1. WindowsXP安全设置
1.1简单文件共享
为了让网络上的用户只需点击几下鼠标就可以实现文件共享,XP加入了一种称为“简单文件共享”的功能,但同时也打开了许多NetBIOS漏洞。关闭简单文件共享功能的步骤是:打开“我的电脑”,选择菜单“工具”→“文件夹选项”,点击“查看”,在“高级设置”中取消“使用简单文件共享(推荐)”。
1.2 FAT32
凡是新买的机器,许多硬盘驱动器都被格式化成FAT32。要想提高安全性,可以把FAT32文件系统转换成NTFS。NTFS允许更全面、细粒度地控制文件和文件夹的权限,进而还可以使用加密文件系统(EFS,Encrypting File System),从文件分区这一层次保证数据不被窃取。在“我的电脑”中用右键点击驱动器并选择“属性”,可以查看驱动器当前的文件系统。如果要把文件系统转换成NTFS,先备份一下重要的文件,选择菜单“开始”→“运行”,输入cmd,点击“确定”。然后,在命令行窗口中,执行convert x: /fs:ntfs(其中x是驱动器的盘符)。
1.3Guest帐户
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户,最好禁用它。在Win XPPro中,打开“控制面板”→“管理工具”,点击“计算机管理”。在左边列表中找到“本地用户和组”并点击其中的“用户”,在右边窗格中,双击Guest帐户,选中“帐户已停用”。WinXP Home不允许停用Guest帐户,但允许为Guest帐户设置密码:先在命令行环境中执行Net user guest password命令,然后进入“控制面板”、“用户设置”,设置Guest帐户的密码。
1.4Administrator帐户
黑客入侵的常用手段之一就是试图获得Administrator帐户的密码。每一台计算机至少需要一个帐户拥有Administrator(管理员)权限,但不一定非用“Administrator”这个名称不可。所以,无论在XP Home还是Pro中,最好创建另一个拥有全部权限的帐户,然后停用Administrator帐户。另外,在WinXP Home中,修改一下默认的所有者帐户名称。最后,不要忘记为所有帐户设置足够复杂的密码。
1.5交换文件
即使你的操作完全正常,Windows也会泄漏重要的机密数据(包括密码)。也许你永远不会想到要看一下这些泄漏机密的文件,但黑客肯定会。你首先要做的是,要求机器在关机的时候清除系统的页面文件(交换文件)。点击Windows的“开始”菜单,选择“运行”,执行Regedit。在注册表中找到HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management,然后创建或修改ClearPageFileAtShutdown,把这个DWORD值设置为1。
1.6转储文件
系统在遇到严重问题时,会把内存中的数据保存到转储文件。转储文件的作用是帮助人们分析系统遇到的问题,但对一般用户来说没有用;另一方面,就像交换文件一样,转储文件可能泄漏许多敏感数据。禁止Windows创建转储文件的步骤如下:打开“控制面板”→“系统”,找到“高级”,然后点击“启动和故障恢复”下面的“设置”按钮,将“写入调试信息”这一栏设置成“(无)”。类似于转储文件,Dr. Watson也会在应用程序出错时保存调试信息。禁用Dr. Watson的步骤是:在注册表中找到HKEY_local_machine\software\Microsoft\WindowsNT\CurrentVersion\AeDebug,把Auto值改成“0”。
1.7多余的服务
为了方便用户,WinXP默认启动了许多不一定要用到的服务,同时也打开了入侵系统的后门。如果你不用这些服务,最好关闭它们:NetMeeting Remote Desktop Sharing,Remote Desktop Help Session Manager,Remote Registry,Routing and Remote Access,SSDP Discovery Service,telnet,Universal Plug and Play Device Host。打开“控制面板”→“管理工具”→“服务”,可以看到有关这些服务的说明和运行状态。要关闭一个服务,只需右键点击服务名称并选择“属性”菜单,在“常规”选项卡中把“启动类型”改成“手动”,再点击“停止”按钮。
