Windows XP 安全性設定一手抓

[psac]

裝好一個全新的操作系統，通常你都會怎樣使用？有沒有想過使用的程序中很多隱患已經危害到了你的系統和資料安全；另一方面，可能系統的一些預設設定並不適合你 ，怎樣根據自己的實際需要做出調整？

大家一起來看看（如無特別說明本文所有內容僅適用於Windows XP Professional）！



Windows Update



總有人對Windows的安全性不滿，覺得Windows太不安全，針對Windows的病毒太多。誠然，Windows上確實經常會發現各種漏洞，不過請反過來考慮一下，讓你在紙上抄寫一行字，基本上不會有人寫錯吧；但是如果是讓你把整本辭海抄一遍，誰能保證自己絕對不會有錯誤？
Windows現在面臨的就是這種狀況，由於Windows XP已經包含了幾千萬行的程式碼，因此很難保證這些程式碼中沒有任何錯誤，其實這也是所有大型軟體面臨的問題，只不過由於微軟的軟體用戶眾多而樹大招風所以才顯得更醒目而已。

不過好在微軟在改錯方面一直都是很積極和主動的，只要發現了新的安全漏洞，基本上修正檔程序隨後就會發佈。

在Windows XP中有兩種安裝修正檔的方法：訪問Windows Update網站和通過系統的自動昇級。

其中訪問Windows Update網站比較直接，而且能夠下載到所有類別的修正檔程序（自動昇級只能下載關鍵更新）。方法是，依次點擊 開始-所有程式-Windows Update ，或者直接在IE的位址欄中輸入「windowsupdate.microsoft.com」。在第一次訪問時IE會自動安裝一個插件，因此瀏覽器會彈出安全警告，詢問你是否安裝。



點擊「是」，然後稍等片刻，繼續點擊「檢視以尋找更新」，這時系統開始檢查所有可用更新，並顯示在視窗左側的列分類表中，對於每類要安裝的更新，進入後分別點擊「增加」按鈕，就可以增加到下載貯列中。


在選所有打算下載的更新程序後點擊「複查並安裝更新」，然後點擊「立即安裝」按鈕。因為安裝程序是直接從網上下載的，因此如果你的網速比較慢或者下載的內容比較多時整個程序就會花費較多時間。建議你選項晚上進行Windows Update操作，或者使用自動更新的方法。

自動更新是在後台工作的，平時當你使用電腦時，一旦系統檢測到你的網路有可用的空閒資源，便會利用這些資源在後台自動檢查和下載所有的關鍵更新修正檔程序，下載完成後會根據預先的設定提醒你是否開始安裝。


不用擔心開啟自動更新會佔用你的系統資源，因為首先自動更新只會使用系統和網路的空閒資源，如果系統正在忙碌或者網路正被使用，那麼自動更新是不會開始的。另一方面，自動更新大大方便了用戶，不用每天手工檢查，就可以保持操作系統最新，因此建議所有人使用（當然電腦沒有連網的除外）。



自動更新的設定方法很簡單，開啟開始選單，然後在「我的電腦」圖示上點擊滑鼠右鍵，選項「內容」，並開啟「自動更新」選擇項。在這裡你可以按照自己的實際情況選項自動更新功能的工作方式。



如果你經常需要重裝系統，不想每次重裝後都連網下載這些更新程序，或者你由於某些原因想保留這些更新程序的安裝文件，那麼可以使用這樣的方法。


用IE訪問「windowsupdate.microsoft.com/catalog」這個站點，你可以看見類似Windows Update站點的界面，不過在這裡我們可以選項性的下載所有Windows操作系統的更新程序到硬碟上一個指定的位置而不用安裝。點擊「搜尋Microsoft Windows操作系統的更新」連接，然後選項好要下載更新的操作系統類型以及語言，接著點擊「搜尋」按鈕。


注意，這裡對操作系統的稱呼跟我們常用的有些不同，在這裡，標有「RTM」的操作系統可以理解為最初的「零售版」，而標有「SPx」的則代表整合了Service Pack x修正檔包的操作系統。


