Windows XP的漏洞及防范篇（2）

来源：ChinaITLab 搜集整理作者：出处：巧巧读书 2006-08-08 进入讨论组

关键词：adsl ie ip地址 os windows

　　WindowsXP的安全由于自身的庞大和功能的繁多而显得较为复杂，尽管WindowsXP在安全方面的技术和性能都做了大量的工作，将安全防范性能提高到了一个前所未有的高度，但是无孔不人的人侵问题仍然不可能使任何一种系统做到100%的安全，所以要保证WindowsXP不发生大的意外，

就要做好防范工作，并努力提高自身的知识水平，尽快熟悉操作系统的的管家---控制面板。由于WindowsXP的大量新增功能，如数字媒体、及时信息传递以及电子照片处理等，这些都将使该基于该系统的PC和网络应用进入一个新的阶段。同样，这些崭新的功能也对安全问题提出了新的要求。经常下载系统补丁将有助于用户的安全防范，经常光顾微软的安全公告板，会了解一些微软公布的安全漏洞最新消息，总之，"防患于未然"才是真正消除安全隐患的最明智方法。
　　充分利用WindowsXP的安全特性进行一些必要的安全配置，不失为一种有效的防范措施。这里就WindowsXP所自带的安全配置方面进行了具体的讲解。
　　　　1.充分利用自带的免费Internet连接防火墙功能 (ICF)
　　 WindowsXP(ICF)是一个基于包的防火墙，防火墙首先不响应Ping命令，并禁止外部程序对本机进行端口扫描，并自动记录所有发出、接收的数据包的IP地址、端口、服务以及其他一些代码。这样有效地减少了外部攻击的威胁。Internet连接防火墙功能 (IC)需要激活后方可使用，WindowsXP支持拨号上网的用户使用防火墙功能，点击 "拨号连接"属性，在 "高级"中有一项为 "Internet连接防火墙"把其中的"通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络"的选择框内打上""，点击 "确定"按钮即可激活防火墙功能。
　　现在很多网吧的服务器使用的操作系统是WindowsXP，不仅是因为WindowsXP自带虚拟拨号软件，可以很好的支持ADSL，更重要的是WindowsXP自带的防火墙能够支持多用户。网络管理员在设置WindowsXP连接共享(ICS)后 (WindowsXP连接共享相对于98/2000有了进一步的改善)，局域网用户就可以高速测览Internet。需要注意的是:如果局域网内的每位用户都使用防火墙功能，则防火墙功能有可能导致局域网内的某些通讯的阻碍。所以建议工作站就不必再使用ICF，而且由于工作站与Internet的任何通信都必须通过设置共享的主机来实现，这样就隐藏了工作站的地址。工作站就相对安全一些。当然，我们还可以用其它的专业防火墙，例如国内颇具盛名的KV3000、VRV等。
　　 2.利用WindowsXP内置的IE6.0来保护个人隐私:
　　首先我们需要在IE6.0中定义透露个人信息的具体参数选项，浏览器会在用户上网时，自动判断所访问的站点的安全、可信等级。对于安全站点，浏览器把你的隐私参数和站点定义的隐私政策进行比较。根据预先设定的隐私参数，来限制信息方面的流通。
　　如何设定浏览器将决定是否向站点泄露你的个人信息。IE6.0中可以很好管理Cook论。Cook论是一些站点为了提供用户特征信息而存在你的电脑上的一个小文件。通过设置IE，用户可以做到:禁止所有Cookies存储到你的电脑上、拒绝第三方Cookies，但允许其他的Cookies存储到电脑上、允许所有Cookies存储到电脑上。这样一来，用户就可以很轻松地管理Cookies，从而不再担心Cookies将你的信息泄露出去。
　　 3.利用加密文件系统(EFS)加密