1.8禁用远处协助/桌面
跟其他所有远程控制技术一样,远程协助和远程桌面因为用途的关系具有一定的安全风险。建议不要在需要高度安全性的网络中使用远程控制技术,若要禁用远程协助,可设置以下的组策略(输入gpedit.msc命令访问):定位到计算配置\管理模板\系统\远程协助节点 双击右侧面板的请求远程协助设置 点击禁用按钮禁止用户请求远程助 应用设置并关闭窗口 双击右侧面板的提供远程协助设置 点击禁用按钮禁止用户在这台计算机上向别人提供远程协助帮助 应用设置并关闭窗口 注意:组策略的设置将会覆盖其他任何的系统属性中远程选项卡的设置。 要禁止计算机接受远程桌面连接,进行如下操作: 右键点击我的电脑,选择属性打开系统属性对话框 在系统属性对话框打开远程选项卡 确保允许用户远程连接到这台计算机复选框没有被选中 点击选择远程用户...按钮,打开远程桌面用户对话框 从Remote Desktop Users用户组删除所有用户和用户组。
1.9网络初始化
默认情况下,Windows XP在允许用户登录之前并不会等待网络初始化完全完成;相反,在登录一些已经存在的用户是多半会使用缓存的凭证,这会减少登录所需的时间。用户登录后组策略才会在后台被应用。
这种行为造成了组策略的某些扩展,例如软件安装和文件夹重定向应用,都需要用户登录至少两次后才能被成功应用。因为这些扩展都要求在被处理的过程中没有已经登录的用户,并且最好是强制在用户登录之前再前台进行,同时,用户策略的改变例如添加配置文件路径或者添加登录脚本都需要两次登录以便生效。
为了遵守在Windows2000或者Windows NT域中不对从登录到Windows XP客户端的用户进行密码过期提醒这一策略,文体发生了。如果用户是在组策略应用之前使用缓存的凭据登录的,当密码过期警告信息应该被显示时这个响应却不能被处理,直到用户下一次登录。因此用户的密码应当在用户收到警告消息之后再过期。
不建议缓存登录凭证(交互式登录:可被缓存的前次登录的个数这个安全选项被设置为0),这样缓存的用户凭证就不能被用来验证登录到域的用户,强制等待网络初始化完全完成后进行。然而,如果缓存的前次登录的格式被设置为非0的数字,问题同样会存在。关于Windows XP中密码过期问题的详细内容请参考微软知识库文章Q313194:
通常来说,把所有与计算机有关的组策略的改变放在用户登录之前应用是一个好习惯,这样用户就可以在最新的安全设置下使用系统,因此建议使用以下的组策略设置:(输入gpedit.msc命令访问)
定位到计算机配置\管理模板\系统\登录选项
在右侧面板,双击“计算机启动和登录时总是等待网络”
点击“启用”按钮
点击确定
1.10禁用媒体的自动播放
自动播放功能会在可以动媒体插入后读取其中的数据,默认情况下,Windows XP会自动运行光驱中插入的所有光盘,这将会允许可执行的内容在被允许前自动被执行。默认情况下软盘和网络驱动器的自动播放功能被禁用了。要禁止所有驱动器上的自动播放功能,可采取如下操作: (输入gpedit.msc命令访问)
定位到计算机配置\管理模板\系统
在右侧的面板,双击关闭自动播放
点击启用按钮
在关闭自动播放: 下拉菜单,选择所有驱动器
点击确定
1.11封闭网络中的NetBIOS和SMB端口
在Windows环境中,NetBIOS定义了一个软件接口和命名协议,基于TCP/IP之上的NetBIOS(NetBT)为TCP/IP协议提供了NetBIOS程序接口。Windows 2000和Windows XP使用NetBT与Windows NT以及更老版本的Windows(例如Windows 9x)系统交流。然而,当与其他Windows 2000或者Windows XP计算机交流时,Windows XP使用了direct hosting。Direct hosting在命名协议方面利用了DNS代替NetBIOS,并使用了TCP端口445而不是TCP端口139。服务器消息过滤服务使用直接通过TCP/IP协议的网络资源共享,而不是使用NetBIOS作为“中间人”。
Windows NetBIOS和SMB端口(端口135-139还有端口445)之间的交流可以提供关于Windows系统的很多信息,并且可能引起潜在的攻击。因此禁止从局域网外连向系统这些端口的连接是很重要的。
