史萊姆論壇 - 查看單個文章

psac · 2006-05-19, 02:49 AM

Windows XP 基準安全清單
這些清單概述了在 Windows XP Home Edition 和 Windows XP Professional 電腦上要達到安全基準時應該採取的步驟，無論它們是單獨的還是作為 Windows NT 域或 Windows 2000 域的一部分。

要點：

這些清單的作用是指導您如何在 Windows XP 電腦上組態基準等級安全。本指南未提供包含在 Windows XP 中的所有安全功能的完整列表或如何使用它們。有關 Windows XP 中可用的新增安全功能的完整列表可從 Microsoft 網站獲得。

這些清單包含有關編輯註冊表的訊息。在編輯註冊表之前，請確保您知道如何在出現問題時加以恢復。有關如何操作的訊息，請參閱註冊表編輯器的聯機說明。

Windows XP Home Edition 組態

步驟
驗證所有的磁牒分區都以 NTFS 格式進行了格式化
保護文件共享
針對共享的 Internet 連接使用「Internet 連接共享」
啟用 Internet 連接防火牆
使用帳戶密碼
使用「保密」功能
安裝防病毒軟體及其更新
及時進行最新的安全更新

Windows XP Professional 組態

步驟
驗證所有的磁牒分區都以 NTFS 格式進行了格式化
保護文件共享
針對共享的 Internet 連接使用「Internet 連接共享」
啟用 Internet 連接防火牆
使用軟體限制原則
使用帳戶密碼
禁用不必要的服務
禁用或移除不必要的帳戶
確保禁用了來賓帳戶
設定更加可靠的密碼原則
設定帳戶鎖定原則
安裝防病毒軟體及其更新
及時進行最新的安全更新

Windows XP Home Edition 組態的清單詳細資料
驗證所有的磁牒分區都以 NTFS 格式進行了格式化
NTFS 分區能夠提供 FAT、FAT32 或 FAT32x 文件系統所不能提供的訪問控制與保護。確保電腦中的所有分區使用 NTFS 格式進行了格式化。如果必要，請使用轉換實用程序將 FAT 分區非破壞性的轉換為 NTFS 格式。

保護文件共享
Windows XP Home Edition 使用一種被稱作「簡單文件共享」的網路訪問模式。在此模式下，所有從網路另一端登入電腦的企圖都會被強制要求使用來賓帳戶。這意味著從 Server Message Block（即 SMB，用於文件和列印訪問）或 Remote Procedure Call（即 RPC，大多數遠端系統管理工具和遠端註冊表訪問會使用它）所進行的遠端訪問將只能採用來賓帳戶。

在「簡單文件共享」模式中，可以新增文件共享從而使得網路訪問為唯讀，或者使得網路訪問可以是讀、新增、更改和移除文件。「簡單文件共享」適用於家庭網路並要求位於防火牆後，Windows XP 提供的即為這種網路。如果您連線到了 Internet，但是沒有在防火牆之後操作，請注意，任何 Internet 用戶都將可能訪問您所新增的文件共享。

針對共享的 Internet 連接使用「Internet 連接共享 (ICS)」
Windows XP 通過 ICS 功能提供了在家庭或小型商務網路上多台電腦共享單一 Internet 連接的能力。一台被稱作 ICS 主機的電腦直接連線到 Internet 並與網路上的其餘電腦共享其連接。所有的客戶電腦都依靠該 ICS 主機提供 Internet 訪問。啟用 ICS 可以增強安全性，因為此時只有該 ICS 主機電腦在 Internet 上可見。

要啟用 ICS，請在「網路連接」中右鍵按下某個 Internet 連接，按下「內容」，按下「進階」選擇項，然後選相應的複選框。

您還可以使用「家庭組網嚮導」來組態 ICS。有關 ICS 的詳細資料，請參閱 Windows XP 中的「說明及支援中心」。

啟用 Internet 連接防火牆 (ICF)
Internet 連接防火牆 (ICF) 設計用於家庭和小型商務，它為直接連線到 Internet 的 Windows XP 電腦，或那些連線到執行 ICF 的 Internet 連接共享主機的電腦或設備提供保護。Windows XP ICF 使用動態資料包篩選，這意味著防火牆上的連接阜只會在需要的時候動態開啟，以便您訪問感興趣的服務。

