Windows XP系统的安全配置方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows XP系统的安全配置方案
1.关闭常见危险端口
(1)135端口
主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。
关闭135端口:
1. 单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。
2. 在弹出的“组件服务”对话框中,选择“计算机”选项。
3. 在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。
4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。
5. 选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。
6. 单击“确定”按钮,设置完成,重新启动后即可关闭135端口。
(2) 139端口
IPC$漏洞使用的是139,445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。
关闭139端口:
本地连接—>Internet协议(TCP/IP)—>右击—>属性—>选择“TCP/IP”,单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。
(3) 445端口
和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘,甚至硬盘格式化。
关闭445端口:
运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters
建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键,键值为0。
(4) 3389端口
远程桌面的服务端口,可以通过这个端口,用“远程桌面”等连接工具来连接到远程的服务器。
关闭445端口:
我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。
2. 删除IPC$空连接
运行—>regedit—>HKEY-LOCAL_MACHINE\
SYSTEM\CurrentControSet\Control\LSA
将数值名称RestrictAnonymous的数值数据由0改为1。
3. 账号密码的安全原则
禁用guest账号,将系统内置的Administrator账号改名(越复杂越好,最好是中文的),设置密码最好为8位以上的字母+数字+符号的组合。
4. 删除共享
运行cmd,用net share命令查看本地开放的共享。对于不需要开放共享的用户可删除默认共享,如果不需要Admin$,可运行以下命令:
net share admin $ /delete
net share * $ / delete
上一行中的*可以代表C、D、E、F、IPC 。
5. 消除系统假死现象
程序很长时间没响应,因为该程序与系统无法兼容。右击程序的执行文件,选择“属性”,进入“兼容性”选项,勾选“用兼容模式运行这个程序”。
6.帐号策略
要实现帐号策略,首先要加载管理单元。在桌面上创建一个MMC,步骤如下:点击桌面左下角“开始“再点”运行“, 在对话框中输入MMC,选择文件–添加/删除管理单元
点击添加—选择安全模板—点击添加—点击关闭—点击确定
选择“文件”到“保存”,单击桌面,制定文件名为Admin Console,默认扩展名为.msc,单击“保存”。
这样,当需要再次访问时,只要打开桌面上的Admin Console.msc文件就可以了。
7.密码策略
密码策略保证安全要求在计算机上被强制执行。需要注意的是,密码策略是在各个计算机上设置,而不能针对特定的用户配置,在以下的表格中,详细介绍
8.账号锁定策略
账号锁定策略用于指定容忍多少次无效的登陆企图。账号锁定策略配置成在y分钟内进行x次失败登陆时,账号将被锁定指定的时间或者直到管理员解开帐号
安全选项策略(Security Options Policies)用户对计算机配置安全措施,与用户权利策略不同的是,用户权利应用于用户或组,而安全选项策略应用于计算机。下表
打开“Windows资源管理器”,右键单击想要加密的文件或文件夹,选择“属性”选项,单击“常规”选项卡中的“高级”按钮,选中“加密内容以便保护数据”.
在默认情况下,Windows XP中所有的文件夹都是开放的,即该机上的全部用户都可使用它们,这无疑使用户的重要个人资料面临着严重的威胁。为此,Windows XP 新增了一项叫“文件夹专用”的功能,它是指在NTFS文件系统中,某个文件夹被用户设置成“专用文件夹”后,该文件夹就只能由该用户使用,而其他用户在登录Windows XP后是无法使用的,这就为保护个人重要资料提供了方便。要使某个文件夹专人专用,只需将该文件夹移动到“x:\Documents and Settings\用户名\”文件夹中(x 是指Windows XP安装文件所在分区),然后右击该文件夹,选择“属性”选项,在“共享”选项卡中勾选“将这个文件夹设为个人的,这样只有该用户才能访问”复选框。这样,当其他用户登录Windows XP后想进入这个文件夹时将遭到“拒绝访问”的警告提示。
11.注册表设置
有关如何编辑注册表的信息可通过注册表编辑器本身的“帮助”工具得到。例如,用户可以使用以下步骤来查看有关向注册表中添加一个项的说明。
从“开始”菜单中,选择“运行”。
在“运行”对话框的文本框中,键入 regedt32 并单击“确定”,打开注册表编辑器 (Regedt32.exe)。
从“帮助”菜单中,选择“目录”。
在注册表编辑器的“帮助”工具的右侧窗格中,单击“在注册表中添加和删除信息”超链接。该窗格即显示有关在注册表中添加和删除信息的帮助主题列表。单击“向注册表中添加项”超链接以获得详细说明。
12.网络攻击的安全注意事项
为了防止拒绝服务(DoS) 攻击,必须使用最新的安全修补程序及时更新计算机,并在曝光于潜在攻击者的 Windows XP 计算机中强化 TCP/IP 协议堆栈安全性。调整默认的 TCP/IP 堆栈配置,使之处理标准 Intranet 通信。如果将计算机直接连接到 Internet,Microsoft 建议用户强化 TCP/IP 堆栈的安全性以防范 DoS 攻击。
针对 TCP/IP 堆栈的 DoS 攻击可分为两类:一类是滥用系统资源(如打开不计其数的 TCP 连接),另一类是发送特制的数据包使网络堆栈或整个操作系统产生故障。下面的注册表设置有助于防范针对 TCP/IP 堆栈的攻击。DoS 攻击包括:大量发送数据使 Web 服务器疲于处理;大量发送数据包充斥远程网络。路由器和服务器