　　在WindowsXP中EFS使用扩展数据加密标准(DESX)作为加密算法。EES自动地为用户生成一对密钥和证书，并在利用了CryptoAPI结构的情况下以公钥加密为基础。它当用户加密文件夹的时候，该文件夹的下层所有文件夹和文件部将被自动加密。加密后的文件夹将限制、识别用户是否属于非法访问，只有对这个文件进行加密的用户可以打开这个文件并使用它。这对使用便携式电脑的用户非常适用，因为当电脑被丢失时，不必担心文件的泄露问题 (不知拉登的高级助手们看到绝密文件被美国情报局了若指掌的时候，是否想过WindowsXP中EFS)。从网络安全的角度来看，一旦有一天，当入侵者对存储数据的计算机有完全入侵能力的时候，加密的文件也将使人侵者大感恼火，重重的加密文件登录鉴定和文件许可这些安全特性将有效地阻止入侵者的行为。
　　 4.屏蔽不需要的服务组件:
　　 XP众多的服务组件使用户享受到了前所未有的服务，但是出于种种原因，用户能真正在日常用到的组件还是为数不多，换句话说，也就是还不会用，这就造成了很大的系统资源浪费和一定的安全隐患，甚至
　　黑客们还会据此尝试一些人侵。所以，屏蔽一些暂时还不需要的服务组件是目前我们所能做的安全设置中的一个重要部分。
　　　　右键单击 "我的电脑"选择 "属性→管理→服务的应用程序→服务"选项，可以看到windowsXP上加载的各个程序组件，选择其中部分服务组件，选中"属性"，然后单击 "停止"，并将启动类型设置为手动或者已禁用。
　　　　注意:在进行此项操作时必须注意到有些服务组件是WindowsXP运行时所必须存在的，如果冒然关闭会造成系统运行困难甚至崩溃。我们可以通过双击该服务或者鼠标悬停察看该服务的说明，确定不需要该服务后再禁止。
　　　　5.进行适当的文件加密
　　　　在WindowsXP的资源管理器中选中需要加密的文件或文件夹，在选择文件夹或文件的情况下点击鼠标右键，在弹出的菜单中选择 "属性"命令，随后在WindowsXP弹出的文件加密对话框中单击 "常规"标签，然后再依次选择 "高级→加密内容以便保护数据"就可以了。
　　　　6.利用补丁解决"系统假死"等现象
　　　　假死现象是由于用户在使用各种应用程序时操作不当或者系统本身问题等原因，导致正在使用的部分应用程序很长时间没有响应的现象。现在已经证实，这是一种程序编写上的Bug，绝大多数还是因为当前执行的应用程序与系统无法兼容引起的，目前微软网站已经提供了这一现象的补丁。还有一种方法是找到该程序的执行文件，然后单击鼠标右键，在弹出的对话框中选择 "兼容性"标签，再在 "兼容模式"下选择相应需要的运行环境。从而可以解决部分假死现象问题。像这样的系统补丁还有很多，建议用户多去微软网站看看，及时下载补丁程序。
　　　　7.使用功能更为强大的Msconfig
　　　　Msconfig是Windows操作系统中的系统配置实用程序，在Windows98中我们就会经常使用它来控制系统的进程，例如启动。WindowsXP提供了功能更为强大的Msconfig，在WindowsXP中我们不仅可以控制系统启动时自动运行的程序，还可以更改启动的服务和多操作系统共存时默认启动的系统。
　　　　8.禁止使用Shift键自动登录
　　　　在WindowsXP中，如果启用了自动登录功能，普通用户就可以通过按Shift键绕过登录输人用户名和口令的程序，从而造成非正常登录。我们可以设置注册表的相关键值来防止这种非法登录。进入注册表编辑程序，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon中新建串值 "Ignoreshiftoverride"，将值更改为 "1"。这样就可以有效禁止一些用户利用Shift键自动登录。
　　　　9.为注册表设置管理权限
　　　　注册表在很大程度上决定着计算机的运行环境、性能和软硬件配置，通过直接修改注册表，可以实现许多在控制面板中都无法达到的目的。然而，由于注册表的复杂性，一般的用户如果在对注册表操作时有严重失误，就极有可能导致整个系统的崩溃，造成数据的丢失。所以，作为操作系统的"管家"，加强用户对注册表的管理权限的控制是一种必要的管理措施之一。
　　　　WindowsXP可以对不同的用户设置不同级别的注册表访问权限，从而避免普通用户对注册表的不良操作。设置方法:进入注册表编辑器，点击 "编辑"菜单下的 "权限"菜单，在出现的"权限"管理对话框中，我们可以设置系统存在的账户对注册表的访问权限，点击图中的"高级"按钮还可以进行一些具体的访问权限设置。