电脑知识|欧美黑人一区二区三区|软件|欧美黑人一级爽快片淫片高清|系统|欧美黑人狂野猛交老妇|数据库|服务器|编程开发|网络运营|知识问答|技术教程文章 - 好吧啦网

您的位置:首頁技術文章
文章詳情頁

Win XP系統中的一些安全設置

瀏覽:2日期:2024-02-16 13:42:33
除了通過安全模板設置的安全選項,還有很多其他可供設置的安全選項,本章就是有關這些選項的。

Administrator賬戶建議

因為強大的權限,Windows環境下的administrator賬戶必須受到重點保護,本段將討論各種保護具有管理員特權賬戶的方法。

Additional Administrator Accounts

在Windows XP安裝過程中,如果用戶決定把XP安裝成獨立工作站,用戶就會被詢問“誰將使用這臺計算機?”以及會被要求創建至少一個用戶賬戶,如果不創建任何賬戶那安裝過程將無法繼續下去。任何在這里創建的賬戶都將會被指派一個空白的密碼,并成為Administrators組的成員。因此,哪怕僅創建了一個賬戶,機器中也會有兩個管理員賬戶:系統內建的Administrator賬戶以及用戶創建的賬戶。獨立工作站形式的Windows XP系統需要一個額外的管理員賬戶因為不建議使用系統內建的Administrator賬戶進行本地登陸。然而在域環境中,額外的管理員賬戶會帶來安全隱患。在Windows XP中,使用空白密碼的本地賬戶無法通過網絡登錄,但是他們可以本地登錄。因此在域環境中,建議刪除在安裝系統過程中創建的額外的管理員賬戶,并確保系統內建的Administrator賬戶有一個好的、復雜的密碼。如果還需要額外的管理員賬戶,確保該賬戶有一個強密碼。

要刪除一個用戶賬戶:

選擇控制面板 - 用戶賬戶點擊要刪除的賬戶點擊刪除賬戶

用戶賬戶還可以用以下方法刪除:

選擇開始 - 所有程序 - 管理工具 - 計算機管理展開本地用戶和組節點雙擊用戶在右側的面板,右鍵點擊想要刪除的賬戶從彈出菜單選擇刪除

Administrator賬戶的使用以及RunAs命令

管理員應當有兩個賬戶:一個具有管理員特權一個只是普通用戶。系統管理員應該只在需要的時候才使用管理員賬戶,而日常任務使用普通賬戶。管理員決不能用他們的管理員賬戶訪問互聯網,因為網頁上可能包含各種惡意代碼,并且這些代碼可能會以當前登錄用戶的身份運行。 當進行某些需要管理員權限的操作時,可以使用runas命令。這個命令可以允許沒有特權的用戶以其他用戶的身份運行某些程序。在命令行下輸入runas /?可獲得詳細的參數,該命令可以這樣使用:

runas /user:domain_nameadministrator_account program_name

runas命令也可以通過以下方法處理后直接在快捷方式的右鍵菜單中執行:

從開始菜單中,找到目標程序在按下SHIFT鍵的同時右鍵點擊該程序的快捷方式 從彈出菜單中選擇運行方式選擇下列用戶輸入或選擇一個用戶名輸入密碼點擊確定

注意:RunAs命令需要Windows XP中的Secondary Logon服務或Windows 2000中的RunAs服務正確運行,這些服務默認是啟動的。共享資源的權限

Windows共享意味著一些資源,例如文件、文件夾、打印機和其他一些資源可以通過網絡向網絡用戶發布出去,供他們遠程訪問。一般用戶不能在他們本機上創建共享,只有Administrators組和Power Users組的用戶具有創建共享的權限,同時要創建共享首先還要保證必須對要共享的文件夾至少具有只讀的權限。其他具有創建永久共享對象權限的用戶也可以創建共享。因為共享的數據中可能包含中還要數據并且是通向本地系統的窗口,因此對于共享資源的權限設置一定要注意。

可以對一個用戶或者用戶組指派以下的共享權限:

完全控制更改只讀

共享權限是不依賴于NTFS權限存在的,然而共享權限又跟NTFS權限密不可分。當訪問一個遠程共享時,將會被應用兩者結合的更具有限制性的權限。舉例來說,如果一個用戶訪問一個具有完全控制權限的共享文件夾,但是相對本地系統則只有只讀的NTFS權限時,他將只能獲得對該文件夾只讀的權限。