搜尋結果顯示出來後你可以點擊每個分類檢視所有可下載的更新程序，然後分別把他們增加到下載貯列中，然後點擊頁面左側的「轉到下載籃子」開始下載。隨後你只要分別執行每個更新程序就可以了。



通常在通過Windows Update站點進行更新的時候可能會遇到一些問題，問題的表現是多種多樣的，不過一般的解決方法無外乎以下幾種，如果你也遇到了類似問題，可以分別試試看：

1， 清空IE的臨時文件，包括所有Cookie，在Internet選項中設定。

2， 降低IE的安全等級並增加信任站點。有時候因為IE的安全性太高可能會使得檢查更新的操作失敗。

那麼就可以在進行Update的時候把IE的安全等級降低，並把以下站點增加到IE的信任站點中：


http://Windowsupdate.microsoft.com
http://V4.Windowsupdate.microsoft.com
https://v4.Windowsupdate.microsoft.com
http://Download.Windowsupdate.com
*.akamai.net

3， 檢查系統時鐘。如果你的系統日期和時間與實際日期時間差距太大，那也可以導致更新失敗，要保證CMOS的電池有電以及日期時間都設定正確。

4， 檢視語言設定，在Internet選項的「一般」選擇項下，點擊「語言」按鈕，如果預設的語言是空著的，按你的習慣增加一種語言。

5， 暫時禁用你的殺毒軟體和網路防火牆，因為他們可能會把Windows Update網頁當作惡意網站而進行無害化處理。

6， 按要求清空以下兩個資料夾（注意，是清空，而不是刪除）：
\\Program Files\Windowsupdate （注意，這個資料夾中的V4子資料夾要保留）
\\Program Files\Windowsupdate\V4 （注意，這個資料夾中的iuhist.xml 文件不要刪除）

7， 直接使用加密連接https://V4.Windowsupdate.microsoft.com 而不是預設的http://V4.Windowsupdate.microsoft.com

8， 如果以上方法對你都沒有作用，試試看在執行中分別執行以下指令（每行都是一個單獨的指令），執行完後重啟動系統
net start cryptsvc
regsvr32 softpub.dll
regsvr32 wintrust.dll
regsvr32 initpki.dll
regsvr32 dssenh.dll
regsvr32 rsaenh.dll
regsvr32 gpkcsp.dll
regsvr32 sccbase.dll
regsvr32 slbcsp.dll
regsvr32 cryptdlg.dll

9， 如果仍然不行，那你可以換個時間試試看，因為有時候可能是網路故障。而在2003年底就有一段時間因為網路故障國內的大部分用戶都無法正常更新的前導。

殺毒軟體和防火牆

在給系統打修正檔的同時也不能忽略了殺毒軟體和防火牆的安裝，它們將能使你的系統更加堅固。

Windows XP已經內裝了一個簡易的防火牆，因此如果你對網路防火牆沒有特別要求的情況下建議你使用系統內已含有，因為網路防火牆應該有的功能它都有，而且不用多花錢，設定也不複雜。


殺毒軟體則建議你安裝一些知名產品，例如Norton 、McAFee，Kaspersky Antivirus等。另外有兩點需要注意，首先，殺毒軟體和防火牆都是跟系統結合比較緊密的軟體，因此不建議你同時在系統中安裝多個同類產品，這樣不僅不能更安全，反而可能會使你的系統變得更不穩定，因為他們之間可能會有衝突。


另外，殺毒軟體的病毒庫是需要經常更新的，否則新出的病毒你的軟體並不認識，也就無法查殺。

如果你想要開啟XP內已含有網路防火牆，依次點擊 開始-控制台-網路和Internet連接-網路連接，然後雙按到Internet的連接，並點擊「內容」按鈕，開啟內容對話視窗的「進階」選擇項，選「通過限制或阻止…」複選框，這時系統內已含有防火牆已經啟用了，並且不需要你做什麼設定就能很好的工作。



當然，如果你的系統中安裝了某些網路伺服器，例如IIS或者Serv-U，為了讓它們能夠正常工作，你還需要做一些簡單的設定，只要在圖四的界麵點擊「設定」按鈕，然後在新彈出的視窗中選所有你打算執行的服務種類即可。


