Windows XP系統(tǒng)的安全配置方案

WindowsXP系統(tǒng)的平安配置方案i.關(guān)閉常見危急端口⑴135端口主要用于運用RPC（RemoteProcedureCall,遠程過程調(diào)用）協(xié)議并供應(yīng)DCOM（分布式組件對象模型）服務(wù)。關(guān)閉135端口：.單擊“起先”——“運行”，輸入“dcomcnfg”，單擊“確定”，打開組件服務(wù)。.在彈出的“組件服務(wù)”對話框中，選擇“計算機”選項。.在“計算機”選項右邊，右鍵單擊“我的電腦”，選擇“屬性”。.在出現(xiàn)的“我的電腦屬性”對話框“默認屬性”選項卡中，去掉“在此計算機上啟用 分布式COM”前的勾。.選擇“默認協(xié)議”選項卡，選中“面對連接的TCP/IP"，單擊“刪除"按鈕。.單擊“確定”按鈕，設(shè)置完成，重新啟動后即可關(guān)閉135端口。⑵139端口IPC$漏洞運用的是139,445端口。IPC$漏洞其實就是指微軟為了便利管理員而安置的后門-空會話。關(guān)閉139端口：本地連接一internet協(xié)議（TCP/IP）—＞右擊一＞屬性一＞選擇“TCP/IP”,單擊“高級，，一＞在“WINS”選項卡中選擇禁用“TCP/IP”,單擊“高14.本地禁用不須要的系統(tǒng)服務(wù)在WindowsXP操作系統(tǒng)上本地禁用不須要的服務(wù)步驟如下：打開“計算機管理”界面。在限制臺樹中，綻開“服務(wù)和應(yīng)用程序”，然后選擇“服務(wù)”。從右側(cè)窗格中，選擇要禁用的服務(wù)。右鍵單擊選定的服務(wù)，然后選擇“屬性”。選定服務(wù)的“屬性”對話框出現(xiàn)。從“啟動類型:"下拉菜單中，選擇“已禁用”。在“服務(wù)狀態(tài):"下，選擇“停止”。單擊“確定”。的NetBLOS^o⑶445端口和139端口一起是^＜：$入侵的主要通道。有了它就可以在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機。黑客們能通過該端口共享硬盤，甚至硬盤格式化。關(guān)閉445端口：運行-＞regedit-＞ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters建一個名為SMBDeviceEnabled的REG-DWORD類型的子鍵，鍵值為。。4)3389端口遠程桌面的服務(wù)端口，可以通過這個端口，用“遠程桌面”等連接工具來連接到遠程的服務(wù)器。關(guān)閉445端口：我的電腦一＞右擊一＞屬性一＞去掉“遠程幫助”和“遠程桌面”前的勾。.刪除IPC$空連接運行一〉regedit—＞HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA將數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1。.賬號密碼的平安原則禁用guest賬號，將系統(tǒng)內(nèi)置的Administrator賬號改名(越困難越好，最好是中文的)，設(shè)置密碼最好為8位以上的字母+數(shù)字+符號的組合。.刪除共享運行cmd,用netshare吩咐查看本地開放的共享。對于不須要開放共享的用戶可刪除默認共享，假如不須要Admin$,可運行以下吩咐：netshareadmin$/deletenetshare*$/delete上一行中的*可以代表C、D、E、F、IPCo.消退系統(tǒng)假死現(xiàn)象程序很長時間沒響應(yīng)，因為該程序與系統(tǒng)無法兼容。右擊程序的執(zhí)行文件，選擇“屬性”，進入“兼容性”選項，勾選“用兼容模式運行這個程序”。.