让你的XP系统更加安全

合集下载

避免安全隐患安装WindowsXP的十大注意事项

避免安全隐患安装WindowsXP的十大注意事项Windows XP是广泛流行的操作系统。

他的界面美观，操作简单，特别适用于家庭用户。

安装操作系统对于高手来说已经是熟练工种，不过对于大多数用户来说重装XP系统虽然不困难但如果在安装过程中不太注意细节的话很可能为计算机自身埋下重大安全隐患。

笔者总结出了安装Windows XP系统的十大注意事项，一条条的罗列出来和大家一起分享。

注意一：硬件环节要确保虽然XP系统推出已经好几年了，主流电脑配置正常运行XP绰绰有余。

不过对于家庭用户来说不可能随时保持高配置，要想正常安装XP并顺利运行的话需要至少PIII以上的CPU，128MB以上的内存。

这两点是特别重要的。

另外硬件的兼容性和牢固性也是值得考虑的因素，经常有朋友问到为什么在自己的计算机上无法安装XP系统，在安装时出现蓝屏。

其实大多数情况是因为硬件问题，而且大部分是内存出现问题。

遇到这种情况可以将内存条拔下，然后重新插到内存槽上；另外如果本机安装的是两个厂商的内存条，请先拔下一个看看是否可以安装了。

注意二：文件格式要转换XP系统支持FAT32和NTFS两种文件格式Ｋ淙籜P在FAT32下也可以正常使用，不过很多时候使用NTFS格式更加安全可靠，更加节省硬盘空间。

因此在安装XP系统出现文件格式选择时我们应该选择NTFS格式的分区。

如果你不小心依然使用FAT32安装XP系统的话，我们还有一个补救的办法。

那就是在安装完系统后通过“开始->运行->输入CMD”，进入命令行模式。

在命令行模式中输入“convert c: /fs:ntfs”，这样系统就会自动将C盘从FAT32格式转换到NTFS格式。

注意三：安装过程要断网一般在安装操作系统后期才会对计算机的硬件设备进行扫描，自动安装驱动程序。

如果存在网卡的话也会自动安装网卡驱动，让网卡正常工作。

由于XP系统刚刚安装完毕，没有安装任何补丁，所以漏洞比较多。

如果这时候计算机就连接到了网络中，病毒或黑客就会乘虚而入，使得我们新安装的XP系统就轻易的感染病毒，所以说在安装XP系统过程中一定要将插在网卡上的网线拔掉。

Win XP本地安全策略(secpol.msc)四大应用技巧

[img]/catchpic/D/D2/D2F99D70AC80C65EEE2DF3188AC12B1A.jpg[/img]
三、活用IP策略
我们知道，无论是木马、后门，还是漏洞、嗅探，大多都是通过端口作为通道。
因此，我危险端口的资料，以做到有备而战。
一、加固系统账户
1.禁止枚举账号
我们知道，某些具有黑客行为的蠕虫病毒，可以通过扫描Windows 2000/XP系统的指定端口，然后通过共享会话猜测管理员系统口令。因此，我们需要通过在“本地安全策略”中设置禁止枚举账号，从而抵御此类入侵行为，操作步骤如下:
在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略→安全选项”。查看右侧的相关策略列表，在此找到“网络访问:不允许SAM账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。
此外，通过“本地安全设置”，还可以进行通过设置“审核对象访问”，跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。诸如此类的安全设置，不一而足。大家在实际应用中会逐渐发觉“本地安全设置”的确是一个不可或缺的系统安全工具。
[[i] 本帖最后由 saly 于 2007-6-7 09:28 编辑 [/i]]
2.账户管理
为了防止入侵者利用漏洞登录机器，我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为:在“本地策略→安全选项”分支中，找到“账户:来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。
下面，我们再查看“账户:重命名系统管理员账户”这项策略，调出其属性对话框，在其中的文本框中可自定义账户名称(图1)。