XP內已含有防火牆很簡單實用，但是如果你希望同時利用防火牆進行一些其他功能，例如廣告過濾、父母控制、隱私保護等，則建議你使用Norton Internet Security，這是一整套包括網路防火牆以及殺毒軟體的整體安全解決方案，當然，由於功能太多，這個軟體對系統資源的佔用是比較大的。

殺毒軟體方面，由於同類的軟體非常多，這裡僅以Norton AntiVirus 2004為例進行簡單說明。該軟體的界面很簡單，



在這個界面裡，軟體的狀態都能瞭解的一清二楚。首先最重要的就是病毒定義的日期，如果病毒定義太老，那就需要立刻昇級。NAV昇級的方法是點擊界面左上角的「Live Update」，隨後按照出現的Update嚮導進行操作。


另外，你需要注意殺毒軟體的既時監控是否已經開啟，因為並不是你安裝一個殺毒軟體後軟體就可以保護你了，要讓殺毒軟體保護你，你首先得讓軟體執行起來才可以，這也就是這裡說的實施監控。


除了監控系統，NAV還可以掃瞄所有你收到的和發出的電子郵件，以及別人通過即時通訊軟體傳送的文件，不過目前NAV只能 自動掃瞄通過AOL Messenger、Windows Messenger和Yahoo Messenger傳送的文件。國內廣泛使用的QQ目前並不被支持。

安全意識

是不是安裝了所有的操作系統修正檔以及防火牆還有殺毒軟體後，你的系統就絕對安全了呢？當然不是。安全與否最主要還是看人。

首先，不要隨意執行電子郵件附帶的文件。現在越來越多的病毒是通過電子郵件傳播的，如果每個人都能在這方面注意一下病毒也就不會那麼猖狂了。例如去年氾濫的Swen病毒，就是以微軟的名義傳送，在信中聲稱Windows出現了一個漏洞，只要執行附件中的程序就可以修補。


很多人不明就裡，就直接執行了帶病毒的附件而染毒，接著自己中毒後病毒再把類似的郵件傳送給中毒者電腦通訊錄中所有的連絡人。


其實微軟給客戶傳送的郵件絕對不會包含任何附件，如果大家都知道的話Swen病毒還會那樣氾濫嗎？另外，不管什麼人發來的郵件，哪怕是你的朋友（因為偽造郵件太容易了），如果他的郵件中帶有奇怪的附件或者建議你訪問某個網站，你就都要提高警惕性。

其次，注意使用即時通訊軟體的安全。病毒傳播的另一個途徑就是現在套用越來越廣泛的即時通訊軟體，例如MSN Messenger和國內的QQ。QQ是比較特殊的，因為在國內使用QQ的人太多，因此針對它的各種病毒也非常多。


例如如果你總是通過QQ收到某個好友的消息，讓你去訪問一個網站，當你點擊了消息中的連接後，可能覺得那網站上沒什麼值得看的東西，但是你所不知道的是，你的QQ也開始自動給所有的好友傳送同樣的信息了。


對於這種病毒，建議你經常訪問滕訊的網站，檢檢視有沒有最新的昇級版QQ，如果有，請立刻安裝；如果沒有，那可以在使用中注意不要隨便點擊網友發來的信息中那些你不熟悉的網站的URL。

另一種通過QQ傳播的比較可惡的東西是一些別有用心的人傳送的木馬。大家都知道現在免費的QQ號碼不好註冊，不僅如此，騰遜公司還把一些比較短的或者有紀念意義的數字組成的QQ號碼拿來賣錢，這也就使得很多人覬覦那些比較「值錢」的QQ號，並使用各種合法的或者不合法的手段獲得。



其中木馬就是比較常用的一種方法，例如在QQ上增加你為好友並給你傳送一個偽裝過的文件騙你執行。對於這種方法，我們只能提高警惕，最好不要輕易接受別人發來的文件。





安全方面的最佳化設定

很多操作系統預設的設定並不能做到最安全，那麼我們的目標就是通過自己的設定來完善它。

NT系統有一個內建的系統管理員帳號Administrator，這個帳號對整個系統擁有最進階別的控制權，需要重點關注。不過Windows XP中這個帳號被隱藏了起來，而且該帳號的密碼是在安裝操作系統的時候輸入的。

