1.安裝安全性原則
(1) 不要選擇從網路上安裝
雖然微軟支援線上安裝,但這絕對不安全。在系統未全部安裝完之前不要連入網路,特別是Internet。甚至不要把一切硬體都串連好來再安裝。因為Windows XP安裝時,在輸入使用者管理員帳號“Administrator”的密碼後,系統會建立一個“ADMIN”的共用帳號,但是並沒有用剛輸入的密碼來保護它,這種情況一直會持續到電腦再次啟動。在此期間,任何人都可以通過“ADMIN”進入系統;同時,安裝完成,各種服務會馬上自動運行,而這時的伺服器還到處是漏洞,非常容易從外部侵入。
(2) 要選擇NTFS格式來分區
最好所有的分區都是NTFS格式,因為NTFS格式的分區在安全性方面更加有保障。就算其他分區採用別的格式(如FAT32),但至少系統所在的分區中應是NTFS格式。另外,應用程式不要和系統放在同一個分區中,以免攻擊者利用應用程式的漏洞(如微軟的IIS的漏洞)導致系統檔案的泄漏,甚至讓入侵者遠程擷取管理員權限。
(3) 系統版本的選擇
版本的選擇:Windows XP有各種語言的版本,對於我們來說,可以選擇英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug & Patch而著稱的,中文版的Bug遠遠多於英文版,而補丁一般還會遲至少半個月(也就是說一般微軟公布了漏洞後你的機子還會有半個月處於無保護狀況)。
(4) 組件的定製
Windows XP在預設情況下會安裝一些常用的組件,但是正是這個預設安裝是很危險的,你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的許可權=最大的安全。
(5) 分區和邏輯盤的分配
建議建立多於兩個分區,一個系統磁碟分割,一個以上應用程式分區,把系統磁碟分割和應用程式分區分開,以此來保護應用程式,一般來說,病毒或者駭客利用漏洞攻擊,損壞的是系統磁碟分割,而不會對應用程式分區造成損壞。
2.帳號安全性原則
(1)使用者安全設定
檢查使用者帳號,停止不需要的帳號,建議更改預設的帳號名。
1)、禁用Guest帳號在電腦管理的使用者裡面把Guest帳號禁用。為了保險起見,最好給Guest加一個複雜的密碼。
2)、限制不必要的使用者 去掉所有的Duplicate User使用者、測試使用者、共用使用者等等。使用者組原則設定相應許可權,並且經常檢查系統的使用者,刪除已經不再使用的使用者。
3)、建立兩個管理員帳號建立一個一般許可權使用者用來收信以及處理一些日常事物,另一個擁有Administrator許可權的使用者只在需要的時候使用。
4)、把系統Administrator帳號改名Windows XP的Administrator使用者是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個使用者的密碼。盡量把它偽裝成普通使用者,比如改成Guesycludx。
5)、建立一個陷阱使用者建立一個名為“Administrator”的本機使用者,把它的使用權限設定成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級複雜密碼。
6)、把共用檔案的許可權從Everyone組改成授權使用者 不要把共用檔案的使用者佈建成“Everyone”組,包括列印共用,預設的屬性就是“Everyone”組的。
7)、不讓系統顯示上次登入的使用者名稱 開啟登錄編輯程式並找到登錄機碼HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName,把索引值改成1。
8)、系統帳號/共用列表 Windows XP的預設安裝允許任何使用者通過空使用者得到系統所有帳號/共用列表,這個本來是為了方便區域網路使用者共用檔案的,但是一個遠端使用者也可以得到你的使用者列表並使用暴力法破解使用者密碼。可以通過更改註冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空串連,還可以在Windows XP的本地安全性原則(如果是網域服務器就是在網域服務器安全和域安全性原則中)就有這樣的選項RestrictAnonymous(匿名串連的額外限制),這個選項有三個值:
0:None. Rely on default permissions(無,取決於預設的許可權)
0這個值是系統預設的,什麼限制都沒有,遠端使用者可以知道你機器上所有的帳號、組資訊、共用目錄、網路傳輸列表等等,對伺服器來說這樣的設定非常危險。
1:Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM帳號和共用)