安全本地策略

新策略需要被激活才能起作用，具体方法是：在“新IP安全策略”上点右键，选择“指派”刚才制定的策略。
现在，当我们从另一台电脑Telnet到设防的这一台时，系统会报告登录失败；用扫描工具扫描这台机子，会发现23端口仍然在提供服务。以同样的方法，大家可以把其他任何可疑的端口都封杀掉，让不速之客们大叫“不妙”去吧。
在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略” “安全选项”。查看右侧的相关策略列表，在此找到“网络访问：不允许SAM账户和共享的匿名枚举”（图1），用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。
现在双击“IP安全策略”就可以新建一个管理规则。右击“IP安全策略”，在弹出的快捷菜单中选择“创建IP安全策略”，打开IP安全策略向导，点击“下一步” “名称默认为‘新IP安全策略'” “下一步” “不必选择‘激活默认响应规则'”，注意：在点击“下一步的同时，需要确认此时“编辑属性”被选中，然后选择“完成，出现“新IP安全策略属性”窗口（图5），选择“添加”，然后一直点击“下一步”，不必选择“使用添加向导”选项。
账户管理
为了防止入侵者利用漏洞登录机器，我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为：在“本地策略” “安全选项”分支中，找到“账户：来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。
下面，我们再查看“账户：重命名系统管理员账户”这项策略，调出其属性对话框，在其中的文本框中可自定义账户名称（图2）。
指派本地用户权利
如果你是系统管理员身份，可以指派特定权利给组账户或单个用户账户。在“安全设置”中，定位于“本地策略” “用户权利指派”，而后在其右侧的设置视图中，可针对其下的各项策略分别进行安全设置（图3）。

完善Win XP系统安全的十个要诀

ｓＴＣｕｒｅＶｅｉ “ ｒｎｏｇｎＤｏｒｎｔｒｏｓｉｌｏｎｔ
—
洞．是让ＷｉｄｗｓＸＰ已经有了被还ｎｏ
ＤｉｌＬｓｅＮａｓａａｔｒｍｅ，键值改成１ｐｙＵｓ把。系统账号／享列表ＷｉｄｗｓＸＰ的共ｎｏ
些著名的病毒，能查杀大量木马和还后门程序，此要注意经常运行程序因
道你需要哪些服务，且仅仅安装你而
确实需要的服务，根据安全原则，最
少的服务＋最小的权限＝最大的安全。（）理好系统和资源权限３管
的安全问题，以Ｍｉｏｏ：断地提所ｃｓｆ不ｒｔ
供补丁程序以修复这些安全问题。补
不能被停用的，意味着别人可以一这遍又一遍地尝试这个用户的密码。尽
量把它伪装成普通用户，比如改成
一
并升级病毒库。
相应的权限，应权限用户可在系统对上进行不同的操作，对软硬件进行如
安装配置，档目录的添加删除。因文此必须对用户的权限加以控制，保以
证系统的安全ＷｉｄｗｓＸＰ默认存在许多权限ｎｏ组，户被添加到这些权限组将被赋用予相应的权限。

Windows XP系统的安全配置方案

Windows XP系统的安全配置方案1.关闭常见危险端口(1)135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM （分布式组件对象模型）服务。

关闭135端口：1. 单击“开始”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。

2. 在弹出的“组件服务”对话框中，选择“计算机”选项。

3. 在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。

4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。

5. 选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。

6. 单击“确定”按钮，设置完成，重新启动后即可关闭135端口。

(2) 139端口IPC$漏洞使用的是139，445端口。

IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。

关闭139端口：本地连接—>Internet协议（TCP/IP）—>右击—>属性—>选择“TCP/IP”，单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。

(3) 445端口和139端口一起是IPC$入侵的主要通道。

有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。

黑客们能通过该端口共享硬盘，甚至硬盘格式化。

关闭445端口：运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键，键值为0。

(4) 3389端口远程桌面的服务端口，可以通过这个端口，用“远程桌面”等连接工具来连接到远程的服务器。

关闭445端口：我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。

WINDOWSXP的用户管理和系统安全设置

计算机基础知识-WINDOWSXP的用户管理和系统安全设置一、用户管理1、概述在WIN98中，启动出现登录对话框时，用户可以通过输入正确的用户名和口令来登录到操作系统，但用户如果不知道正确的用户名和口令，只要单击登录对话框上的“取消”按钮也可正常登录。

因此，WIN98的用户管理不能切实保护和保密系统资源。

而在WINXP中，只有当用户输入了正确的用户名和口令才能够登录到操作系统当中(WINXP支持长密码，最在长度127个字符，且区分大小写)，并且在WINXP中的创建的每个用户都被系统管理员授予一定的权限，WINXP会根据用户账号来确定用户对该计算机所具有的访问权力。

