Windows XP系统的安全配置方案

系统的平安配置方案Windows XP.关闭常见危急端口i⑴端口135主要用于运用（远程过程调用）协议并供应RPC RemoteProcedure Call,DCOM（分布式组件对象模型）服务关闭端口135，单击“起先”——“运行”，输入单击“确定”，打开组件服务

1.“dcomcnfg”在弹出的“组件服务”对话框中，选择“计算机”选项

2.在“计算机”选项右边，右键单击“我的电脑”，选择“属性”

3.在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用

4.分布式前的勾COM”，选择“默认协议”选项卡，选中“面对连接的单击“删除按钮

5.TCP/IP单击“确定”按钮，设置完成，重新启动后即可关闭端口

6.135⑵端口139漏洞运用的是端口漏洞其实就是指微软为了便利管理员而IPC$139,445IPC$安置的后门-空会话关闭端口139本地连接一协议（）—＞右击一＞属性一＞选择internet TCP/IP单击“高级，，一＞在选项卡中选择禁用“TCP/IP”,“WINS”TCP/IP.本地禁用不须要的系统服务14在操作系统上本地禁用不须要的服务步骤如下Windows XP打开“计算机管理”界面在限制台树中，绽开“服务和应用程序”，然后选择“服务”从右侧窗格中，选择要禁用的服务右键单击选定的服务，然后选择“属性”选定服务的“属性”对话框出现从“启动类型:下拉菜单中，选择“已禁用”在“服务状态:下，选择“停止”单击“确定”的NetBLOS^o⑶端口445和端口一起是^＜$入侵的主要通道有了它就可以在局域网中轻松访问各139种共享文件夹或共享打印机黑客们能通过该端口共享硬盘，甚至硬盘格式化关闭端口445运行-＞＞regedit-HKEY_LOCAL_M ACHINE\System\CurrentControlS et\S ervices\N etBT\Parameters建一个名为的类型的子键，键值SMBDeviceEnabled REG-DWORD为端口443389远程桌面的服务端口，可以通过这个端口，用“远程桌面”等连接工具来连接到远程的服务器关闭端口445我的电脑一＞右击一＞属性一＞去掉“远程帮助”和“远程桌面”前的勾删除空连接

5.IPC$运行一〉＞regedit—HKEY-LOCAL_MACHINE\SY STEM\CurrentControSet\Control\LSA将数值名称的数值数据由改为RestrictAnonymous01账号密码的平安原则

6.禁用账号，将系统内置的账号改名越困难越好，最好是guest Administrator中文的，设置密码最好为位以上的字母+数字+符号的组8合删除共享

7.运行用吩咐查看本地开放的共享对于不须要开放共享的用cmd,net share户可删除默认共享，假如不须要可运行以下吩咐Admin$,net shareadmin$/delete netshare*$/delete上一行中的*可以代表、、、、C DE FIPCo消退系统假死现象

