邮件中的附件,这些附件往往带有病毒和木马。