隨著Windows XP在個人電腦上面的普及,越來越多的人開始與Windows XP形影不離,儘管Windows XP有著超強的穩定性和可靠的安全性。然而,陸續發現的漏洞,還是讓Windows XP已經有了被攻擊的威脅。本文將就Windows XP作業系統如何在安全性上得到改善,進一步提高使用者使用Windows XP作業系統的安全性,以及平時維護應注意的一些事情展開討論,希望能對廣大Windows XP使用者有些幫助。
(1) 不要選擇從網路上安裝
雖然微軟支援線上安裝,但這絕對不安全。在系統未全部安裝完之前不要連入網路,特別是Internet。甚至不要把一切硬體都連線好來再安裝。因為Windows XP安裝時,在輸入使用者管理員賬號“Administrator”的密碼後,系統會建立一個“ADMIN”的共享賬號,但是並沒有用剛輸入的密碼來保護它,這種情況一直會持續到計算機再次啟動。在此期間,任何人都可以通過“ADMIN”進入系統;同時,安裝完成,各種服務會馬上自動執行,而這時的伺服器還到處是漏洞,非常容易從外部侵入。
(2) 要選擇NTFS格式來分割槽
最好所有的分割槽都是NTFS格式,因為NTFS格式的分割槽在安全性方面更加有保障。就算其他分割槽採用別的格式(如FAT32),但至少系統所在的分割槽中應是NTFS格式。另外,應用程式不要和系統放在同一個分割槽中,以免攻擊者利用應用程式的漏洞(如微軟的IIS的漏洞)導致系統檔案的洩漏,甚至讓入侵者遠端獲取管理員許可權。
(3) 系統版本的選擇
版本的選擇:Windows XP有各種語言的版本,對於我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug&Patch而著稱的,中文版的Bug遠遠多於英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公佈了漏洞後你的機子還會有半個月處於無保護狀況)。
(4) 元件的定製
Windows XP在預設情況下會安裝一些常用的元件,但是正是這個預設安裝是很危險的,你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的許可權=最大的.安全。
(5) 分割槽和邏輯盤的分配
建議建立多於兩個分割槽,一個系統分割槽,一個以上應用程式分割槽,把系統分割槽和應用程式分割槽分開,以此來保護應用程式,一般來說,病毒或者黑客利用漏洞攻擊,損壞的是系統分割槽,而不會對應用程式分割槽造成損壞。
2.賬號安全策略(1)使用者安全設定
檢查使用者賬號,停止不需要的賬號,建議更改預設的賬號名。
1)、禁用Guest賬號在計算機管理的使用者裡面把Guest賬號禁用。為了保險起見,最好給Guest加一個複雜的密碼。
2)、限制不必要的使用者 去掉所有的Duplicate User使用者、測試使用者、共享使用者等等。使用者組策略設定相應許可權,並且經常檢查系統的使用者,刪除已經不再使用的使用者。
3)、建立兩個管理員賬號建立一個一般許可權使用者用來收信以及處理一些日常事物,另一個擁有Administrator許可權的使用者只在需要的時候使用。
4)、把系統Administrator賬號改名Windows XP的Administrator使用者是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個使用者的密碼。儘量把它偽裝成普通使用者,比如改成Guesycludx。
5)、建立一個陷阱使用者建立一個名為“Administrator”的本地使用者,把它的許可權設定成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級複雜密碼。
6)、把共享檔案的許可權從Everyone組改成授權使用者 不要把共享檔案的使用者設定成“Everyone”組,包括列印共享,預設的屬性就是“Everyone”組的。
7)、不讓系統顯示上次登入的使用者名稱 開啟登錄檔編輯器並找到登錄檔項HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName,把鍵值改成1。
8)、系統賬號/共享列表 Windows XP的預設安裝允許任何使用者通過空使用者得到系統所有賬號/共享列表,這個本來是為了方便區域網使用者共享檔案的,但是一個遠端使用者也可以得到你的使用者列表並使用暴力法破解使用者密碼。可以通過更改登錄檔Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止139空連線,還可以在Windows XP的本地安全策略(如果是域伺服器就是在域伺服器安全和域安全策略中)就有這樣的選項RestrictAnonymous(匿名連線的額外限制)。
3.應用安全策略(1)安裝防毒軟體
防毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程式,因此要注意經常執行程式並升級病毒庫。
(2)安裝防火牆偵聽外界對本機所採取的攻擊,及早提醒使用者採取防範措施。
(3)安裝系統補丁
到微軟網站下載最新的補丁程式:經常訪問微軟和一些安全站點,下載最新的Service Pack和漏洞補丁,是保障伺服器長久安全的唯一方法。
(4)停止不必要的服務
服務開的太多也不是個好事,將沒有必要的服務通通關掉吧!服務元件安裝得越多, 使用者可以享受的服務功能也就越多。但是使用者平時使用到的服務元件畢竟有限, 而那些很少用到的元件除佔用了不少系統資源,會引起系統不穩定外,還為黑客的遠端入侵提供了多種途徑。
為此我們應該儘量把那些暫不需要的服務元件遮蔽掉。具體的操作方法為: 首先在控制面板中找到“管理工具”/“服務”,然後再開啟“服務”對話方塊,在該對話方塊中選中需要遮蔽的程式,並單擊滑鼠右鍵, 從彈出的快捷選單中依次選擇“屬性”/“停止”命令,同時將“啟動型別”設定為“手動”或“已禁用”,這樣就可以對指定的服務元件進行遮蔽了。
4.網路安全策略(1)關閉不必要的埠
關閉埠意味著減少功能,在安全和功能上面需要你做一點決策。如果伺服器安裝在防火牆的後面,冒險就會少些。但是,永遠不要認為你可以高枕無憂了。用埠掃描器掃描系統已開放的埠,確定系統開放的哪些服務可能引起黑客入侵。在系統目錄中的system32driversetcservices 檔案中有知名埠和服務的對照表可供參考。具體方法為:開啟“ 網路上的芳鄰/屬性/本地連線/屬性/internet 協議(TCP/IP)/屬性/高階/選項/TCP/IP篩選/屬性” 開啟“TCP/IP篩選”,新增需要的TCP、UDP協議即可。
(2)設定好安全記錄的訪問許可權
安全記錄在預設情況下是沒有保護的,把它設定成只有Administrators和系統賬戶才有權訪問。
(3)使用Web格式的電子郵件系統
不要實用Outlook、Fox mail等客戶端郵件系統接受郵件,現在的一些郵件危害性很大,一旦植入本機,就有可能造成系統的癱瘓。同時,不要察看陌生人郵件中的附件,這些附件往往帶有病毒和木馬。