共享的默認是給Everyone完全控制的權限,因此為了限制訪問,你必須自己編輯共享權限,這意味著你的NTFS權限將會被單獨用來決定遠程用戶可以具有什么樣的權限。如果因為某些原因用戶訪問共享文件夾時需要獲得比他們本地登錄后獲得的權限稍小的共享權限,你就可以使用共享權限在NTFS權限的基礎上更進一步地限制他的訪問。然而要注意,對用戶共享權限的限制不會被應用于他們通過終端服務進行的本地登錄,基于這個原因,建議NTFS權限一定要設置好。

注意:當簡單文件共享被禁用(例如Windows XP計算機加入域)后,Windows XP不允許共享Documents and Settings、Program Files還有%SystemRoot%文件夾,以及%SystemRoot%的子文件夾。

設置共享權限

要創建共享并設置權限:

在資源管理器中,右鍵點擊想要共享的文件夾從彈出菜單中選擇共享和安全…點擊共享該文件夾指定一個共享名點擊權限按鈕從共享的訪問列表中添加、刪除或者編輯用戶和用戶組的權限

注意:如果你打開了簡單文件共享,這個對話框將會完全不同。在使用簡單文件共享的情況下,所有的網絡用戶都被識別為來賓用戶,而不管他們登錄使用的賬戶。

共享的安全建議

當創建共享和設置共享權限時,在可能的情況下請盡量遵循下列建議:

確保所有的共享都沒有給Everyone組指派任何權限使用經驗證用戶或者用戶組代替Everyone組只給用戶和/或用戶組所需要的最小權限

為了保護包含敏感數據的共享不被一般人知道,可以在創建共享時給共享名后添加一個$符號來隱藏共享,這種情況下用戶仍然可以訪問隱藏的共享文件夾,但是必須輸入準確的共享路徑(在這種情況下隱藏的共享不會出現在網絡鄰中)

刪除POSIX 注冊表項目

如同本文開頭所說,POSIX子系統不再包含在Windows XP中,然而兩個POSIX注冊表鍵仍然存在,事實上,一個鍵HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubSystemsPosix被設置為%SystemRoot%system32psxss.exe,這個文件并不存在于Windows XP中。因此建議使用以下步驟刪除這個注冊表鍵:

在注冊表編輯器regedit中,定位到HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubsystems 鍵

在右側面板中,選擇可選值

從編輯菜單中選擇刪除

在詢問“Are you sure you want to delete this value?“的對話框上,點擊確定按鈕

重復以上步驟刪除Posix的注冊表鍵值,同樣是在Subsystems 鍵其他組策略設置

本段列舉了一些可以通過組策略被應用的安全建議。組策略可以被應用到Windows XP計算機,無論該計算機是否域成員。同時,組策略也可以從Windows 2000域控制器應用到Windows XP工作站。要訪問GPO:

在MMC的組策略組件中打開GPO或者在容器的屬性 - 組策略選項卡下訪問鏈接的GPO

如果通過組策略選項卡訪問,高亮選擇目標GPO然后點擊編輯按鈕訪問組策略組件

禁用遠處協助/桌面

跟其他所有遠程控制技術一樣,遠程協助和遠程桌面因為用途的關系具有一定的安全風險。建議不要在需要高度安全性的網絡中使用遠程控制技術,若要禁用遠程協助,可設置以下的組策略:

定位到計算機配置管理模板系統遠程協助節點雙擊右側面板的請求遠程協助設置點擊禁用按鈕禁止用戶請求遠程協助應用設置并關閉窗口雙擊右側面板的提供遠程協助設置點擊禁用按鈕禁止用戶在這臺計算機上向別人提供遠程協助幫助應用設置并關閉窗口注意:組策略的設置將會覆蓋其他任何的系統屬性中遠程選項卡的設置。

要禁止計算機接受遠程桌面連接,進行如下操作:右鍵點擊我的電腦,選擇屬性打開系統屬性對話框在系統屬性對話框打開遠程選項卡確保允許用戶遠程連接到這臺計算機復選框沒有被選中點擊選擇遠程用戶...按鈕,打開遠程桌面用戶對話框從Remote Desktop Users用戶組刪除所有用戶和用戶組