可能很多人並沒有意識到這一點，因此並沒有給Administrator帳號設定密碼，在這種情況下，只要有惡意的人能通過網路或者直接接觸到你的電腦，那你的系統和資料就危險了。

因此如果你的系統中該帳號密碼為空，最好給這個帳號設定一個密碼。使用一個具有Administrators組權限的帳戶登錄，然後在執行中輸入「control userpasswords2」並Enter鍵，你將會看到圖七的界面，選Administrator賬戶，然後點擊「重設密碼」按鈕，並輸入一個新密碼，確定即可。



很多地方都套用到了密碼，例如登入Windows的密碼、郵箱密碼、QQ密碼等，但是你的密碼夠強嗎？
恐怕很多人的密碼都是「123456」或者生日或者電話號碼等，這種密碼是經不起攻擊的，只要攻擊者對你有所瞭解，那麼這些密碼他遲早會猜到。因此能否設定一個強密碼是很值得注意的。

要設定一個強密碼，需要注意以下幾方面問題：

密碼不能包含全部或者部分的用戶名

最少包括6個字串

密碼不能是字典上能查到的單詞

密碼最好能包括大小寫字母、數字以及特殊符號

如果設定密碼時能考慮到以上幾點，那麼你的密碼就比較安全了。當然，還要保證你的密碼夠好記，否則你自己都忘記了那就沒辦法了。

為了管理上的方便，XP和2000在安裝好後會把所有硬碟分區共享出來，雖然這些共享是隱藏的，並且有密碼保護，但是有這些共享總讓人心裡不舒服，希望能夠消除。


其實我們可以通過修改註冊表禁用這些共享。執行Regedit開啟註冊表編輯器，定位到
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters」，對於Windows 2000 Professional和Windows XP，在這裡新增一個名為「AutoShareWks」的DWORD鍵，並設定鍵值為「0」；對於Windows 2000 Server，新增一個名為「AutoShareServer」的DWORD鍵，同樣設定鍵值為「0」。重啟動系統後即可生效。

很多包含病毒或者惡意程式碼的電子郵件通常會在我們預覽郵件的時候就發作，因此對於HTML郵件，最安全的方法是通過純文本的方式瀏覽和預覽它們。以系統內已含有Outlook Express為例，在 工具-選項-閱讀 下，選「用純文本格式閱讀所有信息」，這樣所有收到的HTML格式的郵件都會只顯示其中的文本，而惡意程式碼或者其他HTML語言都不會被執行，大大提高了電子郵件的安全性。注意，這個特性在安裝IE 6 SP1後才提供。



顯示已知類型文件的副檔名。預設情況下，如果一種檔案類型已經在系統中註冊，那麼通過檔案總管看到的該類文件將不再顯示副檔名。


例如你下載到了一個1.rm的文件，由於你還沒有安裝RealONE或者相關軟體，那麼該類型的文件就還沒有在系統中註冊，這種情況下從檔案總管中看到的文件會是1.rm。但在你安裝RealONE之後，這個文件將只顯示為「1」，並且文件的圖示也會有些變化。


這有什麼危險的嗎？某天你剛認識的網友傳給了你一個據說很好看的圖片1.jpg，你下載到了硬碟上，在檔案總管中看到了那個文件的圖示確實是JPG格式的圖示，但當你雙按後常用的看圖程序卻沒有開啟這個圖片，同時你的殺毒軟體（如果有安裝一個的話）可能就會開始報警說發現病毒。


這就是因為對方發給你的文件，真正的檔案名應該是1.jpg.exe，但是你的系統預設情況下並不顯示已知檔案類型的副檔名，如果你比較大意的話可能並不能發現這其實是一個可執行文件。


因此安全起見最好設定顯示所有檔案類型的副檔名。開啟我的電腦，依次點擊 工具-資料夾選項-察看，然後取消對「隱藏已知檔案類型的副檔名」的選項。

效能方面的最佳化設定

分頁文件的合理設定，預設情況下XP的分頁文件是儲存在系統碟的根目錄下，而且大小不類BIOS。

這可能會造成硬碟碎片的增多，因此比較合理的方法是給分頁文件設定一個類BIOS的大小。在我的電腦上點擊滑鼠右鍵，選項內容，然後開啟進階選擇項，點擊效能設定按鈕，再次點擊新彈出視窗的進階選擇項，點擊設定按鈕。