要啟用 ICF，請在「網路連接」中右鍵按下某個 Internet 連接，按下「內容」，按下「進階」，然後選相應的複選框。

您還可以使用「家庭組網嚮導」來組態 ICF。有關 ICF 的詳細資料，請參閱 Windows XP 中的「說明及支援中心」。

使用帳戶密碼
如果訪問 Windows XP Home Edition 電腦的有多個用戶，並且他們希望自己的資料不會彼此被看到，則應該為該電腦上的每個帳戶指定密碼。在預設值情況下，Windows XP 的家庭用戶都有獨立的但是可被訪問的文件儲存於區（可以選項密碼保護）。當您為自己新增密碼之後，Windows 會鎖定您的「我的文件」資料夾及其所有的子資料夾。這樣，當您擁有密碼並且希望保密時，電腦上的其他非管理員用戶就無法訪問您的資料。指定帳戶密碼還可以阻止他人上前來使用該電腦。

使用「保密」功能
在簡單文件共享模式中，Windows 並未將管理文件訪問控制列表的複雜性直接呈現在用戶面前。相反，該用戶介面只突出了一個被稱作「保密」的選項。當針對某個資料夾選該選項時，會更改該檔案夾的訪問控制，從而使得其他非管理員用戶無法訪問它。該功能只有在文件系統為 NTFS 時才起作用。

安裝防病毒軟體及其更新
保護系統時，最重要的事情之一就是使用防病毒軟體並確保它的及時更新。Internet 上的所有系統、公司的 Intranet 或者家庭網路都應該安裝防病毒軟體。

在 Microsoft TechNet 安全網站上可以獲得更多的防病毒安全訊息。

及時進行最新的安全更新
Windows XP 中的「自動更新」功能可以自動檢測並下載來自 Microsoft 的最新安全修補程式。可以將「自動更新」組態成在後台自動下載修補程式並在下載完成後提醒用戶安裝它們。

要組態「自動更新」，請按下「控制台」中的「系統」，然後選項「自動更新」選擇項。選項第一個通知設定，這樣可以自動下載更新程序並在準備安裝它們時通知您。

另外，Microsoft 還會通過其安全通知服務發怖安全電子公告。這些電子公告是針對任何發現有安全問題的 Microsoft 產品發怖的。當這些電子公告推薦安裝安全修補程式時，您應該立即下載修補程式並將其安裝在電腦上。

Windows XP Professional 組態的清單詳細資料
驗證所有的磁牒分區都以 NTFS 格式進行了格式化
NTFS 分區能夠提供 FAT、FAT32 或 FAT32x 文件系統所不能提供的訪問控制與保護。確保電腦中的所有分區使用 NTFS 格式進行了格式化。如果必要，請使用轉換實用程序將 FAT 分區非破壞性的轉換為 NTFS 格式。

保護文件共享
預設值情況下，未連線到域的 Windows XP Professional 系統使用一種被稱為「簡單文件共享」的網路訪問模式。在此模式下，所有從網路的另一端登入電腦的企圖都會被強制要求使用來賓帳戶。這意味著從 Server Message Block（即 SMB，用於文件和列印訪問）或 Remote Procedure Call（即 RPC，大多數遠端系統管理工具和遠端註冊表訪問會使用它）所進行的遠端訪問將只能採用來賓帳戶。

在「簡單文件共享」模式中，可以新增文件共享從而使得網路訪問為唯讀，或者使得網路訪問可以讀、新增、更改或移除文件。「簡單文件共享」適用於家庭網路並要求位於防火牆後，Windows XP 提供的即為這種網路。如果您連線到了 Internet，但是沒有在防火牆之後操作，請注意，任何 Internet 用戶都將有可能訪問您所新增的文件共享。

