隨着Windows XP在個人電腦上面的普及,越來越多的人開始與Windows XP形影不離,儘管Windows XP有着超強的穩定性和可靠的安全性。然而,陸續發現的漏洞,還是讓Windows XP已經有了被攻擊的威脅。本文將就Windows XP操作系統如何在安全性上得到改善,進一步提高用戶使用Windows XP操作系統的安全性,以及平時維護應注意的一些事情展開討論,希望能對廣大Windows XP用戶有些幫助。
(1) 不要選擇從網絡上安裝
雖然微軟支持在線安裝,但這絕對不安全。在系統未全部安裝完之前不要連入網絡,特別是Internet。甚至不要把一切硬件都連接好來再安裝。因爲Windows XP安裝時,在輸入用戶管理員賬號“Administrator”的密碼後,系統會建立一個“ADMIN”的共享賬號,但是並沒有用剛輸入的密碼來保護它,這種情況一直會持續到計算機再次啓動。在此期間,任何人都可以通過“ADMIN”進入系統;同時,安裝完成,各種服務會馬上自動運行,而這時的服務器還到處是漏洞,非常容易從外部侵入。
(2) 要選擇NTFS格式來分區
最好所有的分區都是NTFS格式,因爲NTFS格式的分區在安全性方面更加有保障。就算其他分區採用別的格式(如FAT32),但至少系統所在的分區中應是NTFS格式。另外,應用程序不要和系統放在同一個分區中,以免攻擊者利用應用程序的漏洞(如微軟的IIS的漏洞)導致系統文件的泄漏,甚至讓入侵者遠程獲取管理員權限。
(3) 系統版本的選擇
版本的選擇:Windows XP有各種語言的版本,對於我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成爲障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug&Patch而著稱的,中文版的Bug遠遠多於英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公佈了漏洞後你的機子還會有半個月處於無保護狀況)。
(4) 組件的定製
Windows XP在默認情況下會安裝一些常用的組件,但是正是這個默認安裝是很危險的,你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的權限=最大的.安全。
(5) 分區和邏輯盤的分配
建議建立多於兩個分區,一個系統分區,一個以上應用程序分區,把系統分區和應用程序分區分開,以此來保護應用程序,一般來說,病毒或者黑客利用漏洞攻擊,損壞的是系統分區,而不會對應用程序分區造成損壞。
2.賬號安全策略(1)用戶安全設置
檢查用戶賬號,停止不需要的賬號,建議更改默認的賬號名。
1)、禁用Guest賬號在計算機管理的用戶裏面把Guest賬號禁用。爲了保險起見,最好給Guest加一個複雜的密碼。
2)、限制不必要的用戶 去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限,並且經常檢查系統的用戶,刪除已經不再使用的用戶。
3)、創建兩個管理員賬號創建一個一般權限用戶用來收信以及處理一些日常事物,另一個擁有Administrator權限的用戶只在需要的時候使用。
4)、把系統Administrator賬號改名Windows XP的Administrator用戶是不能被停用的,這意味着別人可以一遍又一遍地嘗試這個用戶的密碼。儘量把它僞裝成普通用戶,比如改成Guesycludx。
5)、創建一個陷阱用戶創建一個名爲“Administrator”的本地用戶,把它的權限設置成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級複雜密碼。
6)、把共享文件的權限從Everyone組改成授權用戶 不要把共享文件的用戶設置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的。
7)、不讓系統顯示上次登錄的用戶名 打開註冊表編輯器並找到註冊表項HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName,把鍵值改成1。
8)、系統賬號/共享列表 Windows XP的默認安裝允許任何用戶通過空用戶得到系統所有賬號/共享列表,這個本來是爲了方便局域網用戶共享文件的,但是一個遠程用戶也可以得到你的用戶列表並使用暴力法破解用戶密碼。可以通過更改註冊表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止139空連接,還可以在Windows XP的本地安全策略(如果是域服務器就是在域服務器安全和域安全策略中)就有這樣的選項RestrictAnonymous(匿名連接的額外限制)。
3.應用安全策略(1)安裝殺毒軟件
殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序,因此要注意經常運行程序並升級病毒庫。
(2)安裝防火牆偵聽外界對本機所採取的攻擊,及早提醒用戶採取防範措施。
(3)安裝系統補丁
到微軟網站下載最新的補丁程序:經常訪問微軟和一些安全站點,下載最新的Service Pack和漏洞補丁,是保障服務器長久安全的唯一方法。
(4)停止不必要的服務
服務開的太多也不是個好事,將沒有必要的服務通通關掉吧!服務組件安裝得越多, 用戶可以享受的服務功能也就越多。但是用戶平時使用到的服務組件畢竟有限, 而那些很少用到的組件除佔用了不少系統資源,會引起系統不穩定外,還爲黑客的遠程入侵提供了多種途徑。
爲此我們應該儘量把那些暫不需要的服務組件屏蔽掉。具體的操作方法爲: 首先在控制面板中找到“管理工具”/“服務”,然後再打開“服務”對話框,在該對話框中選中需要屏蔽的程序,並單擊鼠標右鍵, 從彈出的快捷菜單中依次選擇“屬性”/“停止”命令,同時將“啓動類型”設置爲“手動”或“已禁用”,這樣就可以對指定的服務組件進行屏蔽了。
4.網絡安全策略(1)關閉不必要的端口
關閉端口意味着減少功能,在安全和功能上面需要你做一點決策。如果服務器安裝在防火牆的後面,冒險就會少些。但是,永遠不要認爲你可以高枕無憂了。用端口掃描器掃描系統已開放的端口,確定系統開放的哪些服務可能引起黑客入侵。在系統目錄中的system32driversetcservices 文件中有知名端口和服務的對照表可供參考。具體方法爲:打開“ 網上鄰居/屬性/本地連接/屬性/internet 協議(TCP/IP)/屬性/高級/選項/TCP/IP篩選/屬性” 打開“TCP/IP篩選”,添加需要的TCP、UDP協議即可。
(2)設置好安全記錄的訪問權限
安全記錄在默認情況下是沒有保護的,把它設置成只有Administrators和系統賬戶纔有權訪問。
(3)使用Web格式的電子郵件系統
不要實用Outlook、Fox mail等客戶端郵件系統接受郵件,現在的一些郵件危害性很大,一旦植入本機,就有可能造成系統的癱瘓。同時,不要察看陌生人郵件中的附件,這些附件往往帶有病毒和木馬。
