【51CTO獨(dú)家特稿】隨著Windows XP在個(gè)人電腦上面的普及，越來越多的人開始與Windows XP形影不離，盡管Windows XP有著超強(qiáng)的穩(wěn)定性和可靠的安全性。然而，陸續(xù)發(fā)現(xiàn)的漏洞，還是讓W(xué)indows XP已經(jīng)有了被攻擊的威脅。下面將給出保障Windows XP操作系統(tǒng)安全的十招，供廣大讀者參考使用。

（1）選擇NTFS格式來分區(qū)

最好所有的分區(qū)都是NTFS格式，因?yàn)?a >NTFS格式的分區(qū)在安全性方面更加有保障。就算其他分區(qū)采用別的格式(如FAT32)，但至少系統(tǒng)所在的分區(qū)中應(yīng)是NTFS格式。另外，應(yīng)用程序不要和系統(tǒng)放在同一個(gè)分區(qū)中，以免攻擊者利用應(yīng)用程序的漏洞(如微軟的IIS的漏洞)導(dǎo)致系統(tǒng)文件的泄漏，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限。

（2）優(yōu)化組件的定制

Windows XP在默認(rèn)情況下會(huì)安裝一些常用的組件，但是正是這個(gè)默認(rèn)安裝是很危險(xiǎn)的，你應(yīng)該確切的知道你需要哪些服務(wù)，而且僅僅安裝你確實(shí)需要的服務(wù)，根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=最大的安全。

（3）管理好系統(tǒng)和資源權(quán)限

每個(gè)用戶在Windows XP上都有相應(yīng)的權(quán)限，對(duì)應(yīng)權(quán)限用戶可在系統(tǒng)上進(jìn)行不同的操作，如對(duì)軟硬件進(jìn)行安裝配置，文檔目錄的添加刪除。因此必須對(duì)用戶的權(quán)限加以控制，以保證系統(tǒng)的安全

Windows XP默認(rèn)存在許多權(quán)限組，用戶被添加到這些權(quán)限組將被賦予相應(yīng)的權(quán)限如下圖。常用的組功能描述如下：

Administrators組：該組默認(rèn)擁有不受限制的完全訪問權(quán)，可以對(duì)整個(gè)系統(tǒng)進(jìn)行完全控制，是允許用戶指定的用戶組中權(quán)限最高的。

PowerUser組：該組可以執(zhí)行除了Administrators組保留任務(wù)外的其他任何操作，分配給PowerUser組的默認(rèn)權(quán)限允許它修改整個(gè)計(jì)算機(jī)的設(shè)置，但不能將自己添加到Administrators組，這個(gè)組的權(quán)限僅次于Administrators。

Users組：該組的用戶無法修改操作系統(tǒng)的設(shè)置，注冊(cè)表或用戶資料。它只能運(yùn)行經(jīng)過驗(yàn)證的應(yīng)用程序或創(chuàng)建本地組，但只能修改創(chuàng)建的本地組。

Guests組：該組的權(quán)限與Users組擁有的同等訪問權(quán)，但操作系統(tǒng)對(duì)它的限制更多。

（4）用戶帳戶的安全設(shè)置

檢查用戶賬號(hào)，停止不需要的賬號(hào)，建議更改默認(rèn)的賬號(hào)名。

禁用Guest賬號(hào)在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼。

限制不必要的用戶 去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。

創(chuàng)建兩個(gè)管理員賬號(hào)創(chuàng)建一個(gè)一般權(quán)限用戶用來收信以及處理一些日常事物，另一個(gè)擁有Administrator權(quán)限的用戶只在需要的時(shí)候使用。

把系統(tǒng)Administrator賬號(hào)改名Windows XP的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。

不讓系統(tǒng)顯示上次登錄的用戶名 打開注冊(cè)表編輯器并找到注冊(cè)表項(xiàng)HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把鍵值改成1。

系統(tǒng)賬號(hào)/共享列表 Windows XP的默認(rèn)安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號(hào)/共享列表，這個(gè)本來是為了方便局域網(wǎng)用戶共享文件的，但是一個(gè)遠(yuǎn)程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。可以通過更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空連接，還可以在Windows XP的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項(xiàng)RestrictAnonymous（匿名連接的額外限制）。