帳號策略要實現(xiàn)帳號策略，首先要加載管理單元。在桌面上創(chuàng)建一個MMC,步驟如下：點擊桌面左下角"起先“再點”運行“，在對話框中輸入MMC,選擇文件-添加/刪除管理單元點擊添加一選擇平安模板一點擊添加一點擊關(guān)閉一點擊確定選擇“文件”到“保存”，單擊桌面，制定文件名為AdminConsole,默認擴展名為.msc,單擊“保存”。這樣，當須要再次訪問時，只要打開桌面上的AdminConsole.msc文件就可以了。密碼策略密碼策略保證平安要求在計算機上被強制執(zhí)行。須要留意的是，密碼策略是在各個計算機上設(shè)置，而不能針對特定的用戶配置，在以下的表格中,具體介紹了密碼策略的各個選項:策略說明默認值最小值最大值強制密碼歷史保存用戶歷史軌跡記住0個密碼記住0個密碼記住24個密碼密碼最長存留期確定用戶保存有效密碼的最大天數(shù)保存42天保存1天保存999天密碼長度最小值指定密碼包含的最少字符數(shù)。個字符（不須要密碼）。個字符14個字符密碼最小存留期指定密碼要保存多長時間后才能變更。天。天999天賬號鎖定策略賬號鎖定策略用于指定容忍多少次無效的登陸企圖。賬號鎖定策略配置成在y分鐘內(nèi)進行x次失敗登陸時，賬號將被鎖定指定的時間或者直到管理員解開帳號的鎖定為止。策略說明默認值最小值最大值建議帳戶鎖定時間指定到達值時鎖定賬號的時0分鐘（假如啟用帳戶鎖定閾值則為30分同默認值999999分鐘5分鐘間長度鐘）帳戶鎖定指定鎖定0次（禁用則賬同默認值999次5次閾值賬號之前號將不鎖定）允許的無效次數(shù)復(fù)位帳戶指定計數(shù)0分鐘（假如啟同默認值999999分5分鎖定計數(shù)器記住失用帳戶鎖定閾鐘鐘器敗次數(shù)的值則為5分時間鐘）.平安選項策略平安選項策略（SecurityOptionsPolicies）用戶對計算機配置平安措施,與用戶權(quán)利策略不同的是，用戶權(quán)利應(yīng)用于用戶或組，而平安選項策略應(yīng)用于計算機。下表是部分平安選項的策略：選項說明默認值帳戶：管理員帳戶狀態(tài)指在正常操作下，Administartor賬號是啟用還是禁用，不管設(shè)置如何，當在平安模式下啟動時，Administrator賬號將被啟用已啟用帳戶：來賓帳戶狀態(tài)確定Guest賬號是否已禁用被啟用帳戶：運用空白密碼的本地帳戶只允許進行限制臺登錄假如一個用戶的密碼是空的，并且這個選項被啟用，用戶將無法適用空的密碼從網(wǎng)絡(luò)登錄，這個設(shè)置并不應(yīng)用到域登錄賬號已啟用帳戶：重命名系統(tǒng)管理員帳戶允許Administrator賬號被重命名沒有定義帳戶：重命名系統(tǒng)管理員帳戶允許Guest賬號被重命名沒有定義帳戶：重命名來賓帳戶允許對全局系統(tǒng)對象的訪問進行審核已禁用審計：假如無法記錄平安審計則馬上關(guān)閉系統(tǒng)假如無法登錄平安審核，指定系統(tǒng)馬上關(guān)閉已禁用設(shè)備：允許格式化和彈出可移動媒體指定誰能夠格式化和退出可移動NTFS媒介Administrators設(shè)備：只有本地登錄的用戶才能訪問CD-ROM指定本地用戶和網(wǎng)絡(luò)用戶是否能夠訪問CD-ROM已禁用設(shè)備：只有本地登錄的用戶才能訪問軟盤指定本地用戶和網(wǎng)絡(luò)用戶是否可以訪問軟盤已禁用域限制器：拒絕更改機器帳戶密碼指定域限制器是否接受計算機賬號密碼的更改已禁用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉指定匿名用戶可以訪問哪些網(wǎng)絡(luò)共享沒有定義網(wǎng)絡(luò)平安：不要在下次更改密碼時不存儲LANManager的Hash值指定LAN管理器是否從密碼更改中存儲散列值已禁用網(wǎng)絡(luò)平安：在超過登錄時間后強制注銷指定當前連接的用戶登錄時間超時后，是否強制注銷已啟用關(guān)機：允許在未登錄前關(guān)機允許用戶無需登陸即可關(guān)閉系統(tǒng)在工作站上啟用在服務(wù)器上禁用1。.