如果您的 Windows XP 電腦連接在域中，或者禁用了「簡單文件共享」，則會使用「典型」安全模式。在「典型」安全模式中，試圖從網路的另一端登入本機電腦的用戶必須要經過身份驗證，他們不會被映射到來賓帳戶。為了只將網路訪問權授給有關的組或單個用戶，需要新增文件共享。

針對共享的 Internet 連接使用「Internet 連接共享 (ICS)」
Windows XP 通過 ICS 功能提供了在家庭或小型商務網路上多台電腦共享單一 Internet 連接的能力。一台被稱作 ICS 主機的電腦直接連線到 Internet 並與網路上的其餘電腦共享其連接。所有的客戶電腦都依靠該 ICS 主機提供 Internet 訪問。啟用 ICS 可以增強安全性，因為此時只有該 ICS 主機在 Internet 上可見。

要啟用 ICS，請在「網路連接」中右鍵按下某個 Internet 連接，按下「內容」，按下「進階」選擇項，然後選相應的複選框。

您還可以使用「家庭組網嚮導」來組態 ICS。有關 ICS 的詳細資料，請參閱 Windows XP 中的「說明及支援中心」。

啟用 Internet 連接防火牆 (ICF)
Internet 連接防火牆 (ICF) 設計用於家庭和小型商務，它為直接連線到 Internet 的 Windows XP 電腦，或那些連線到執行 ICF 的 Internet 連接共享主機電腦的電腦或設備提供保護。Windows XP ICF 使用動態資料包篩選，這意味著防火牆上的連接阜只會在需要的時候動態開啟，以便您訪問感興趣的服務。

要啟用 ICF，請在「網路連接」中右鍵按下某個 Internet 連接，按下「內容」，按下「進階」，然後選相應的複選框。

您還可以使用「家庭組網嚮導」來組態 ICF。有關 ICF 的詳細資料，請參閱 Windows XP 中的「說明及支援中心」。

使用軟體限制原則
軟體限制原則為管理員提供了一種標幟各自域中執行的軟體以及控制該軟體執行效能的原則驅動機制。管理員使用軟體限制原則可以阻止不希望的程序執行，這些程序包括病毒、特洛伊木馬或其他已知在安裝時會導致衝突的軟體。通過組態本機安全原則，軟體限制原則可用於獨立的電腦上。軟體限制原則還可以和群組原則以及 Active Directory 整合。

有關新增軟體限制原則的詳細資料，請參考 Windows XP Professional 和 Windows XP Home Edition 的新增安全內容白皮書。

使用帳戶密碼
為了保護那些未對其帳戶採用密碼保護的用戶，沒有密碼的 Windows XP Professional 帳戶只能從物理的電腦控制台登入。預設值情況下，除非在主物理控制台登入螢幕，否則空密碼帳戶將不再能用於從網路遠端登入電腦或其他所有登入操作。比如，您將無法作為本機空密碼用戶使用輔助登入服務 (RunAs) 啟動程序。

為本機帳戶指定密碼會解除阻止從網路登入的限制。它還將允許該帳戶訪問所有已使用權它訪問的資源，甚至通過網路連接。因此，與其為帳戶指定一個不可靠、易於猜中的密碼，還不如將保留的空密碼指定給它。在指定帳戶密碼時，請確保密碼至少有九個字元長，並在最前面的七個字元中至少含有一個標點符號或非印字 ASCII 字元。

警告

如果電腦所處的物理位置不安全，建議您為所有的本機用戶帳戶指定密碼。否則，任何可以物理訪問該電腦的人員都能使用不帶密碼的帳戶輕易登入。這對於便攜式電腦而言尤其重要。便攜式電腦的所有本機用戶帳戶始終應該有可靠的密碼。

注意

這種限制不適用於域帳戶，同樣也不適用於本機來賓帳戶。如果啟用了帶有空密碼的來賓帳戶，則系統允許其登入並訪問該來賓帳戶所使用權訪問的任何資源。

如果您希望禁用沒有密碼則不允許登入網路的限制，可以通過「本機安全原則」來完成。

禁用不必要的服務
安裝 Windows XP 之後，您應該禁用那些對電腦而言不必要的所有網路服務。尤其應該考慮電腦是否需要某些 IIS Web 服務。預設值情況下，IIS 並未作為 Windows XP 的元件安裝。只有在特別需要這種服務時，才安裝它。

