电脑知识|欧美黑人一区二区三区|软件|欧美黑人一级爽快片淫片高清|系统|欧美黑人狂野猛交老妇|数据库|服务器|编程开发|网络运营|知识问答|技术教程文章 - 好吧啦网

您的位置:首頁技術文章
文章詳情頁

Win XP系統中的一些安全設置

瀏覽:2日期:2024-02-16 13:42:33
除了通過安全模板設置的安全選項,還有很多其他可供設置的安全選項,本章就是有關這些選項的。

Administrator賬戶建議

因為強大的權限,Windows環境下的administrator賬戶必須受到重點保護,本段將討論各種保護具有管理員特權賬戶的方法。

Additional Administrator Accounts

在Windows XP安裝過程中,如果用戶決定把XP安裝成獨立工作站,用戶就會被詢問“誰將使用這臺計算機?”以及會被要求創建至少一個用戶賬戶,如果不創建任何賬戶那安裝過程將無法繼續下去。任何在這里創建的賬戶都將會被指派一個空白的密碼,并成為Administrators組的成員。因此,哪怕僅創建了一個賬戶,機器中也會有兩個管理員賬戶:系統內建的Administrator賬戶以及用戶創建的賬戶。獨立工作站形式的Windows XP系統需要一個額外的管理員賬戶因為不建議使用系統內建的Administrator賬戶進行本地登陸。然而在域環境中,額外的管理員賬戶會帶來安全隱患。在Windows XP中,使用空白密碼的本地賬戶無法通過網絡登錄,但是他們可以本地登錄。因此在域環境中,建議刪除在安裝系統過程中創建的額外的管理員賬戶,并確保系統內建的Administrator賬戶有一個好的、復雜的密碼。如果還需要額外的管理員賬戶,確保該賬戶有一個強密碼。

要刪除一個用戶賬戶:

選擇控制面板 - 用戶賬戶點擊要刪除的賬戶點擊刪除賬戶

用戶賬戶還可以用以下方法刪除:

選擇開始 - 所有程序 - 管理工具 - 計算機管理展開本地用戶和組節點雙擊用戶在右側的面板,右鍵點擊想要刪除的賬戶從彈出菜單選擇刪除

Administrator賬戶的使用以及RunAs命令

管理員應當有兩個賬戶:一個具有管理員特權一個只是普通用戶。系統管理員應該只在需要的時候才使用管理員賬戶,而日常任務使用普通賬戶。管理員決不能用他們的管理員賬戶訪問互聯網,因為網頁上可能包含各種惡意代碼,并且這些代碼可能會以當前登錄用戶的身份運行。 當進行某些需要管理員權限的操作時,可以使用runas命令。這個命令可以允許沒有特權的用戶以其他用戶的身份運行某些程序。在命令行下輸入runas /?可獲得詳細的參數,該命令可以這樣使用:

runas /user:domain_nameadministrator_account program_name

runas命令也可以通過以下方法處理后直接在快捷方式的右鍵菜單中執行:

從開始菜單中,找到目標程序在按下SHIFT鍵的同時右鍵點擊該程序的快捷方式 從彈出菜單中選擇運行方式選擇下列用戶輸入或選擇一個用戶名輸入密碼點擊確定

注意:RunAs命令需要Windows XP中的Secondary Logon服務或Windows 2000中的RunAs服務正確運行,這些服務默認是啟動的。共享資源的權限

Windows共享意味著一些資源,例如文件、文件夾、打印機和其他一些資源可以通過網絡向網絡用戶發布出去,供他們遠程訪問。一般用戶不能在他們本機上創建共享,只有Administrators組和Power Users組的用戶具有創建共享的權限,同時要創建共享首先還要保證必須對要共享的文件夾至少具有只讀的權限。其他具有創建永久共享對象權限的用戶也可以創建共享。因為共享的數據中可能包含中還要數據并且是通向本地系統的窗口,因此對于共享資源的權限設置一定要注意。

可以對一個用戶或者用戶組指派以下的共享權限:

完全控制更改只讀

共享權限是不依賴于NTFS權限存在的,然而共享權限又跟NTFS權限密不可分。當訪問一個遠程共享時,將會被應用兩者結合的更具有限制性的權限。舉例來說,如果一個用戶訪問一個具有完全控制權限的共享文件夾,但是相對本地系統則只有只讀的NTFS權限時,他將只能獲得對該文件夾只讀的權限。