然後選項自訂大小，並給初始大小和最大值中輸入相同的數值（通常可設定為512MB左右），然後點擊右側的設定按鈕，並重啟動電腦。

轉移我的文件。我的文件是一個比較特殊的資料夾，預設情況下所有應用程式產生的我的文件等都會儲存在這個資料夾中，而這個資料夾其實也就在系統碟裡。


把這個資料夾轉移到其他分區中，一方面可以減小系統碟的體積，另一方面，如果系統突然崩潰無法修復，我們可以直接格式化系統碟重裝系統，而不用擔心如何制作備份我的文件中儲存的重要文件。在我的文件資料夾上點擊滑鼠右鍵，然後選項內容，開啟內容對話視窗，直接點擊移動，就可以把我的文件轉移到其他的分區中去。

關閉記憶體轉儲。

雖說Windows 2000/XP 已經很穩定了，不過仍然可能會發生重大的問題，而外在的表現就是蘭屏或者當機。作為系統管理員，肯定很想知道系統為什麼會出錯。因此Windows 2000/XP 中使用了一種記憶體轉儲技術，如果遇到重大問題，系統會首先把記憶體中的資料儲存到一個轉儲檔案中，然後才重啟動，而管理員就可以通過分析轉儲檔案瞭解系統的故障。


很明顯，對於我們一般用戶，根本沒必要轉儲這些文件，因為我們根本看不懂。

那麼就禁用吧。在系統內容對話視窗的進階選擇項下，點擊啟動和故障恢復按鈕，然後在寫入偵錯信息下拉表單中選項無。


並且你可以搜尋所有的*.dmp文件並刪除它們。同時，在執行中輸入drwtsn32並Enter鍵，開啟華生醫生工具（圖九），在這裡取消對轉儲全部線程上下文、附加到現有日誌文件和新增故障轉儲檔案這三項的選項。



Clear Type調整，Windows XP中為了增強LCD顯示器的顯示效果，增加了一種名為Clear Type的技術。開啟這種技術後螢幕上顯示的字串會更加好看。在桌面空白處點擊滑鼠右鍵，選項內容，然後開啟內容的外觀選擇項，並點擊效果按鈕，選「使用下列方式使螢幕字體的邊緣更加平滑」，然後在下拉表單中選項清晰。


這時Clear Type就被開啟了，不過預設的設定可能還不夠讓人滿意，我們可以訪問這裡，選「Turn on Clear Type」，然後點擊Next按鈕，接著在第二頁選一個你認為顯示效果最滿意的圖片，繼續點擊Next。在第三頁，你仍然需要再次選項一個你覺得最滿意的圖片，然後點擊Finish按鈕，這時Clear Type就調整好了。

系統其他方面的最佳化，主要取決於你的實際用途，因此這裡不再多說。

系統制作備份

安裝一次系統是很麻煩的，不僅要花幾十分鐘在電腦前等待，而且系統裝好後為了配合自己的使用習慣還要做很多設定並安裝自己常用的軟體。


因此比較明智的做法就是在安裝和設定好操作系統、安裝好常用軟體後對系統進行一次完全的制作備份。



日後系統出現重大問題或者崩潰，也可以用制作備份的文件在最短的時間內把系統恢復正常。


常用的Ghost、Drive Image還有本站曾經介紹的True Image都可以實現這個要求。因為這類軟體的使用都不是很麻煩，因此不再多說。

希望通過本文的介紹，你的系統能夠用的更加順手和安全。
　

[jinxiang]

謝謝Psac大大的詳細說明
獲益良多

[joexyz]

嗯，感謝大大的分享

[rushany3]

呼....已全部閱讀完.內文淺顯易懂.也是使用者的基本觀念.
應該再推上去.不要被文章淹沒了.
謝謝!!!

[lew]

實在是太棒!!謝謝!!