禁用或移除不必要的帳戶
您應該在「電腦管理單元」中檢查系統上的啟動帳戶（對用戶和程序而言）列表。禁用所有非啟動帳戶並移除不再需要的帳戶。

確保禁用了來賓帳戶
該設定選項僅適用於屬於域的 Windows XP Professional 電腦或未使用「簡單文件共享」模式的電腦。

在未連線到域的 Windows XP Professional 系統上，試圖從網路的另一端登入的用戶在預設值情況下將被強制要求使用來賓帳戶。這種修改是為了阻止那些企圖從 Internet 訪問系統的黑客使用沒有密碼的本機管理員帳戶登入。要使用該功能（它是「簡單文件共享」模式的一部分），必須在所有未加入到域的 Windows XP 電腦上啟用來賓帳戶。對加入到域的電腦或已禁用了「簡單文件共享」模式並且未加入到域的電腦而言，應該禁用來賓帳戶。這將阻止那些試圖登入電腦的用戶使用來賓帳戶訪問網路。

設定更加可靠的密碼原則
為了保護那些未對其帳戶採用密碼保護的用戶，沒有密碼的 Windows XP Professional 帳戶將只能用於從物理的電腦控制台登入。預設值情況下，除非在主物理控制台登入螢幕，否則空密碼帳戶將不再能用於從網路遠端登入電腦或其他所有登入操作。

注意

該限制不適用於域帳戶。亦不適用於本機來賓帳戶。如果啟用了帶有空密碼的來賓帳戶，它將被允許登入並訪問由該來賓帳戶所授予訪問的任何資源。

使用「本機安全原則」管理單元可加強用於密碼接受的系統原則。Microsoft 建議您進行下列修改：

將最小密碼長度設定為 8 個字元
設定一個適合您網路的最短密碼期限（通常介於 1 至 7 天之間）
設定一個適合您網路的最長密碼期限（通常不超過 42 天）
設定最小為 6 的密碼歷史記錄維護（使用「記住密碼」單選按鈕）

設定帳戶鎖定原則
Windows XP 包含的帳戶鎖定功能可以在登入失敗的次數達到管理員指定的之後禁用該帳戶。比如，可以設定在登入失敗次數達到 5 至 10 次後啟用本機帳戶鎖定，在至少 30 分鍾後重置該帳戶，或者將鎖定期限設定為「永久（直到管理員解鎖）」。如果覺得過於嚴厲，您可以考慮讓帳戶在一定的時間之後自動解鎖。

使用帳戶鎖定的目的通常有兩個：一是使試圖使用無效密碼登入用戶帳戶的多次操作被察覺到，二是防止辭典攻擊時猜測帳戶密碼的企圖，或反覆猜測密碼的企圖。在這裡沒有一個能適用於所有情形的十全十美的設定。您可以根據自己的環境考慮合理的設定。

安裝防病毒軟體及其更新
保護系統時，最重要的事情之一就是使用防病毒軟體並確保它的及時更新。Internet 上的所有系統、公司的 Intranet 或者家庭網路都應該安裝防病毒軟體。

在 Microsoft TechNet 安全網站上可以獲得更多的防病毒安全訊息。

及時進行最新的安全更新
Windows XP 中的「自動更新」功能可以自動檢測並下載來自 Microsoft 的最新安全修補程式。可以將「自動更新」組態成在後台自動下載修補程式並在下載完成後提醒用戶安裝它們。

要組態「自動更新」，請按下「控制台」中的「系統」，然後選項「自動更新」選擇項。選項第一個通知設定，這樣可以自動下載更新程序並在準備安裝它們時通知您。

另外，Microsoft 還會通過其安全通知服務發怖安全電子公告。這些電子公告是針對任何發現有安全問題的 Microsoft 產品發怖的。當這些電子公告推薦安裝安全修補程式時，您應該立即下載修補程式並將其安裝在電腦上。