2、WINXP的内置账户WINXP在安装过程中会自动创建两个账户，分别是：ADMINISTRATOR(管理员)和GUEST(来宾)。

其中ADMINISTRATOR(管理员)账户对计算机具有完全控制权，可以进行任意操作。

因此要注意对该账号和密码的保护。

GUEST(来宾)账户只是临时授权的账户，权限较低，只能对计算机进行一些简单的操作。

安为安全，最好为每个访问者创建用户账号。

3、创建本地用户账号只有以ADMINISTRATOR或ADMINISTRATORS组中的成员身份登录到WINXP系统才能创建用户。

①打开控制面板，双击“用户和密码”图标，打开对话框；②选定“要使用本机，用户必须输入用户名和密码”复选框，单击“添加”按钮，弹出“添加新用户”对话框；③填入用户名、全名(可选)、说明(可选)等信息，单击“下一步”；④输入密码和确认密码(两遍输入完全相同，且显示为*号)，单击“下一步”；⑤为用户指定类型：标准、受限、其他(三类权限各不相同)；⑥单击完成。

(举例，创建一个受限用户即：不能安装和御载应用程序的用户)4、停用和删除用户账号①打开控制面板，双击“用户和密码”图标，打开对话框；②单击“高级”选项卡，再单击“高级”按钮；③在弹出的“本地用户和组”窗口的左窗格中单击“用户”文件夹，在右窗格中显示所有本地用户账号；④双击要停用的账号名称，或选定用户名称后单击工具栏上的“属性”按钮，或右击用户，单击快捷菜单中的“属性”命令；⑤在弹出的“**属性”对话框中，选定“账户已停用”复选框；⑥单击确定，会看到该用户图标上显示一个红叉，表示不能再以该用户账号登录到系统中了。

Windows XP的漏洞极其防范措施

我们看看黑客对此项技术怎么看：有经验的黑客完全可以利用安装Windows XP的PC不能频繁更改硬件信息的这一特性来编写程序，在感染XP后，使系统错误的通过程序设定来错误的认为硬件更改次数和范围超越限度，直接导致Windows XP锁定系统，使普通用户对系统失去控制权，一旦出现这种情形，将是很糟糕的情形。
2.进行Dos攻击(服务阻断，denial-of-service)
“DoS”(服务阻断，Denial-Of-Service)的攻击，也就是用泛滥的数据包迅速导致计算机系统性能下降，直到不堪承受而当机，如图6-1所示。
图6-1
入侵者通过向运行了UPNP服务的系统的1900端口发送一个UDP包，其中“Location”域的地址指向一个提供Echo服务的服务器，告知目标主机网络上的某提供Echo服务的服务器上有一个用户需要的UPNP网络设备，目标主标就会启用系统的UPNP服务，并向提供Echo服务的服务器发送下载请求，提供Echo服务的服务器将自动回复一个信息包，因为没有设备信息的确认机制，而UPNP会认为这是设备信息，并请求更多的信息文件，然后服务器又会自动回复一个包，可能使系统会进入一个无限的连接循环。这将导致系统CPU占用高达100%，无法提供正常服务。
比尔·盖茨满怀信心的正式向世人推出Windows XP操作系统以来，我们通过数月的探索，对其有了一定的了解。这个号称Windows家族最稳定的操作系统，有什么出色之处？其安全性究竟如何？本章将作一个较全面的讲解(因Windows XP专业版提供完善的网络保障特性及较好的安全特性，故本章侧重以Windows XP的专业版为论述基础)
3.进行分布式DDoS 攻击
简单服务发现协议(Simple Service Discovery Protocol)是UPNP服务的一个组件，它可以使一个系统枚举出UPNP网络上新安装设备上的可用资源。由于SSDP协议的应用设计漏洞，入侵者只要向某个存在大量XP主机的网络中发送一个伪造的UDP报文，如图6-2所示。