共享的默認是給Everyone完全控制的權限,因此為了限制訪問,你必須自己編輯共享權限,這意味著你的NTFS權限將會被單獨用來決定遠程用戶可以具有什么樣的權限。如果因為某些原因用戶訪問共享文件夾時需要獲得比他們本地登錄后獲得的權限稍小的共享權限,你就可以使用共享權限在NTFS權限的基礎上更進一步地限制他的訪問。然而要注意,對用戶共享權限的限制不會被應用于他們通過終端服務進行的本地登錄,基于這個原因,建議NTFS權限一定要設置好。

注意:當簡單文件共享被禁用(例如Windows XP計算機加入域)后,Windows XP不允許共享Documents and Settings、Program Files還有%SystemRoot%文件夾,以及%SystemRoot%的子文件夾。

設置共享權限

要創建共享并設置權限:

在資源管理器中,右鍵點擊想要共享的文件夾從彈出菜單中選擇共享和安全…點擊共享該文件夾指定一個共享名點擊權限按鈕從共享的訪問列表中添加、刪除或者編輯用戶和用戶組的權限

注意:如果你打開了簡單文件共享,這個對話框將會完全不同。在使用簡單文件共享的情況下,所有的網絡用戶都被識別為來賓用戶,而不管他們登錄使用的賬戶。

共享的安全建議

當創建共享和設置共享權限時,在可能的情況下請盡量遵循下列建議:

確保所有的共享都沒有給Everyone組指派任何權限使用經驗證用戶或者用戶組代替Everyone組只給用戶和/或用戶組所需要的最小權限

為了保護包含敏感數據的共享不被一般人知道,可以在創建共享時給共享名后添加一個$符號來隱藏共享,這種情況下用戶仍然可以訪問隱藏的共享文件夾,但是必須輸入準確的共享路徑(在這種情況下隱藏的共享不會出現在網絡鄰中)

刪除POSIX 注冊表項目

如同本文開頭所說,POSIX子系統不再包含在Windows XP中,然而兩個POSIX注冊表鍵仍然存在,事實上,一個鍵HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubSystemsPosix被設置為%SystemRoot%system32psxss.exe,這個文件并不存在于Windows XP中。因此建議使用以下步驟刪除這個注冊表鍵:

在注冊表編輯器regedit中,定位到HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubsystems 鍵

在右側面板中,選擇可選值

從編輯菜單中選擇刪除

在詢問“Are you sure you want to delete this value?“的對話框上,點擊確定按鈕

重復以上步驟刪除Posix的注冊表鍵值,同樣是在Subsystems 鍵其他組策略設置

本段列舉了一些可以通過組策略被應用的安全建議。組策略可以被應用到Windows XP計算機,無論該計算機是否域成員。同時,組策略也可以從Windows 2000域控制器應用到Windows XP工作站。要訪問GPO:

在MMC的組策略組件中打開GPO或者在容器的屬性 - 組策略選項卡下訪問鏈接的GPO

如果通過組策略選項卡訪問,高亮選擇目標GPO然后點擊編輯按鈕訪問組策略組件

禁用遠處協助/桌面

跟其他所有遠程控制技術一樣,遠程協助和遠程桌面因為用途的關系具有一定的安全風險。建議不要在需要高度安全性的網絡中使用遠程控制技術,若要禁用遠程協助,可設置以下的組策略:

定位到計算機配置管理模板系統遠程協助節點雙擊右側面板的請求遠程協助設置點擊禁用按鈕禁止用戶請求遠程協助應用設置并關閉窗口雙擊右側面板的提供遠程協助設置點擊禁用按鈕禁止用戶在這臺計算機上向別人提供遠程協助幫助應用設置并關閉窗口注意:組策略的設置將會覆蓋其他任何的系統屬性中遠程選項卡的設置。

要禁止計算機接受遠程桌面連接,進行如下操作:右鍵點擊我的電腦,選擇屬性打開系統屬性對話框在系統屬性對話框打開遠程選項卡確保允許用戶遠程連接到這臺計算機復選框沒有被選中點擊選擇遠程用戶...按鈕,打開遠程桌面用戶對話框從Remote Desktop Users用戶組刪除所有用戶和用戶組