2006-05-19, 02:49 AM	#12 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Windows XP 基準安全清單這些清單概述了在 Windows XP Home Edition 和 Windows XP Professional 電腦上要達到安全基準時應該採取的步驟，無論它們是單獨的還是作為 Windows NT 域或 Windows 2000 域的一部分。要點：這些清單的作用是指導您如何在 Windows XP 電腦上組態基準等級安全。本指南未提供包含在 Windows XP 中的所有安全功能的完整列表或如何使用它們。有關 Windows XP 中可用的新增安全功能的完整列表可從 Microsoft 網站獲得。這些清單包含有關編輯註冊表的訊息。在編輯註冊表之前，請確保您知道如何在出現問題時加以恢復。有關如何操作的訊息，請參閱註冊表編輯器的聯機說明。 Windows XP Home Edition 組態步驟驗證所有的磁牒分區都以 NTFS 格式進行了格式化保護文件共享針對共享的 Internet 連接使用「Internet 連接共享」啟用 Internet 連接防火牆使用帳戶密碼使用「保密」功能安裝防病毒軟體及其更新及時進行最新的安全更新 Windows XP Professional 組態步驟驗證所有的磁牒分區都以 NTFS 格式進行了格式化保護文件共享針對共享的 Internet 連接使用「Internet 連接共享」啟用 Internet 連接防火牆使用軟體限制原則使用帳戶密碼禁用不必要的服務禁用或移除不必要的帳戶確保禁用了來賓帳戶設定更加可靠的密碼原則設定帳戶鎖定原則安裝防病毒軟體及其更新及時進行最新的安全更新 Windows XP Home Edition 組態的清單詳細資料驗證所有的磁牒分區都以 NTFS 格式進行了格式化 NTFS 分區能夠提供 FAT、FAT32 或 FAT32x 文件系統所不能提供的訪問控制與保護。確保電腦中的所有分區使用 NTFS 格式進行了格式化。如果必要，請使用轉換實用程序將 FAT 分區非破壞性的轉換為 NTFS 格式。保護文件共享 Windows XP Home Edition 使用一種被稱作「簡單文件共享」的網路訪問模式。在此模式下，所有從網路另一端登入電腦的企圖都會被強制要求使用來賓帳戶。這意味著從 Server Message Block（即 SMB，用於文件和列印訪問）或 Remote Procedure Call（即 RPC，大多數遠端系統管理工具和遠端註冊表訪問會使用它）所進行的遠端訪問將只能採用來賓帳戶。在「簡單文件共享」模式中，可以新增文件共享從而使得網路訪問為唯讀，或者使得網路訪問可以是讀、新增、更改和移除文件。「簡單文件共享」適用於家庭網路並要求位於防火牆後，Windows XP 提供的即為這種網路。如果您連線到了 Internet，但是沒有在防火牆之後操作，請注意，任何 Internet 用戶都將可能訪問您所新增的文件共享。針對共享的 Internet 連接使用「Internet 連接共享 (ICS)」 Windows XP 通過 ICS 功能提供了在家庭或小型商務網路上多台電腦共享單一 Internet 連接的能力。一台被稱作 ICS 主機的電腦直接連線到 Internet 並與網路上的其餘電腦共享其連接。所有的客戶電腦都依靠該 ICS 主機提供 Internet 訪問。啟用 ICS 可以增強安全性，因為此時只有該 ICS 主機電腦在 Internet 上可見。要啟用 ICS，請在「網路連接」中右鍵按下某個 Internet 連接，按下「內容」，按下「進階」選擇項，然後選相應的複選框。您還可以使用「家庭組網嚮導」來組態 ICS。