8.程序很长时间没响应，因为该程序与系统无法兼容右击程序的执行文件，选择“属性”，进入“兼容性”选项，勾选“用兼容模式运行这个程序”.帐号策略9要实现帐号策略，首先要加载管理单元在桌面上创建一个步骤如下点击桌MMC,面左下角起先“再点”运行“，在对话框中输入选择文件-添加/删除管理单元MMC,点击添加一选择平安模板一点击添加一点击关闭一点击确定选择“文件”到“保存”，单击桌面，制定文件名为默认扩展名Admin Console,为单击“保存”.msc,这样，当须要再次访问时，只要打开桌面上的文件就可以了Admin Console.msc密码策略10密码策略保证平安要求在计算机上被强制执行须要留意的是，密码策略是在各个计算机上设置，而不能针对特定的用户配置，在以下的表格中,具体介绍了密码策略的各个选项:策略说明默认值最小值最大值强制密码历史保存用户历史轨记住个密记住个密记住个密0024迹码码码确定用户保存有密码最长存留保存天保存天保存天421999效密码的最大天期数密码长度最小指定密码包含的个字符（不个字符个字符14值最少字符数须要密码）密码最小存留天天天999指定密码要保存多长期时间后才能变更账号锁定策略11账号锁定策略用于指定容忍多少次无效的登陆企图账号锁定策略配置成在分钟内y进行次失败登陆时，账号将被锁定指定的时间或者直到管理员解开帐号的锁定为止x策略说明默认值最小值最大值建议指定到达帐户锁定同默认值分钟（假如启用分分09999995值时锁定时间帐户锁定阈值则为钟钟账号的时分30间长度钟）帐户锁定指定锁定次（禁用则账同默认值次次09995阈值账号之前号将不锁定）允许的无效次数复位帐户指定计数分钟（假如启同默认值分分09999995锁定计数器记住失用帐户锁定阈钟钟器败次数的值则为分5时间钟）.平安选项策略12平安选项策略（）用户对计算机配置平安措施,与用户Security OptionsPolicies权利策略不同的是，用户权利应用于用户或组，而平安选项策略应用于计算机下表是部分平安选项的策略选项说明默认值帐户管理员帐户状态已启用指在正常操作下，账号是Administartor启用还是禁用，不管设置如何，当在平安模式下启动时，账号将Administrator被启用帐户来宾帐户状态确定账号是否已禁用Guest被启用已启用帐户运用空白密码的本地假如一个用户的密码是空帐户只允许进行限制台登录的，并且这个选项被启用，用户将无法适用空的密码从网络登录，这个设置并不应用到域登录账号帐户重命名系统管理允许账没有定义Administrator员帐户号被重命名帐户重命名系统管理允许账号被重没有定义Guest员帐户命名允许对全局系统对象的帐户重命名来宾帐户已禁用访问进行审核审计假如无法记录平假如无法登录平安审已禁用安审计则马上关闭系统核，指定系统马上关闭指定谁能够格式化和退设备允许格式化和弹Administrators出可移动媒体出可移动媒介NTFS设备只有本地登录的已禁用指定本地用户和网络用户是用户才能访问否能够访问CD-ROMCD-ROM设备只有本地登录的指定本地用户和网络用已禁用用户才能访问软盘户是否可以访问软盘域限制器拒绝更改机指定域限制器是否接受已禁用器帐户密码计算机账号密码的更改网络访问不允许指定匿名用户可以访没有定义帐户和共享的匿SAM问哪些网络共享名枚举已禁用指定管理器是否从LAN网络平安不要在下次更改密码更改中存储散列值密码时不存储LAN的值Manager Hash指定当前连接的用户登网络平安在超过登录已启用录时间超时后，是否强时间后强制注销制注销关机允许在未登录前禁用允许用户无需登陆即可关闭关机系统在工作站上启用在服务器上.加密文件与文件夹1打开资源管理器”，右键单击想要加密的文件或文件夹，选择“属性”选项，“Windows单击“常规”选项卡中的“高级”按钮，选中“加密内容以便爱护数据”.在默认状况下，中全部的文件夹都是开放的，即该机上的全Windows XP部用户都可运用它们，这无疑运用户的重要个人资料面临着严峻的威逼为此，新增了一项叫“文件夹专用”的功能，它是指在Windows XPNTFS文件系统中，某个文件夹被用户设置成“专用文件夹”后，该文件夹就只能由该用户运用，而其他用户在登录后是无法运用的，这Windows XP就为爱护个人重要资料供应了便利要使某个文件夹专人专用，只需将该文件夹移动到用户名\”文件夹中是指安装文件“x:\Documents andSettings xWindows XP所在分区，然后右击该文件夹，选择“属性”选项，在“共享”选项卡中勾选“将这个文件夹设为个人的，这样只有该用户才能访问”复选框这样，当其他用户登录Windows XP后想进入这个文件夹时将遭到“拒绝访问”的警告提示.注册表设置11有关如何编辑注册表的信息可通过注册表编辑器本身的“帮助”工具得到例如，用户可以运用以下步骤来查看有关向注册表中添加一个项的说明从“起先”菜单中，选择“运行”在“运行”对话框的文本框中，键入并单击“确定”，打开注册表编辑器regedt32Regedt

32.exeo从“帮助”菜单中，选择“书目”在注册表编辑器的“帮助”工具的右侧窗格中，单击“在注册表中添加和删除信息”超链接该窗格即显示有关在注册表中添加和删除信息的帮助主题列表单击“向注册表中添加项”超链接以获得具体说明.网络攻击的平安留意事项为了防止拒绝服务攻击，必需运用最新的平安修补12DoS程序与时更新计算机，并在曝光于潜在攻击者的计算机中强化Windows XPTCP/IP协议堆栈平安性调整默认的堆栈配置，使之处理标准TCP/IP通信假如将计算机干脆连接到建议用户强化Intranet Internet,Microsoft TCP/IP堆栈的平安性以防范攻击DoS针对堆栈的攻击可分为两类一类是滥用系统资源（如打开不计其数的TCP/IP DoS TCP连接），另一类是发送特制的数据包使网络堆栈或整个操作系统产生故障下面的注册表设置有助于防范针对堆栈的攻击攻击包括大量发送数据使服务器TCP/IP DoSWeb疲于处理；大量发送数据包充斥远程网络路由器和服务器由于要路由并处理每个数据包而超负荷运行攻击有时很难抵挡为了防范，必需强化协议DoSTCP/IP单击“起先”,然后单击“限制面板”单击“，性能和维护”,再单击“管.日志审核13单击“起先”,然后单击“限制面板”单击“性能和维护”,再单击“管理工具”，然后双击“计算机管理”在限制台树中，单击“事务查看器”理工具”，然后双击“计算机管理”在限制台树中，单击“事务查看器”设置日志大小和覆盖选项单击“起先”,然后单击“限制面板”单击“，性能和维护”,再单击“管要指定日志大小和覆盖选项，请根据下列步骤操作:理工具”，然后双击“计算机管理”在限制台树中，绽开“事务查看器”,然后右键单击要设置其大小和覆盖其选项的日志，选择“属性”在“日志大小”下的“日志大小上限”框中键入所需的大小在“达到日志大小上限时”下，单击所需的覆盖选项，假如用户要清除日志内容，请单击“清除日志”单击“确定”。