(1)选择NTFS格式来分区
最好所有的分区都是NTFS格式,因为NTFS格式的分区在安全性方面更加有保障。就算其他分区采用别的格式(如FAT32),但至少系统所在的分区中应是NTFS格式。另外,应用程序不要和系统放在同一个分区中,以免攻击者利用应用程序的漏洞(如微软的IIS的漏洞)导致系统文件的泄漏,甚至让入侵者远程获取管理员权限。
(2)优化组件的定制
Windows XP在默认情况下会安装一些常用的组件,但是正是这个默认安装是很危险的,你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。
(3)管理好系统和资源权限
每个用户在Windows XP上都有相应的权限,对应权限用户可在系统上进行不同的操作,如对软硬件进行安装配置,文档目录的添加删除。因此必须对用户的权限加以控制,以保证系统的安全Windows XP默认存在许多权限组,用户被添加到这些权限组将被赋予相应的权限如下图。
常用的组功能描述如下:
Administrators组:该组默认拥有不受限制的完全访问权,可以对整个系统进行完全控制,是允许用户指定的用户组中权限最高的。
PowerUser组:该组可以执行除了Administrators组保留任务外的其他任何操作,分配给PowerUser组的默认权限允许它修改整个计算机的设置,但不能将自己添加到Administrators组,这个组的权限仅次于Administrators。
Users组:该组的用户无法修改操作系统的设置,注册表或用户资料。它只能运行经过验证的应用程序或创建本地组,但只能修改创建的本地组。
Guests组:该组的权限与Users组拥有的同等访问权,但操作系统对它的限制更多。
(4)用户帐户的安全设置
检查用户账号,停止不需要的账号,建议更改默认的账号名。
禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。
限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrator权限的用户只在需要的时候使用。
把系统Administrator账号改名Windows XP的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
不让系统显示上次登录的用户名 打开注册表编辑器并找到注册表项HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName,把键值改成1。
系统账号/共享列表 Windows XP的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空连接,还可以在Windows XP的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制)。