有關 ICS 的詳細資料，請參閱 Windows XP 中的「說明及支援中心」。啟用 Internet 連接防火牆 (ICF) Internet 連接防火牆 (ICF) 設計用於家庭和小型商務，它為直接連線到 Internet 的 Windows XP 電腦，或那些連線到執行 ICF 的 Internet 連接共享主機的電腦或設備提供保護。Windows XP ICF 使用動態資料包篩選，這意味著防火牆上的連接阜只會在需要的時候動態開啟，以便您訪問感興趣的服務。要啟用 ICF，請在「網路連接」中右鍵按下某個 Internet 連接，按下「內容」，按下「進階」，然後選相應的複選框。您還可以使用「家庭組網嚮導」來組態 ICF。有關 ICF 的詳細資料，請參閱 Windows XP 中的「說明及支援中心」。使用帳戶密碼如果訪問 Windows XP Home Edition 電腦的有多個用戶，並且他們希望自己的資料不會彼此被看到，則應該為該電腦上的每個帳戶指定密碼。在預設值情況下，Windows XP 的家庭用戶都有獨立的但是可被訪問的文件儲存於區（可以選項密碼保護）。當您為自己新增密碼之後，Windows 會鎖定您的「我的文件」資料夾及其所有的子資料夾。這樣，當您擁有密碼並且希望保密時，電腦上的其他非管理員用戶就無法訪問您的資料。指定帳戶密碼還可以阻止他人上前來使用該電腦。使用「保密」功能在簡單文件共享模式中，Windows 並未將管理文件訪問控制列表的複雜性直接呈現在用戶面前。相反，該用戶介面只突出了一個被稱作「保密」的選項。當針對某個資料夾選該選項時，會更改該檔案夾的訪問控制，從而使得其他非管理員用戶無法訪問它。該功能只有在文件系統為 NTFS 時才起作用。安裝防病毒軟體及其更新保護系統時，最重要的事情之一就是使用防病毒軟體並確保它的及時更新。Internet 上的所有系統、公司的 Intranet 或者家庭網路都應該安裝防病毒軟體。在 Microsoft TechNet 安全網站上可以獲得更多的防病毒安全訊息。及時進行最新的安全更新 Windows XP 中的「自動更新」功能可以自動檢測並下載來自 Microsoft 的最新安全修補程式。可以將「自動更新」組態成在後台自動下載修補程式並在下載完成後提醒用戶安裝它們。要組態「自動更新」，請按下「控制台」中的「系統」，然後選項「自動更新」選擇項。選項第一個通知設定，這樣可以自動下載更新程序並在準備安裝它們時通知您。另外，Microsoft 還會通過其安全通知服務發怖安全電子公告。這些電子公告是針對任何發現有安全問題的 Microsoft 產品發怖的。當這些電子公告推薦安裝安全修補程式時，您應該立即下載修補程式並將其安裝在電腦上。 Windows XP Professional 組態的清單詳細資料驗證所有的磁牒分區都以 NTFS 格式進行了格式化 NTFS 分區能夠提供 FAT、FAT32 或 FAT32x 文件系統所不能提供的訪問控制與保護。確保電腦中的所有分區使用 NTFS 格式進行了格式化。如果必要，請使用轉換實用程序將 FAT 分區非破壞性的轉換為 NTFS 格式。保護文件共享預設值情況下，未連線到域的 Windows XP Professional 系統使用一種被稱為「簡單文件共享」的網路訪問模式。在此模式下，所有從網路的另一端登入電腦的企圖都會被強制要求使用來賓帳戶。這意味著從 Server Message Block（即 SMB，用於文件和列印訪問）或 Remote Procedure Call（即 RPC，大多數遠端系統管理工具和遠端註冊表訪問會使用它）所進行的遠端訪問將只能採用來賓帳戶。在「簡單文件共享」模式中，可以新增文件共享從而使得網路訪問為唯讀，或者使得網路訪問可以讀、新增、更改或移除文件。「簡單文件共享」適用於家庭網路並要求位於防火牆後，Windows XP 提供的即為這種網路。