建议在防火墙或者路由器上阻挡到端口135、137、138、139和445的出站以及入站连接,大量的攻击以及潜在的威胁都是因为出站的SMB连接造成的。
1.12 Win XP自动更新
当Windows 有了更新时,自动更新系统会提示你进行Windows的升级工作,当然这项功能会在上网之后才会有真正的效果。有一点可以肯定的就是,要想实现自动更新,系统必定会收集用户的电脑信息,然后传送到微软站点,通过反馈信息来决定是否要进行升级工作。这项设置也是在“系统属性”窗口,切换到“自动更新”选项卡可以看到这里有三个选择,选了最后一个“关闭自动更新”,这样系统就不会出现经常提示你进行自动更新了,如果你没用正版的Windows XP操作系统,建议你关闭此功能,因为他可能会让你在不知道的情况就把系统升级至Windows XP SP2版,这样会造成系统的不稳定。
1.13配置Windows防火墙
在默认情况下,SP2会针对所有网络连接自动打开内置的Windows防火墙。如果你在安装了SP2之后遇到数据交换方面的麻烦,就需要检查一下防火墙的设置情况。在“控制面板”中双击“Windows防火墙”图标就能进入Windows防火墙设置选项。在“例外”选项卡中,你可以允许“文件和打印共享”服务或者打开某个特定的TCP或UDP端口。让“安全中心”闭嘴
“安全中心”经常会冒出一些让人厌烦的提示信息,这通常是由于它认为你的“自动更新”、防火墙或是防病毒软件没有正确配置。修改注册表当然是让“安全中心”闭嘴的一种办法,但更简单的办法是在“安全中心”的“资源”选项卡中单击“更改‘安全中心’通知我的方式”,然后取消选择所有警报设置项目即可。
彻底关闭“安全中心”。
1.14Administrator账号更名
进入系统"控制面板"->"计算机管理",进入"计算机管理"窗口,如图所示。选择"本地用户和组"->"用户";在窗口右面使用鼠标右键单击Administrator,在右键菜单中选择"重命名";重新输入一个名称。
1.15共享驱动器或文件夹的设置
使用Windows XP可以很方便地将驱动器或文件夹设置成“共享”,而且,若不想让这些共享的驱动器或文件夹被远程计算机用户看到的话,只需在共享驱动器或文件夹的“共享名”后面加上一个“$”就行了,如“C$”。然而,当远程计算机用户知道了该机的计算机名以及管理员、服务器操作员的用户名和密码后,那么任何远程计算机用户都能通过局域网络或Internet访问该计算机,无疑,这也使具有共享驱动器或文件夹的计算机存在着安全隐患。为保障共享驱动器或文件夹的安全,我们应该禁用服务器服务。禁用服务器服务后,所有远程计算机都将无法连接到该计算机上的任意驱动器或文件夹,但本机的管理员仍然能够访问其他计算机上的共享文件夹。禁用服务器服务的操作方法是:依次进入“控制面板”——“性能和维护”——“管理工具”,双击“服务”图标,在“服务”窗口中双击“Server”项,可看到对话框,在“启动类型”列表中选择“已禁用”或“手动”项即可。
1.16安全中心
在Windows操作系统的“服务”中有一项“security center”,我们也可以关闭和开启安全中心服务。
具体方法:
在Windows中右键单击“我的电脑”-“管理”-“服务”-“security center”。右键单击该服务-“常规”-“服务状态”,选“启动”或“停止”即可。如果希望今后启动计算机时此安全中心不再自动启动,可在上图界面中双击该服务,然后将启动类型改为“已禁用”即可。
1.17禁止修改IE浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以输入gpedit.msc命令访问,选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可。
1.18禁用IE组件自动安装
输入gpedit.msc命令访问,选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮,将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!
1.19限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:输入gpedit.msc命令访问,选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单:禁用‘另存为…’菜单项”。