WinXP的基本安全策略
网络与通信
随着Microsoft系统的不断升级,当今主流的操作系统已经从以前使用的Win95/98/2000提升到了WinXP,WinXP的推出给我们提供了一个全新的、更丰富的多媒体、更强大的网络功能的平台,但我们在使用WinXP的时候是否注意过WinXP的安全问题?虽然WinXP是最新推出的操作系统,但是它依然存在安全问题的,网上也公布了关于WinXP的安全漏洞,这里我就不再赘述了,针对这些漏洞我们可以自己动手来解决。
我们安装好一个新的WinXP操作系统后,请使用开始菜单里的Windows Update对自己的系统进行升级(2002年《电脑报》第28期D6版上有过介绍)。
升级完成之后,打开“控制面板→管理工具→本地安全策略”,然后选择“安全设置→本地策略→安全”选项,把“网络访问:不允许SAM账号和共享的匿名枚举”策略启用,这样做的目的是为了不让远程的计算机枚举本地计算机的账号和共享,对于一个Cracks来说这些信息非常有用,当他们知道本地计算机的用户名后他们可以通过暴力猜解计算机用户口令的方式来破解本地计算机用户的密码。
设定完本地安全策略后,转到“控制面板→管理工具→服务”,依次禁用下表((图1))中列举的服务。
这些服务可以依照计算机使用者的需求灵活地禁止,如果你觉得有的服务需要使用,那么你就不要停止它。
禁止不需要的服务后,我们的计算机已经很安全了,同时也提高了计算机的运行速度。但为了保证计算机网络协议的安全,我们还要对网络连接进行设定。右击“网上邻居→属性→本地连接→属性”,出现本地连接属性对话框后选择“Internet 协议(TCP/IP)”属性,然后点击“高级→WINS面板”,在NetBIOS设置里面选择“禁用TCP/IP上的NetBIOS”,这样设定好以后Cracks们就没办法通过使用Nbtstat命令来读取计算机的NetBIOS信息以及网卡Mac地址了。
设定完NetBIOS以后,我们回到网络连接窗口,选择“高级→高级设置”, 在适配器和绑定这一栏里把不需要使用的协议去掉。再回到“本地连接→属性→选择→高级”,在这一栏里有一个“Internet连接防火墙”复选框,选中它,这样攻击者就没办法使用Ping命令对你的计算机进行检测了。
网络协议安全配置好以后,我们还要配置一下WinXP的Dcom服务(135端口)。这个端口除了被用作查询服务外(如使用Epdump),还可以被用于直接攻击。有一些Dos(洪水攻击)攻击直接针对这个端口,关闭这个服务的方法是:在运行菜单里输入Dcomcnfg.exe后会弹出组件服务窗口,双击“组件服务→计算机→我的电脑”,在“我的电脑”上点击鼠标右键选择“属性”,在弹出的对话框里面选择“默认属性”,把“在此计算机上启用分布式COM”复选框去掉。