如果您連線到了 Internet，但是沒有在防火牆之後操作，請注意，任何 Internet 用戶都將有可能訪問您所新增的文件共享。如果您的 Windows XP 電腦連接在域中，或者禁用了「簡單文件共享」，則會使用「典型」安全模式。在「典型」安全模式中，試圖從網路的另一端登入本機電腦的用戶必須要經過身份驗證，他們不會被映射到來賓帳戶。為了只將網路訪問權授給有關的組或單個用戶，需要新增文件共享。針對共享的 Internet 連接使用「Internet 連接共享 (ICS)」 Windows XP 通過 ICS 功能提供了在家庭或小型商務網路上多台電腦共享單一 Internet 連接的能力。一台被稱作 ICS 主機的電腦直接連線到 Internet 並與網路上的其餘電腦共享其連接。所有的客戶電腦都依靠該 ICS 主機提供 Internet 訪問。啟用 ICS 可以增強安全性，因為此時只有該 ICS 主機在 Internet 上可見。要啟用 ICS，請在「網路連接」中右鍵按下某個 Internet 連接，按下「內容」，按下「進階」選擇項，然後選相應的複選框。您還可以使用「家庭組網嚮導」來組態 ICS。有關 ICS 的詳細資料，請參閱 Windows XP 中的「說明及支援中心」。啟用 Internet 連接防火牆 (ICF) Internet 連接防火牆 (ICF) 設計用於家庭和小型商務，它為直接連線到 Internet 的 Windows XP 電腦，或那些連線到執行 ICF 的 Internet 連接共享主機電腦的電腦或設備提供保護。Windows XP ICF 使用動態資料包篩選，這意味著防火牆上的連接阜只會在需要的時候動態開啟，以便您訪問感興趣的服務。要啟用 ICF，請在「網路連接」中右鍵按下某個 Internet 連接，按下「內容」，按下「進階」，然後選相應的複選框。您還可以使用「家庭組網嚮導」來組態 ICF。有關 ICF 的詳細資料，請參閱 Windows XP 中的「說明及支援中心」。使用軟體限制原則軟體限制原則為管理員提供了一種標幟各自域中執行的軟體以及控制該軟體執行效能的原則驅動機制。管理員使用軟體限制原則可以阻止不希望的程序執行，這些程序包括病毒、特洛伊木馬或其他已知在安裝時會導致衝突的軟體。通過組態本機安全原則，軟體限制原則可用於獨立的電腦上。軟體限制原則還可以和群組原則以及 Active Directory 整合。有關新增軟體限制原則的詳細資料，請參考 Windows XP Professional 和 Windows XP Home Edition 的新增安全內容白皮書。使用帳戶密碼為了保護那些未對其帳戶採用密碼保護的用戶，沒有密碼的 Windows XP Professional 帳戶只能從物理的電腦控制台登入。預設值情況下，除非在主物理控制台登入螢幕，否則空密碼帳戶將不再能用於從網路遠端登入電腦或其他所有登入操作。比如，您將無法作為本機空密碼用戶使用輔助登入服務 (RunAs) 啟動程序。為本機帳戶指定密碼會解除阻止從網路登入的限制。它還將允許該帳戶訪問所有已使用權它訪問的資源，甚至通過網路連接。因此，與其為帳戶指定一個不可靠、易於猜中的密碼，還不如將保留的空密碼指定給它。在指定帳戶密碼時，請確保密碼至少有九個字元長，並在最前面的七個字元中至少含有一個標點符號或非印字 ASCII 字元。警告如果電腦所處的物理位置不安全，建議您為所有的本機用戶帳戶指定密碼。否則，任何可以物理訪問該電腦的人員都能使用不帶密碼的帳戶輕易登入。這對於便攜式電腦而言尤其重要。便攜式電腦的所有本機用戶帳戶始終應該有可靠的密碼。注意這種限制不適用於域帳戶，同樣也不適用於本機來賓帳戶。如果啟用了帶有空密碼的來賓帳戶，則系統允許其登入並訪問該來賓帳戶所使用權訪問的任何資源。