（5）安裝殺毒軟件

隨著計(jì)算機(jī)、操作系統(tǒng)環(huán)境的龐大及互聯(lián)網(wǎng)的發(fā)展，惡意軟件、病毒及黑客的攻擊越來越普遍。因此一般的計(jì)算機(jī)都會(huì)安裝防病毒軟件，對(duì)系統(tǒng)進(jìn)行保護(hù)。殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序，因此要注意經(jīng)常運(yùn)行程序并升級(jí)病毒庫。

（6）安裝防火墻偵聽外界對(duì)本機(jī)所采取的攻擊，及早提醒用戶采取防范措施。

（7）安裝系統(tǒng)補(bǔ)丁

WindowsXP的操作系統(tǒng)存在不確定的安全問題，所以Microsoft不斷地提供補(bǔ)丁程序以修復(fù)這些安全問題。補(bǔ)丁包會(huì)使系統(tǒng)保持最新的狀態(tài)，修補(bǔ)以前的漏洞。到微軟網(wǎng)站下載最新的補(bǔ)丁程序，并經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的Service Pack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法。

（8）停止不必要的服務(wù)

用戶平時(shí)使用到的服務(wù)組件畢竟有限, 而那些很少用到的組件除占用了不少系統(tǒng)資源,會(huì)引起系統(tǒng)不穩(wěn)定外,還為黑客的遠(yuǎn)程入侵提供了多種途徑。為此我們應(yīng)該盡量把那些暫不需要的服務(wù)組件屏蔽掉。具體的操作方法為: 首先在控制面板中找到“管理工具”/“服務(wù)”,然后再打開“服務(wù)”對(duì)話框,在該對(duì)話框中選中需要屏蔽的程序,并單擊鼠標(biāo)右鍵, 從彈出的快捷菜單中依次選擇“屬性”/“停止”命令,同時(shí)將“啟動(dòng)類型”設(shè)置為“手動(dòng)”或“已禁用”,這樣就可以對(duì)指定的服務(wù)組件進(jìn)行屏蔽了。

（9）使用備份和還原機(jī)制

受到計(jì)算機(jī)內(nèi)部如病毒或外部突然斷電等各種因素的影響，用戶數(shù)據(jù)有可能會(huì)丟失，因此需要定期對(duì)數(shù)據(jù)進(jìn)行備份，定期的將文件刻盤、復(fù)制到其他移動(dòng)硬盤上以保存另外一個(gè)副本，以便在出現(xiàn)問題時(shí)，減少損失。Windows XP系統(tǒng)也自帶了備份工具，可從如下位置找到，開始->附件->系統(tǒng)工具->備份。

Windows XP系統(tǒng)也自帶了系統(tǒng)還原工具，可從如下位置找到，開始->附件->系統(tǒng)工具->系統(tǒng)還原。Windows 系統(tǒng)還原僅保存和恢復(fù)系統(tǒng)文件（如 Windows Update、驅(qū)動(dòng)程序變更的記錄），對(duì)于文檔類文件不進(jìn)行保存和恢復(fù)。若想對(duì)系統(tǒng)和文件同時(shí)進(jìn)行備份，請(qǐng)使用Windows自帶的Backup功能。不建議使用系統(tǒng)還原，因有部分病毒利用系統(tǒng)還原功能隱藏病毒程序，造成病毒查殺不凈。

（10）使用組策略

組策略(Group Policy) 是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。組策略基于活動(dòng)目錄來管理多個(gè)計(jì)算機(jī)或用戶，管理的實(shí)現(xiàn)是通過對(duì)注冊(cè)表的修改進(jìn)行的，注冊(cè)表中的信息是從活動(dòng)目錄獲取的，其改變也會(huì)影響到活動(dòng)目錄的信息，從而實(shí)現(xiàn)了對(duì)相關(guān)對(duì)象的管理。在組策略里將系統(tǒng)重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。

Windows XP中也存在本地組策略，用戶可以通過“開始”菜單上的“運(yùn)行”功能，輸入“gpedit.msc”進(jìn)入組策略面板。然后進(jìn)行相關(guān)安全配置即可。

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處。】

【編輯推薦】

1. 在Windows XP中模擬Windows 7任務(wù)欄效果
2. 如何強(qiáng)健Windows XP密碼
3. Windows XP中設(shè)置NTFS權(quán)限基本策略和原則