網絡初始化

默認情況下,Windows XP在允許用戶登錄之前并不會等待網絡初始化完全完成;相反,在登錄一些已經存在的用戶是多半會使用緩存的憑證,這會減少登錄所需的時間。用戶登錄后組策略才會在后臺被應用。

這種行為造成了組策略的某些擴展,例如軟件安裝和文件夾重定向應用,都需要用戶登錄至少兩次后才能被成功應用。因為這些擴展都要求在被處理的過程中沒有已經登錄的用戶,并且最好是強制在用戶登錄之前再前臺進行,同時,用戶策略的改變例如添加配置文件路徑或者添加登錄腳本都需要兩次登錄以便生效。

為了遵守在Windows2000或者Windows NT域中不對從登錄到Windows XP客戶端的用戶進行密碼過期提醒這一策略,文體發生了。如果用戶是在組策略應用之前使用緩存的憑據登錄的,當密碼過期警告信息應該被顯示時這個響應卻不能被處理,直到用戶下一次登錄。因此用戶的密碼應當在用戶收到警告消息之后再過期。 本文不建議緩存登錄憑證(交互式登錄:可被緩存的前次登錄的個數這個安全選項被設置為0),這樣緩存的用戶憑證就不能被用來驗證登錄到域的用戶,強制等待網絡初始化完全完成后進行。然而,如果緩存的前次登錄的格式被設置為非0的數字,問題同樣會存在。關于Windows XP中密碼過期問題的詳細內容請參考微軟知識庫文章Q313194:

通常來說,把所有與計算機有關的組策略的改變放在用戶登錄之前應用是一個好習慣,這樣用戶就可以在最新的安全設置下使用系統,因此建議使用以下的組策略設置:

定位到計算機配置管理模板系統登錄選項在右側面板,雙擊計算機啟動和登錄時總是等待網絡點擊啟用按鈕點擊確定

禁用媒體的自動播放

自動播放功能會在可以動媒體插入后讀取其中的數據,默認情況下,Windows XP會自動運行光驅中插入的所有光盤,這將會允許可執行的內容在被允許前自動被執行。默認情況下軟盤和網絡驅動器的自動播放功能被禁用了。要禁止所有驅動器上的自動播放功能,可采取如下操作:

定位到計算機配置管理模板系統選項在右側的面板,雙擊關閉自動播放點擊啟用按鈕在關閉自動播放: 下拉菜單,選擇所有驅動器點擊確定

封閉網絡中的NetBIOS和SMB端口

在Windows環境中,NetBIOS定義了一個軟件接口和命名協議,基于TCP/IP之上的NetBIOS(NetBT)為TCP/IP協議提供了NetBIOS程序接口。Windows 2000和Windows XP使用NetBT與Windows NT以及更老版本的Windows(例如Windows 9x)系統交流。然而,當與其他Windows 2000或者Windows XP計算機交流時,Windows XP使用了direct hosting。Direct hosting在命名協議方面利用了DNS代替NetBIOS,并使用了TCP端口445而不是TCP端口139。服務器消息過濾服務使用直接通過TCP/IP協議的網絡資源共享,而不是使用NetBIOS作為“中間人”。

Windows NetBIOS和SMB端口(端口135-139還有端口445)之間的交流可以提供關于Windows系統的很多信息,并且可能引起潛在的攻擊。因此禁止從局域網外連向系統這些端口的連接是很重要的。