1這個值是只允許非NULL使用者存取SAM帳號資訊和共用資訊。
2:No access without explicit anonymous permissions(沒有顯式匿名許可權就不允許訪問)
2這個值是在win2000中才支援的,如果不想有任何共用,就設為2。一般推薦設為1。
(2) 口令安全設定
1)、使用安全密碼 要注意密碼的複雜性,還要記住經常改密碼。
2)、開啟密碼原則 注意應用密碼原則,如啟用密碼複雜性要求,設定密碼長度最小值為8位,設定強制密碼曆史為5次,時間為42天。
3.應用安全性原則
(1)安裝殺毒軟體
殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程式,因此要注意經常運行程式並升級病毒庫。
(2)安裝防火牆
偵聽外界對本機所採取的攻擊,及早提醒使用者採取防範措施。
(3)安裝系統補丁
到微軟網站下載最新的補丁程式:經常訪問微軟和一些安全網站,下載最新的Service Pack和漏洞補丁,是保障伺服器長久安全的唯一方法。
(4)啟用電源保護功能
使用電腦處理檔案時, 最擔心的就是電腦突然掉電, 因為這種突然掉電不但會使自己的辛勤勞動成果頃刻間化為烏有, 嚴重的話還會使電腦受到損傷。為了防止各種情況下的意外掉電, 保證電腦的安全正常工作, 我們應該在電源管理中啟用按下電源開關時詢問或直接休眠的功能。
如果您要啟動電源保護功能的話, 可以用滑鼠在Windows XP的案頭上依次單擊“開始”/“控制台”/“效能和維護”/“電源選項”,在彈出的設定框中選擇“進階”標籤,在對應的標籤頁面下找到“按下電腦電源開關時”設定項,然後在設定框中選擇“休眠”或者“問我要做什麼”選項,如果選擇“關機”選項的話,就相當於沒有啟用電源保護功能。
(5)使用屏保程式
看到“屏保”二字, 大家肯定會很自然地想到電腦中的螢幕保護裝置程式, 它主要是通過採用不同方式輪流顯示指定圖片來達到螢幕保護裝置的目的。但是只有當不操作電腦達到事先設定的時間後, 系統才會啟動螢幕保護裝置程式, 如果想在任意指定的時間內啟動螢幕保護裝置程式,該怎麼辦呢?
我們可以按照下面的操作方法來實現: 在Windows XP 的開始菜單中,依次單擊“開始”/“搜尋”/“檔案或檔案夾”, 然後在彈出的搜尋對話方塊中, 點擊“所有檔案和和檔案夾”類型並在對應檔案名稱的文字框中, 輸入“* . scr”字元,再在搜尋範圍下拉式清單中, 選擇“本機磁碟(C:) ”或電腦上儲存系統檔案的磁碟機, 最後單擊搜尋按鈕。
然後在找到的螢幕保護裝置程式列表中,選擇需要的屏保程式, 並給這個屏保程式建立一個存放在案頭上的捷徑。以後要啟動屏保程式時直接用滑鼠雙擊案頭上的屏保捷徑, 必要時還可以給“屏保”加上密碼,這樣在恢複時需重新輸入使用者名稱和密碼,能更加安全地保護電腦資源。
(6) 停止不必要的服務
服務開的太多也不是個好事,將沒有必要的服務通通關掉吧!服務元件安裝得越多, 使用者可以享受的服務功能也就越多。但是使用者平時使用到的服務元件畢竟有限, 而那些很少用到的組件除佔用了不少系統資源,會引起系統不穩定外,還為駭客的遠程入侵提供了多種途徑。
為此我們應該盡量把那些暫不需要的服務元件屏蔽掉。具體的操作方法為: 首先在控制台中找到“管理工具”/“服務”,然後再開啟“服務”對話方塊,在該對話方塊中選中需要屏蔽的程式,並單擊滑鼠右鍵, 從彈出的捷徑功能表中依次選擇“屬性”/“停止”命令,同時將“啟動類型”設定為“手動”或“已禁用”,這樣就可以對指定的服務元件進行屏蔽了。
4.網路安全性原則
(1)關閉不必要的連接埠
關閉連接埠意味著減少功能,在安全和功能上面需要你做一點決策。如果伺服器安裝在防火牆的後面,冒險就會少些。但是,永遠不要認為你可以高枕無憂了。用連接埠掃描器掃描系統已開放的連接埠,確定系統開放的哪些服務可能引起駭客入侵。在系統目錄中的\system32\drivers\etc\services 檔案中有知名連接埠和服務的對照表可供參考。具體方法為:開啟“ 網路位置/屬性/本地串連/屬性/internet 協議(TCP/IP)/屬性/進階/選項/TCP/IP篩選/屬性” 開啟“TCP/IP篩選”,添加需要的TCP、UDP協議即可。
(2)設定好安全記錄的存取權限
安全記錄在預設情況下是沒有保護的,把它設定成只有Administrators和系統賬戶才有權訪問。
(3)使用Web格式的電子郵件系統
不要實用Outlook、Fox mail等用戶端郵件系統接受郵件,現在的一些郵件危害性很大,一旦植入本機,就有可能造成系統的癱瘓。同時,不要察看陌生人郵件中的附件,這些附件往往帶有病毒和木馬。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
