Windows XP系统的安全配置方案

Windows XP系统的安全配置方案

1.关闭常见危险端口 (1)135端口

主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。 关闭135端口：

1. 单击“开始”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。

2. 在弹出的“组件服务”对话框中，选择“计算机”选项。 3. 在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。

4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用 分布式COM”前的勾。

5. 选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。

6. 单击“确定”按钮，设置完成，重新启动后即可关闭135端口。 (2) 139端口

IPC$漏洞使用的是139，445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。 关闭139端口：

本地连接—>Internet协议（TCP/IP）—>右击—>属性—>选择“TCP/IP”，单击“高 级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。 (3) 445端口

和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘，甚至硬盘格式化。 关闭445端口： 运行-> regedit -> HKEY_LOCAL_MACHINE\\ System\\CurrentControlSet\\Services\\NetBT\\Parameters

建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键，键值为0。 (4) 3389端口

远程桌面的服务端口，可以通过这个端口，用“远程桌面”等连接工具来连接到远程的服务器 。 关闭445端口：

我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。

2. 删除IPC$空连接

运行—>regedit—>HKEY-LOCAL_MACHINE\\ SYSTEM\\CurrentControSet\\Control\\LSA

将数值名称RestrictAnonymous的数值数据由0改为1。 3. 账号密码的安全原则

禁用guest账号，将系统内置的Administrator账号改名（越复杂越好，最好是中文的），设置密码最好为8位以上的字母+数字+符号的组合。

4. 删除共享

运行cmd，用net share命令查看本地开放的共享。对于不需要开放共享的用户可删除默认共享，如果不需要Admin$，可运行以下命令： net share admin $ /delete net share * $ / delete

上一行中的*可以代表C、D、E、F、IPC 。 5. 消除系统假死现象

程序很长时间没响应，因为该程序与系统无法兼容。右击程序的执行文件，选择“属性”，进入“兼容性”选项，勾选“用兼容模式运行这个程序”。 6.帐号策略

要实现帐号策略，首先要加载管理单元。在桌面上创建一个MMC，步骤如下：点击桌面左下角“开始“ 再点”运行“, 在对话框中输入MMC，选择文件–添加/删除管理单元

点击添加—选择安全模板—点击添加—点击关闭—点击确定 选择“文件” 到“保存”，单击桌面，制定文件名为Admin Console，默认扩展名为.msc，单击“保存” 。

这样，当需要再次访问时， 只要打开桌面上的Admin Console.msc文件就可以了。

7.密码策略

密码策略保证安全要求在计算机上被强制执行。需要注意的是，密码策略是在各个计算机上设置，而不能针对特定的用户配置，在以下的表格中，详细介绍了密码策略的各个选项： 策略 说明 默认值 最小值 最大值 强制密码历史 保存用户历史轨迹 记住0个密记住0个密码 记住24个密码 码 密码最长存留确定用户保存有效保存42天 保存1天 保存999天 期 密码的最大天数 密码长度最小指定密码包含的最0个字符（不0个字符 14个字符 值 少字符数 需要密码） 密码最小存留指定密码要保存多0天 0天 999天 期 长时间后才能改变 8.账号锁定策略

