Windows XP系统的安全配置方案

WindowsXP系统的平安配置方案i.关闭常见危急端口⑴135端口主要用于运用RPC（RemoteProcedureCall,远程过程调用）协议并供应DCOM（分布式组件对象模型）服务。关闭135端口：.单击“起先”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。.在弹出的“组件服务”对话框中，选择“计算机”选项。.在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。.在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用 分布式COM”前的勾。.选择“默认协议”选项卡，选中“面对连接的TCP/IP"，单击“删除"按钮。.单击“确定”按钮，设置完成，重新启动后即可关闭135端口。⑵139端口IPC$漏洞运用的是139,445端口。IPC$漏洞其实就是指微软为了便利管理员而安置的后门-空会话。关闭139端口：本地连接一internet协议（TCP/IP）—＞右击一＞属性一＞选择“TCP/IP”,单击“高级，，一＞在“WINS”选项卡中选择禁用“TCP/IP”,单击“高14.本地禁用不须要的系统服务在WindowsXP操作系统上本地禁用不须要的服务步骤如下：打开“计算机管理”界面。在限制台树中，绽开“服务和应用程序”，然后选择“服务”。从右侧窗格中，选择要禁用的服务。右键单击选定的服务，然后选择“属性”。选定服务的“属性”对话框出现。从“启动类型:"下拉菜单中，选择“已禁用”。在“服务状态:"下，选择“停止”。单击“确定”。的NetBLOS^o⑶445端口和139端口一起是^＜：$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘，甚至硬盘格式化。关闭445端口：运行-＞regedit-＞ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters建一个名为SMBDeviceEnabled的REG-DWORD类型的子键，键值为。。4)3389端口远程桌面的服务端口，可以通过这个端口，用“远程桌面”等连接工具来连接到远程的服务器。关闭445端口：我的电脑一＞右击一＞属性一＞去掉“远程帮助”和“远程桌面”前的勾。.删除IPC$空连接运行一〉regedit—＞HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA将数值名称RestrictAnonymous的数值数据由0改为1。.账号密码的平安原则禁用guest账号，将系统内置的Administrator账号改名(越困难越好，最好是中文的)，设置密码最好为8位以上的字母+数字+符号的组合。.删除共享运行cmd,用netshare吩咐查看本地开放的共享。对于不须要开放共享的用户可删除默认共享，假如不须要Admin$,可运行以下吩咐：netshareadmin$/deletenetshare*$/delete上一行中的*可以代表C、D、E、F、IPCo.消退系统假死现象程序很长时间没响应，因为该程序与系统无法兼容。右击程序的执行文件，选择“属性”，进入“兼容性”选项，勾选“用兼容模式运行这个程序”。.帐号策略要实现帐号策略，首先要加载管理单元。在桌面上创建一个MMC,步骤如下：点击桌面左下角"起先“再点”运行“，在对话框中输入MMC,选择文件-添加/删除管理单元点击添加一选择平安模板一点击添加一点击关闭一点击确定选择“文件”到“保存”，单击桌面，制定文件名为AdminConsole,默认扩展名为.msc,单击“保存”。这样，当须要再次访问时，只要打开桌面上的AdminConsole.msc文件就可以了。密码策略密码策略保证平安要求在计算机上被强制执行。须要留意的是，密码策略是在各个计算机上设置，而不能针对特定的用户配置，在以下的表格中,具体介绍了密码策略的各个选项:策略说明默认值最小值最大值强制密码历史保存用户历史轨迹记住0个密码记住0个密码记住24个密码密码最长存留期确定用户保存有效密码的最大天数保存42天保存1天保存999天密码长度最小值指定密码包含的最少字符数。个字符（不须要密码）。个字符14个字符密码最小存留期指定密码要保存多长时间后才能变更。天。天999天账号锁定策略账号锁定策略用于指定容忍多少次无效的登陆企图。账号锁定策略配置成在y分钟内进行x次失败登陆时，账号将被锁定指定的时间或者直到管理员解开帐号的锁定为止。策略说明默认值最小值最大值建议帐户锁定时间指定到达值时锁定账号的时0分钟（假如启用帐户锁定阈值则为30分同默认值999999分钟5分钟间长度钟）帐户锁定指定锁定0次（禁用则账同默认值999次5次阈值账号之前号将不锁定）允许的无效次数复位帐户指定计数0分钟（假如启同默认值999999分5分锁定计数器记住失用帐户锁定阈钟钟器败次数的值则为5分时间钟）.