網絡初始化

默認情況下,Windows XP在允許用戶登錄之前并不會等待網絡初始化完全完成;相反,在登錄一些已經存在的用戶是多半會使用緩存的憑證,這會減少登錄所需的時間。用戶登錄后組策略才會在后臺被應用。

這種行為造成了組策略的某些擴展,例如軟件安裝和文件夾重定向應用,都需要用戶登錄至少兩次后才能被成功應用。因為這些擴展都要求在被處理的過程中沒有已經登錄的用戶,并且最好是強制在用戶登錄之前再前臺進行,同時,用戶策略的改變例如添加配置文件路徑或者添加登錄腳本都需要兩次登錄以便生效。

為了遵守在Windows2000或者Windows NT域中不對從登錄到Windows XP客戶端的用戶進行密碼過期提醒這一策略,文體發生了。如果用戶是在組策略應用之前使用緩存的憑據登錄的,當密碼過期警告信息應該被顯示時這個響應卻不能被處理,直到用戶下一次登錄。因此用戶的密碼應當在用戶收到警告消息之后再過期。 本文不建議緩存登錄憑證(交互式登錄:可被緩存的前次登錄的個數這個安全選項被設置為0),這樣緩存的用戶憑證就不能被用來驗證登錄到域的用戶,強制等待網絡初始化完全完成后進行。然而,如果緩存的前次登錄的格式被設置為非0的數字,問題同樣會存在。關于Windows XP中密碼過期問題的詳細內容請參考微軟知識庫文章Q313194:

通常來說,把所有與計算機有關的組策略的改變放在用戶登錄之前應用是一個好習慣,這樣用戶就可以在最新的安全設置下使用系統,因此建議使用以下的組策略設置:

定位到計算機配置管理模板系統登錄選項在右側面板,雙擊計算機啟動和登錄時總是等待網絡點擊啟用按鈕點擊確定

禁用媒體的自動播放

自動播放功能會在可以動媒體插入后讀取其中的數據,默認情況下,Windows XP會自動運行光驅中插入的所有光盤,這將會允許可執行的內容在被允許前自動被執行。默認情況下軟盤和網絡驅動器的自動播放功能被禁用了。要禁止所有驅動器上的自動播放功能,可采取如下操作:

定位到計算機配置管理模板系統選項在右側的面板,雙擊關閉自動播放點擊啟用按鈕在關閉自動播放: 下拉菜單,選擇所有驅動器點擊確定

封閉網絡中的NetBIOS和SMB端口

在Windows環境中,NetBIOS定義了一個軟件接口和命名協議,基于TCP/IP之上的NetBIOS(NetBT)為TCP/IP協議提供了NetBIOS程序接口。Windows 2000和Windows XP使用NetBT與Windows NT以及更老版本的Windows(例如Windows 9x)系統交流。然而,當與其他Windows 2000或者Windows XP計算機交流時,Windows XP使用了direct hosting。Direct hosting在命名協議方面利用了DNS代替NetBIOS,并使用了TCP端口445而不是TCP端口139。服務器消息過濾服務使用直接通過TCP/IP協議的網絡資源共享,而不是使用NetBIOS作為“中間人”。

Windows NetBIOS和SMB端口(端口135-139還有端口445)之間的交流可以提供關于Windows系統的很多信息,并且可能引起潛在的攻擊。因此禁止從局域網外連向系統這些端口的連接是很重要的。