建議在防火墻或者路由器上阻擋到端口135、137、138、139和445的出站以及入站連接,大量的攻擊以及潛在的威脅都是因為出站的SMB連接造成的。

標簽: Windows系統 WinXP
相關文章:
主站蜘蛛池模板: Q361F全焊接球阀,200X减压稳压阀,ZJHP气动单座调节阀-上海戎钛 | 真空吸污车_高压清洗车厂家-程力专用汽车股份有限公司官网 | 临朐空调移机_空调维修「空调回收」临朐二手空调 | 集装袋吨袋生产厂家-噸袋廠傢-塑料编织袋-纸塑复合袋-二手吨袋-太空袋-曹县建烨包装 | 精密五金冲压件_深圳五金冲压厂_钣金加工厂_五金模具加工-诚瑞丰科技股份有限公司 | 冻干机(冷冻干燥机)_小型|实验型|食品真空冷冻干燥机-松源 | 广州展览设计公司_展台设计搭建_展位设计装修公司-众派展览装饰 广州展览制作工厂—[优简]直营展台制作工厂_展会搭建资质齐全 | 不锈钢水管-不锈钢燃气管-卫生级不锈钢管件-不锈钢食品级水管-广东双兴新材料集团有限公司 | 北京网站建设首页,做网站选【优站网】,专注北京网站建设,北京网站推广,天津网站建设,天津网站推广,小程序,手机APP的开发。 | 隆众资讯-首页_大宗商品资讯_价格走势_市场行情 | 深圳VI设计-画册设计-LOGO设计-包装设计-品牌策划公司-[智睿画册设计公司] | 美名宝起名网-在线宝宝、公司、起名平台 | 网站优化公司_SEO优化_北京关键词百度快速排名-智恒博网络 | 苏州工作服定做-工作服定制-工作服厂家网站-尺品服饰科技(苏州)有限公司 | 磁力去毛刺机_去毛刺磁力抛光机_磁力光饰机_磁力滚抛机_精密金属零件去毛刺机厂家-冠古科技 | 东莞压铸厂_精密压铸_锌合金压铸_铝合金压铸_压铸件加工_东莞祥宇金属制品 | 水热合成反应釜-防爆高压消解罐-西安常仪仪器设备有限公司 | 德州网站制作 - 网站建设设计 - seo排名优化 -「两山建站」 | 机器视觉检测系统-视觉检测系统-机器视觉系统-ccd检测系统-视觉控制器-视控一体机 -海克易邦 | 兰州牛肉面加盟,兰州牛肉拉面加盟-京穆兰牛肉面 | 合金ICP光谱仪(磁性材料,工业废水)-百科 | 车间除尘设备,VOCs废气处理,工业涂装流水线,伸缩式喷漆房,自动喷砂房,沸石转轮浓缩吸附,机器人喷粉线-山东创杰智慧 | 微波消解仪器_智能微波消解仪报价_高压微波消解仪厂家_那艾 | 哈尔滨发电机,黑龙江柴油发电机组-北方星光 | 雄松华章(广州华章MBA)官网-专注MBA/MPA/MPAcc/MEM辅导培训 | PCB设计,PCB抄板,电路板打样,PCBA加工-深圳市宏力捷电子有限公司 | 深圳活动策划公司|庆典策划|专业公关活动策划|深圳艺典文化传媒 重庆中专|职高|技校招生-重庆中专招生网 | 锂离子电池厂家-山东中信迪生电源 | 北京森语科技有限公司-模型制作专家-展览展示-沙盘模型设计制作-多媒体模型软硬件开发-三维地理信息交互沙盘 | 碳化硅,氮化硅,冰晶石,绢云母,氟化铝,白刚玉,棕刚玉,石墨,铝粉,铁粉,金属硅粉,金属铝粉,氧化铝粉,硅微粉,蓝晶石,红柱石,莫来石,粉煤灰,三聚磷酸钠,六偏磷酸钠,硫酸镁-皓泉新材料 | 防爆电机_ybx3系列电机_河南省南洋防爆电机有限公司 | ISO9001认证咨询_iso9001企业认证代理机构_14001|18001|16949|50430认证-艾世欧认证网 | 北京亦庄厂房出租_经开区产业园招商信息平台 | 上海防爆真空干燥箱-上海防爆冷库-上海防爆冷柜?-上海浦下防爆设备厂家? | 无线联网门锁|校园联网门锁|学校智能门锁|公租房智能门锁|保障房管理系统-KEENZY中科易安 | 体坛网_体坛+_体坛周报新闻客户端| 电磁流量计厂家_涡街流量计厂家_热式气体流量计-青天伟业仪器仪表有限公司 | 隧道风机_DWEX边墙风机_SDS射流风机-绍兴市上虞科瑞风机有限公司 | 沈阳液压泵_沈阳液压阀_沈阳液压站-沈阳海德太科液压设备有限公司 | 【直乐】河北石家庄脊柱侧弯医院_治疗椎间盘突出哪家医院好_骨科脊柱外科专业医院_治疗抽动症/关节病骨伤权威医院|排行-直乐矫形中医医院 | 网站优化公司_北京网站优化_抖音短视频代运营_抖音关键词seo优化排名-通则达网络 |