账号锁定策略用于指定容忍多少次无效的登陆企图。账号锁定策略配置成在y分钟内进行x次失败登陆时，账号将被锁定指定的时间或者直到管理员解开帐号的锁定为止 。 策略 说明 默认值 最小值 最大值 建议 帐户锁定时指定到达值0分钟（如果启同默认值 999999分钟 5分钟 间 时锁定账号用帐户锁定阈值 的时间长度 则为30分钟） 帐户锁定阈指定锁定账0次（禁用则账同默认值 999次 5次 值 号之前允许号将不锁定） 的无效次数 复位帐户锁指定计数器0分钟（如果启同默认值 999999分钟 5分钟 定计数器 记住失败次用帐户锁定阈值 数的时间 则为5分钟） 9.安全选项策略 安全选项策略（Security Options Policies）用户对计算机配置安全措施，与用户权利策略不同的是，用户 权利应用于用户或组，而安全选项策略应用于计算机。下表是部分安全选项的策略： 选项 说明 默认值 帐户：管理员帐户状态 指在正常操作下，已启用 Administartor账号是启用还是禁用，不管设置如何，当在安全模式下启动时，Administrator账号将被启用 帐户：来宾帐户状态 决定Guest账号是否被启已禁用 用 帐户：使用空白密码的本如果一个用户的密码是已启用 地帐户只允许进行控制空的，并且这个选项被启台登录 用，用户将无法适用空的密码从网络登录，这个设置并不应用到域登录账号 帐户：重命名系统管理员允许Administrator账号没有定义 帐户 被重命名 帐户：重命名系统管理员允许Guest账号被重命名 没有定义 帐户 帐户：重命名来宾帐户 允许对全局系统对象的已禁用 访问进行审核 审计：如果无法记录安全如果无法登录安全审核，已禁用 审计则立即关闭系统 指定系统立即关闭 设备：允许格式化和弹出指定谁能够格式化和退Administrators 可移动媒体 出可移动NTFS媒介 设备：只有本地登录的用指定本地用户和网络用已禁用 户才能访问 CD-ROM 户是否能够访问CD-ROM 设备：只有本地登录的用指定本地用户和网络用已禁用 户才能访问软盘 户是否可以访问软盘 域控制器：拒绝更改机器指定域控制器是否接受已禁用 帐户密码 计算机账号密码的更改 网络访问：不允许 SAM 指定匿名用户可以访问没有定义 帐户和共享的匿名枚举 哪些网络共享 网络安全：不要在下次更 指定LAN管理器是否从已禁用 改密码时不存储 LAN 密码更改中存储散列值 Manager 的 Hash 值 网络安全：在超过登录时指定当前连接的用户登已启用 间后强制注销 录时间超时后，是否强制注销 关机：允许在未登录前关允许用户无需登陆即可禁用 机 关闭系统 在工作站上启用在服务器上 10.加密文件与文件夹 打开“Windows资源管理器”，右键单击想要加密的文件或文件夹，选择“属性”选项，单击“常规”选项卡中的“高级”按钮，选中“加密内容以便保护数据”. 在默认情况下，Windows XP中所有的文件夹都是开放的，即该机上的全部用户都可使用它们，这无疑使用户的重要个人资料面临着严重的威胁。为此，Windows XP新增了一项叫“文件夹专用”的功能，它是指在NTFS文件系统中，某个文件夹被用户设置成“专用文件夹”后，该文件夹就只能由该用户使用，而其他用户在登录Windows XP后是无法使用的，这就为保护个人重要资料提供了方便。要使某个文件夹专人专用，只需将该文件夹移动到“x:\\Documents and Settings\\用户名\\”文件夹中（x是指Windows XP安装文件所在分区），然后右击该文件夹，选择“属性”选项，在“共享”选项卡中勾选“将这个文件夹设为个人的，这样只有该用户才能访问”复选框。这样，当其他用户登录Windows XP后想进入这个文件夹时将遭到“拒绝访问”的警告提示。 11.注册表设置

有关如何编辑注册表的信息可通过注册表编辑器本身的“帮助”工具得到。例如，用户可以使用以下步骤来查看有关向注册表中添加一个项的说明。 从“开始”菜单中，选择“运行”。

在“运行”对话框的文本框中，键入 regedt32 并单击“确定”，打开注册表编辑器 (Regedt32.exe)。

从“帮助”菜单中，选择“目录”。

在注册表编辑器的“帮助”工具的右侧窗格中，单击“在注册表中添加和删除信息”超链接。该窗格即显示有关在注册表中添加和删除信息的帮助主题列表。单击“向注册表中添加项”超链接以获得详细说明。 12.网络攻击的安全注意事项 为了防止拒绝服务 (DoS) 攻击，必须使用最新的安全修补程序及时更新计算机，并在曝光于潜在攻击者的 Windows XP 计算机中强化 TCP/IP 协议堆栈安全性。调整默认的 TCP/IP 堆栈配置，使之处理标准 Intranet 通信。如果将计算机直接连接到 Internet，Microsoft 建议用户强化 TCP/IP 堆栈的安全性以防范 DoS 攻击。

针对 TCP/IP 堆栈的 DoS 攻击可分为两类：一类是滥用系统资源（如打开不计其数的 TCP 连接），另一类是发送特制的数据包使网络堆栈或整个操作系统产生故障。下面的注册表设置有助于防范针对 TCP/IP 堆栈的攻击。DoS 攻击包括：大量发送数据使 Web 服务器疲于处理；大量发送数据包充斥远程网络。路由器和服务器由于要路由并处理每个数据包而超负荷运行。DoS 攻击有时很难抵御。为了防范，必须强化 TCP/IP 协议。 13.日志审核 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。在控制台树中，单击“事件查看器”。 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。在控制台树中，单击“事件查看器”。

设置日志大小和覆盖选项

要指定日志大小和覆盖选项，请按照下列步骤操作： 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。在控制台树中，展开“事件查看器”，然后右键单击要设置其大小和覆盖其选项的日志，选择“属性”。在“日志大小”下的“日志大小上限”框中键入所需的大小。在“达到日志大小上限时”下，单击所需的覆盖选项，如果用户要清除日志内容，请单击“清除日志”。 单击“确定”。 14.本地禁用不需要的系统服务

在Windows XP 操作系统上本地禁用不需要的服务步骤如下： 打开“计算机管理”界面。

在控制台树中，展开“服务和应用程序”，然后选择“服务”。

从右侧窗格中，选择要禁用的服务。右键单击选定的服务，然后选择“属性”。 选定服务的“属性”对话框出现。从“启动类型:”下拉菜单中，选择“已禁用”。 在“服务状态:”下，选择“停止”。 单击“确定”。

本文来源：https://www.bwwdw.com/article/fhbg.html