建議在防火墻或者路由器上阻擋到端口135、137、138、139和445的出站以及入站連接,大量的攻擊以及潛在的威脅都是因為出站的SMB連接造成的。

標簽: Windows系統 WinXP
相關文章:
主站蜘蛛池模板: 半容积式换热器_北京浮动盘管换热器厂家|北京亿丰上达 | 郑州爱婴幼师学校_专业幼师培训_托育师培训_幼儿教育培训学校 | 天津散热器_天津暖气片_天津安尼威尔散热器制造有限公司 | 上海办公室装修,办公楼装修设计,办公空间设计,企业展厅设计_写艺装饰公司 | 老城街小面官网_正宗重庆小面加盟技术培训_特色面馆加盟|牛肉拉面|招商加盟代理费用多少钱 | 浙江富广阀门有限公司 | 欧洲MV日韩MV国产_人妻无码一区二区三区免费_少妇被 到高潮喷出白浆av_精品少妇自慰到喷水AV网站 | 电渗析,废酸回收,双极膜-山东天维膜技术有限公司 | 安徽集装箱厂-合肥国彩钢结构板房工程有限公司 | 真空搅拌机-行星搅拌机-双行星动力混合机-广州市番禺区源创化工设备厂 | 时代北利离心机,实验室离心机,医用离心机,低速离心机DT5-2,美国SKC采样泵-上海京工实业有限公司 工业电炉,台车式电炉_厂家-淄博申华工业电炉有限公司 | 上海公司注册-代理记账-招投标审计-上海昆仑扇财税咨询有限公司 上海冠顶工业设备有限公司-隧道炉,烘箱,UV固化机,涂装设备,高温炉,工业机器人生产厂家 | 金环宇|金环宇电线|金环宇电缆|金环宇电线电缆|深圳市金环宇电线电缆有限公司|金环宇电缆集团 | 生产加气砖设备厂家很多,杜甫机械加气砖设备价格公道 | HV全空气系统_杭州暖通公司—杭州斯培尔冷暖设备有限公司 | 混合反应量热仪-高温高压量热仪-微机差热分析仪DTA|凯璞百科 | 章丘丰源机械有限公司 - 三叶罗茨风机,罗茨鼓风机,罗茨风机 | 订做不锈钢_不锈钢定做加工厂_不锈钢非标定制-重庆侨峰金属加工厂 | 青岛空压机,青岛空压机维修/保养,青岛空压机销售/出租公司,青岛空压机厂家电话 | 耐压仪-高压耐压仪|徐吉电气| 北京发电机出租_发电机租赁_北京发电机维修 - 河北腾伦发电机出租 | 制氮设备_PSA制氮机_激光切割制氮机_氮气机生产厂家-苏州西斯气体设备有限公司 | 智慧钢琴-电钢琴-便携钢琴-数码钢琴-深圳市特伦斯乐器有限公司 | 健康管理师报名入口,2025年健康管理师考试时间信息网-网站首页 塑料造粒机「厂家直销」-莱州鑫瑞迪机械有限公司 | HV全空气系统_杭州暖通公司—杭州斯培尔冷暖设备有限公司 | 水性漆|墙面漆|木器家具漆|水漆涂料_晨阳水漆官网 | 北京开业庆典策划-年会活动策划公司-舞龙舞狮团大鼓表演-北京盛乾龙狮鼓乐礼仪庆典策划公司 | 石家庄救护车出租_重症转院_跨省跨境医疗转送_活动赛事医疗保障_康复出院_放弃治疗_腾康26年医疗护送转诊团队 | 5L旋转蒸发器-20L-50L旋转蒸发器-上海越众仪器设备有限公司 | 禹城彩钢厂_钢结构板房_彩钢复合板-禹城泰瑞彩钢复合板加工厂 | 猪I型/II型胶原-五克隆合剂-细胞冻存培养基-北京博蕾德科技发展有限公司 | 精雕机-火花机-精雕机 cnc-高速精雕机-电火花机-广东鼎拓机械科技有限公司 | 西安微信朋友圈广告投放_微信朋友圈推广_西安度娘网络科技有限公司 | 顺景erp系统_erp软件_erp软件系统_企业erp管理系统-广东顺景软件科技有限公司 | 3dmax渲染-效果图渲染-影视动画渲染-北京快渲科技有限公司 | 高空重型升降平台_高空液压举升平台_高空作业平台_移动式升降机-河南华鹰机械设备有限公司 | 水稻烘干机,小麦烘干机,大豆烘干机,玉米烘干机,粮食烘干机_巩义市锦华粮食烘干机械制造有限公司 水环真空泵厂家,2bv真空泵,2be真空泵-淄博真空设备厂 | 帽子厂家_帽子工厂_帽子定做_义乌帽厂_帽厂_制帽厂_帽子厂_浙江高普制帽厂 | 耐火砖厂家,异形耐火砖-山东瑞耐耐火材料厂 | 考勤系统_人事考勤管理系统_本地部署BS考勤系统_考勤软件_天时考勤管理专家 | 焦作网 WWW.JZRB.COM |