Win XP系统缺陷和防攻击技巧

对于网页恶意代码，想必大多数网虫不再陌生了吧? 某些站点网页的恶意代码未经许可就可以将游览者浏览器的 “ 标题栏’和 “ 默认主页”非法修改，或者禁用了浏览者的注册表编辑器等等，更为严重的是对硬盘实施格式化或者删除数据。其实网页中的 HTML代码本身对系统并无任何危害，只有在
2 . 1 关闭 “ 远程桌面”功能所谓 “ 远程桌面”就是允许别人在另一台机器上访问你的桌面，只有在某一个网络环境，如单位的局域网中，这个功能很有用(要在防火墙没有限制的情况下) 。当电脑出现问题的时候可以通过这个功能向朋友求助，对方就可以直接通过 “ 远程桌面”来访问你的电 ( 1) 删除驱动器备份” Wi n d o w s \ \ driver \ cache\ i386 ” 文件夹，约占70MB, 脑来帮你解决问题。但是，倘若是家用电脑， (2)删除” Win dw os \ sy st me 32\ \ 这个功能就显得多余了，况且电脑也不是随时 dl lcach e ” 文件夹中的备用DLL 文件，约占都有问题，因此建议你还是尽早关闭它，否则 200 M B 。就是白白浪费内存了! 具体方法为: 在【系远程】选项卡，然后 (3)删除"\ Windows\ help'，件夹中文的统属性I 窗口中选择【帮助文件，约占40MB , 在【远程桌面】栏中将【允许用户远程连 1.2 利用SFC命令释放更多空间接到这台计算机】复选框的勾选标记号去若确认系统不会新增加设备，可以把掉，单击【确定】按钮即可。 "\ Windows\ system\ dllcache”文件夹中 2 . 2 “ 视觉效果”优化设1 的文件予以删除或设定大小，以释放空间。 Windows XP的操作界面确实很美丽，不删除全部文件的命令是 “ f c . e x e / 过好看的背后却是以消耗大量内存为低价的， s 最好 purgecache"(用sfc.exe/ ?可查看命令参数的倘若你的内存还没有达到5 12MB 以上，还是优化一下你的 “ 视觉效果”功能。具含义)，约占300MB, ，关闭华特医生(D .Watson) .3 r 体操作为: 在【系统属性】窗口中选择【高然后在【性能】栏中单击【设在【开始】~ 【运行】中输人 “r w 一级】选项卡， d t s n 3 2 ”命令。当然也可以通过单击选择置】按钮，弹出【性能选项】窗口。在【视自定义】选项，然【开始 I 、【序】 * 【件】一【程附系觉效果】选择卡中选择【统工具】一【系统信息】一【工具】一后在下面的列表中可以看到外观的所有设置，， [Dr . Wa t son ] 菜单命令来激活Win d ows 可以手工去掉一些不需要的功能。 Xp 的华特医生程序(Dr .Watson)， ( 在这里只保 P自漏洞的攻技巧防击留“ 转储全部线程上下文”选项. 否则一 3 Windows X 身旦程序出错，硬盘读取时间会更长，并占用大我们经常会碰到一些怪问题，本来已经杀量空间。用户只要查找井删除 "u s e r 掉的病毒，可是一上网病毒却神不知鬼不觉的 d mp ”文件，即可节省几十兆空间。又出来了。还有用杀毒软件杀了半天也找不 1.4 清除磁盘垃圾到病毒，可就是感觉系统很慢或不正常，搞得在Windows XP操作系统运行过程中，常用户不知所措。更有甚者，一些黑客利用系常产扩名 “ 会生展为 tmp", "bak", "log", 统本身的漏洞来攻击你的电脑，小则电脑不正

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Xp是Windows家族中最安全的操作系统，它为我们提供了良好的密码保护机制。

尽管有许多报纸和杂志介绍了丢失用户名和密码照样能进入 Windows Xp的方法和技巧，但这并不表明Windows Xp就非常脆弱，因为微软已经在Windows Xp里面为我们提供了强大的安全措施：使用Syskey命令，我们可以为Windows Xp设置启动密码。

这个密码的级别高于用户密码，同时还可以生成钥匙盘，等于是为Windows Xp多加了一把牢固的锁。

系统启动密码的设置
在Windows Xp中单击开始;运行，在输入框中输入Syskey，运行系统密码设置程序，然后弹出对话框，在该对话框中单击更新按钮，进入密码设置对话框。

选择密码启动单选按钮，然后在下面的窗口中依次输入同样的密码，保存设置后就完成了系统启动密码的设置。

如想取消系统启动密码，只需在启动密码窗口中选择在本机上保存启动密码，确定后系统会让您输入设定的系统启动密码，完成后系统密码就保存到您的硬盘上了，下次启动时就不再有系统启动密码窗口出现了。

重新启动系统后，首先会提示您输入系统启动密码，只有输入正确后才会出现Windows 系统的用户名和密码输入界面，就好像在BIOS中设置了系统密码那样，在进入Windows前又多了一道关卡。

制作钥匙盘
Syskey系统密码设置程序还有生成钥匙盘的功能。

只有拥有钥匙盘的用户才能进入Windows Xp，就像有些杀毒软件杀毒时需要钥匙盘那样，又多了一道自我保护功能。

在启动密码窗口中选择系统产生的密码，然后再选择在软盘上保存启动密码，程序会提示您插入软盘，确定后密码文件自动保存到软盘上，完成了制作钥匙盘的工作。

下次启动计算机时，系统会提示您插入钥匙盘进行密码验证。

如何啊，现在你的xp是否更安全？。