Windows XP 操作系统安全防范设置

　1．常规的安全防护　　所谓“常规的安全防护”即施行同Windows98一样的安装防病毒软件、升级系统、禁止Ping三种安全方式。要强调的是WindowsXP和它的前辈Windows2000一样，漏洞层出不穷，对于系统的升级不能像对Windows98般马虎，除了要安装Microsoft针对“冲击波”的漏洞补丁外，建议将WindowsXP升级为最新的ServicePack1（升级后会提高资源占有，不过安全性、稳定性有所提高）。
! E: V" ~2 J# J" _5 z$ X& f　　2．禁止远程协助，屏蔽闲置的端口: {: C! H$ M' H6 m( v" [
　　在WindowsXP上有一项名为“远程协助”的功能，它允许用户在使用计算机发生困难时，向MSN上的好友发出远程协助邀请，来帮助自己解决问题。; ~8 M" ?/ {* `, \" H1 s
　　而这个“远程协助”功能正是“冲击波”病毒所要攻击的RPC（RemoteProcedureCall）服务在WindowsXP上的表现形式。建议用户不要使用该功能，使用前也应该安装Microsoft提供的RPC漏洞工具和“冲击波”免疫程序。禁止“远程协助”的方法是：打开系统属性对话框（右键“我的电脑”、“属性”），在“远程”项里去掉“允许从这台计算机发送远程协助邀请”前面的“√”。0 Z; i3 ?/ b# p1 B! a; m# h
　　使用系统自带的“TCP/IP筛选服务”就能够限制端口。方法如下：在“网络连接”上单击右键，选择“属性”，打开“网络连接属性”对话框，在“常规”项里选中里面的“Internet协议（TCP/IP）”然后单击下面的[属性]按钮，在“Internet协议（TCP/IP）属性”窗口里，单击下面的[高级]按钮，在弹出的“高级TCP/IP设置”窗口里选择“选项”项，再单击下面的[属性]按钮，最后弹出“TCP/IP筛选”窗口，通过窗口里的“只允许”单选框，分别添加“TCP”、“UDP”、“IP”等网络协议允许的端口（如图1），未提供各种服务的情况，可以屏蔽掉所有的端口。这是最佳的安全防范形式。
# D1 R8 l. z- [8 E% ~5 R% q& d
7 ?" L( V' i4 N. }" c$ o* J+ @. \5 C) K4 b5 o2 {! Y7 r; D
　　图1
: t9 y4 Z: j! e2 ]# |2 b　　　　3．禁止终端服务远程控制
3 n" H' F, h; a$ A! K( \: \2 x　　“终端服务”是WindowsXP在Windows2000系统（Windows2000利用此服务实现远程的服务器托管）上遗留下来的一种服务形式。用户利用终端可以实现远程控制。“终端服务”和“远程协助”是有一定区别的，虽然都实现的是远程控制，终端服务更注重用户的登录管理权限，它的每次连接都需要当前系统的一个具体登录ID，且相互隔离，“终端服务”独立于当前计算机用户的邀请，可以独立、自由登录远程计算机。7 p* ]; _# f; I5 T0 k
　　在WindowsXP系统下，“终端服务”是被默认打开的，（Windows2000系统需要安装相应的组件，才可以开启和使用终端服务）也就是说，如果有人知道你计算机上的一个用户登录ID，并且知道计算机的IP，它就可以完全控制你的计算机。
  e) a. U: D. n5 q/ a! b: ?　　在WindowsXP系统里关闭“终端服务”的方法如下：右键选择“我的电脑”、“属性”，选择“远程”项，去掉“允许用户远程连接到这台计算机”前面的“√”即可。
7 I: o* F6 L+ [8 X　　4．关闭Messenger服务6 G) B- `& d* T* J3 ~% o0 }) `
　　Messenger服务是Microsoft集成在WindowsXP系统里的一个通讯组件，它默认情况下也是被打开的。利用它发送信息时，只要知道对方的IP，然后输入文字，对方的桌面上就会弹出相应的文字信息窗口，且在未关闭掉Messenger服务的情况下强行接受。
6 T: }& i1 n1 A9 s* p　　很多用户不知道怎么关闭它，而饱受信息的骚扰。其实方法很简单，进入“控制面板”，选择“管理工具”，启动里面的“服务”项，然后在Messenger项上单击右键，选择“停止”即可（如图2）。　　0 _$ j' p$ o, x$ {2 Q1 ~0 H

! H* g/ e8 `, t0 o' l1 |% m- e　图2
! Q3 I8 Y$ Y5 p. A6 c　　　　5．防范IPC默认共享4 p, X2 p3 h$ p9 R2 ^
　　WindowsXP在默认安装后允许任何用户通过空用户连接（IPC＄）得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能，查找系统的用户列表，并使用一些字典工具，对系统进行攻击。这就是网上较流行的IPC攻击。
- K6 ^9 T1 p9 {2 q$ f1 G　　要防范IPC攻击就应该从系统的默认配置下手，可以通过修改注册表弥补漏洞：
0 s  ]! z5 `& L& @9 }; o5 j8 T　　第一步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous项设置为“1”，就能禁止空用户连接。
. P) `* f' g7 R6 g0 ?　　第二步：打开注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项。3 e% `" i$ ~% \; k! @* P5 m
　　对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。
4 M; k4 P* j: G+ U　　对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。( c" s! l5 b- O5 c# {! @
　　6．合理管理Administrator; g) T. i0 Q9 a$ ^3 U& c. C
　　Windows2000/XP系统，系统安装后都会默认创建一个Administrator用户，它拥有计算机的最高管理权限。而有的用户在安装时，根本没有给Administrator用户设置密码。黑客就利用这一点，使用高级用户登录对方计算机。因此，个人用户应该妥善保管“Administrator”用户信息，Windows2000登录时，要求输入Administrator用户的登录密码，而WindowsXP在正常启动后，是看不到Administrator用户的，建议使用WindowsXP的用户进入安全模式，再在“控制面板”的“用户账户”项里为Administrator用户添加密码，或者将其删除掉，以免留下隐患。: {) L, `% J2 z) x7 Y

# x0 A+ f; y$ _! v　　针对个人操作系统的安全防护，笔者就介绍Windows98与WindowsXP两款，至于Windows2000由于它有Professional和Server版本之分，两种版本的Windows2000防护形式类似WindowsXP与Windows2003，这里就不分开来具体介绍了，下面来说说针对服务器使用的Windows2003和Linux系统。