平安选项策略平安选项策略（SecurityOptionsPolicies）用户对计算机配置平安措施,与用户权利策略不同的是，用户权利应用于用户或组，而平安选项策略应用于计算机。下表是部分平安选项的策略：选项说明默认值帐户：管理员帐户状态指在正常操作下，Administartor账号是启用还是禁用，不管设置如何，当在平安模式下启动时，Administrator账号将被启用已启用帐户：来宾帐户状态确定Guest账号是否已禁用被启用帐户：运用空白密码的本地帐户只允许进行限制台登录假如一个用户的密码是空的，并且这个选项被启用，用户将无法适用空的密码从网络登录，这个设置并不应用到域登录账号已启用帐户：重命名系统管理员帐户允许Administrator账号被重命名没有定义帐户：重命名系统管理员帐户允许Guest账号被重命名没有定义帐户：重命名来宾帐户允许对全局系统对象的访问进行审核已禁用审计：假如无法记录平安审计则马上关闭系统假如无法登录平安审核，指定系统马上关闭已禁用设备：允许格式化和弹出可移动媒体指定谁能够格式化和退出可移动NTFS媒介Administrators设备：只有本地登录的用户才能访问CD-ROM指定本地用户和网络用户是否能够访问CD-ROM已禁用设备：只有本地登录的用户才能访问软盘指定本地用户和网络用户是否可以访问软盘已禁用域限制器：拒绝更改机器帐户密码指定域限制器是否接受计算机账号密码的更改已禁用网络访问：不允许SAM帐户和共享的匿名枚举指定匿名用户可以访问哪些网络共享没有定义网络平安：不要在下次更改密码时不存储LANManager的Hash值指定LAN管理器是否从密码更改中存储散列值已禁用网络平安：在超过登录时间后强制注销指定当前连接的用户登录时间超时后，是否强制注销已启用关机：允许在未登录前关机允许用户无需登陆即可关闭系统在工作站上启用在服务器上禁用1。.加密文件与文件夹打开“Windows资源管理器”，右键单击想要加密的文件或文件夹，选择“属性”选项，单击“常规”选项卡中的“高级”按钮，选中“加密内容以便爱护数据”.在默认状况下，WindowsXP中全部的文件夹都是开放的，即该机上的全部用户都可运用它们，这无疑运用户的重要个人资料面临着严峻的威逼。为此，WindowsXP新增了一项叫“文件夹专用”的功能，它是指在NTFS文件系统中，某个文件夹被用户设置成“专用文件夹”后，该文件夹就只能由该用户运用，而其他用户在登录WindowsXP后是无法运用的，这就为爱护个人重要资料供应了便利。要使某个文件夹专人专用，只需将该文件夹移动到“x:\DocumentsandSettings'用户名\”文件夹中(x是指WindowsXP安装文件所在分区)，然后右击该文件夹，选择“属性”选项，在“共享”选项卡中勾选“将这个文件夹设为个人的，这样只有该用户才能访问”复选框。这样，当其他用户登录WindowsXP后想进入这个文件夹时将遭到“拒绝访问”的警告提示。.注册表设置有关如何编辑注册表的信息可通过注册表编辑器本身的“帮助”工具得到。例如，用户可以运用以下步骤来查看有关向注册表中添加一个项的说明。从“起先”菜单中，选择“运行”。在“运行”对话框的文本框中，键入regedt32并单击“确定”，打开注册表编辑器(Regedt32.exe)o从“帮助”菜单中，选择“书目”。在注册表编辑器的“帮助”工具的右侧窗格中，单击“在注册表中添加和删除信息”超链接。该窗格即显示有关在注册表中添加和删除信息的帮助主题列表。单击“向注册表中添加项”超链接以获得具体说明。.网络攻击的平安留意事项为了防止拒绝服务(DoS)攻击，必需运用最新的平安修补程序与时更新计算机，并在曝光于潜在攻击者的WindowsXP计算机中强化TCP/IP协议堆栈平安性。调整默认的TCP/IP堆栈配置，使之处理标准Intranet通信。假如将计算机干脆连接到Internet,Microsoft建议用户强化TCP/IP堆栈的平安性以防范DoS攻击。针对TCP/IP堆栈的DoS攻击可分为两类：一类是滥用系统资源（如打开不计其数的TCP连接），另一类是发送特制的数据包使网络堆栈或整个操作系统产生故障。下面的注册表设置有助于防范针对TCP/IP堆栈的攻击。DoS攻击包括：大量发送数据使Web服务器疲于处理；大量发送数据包充斥远程网络。路由器和服务器由于要路由并处理每个数据包而超负荷运行。DoS攻击有时很难抵挡。为了防范，必需强化TCP/IP协议。.日志审核单击“起先”,然后单击“限制面板”。单击“，性能和维护”,单击“起先”,然后单击“限制面板”。单击“，性能和维护”,再单击“管理工具”，然后双击“计算机管理”。在限制台树中，单击“事务查看器”。单击“起先”,然后单击“限制面板”。单击“性能和维护”,单击“起先”,然后单击“限制面板”。单击“性能和维护”,再单击“管理工具”，然后双击“计算机管理”。在限制台树中，单击“事务查看器”。设置日志大小和覆盖选项要指定日志大小和覆盖选项，