加密文件與文件夾打開“Windows資源管理器”，右鍵單擊想要加密的文件或文件夾，選擇“屬性”選項，單擊“常規(guī)”選項卡中的“高級”按鈕，選中“加密內(nèi)容以便愛護數(shù)據(jù)”.在默認狀況下，WindowsXP中全部的文件夾都是開放的，即該機上的全部用戶都可運用它們，這無疑運用戶的重要個人資料面臨著嚴峻的威逼。為此，WindowsXP新增了一項叫“文件夾專用”的功能，它是指在NTFS文件系統(tǒng)中，某個文件夾被用戶設(shè)置成“專用文件夾”后，該文件夾就只能由該用戶運用，而其他用戶在登錄WindowsXP后是無法運用的，這就為愛護個人重要資料供應(yīng)了便利。要使某個文件夾專人專用，只需將該文件夾移動到“x:\DocumentsandSettings'用戶名\”文件夾中(x是指WindowsXP安裝文件所在分區(qū))，然后右擊該文件夾，選擇“屬性”選項，在“共享”選項卡中勾選“將這個文件夾設(shè)為個人的，這樣只有該用戶才能訪問”復(fù)選框。這樣，當其他用戶登錄WindowsXP后想進入這個文件夾時將遭到“拒絕訪問”的警告提示。.注冊表設(shè)置有關(guān)如何編輯注冊表的信息可通過注冊表編輯器本身的“幫助”工具得到。例如，用戶可以運用以下步驟來查看有關(guān)向注冊表中添加一個項的說明。從“起先”菜單中，選擇“運行”。在“運行”對話框的文本框中，鍵入regedt32并單擊“確定”，打開注冊表編輯器(Regedt32.exe)o從“幫助”菜單中，選擇“書目”。在注冊表編輯器的“幫助”工具的右側(cè)窗格中，單擊“在注冊表中添加和刪除信息”超鏈接。該窗格即顯示有關(guān)在注冊表中添加和刪除信息的幫助主題列表。單擊“向注冊表中添加項”超鏈接以獲得具體說明。.網(wǎng)絡(luò)攻擊的平安留意事項為了防止拒絕服務(wù)(DoS)攻擊，必需運用最新的平安修補程序與時更新計算機，并在曝光于潛在攻擊者的WindowsXP計算機中強化TCP/IP協(xié)議堆棧平安性。調(diào)整默認的TCP/IP堆棧配置，使之處理標準Intranet通信。假如將計算機干脆連接到Internet,Microsoft建議用戶強化TCP/IP堆棧的平安性以防范DoS攻擊。針對TCP/IP堆棧的DoS攻擊可分為兩類：一類是濫用系統(tǒng)資源（如打開不計其數(shù)的TCP連接），另一類是發(fā)送特制的數(shù)據(jù)包使網(wǎng)絡(luò)堆棧或整個操作系統(tǒng)產(chǎn)生故障。下面的注冊表設(shè)置有助于防范針對TCP/IP堆棧的攻擊。DoS攻擊包括：大量發(fā)送數(shù)據(jù)使Web服務(wù)器疲于處理；大量發(fā)送數(shù)據(jù)包充斥遠程網(wǎng)絡(luò)。路由器和服務(wù)器由于要路由并處理每個數(shù)據(jù)包而超負荷運行。DoS攻擊有時很難抵擋。為了防范，必需強化TCP/IP協(xié)議。.日志審核單擊“起先”,然后單擊“限制面板”。單擊“，性能和維護”,單擊“起先”,然后單擊“限制面板”。單擊“，性能和維護”,再單擊“管理工具”，然后雙擊“計算機管理”。在限制臺樹中，單擊“事務(wù)查看器”。單擊“起先”,然后單擊“限制面板”。單擊“性能和維護”,單擊“起先”,然后單擊“限制面板”。單擊“性能和維護”,再單擊“管理工具”，然后雙擊“計算機管理”。在限制臺樹中，單擊“事務(wù)查看器”。設(shè)置日志大小和覆蓋選項要指定日志大小和覆蓋選項，