如果您希望禁用沒有密碼則不允許登入網路的限制，可以通過「本機安全原則」來完成。禁用不必要的服務安裝 Windows XP 之後，您應該禁用那些對電腦而言不必要的所有網路服務。尤其應該考慮電腦是否需要某些 IIS Web 服務。預設值情況下，IIS 並未作為 Windows XP 的元件安裝。只有在特別需要這種服務時，才安裝它。禁用或移除不必要的帳戶您應該在「電腦管理單元」中檢查系統上的啟動帳戶（對用戶和程序而言）列表。禁用所有非啟動帳戶並移除不再需要的帳戶。確保禁用了來賓帳戶該設定選項僅適用於屬於域的 Windows XP Professional 電腦或未使用「簡單文件共享」模式的電腦。在未連線到域的 Windows XP Professional 系統上，試圖從網路的另一端登入的用戶在預設值情況下將被強制要求使用來賓帳戶。這種修改是為了阻止那些企圖從 Internet 訪問系統的黑客使用沒有密碼的本機管理員帳戶登入。要使用該功能（它是「簡單文件共享」模式的一部分），必須在所有未加入到域的 Windows XP 電腦上啟用來賓帳戶。對加入到域的電腦或已禁用了「簡單文件共享」模式並且未加入到域的電腦而言，應該禁用來賓帳戶。這將阻止那些試圖登入電腦的用戶使用來賓帳戶訪問網路。設定更加可靠的密碼原則為了保護那些未對其帳戶採用密碼保護的用戶，沒有密碼的 Windows XP Professional 帳戶將只能用於從物理的電腦控制台登入。預設值情況下，除非在主物理控制台登入螢幕，否則空密碼帳戶將不再能用於從網路遠端登入電腦或其他所有登入操作。注意該限制不適用於域帳戶。亦不適用於本機來賓帳戶。如果啟用了帶有空密碼的來賓帳戶，它將被允許登入並訪問由該來賓帳戶所授予訪問的任何資源。使用「本機安全原則」管理單元可加強用於密碼接受的系統原則。Microsoft 建議您進行下列修改：將最小密碼長度設定為 8 個字元設定一個適合您網路的最短密碼期限（通常介於 1 至 7 天之間）設定一個適合您網路的最長密碼期限（通常不超過 42 天）設定最小為 6 的密碼歷史記錄維護（使用「記住密碼」單選按鈕）設定帳戶鎖定原則 Windows XP 包含的帳戶鎖定功能可以在登入失敗的次數達到管理員指定的之後禁用該帳戶。比如，可以設定在登入失敗次數達到 5 至 10 次後啟用本機帳戶鎖定，在至少 30 分鍾後重置該帳戶，或者將鎖定期限設定為「永久（直到管理員解鎖）」。如果覺得過於嚴厲，您可以考慮讓帳戶在一定的時間之後自動解鎖。使用帳戶鎖定的目的通常有兩個：一是使試圖使用無效密碼登入用戶帳戶的多次操作被察覺到，二是防止辭典攻擊時猜測帳戶密碼的企圖，或反覆猜測密碼的企圖。在這裡沒有一個能適用於所有情形的十全十美的設定。您可以根據自己的環境考慮合理的設定。安裝防病毒軟體及其更新保護系統時，最重要的事情之一就是使用防病毒軟體並確保它的及時更新。Internet 上的所有系統、公司的 Intranet 或者家庭網路都應該安裝防病毒軟體。在 Microsoft TechNet 安全網站上可以獲得更多的防病毒安全訊息。及時進行最新的安全更新 Windows XP 中的「自動更新」功能可以自動檢測並下載來自 Microsoft 的最新安全修補程式。可以將「自動更新」組態成在後台自動下載修補程式並在下載完成後提醒用戶安裝它們。要組態「自動更新」，請按下「控制台」中的「系統」，然後選項「自動更新」選擇項。選項第一個通知設定，這樣可以自動下載更新程序並在準備安裝它們時通知您。另外，Microsoft 還會通過其安全通知服務發怖安全電子公告。這些電子公告是針對任何發現有安全問題的 Microsoft 產品發怖的。當這些電子公告推薦安裝安全修補程式時，您應該立即下載修補程式並將其安裝在電腦上。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次