Windows XP系统的安全配置方案

Windows XP系统的安全配置方案

1.关闭常见危险端口

(1)135端口

主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。

关闭135端口：

1. 单击“开始”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。

2. 在弹出的“组件服务”对话框中，选择“计算机”选项。

3. 在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。

4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。

5. 选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。

6. 单击“确定”按钮，设置完成，重新启动后即可关闭135端口。

(2) 139端口

IPC$漏洞使用的是139，445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。

关闭139端口：

本地连接—>Internet协议（TCP/IP）—>右击—>属性—>选择“TCP/IP”，单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。

(3) 445端口

和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘，甚至硬盘格式化。

关闭445端口：

运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters

建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键，键值为0。

(4) 3389端口

远程桌面的服务端口，可以通过这个端口，用“远程桌面”等连接工具来连接到远程的服务器。

关闭445端口：

我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。

2. 删除IPC$空连接

运行—>regedit—>HKEY-LOCAL_MACHINE\

SYSTEM\CurrentControSet\Control\LSA

将数值名称RestrictAnonymous的数值数据由0改为1。

3. 账号密码的安全原则

禁用guest账号，将系统内置的Administrator账号改名（越复杂越好，最好是中文的），设置密码最好为8位以上的字母+数字+符号的组合。

4. 删除共享

运行cmd，用net share命令查看本地开放的共享。对于不需要开放共享的用户可删除默认共享，如果不需要Admin$，可运行以下命令：

net share admin $ /delete

net share * $ / delete

上一行中的*可以代表C、D、E、F、IPC 。

5. 消除系统假死现象

程序很长时间没响应，因为该程序与系统无法兼容。右击程序的执行文件，选择“属性”，进入“兼容性”选项，勾选“用兼容模式运行这个程序”。

6.帐号策略

要实现帐号策略，首先要加载管理单元。在桌面上创建一个MMC，步骤如下：点击桌面左下角“开始“再点”运行“, 在对话框中输入MMC，选择文件–添加/删除管理单元

点击添加—选择安全模板—点击添加—点击关闭—点击确定

选择“文件”到“保存”，单击桌面，制定文件名为Admin Console，默认扩展名为.msc，单击“保存”。

这样，当需要再次访问时，只要打开桌面上的Admin Console.msc文件就可以了。

7.密码策略

密码策略保证安全要求在计算机上被强制执行。需要注意的是，密码策略是在各个计算机上设置，而不能针对特定的用户配置，在以下的表格中，详细介绍

8.账号锁定策略

账号锁定策略用于指定容忍多少次无效的登陆企图。账号锁定策略配置成在y分钟内进行x次失败登陆时，账号将被锁定指定的时间或者直到管理员解开帐号

安全选项策略（Security Options Policies）用户对计算机配置安全措施，与用户权利策略不同的是，用户权利应用于用户或组，而安全选项策略应用于计算机。下表

打开“Windows资源管理器”，右键单击想要加密的文件或文件夹，选择“属性”选项，单击“常规”选项卡中的“高级”按钮，选中“加密内容以便保护数据”.

在默认情况下，Windows XP中所有的文件夹都是开放的，即该机上的全部用户都可使用它们，这无疑使用户的重要个人资料面临着严重的威胁。为此，Windows XP 新增了一项叫“文件夹专用”的功能，它是指在NTFS文件系统中，某个文件夹被用户设置成“专用文件夹”后，该文件夹就只能由该用户使用，而其他用户在登录Windows XP后是无法使用的，这就为保护个人重要资料提供了方便。要使某个文件夹专人专用，只需将该文件夹移动到“x:\Documents and Settings\用户名\”文件夹中（x 是指Windows XP安装文件所在分区），然后右击该文件夹，选择“属性”选项，在“共享”选项卡中勾选“将这个文件夹设为个人的，这样只有该用户才能访问”复选框。这样，当其他用户登录Windows XP后想进入这个文件夹时将遭到“拒绝访问”的警告提示。

11.注册表设置

有关如何编辑注册表的信息可通过注册表编辑器本身的“帮助”工具得到。例如，用户可以使用以下步骤来查看有关向注册表中添加一个项的说明。

从“开始”菜单中，选择“运行”。

在“运行”对话框的文本框中，键入 regedt32 并单击“确定”，打开注册表编辑器 (Regedt32.exe)。

从“帮助”菜单中，选择“目录”。

在注册表编辑器的“帮助”工具的右侧窗格中，单击“在注册表中添加和删除信息”超链接。该窗格即显示有关在注册表中添加和删除信息的帮助主题列表。单击“向注册表中添加项”超链接以获得详细说明。

12.网络攻击的安全注意事项

为了防止拒绝服务(DoS) 攻击，必须使用最新的安全修补程序及时更新计算机，并在曝光于潜在攻击者的 Windows XP 计算机中强化 TCP/IP 协议堆栈安全性。调整默认的 TCP/IP 堆栈配置，使之处理标准 Intranet 通信。如果将计算机直接连接到 Internet，Microsoft 建议用户强化 TCP/IP 堆栈的安全性以防范 DoS 攻击。

针对 TCP/IP 堆栈的 DoS 攻击可分为两类：一类是滥用系统资源（如打开不计其数的 TCP 连接），另一类是发送特制的数据包使网络堆栈或整个操作系统产生故障。下面的注册表设置有助于防范针对 TCP/IP 堆栈的攻击。DoS 攻击包括：大量发送数据使 Web 服务器疲于处理；大量发送数据包充斥远程网络。路由器和服务器