这些清单概述了在 Windows XP Home Edition 和 Windows XP Professional 计算机上要达到安全基准时应该采取的步骤,无论它们是单独的还是作为 Windows NT 域或 Windows 2000 域的一部分。
要点:
这些清单的作用是指导您如何在 Windows XP 计算机上配置基准级别安全。本指南未提供包含在 Windows XP 中的所有安全功能的完整列表或如何使用它们。有关 Windows XP 中可用的新增安全功能的完整列表可从 Microsoft 网站获得。
这些清单包含有关编辑注册表的信息。在编辑注册表之前,请确保您知道如何在出现问题时加以恢复。有关如何操作的信息,请参阅注册表编辑器的联机帮助。
Windows XP Home Edition 配置
| 步骤 | |
| 验证所有的磁盘分区都以 NTFS 格式进行了格式化 | |
| 保护文件共享 | |
| 针对共享的 Internet 连接使用“Internet 连接共享” | |
| 启用 Internet 连接防火墙 | |
| 使用帐户密码 | |
| 使用“保密”功能 | |
| 安装防病毒软件及其更新 | |
| 及时进行最新的安全更新 |
Windows XP Professional 配置
| 步骤 | |
| 验证所有的磁盘分区都以 NTFS 格式进行了格式化 | |
| 保护文件共享 | |
| 针对共享的 Internet 连接使用“Internet 连接共享” | |
| 启用 Internet 连接防火墙 | |
| 使用软件限制策略 | |
| 使用帐户密码 | |
| 禁用不必要的服务 | |
| 禁用或删除不必要的帐户 | |
| 确保禁用了来宾帐户 | |
| 设置更加可靠的密码策略 | |
| 设置帐户锁定策略 | |
| 安装防病毒软件及其更新 | |
| 及时进行最新的安全更新 |
NTFS 分区能够提供 FAT、FAT32 或 FAT32x 文件系统所不能提供的访问控制与保护。确保计算机中的所有分区使用 NTFS 格式进行了格式化。如果必要,请使用转换实用程序将 FAT 分区非破坏性的转换为 NTFS 格式。
Windows XP Home Edition 使用一种被称作“简单文件共享”的网络访问模式。在此模式下,所有从网络另一端登录计算机的企图都会被强制要求使用来宾帐户。这意味着从 Server Message Block(即 SMB,用于文件和打印访问)或 Remote Procedure Call(即 RPC,大多数远程管理工具和远程注册表访问会使用它)所进行的远程访问将只能采用来宾帐户。
在“简单文件共享”模式中,可以创建文件共享从而使得网络访问为只读,或者使得网络访问可以是读、创建、更改和删除文件。“简单文件共享”适用于家庭网络并要求位于防火墙后,Windows XP 提供的即为这种网络。如果您连接到了 Internet,但是没有在防火墙之后操作,请注意,任何 Internet 用户都将可能访问您所创建的文件共享。
Windows XP 通过 ICS 功能提供了在家庭或小型商务网络上多台计算机共享单一 Internet 连接的能力。一台被称作 ICS 主机的计算机直接连接到 Internet 并与网络上的其余计算机共享其连接。所有的客户计算机都依靠该 ICS 主机提供 Internet 访问。启用 ICS 可以增强安全性,因为此时只有该 ICS 主机计算机在 Internet 上可见。
要启用 ICS,请在“网络连接”中右键单击某个 Internet 连接,单击“属性”,单击“高级”选项卡,然后选中相应的复选框。
您还可以使用“家庭组网向导”来配置 ICS。有关 ICS 的详细信息,请参阅 Windows XP 中的“帮助和支持中心”。
Internet 连接防火墙 (ICF) 设计用于家庭和小型商务,它为直接连接到 Internet 的 Windows XP 计算机,或那些连接到运行 ICF 的 Internet 连接共享主机的计算机或设备提供保护。Windows XP ICF 使用动态数据包筛选,这意味着防火墙上的端口只会在需要的时候动态打开,以便您访问感兴趣的服务。
要启用 ICF,请在“网络连接”中右键单击某个 Internet 连接,单击“属性”,单击“高级”,然后选中相应的复选框。
您还可以使用“家庭组网向导”来配置 ICF。有关 ICF 的详细信息,请参阅 Windows XP 中的“帮助和支持中心”。
如果访问 Windows XP Home Edition 计算机的有多个用户,并且他们希望自己的数据不会彼此被看到,则应该为该计算机上的每个帐户指定密码。在默认情况下,Windows XP 的家庭用户都有独立的但是可被访问的文件存储区(可以选择密码保护)。当您为自己创建密码之后,Windows 会锁定您的“我的文档”文件夹及其所有的子文件夹。这样,当您拥有密码并且希望保密时,计算机上的其他非管理员用户就无法访问您的数据。指定帐户密码还可以阻止他人上前来使用该计算机。
在简单文件共享模式中,Windows 并未将管理文件访问控制列表的复杂性直接呈现在用户面前。相反,该用户界面只突出了一个被称作“保密”的选项。当针对某个文件夹选中该选项时,会更改该文件夹的访问控制,从而使得其他非管理员用户无法访问它。该功能只有在文件系统为 NTFS 时才起作用。
保护系统时,最重要的事情之一就是使用防病毒软件并确保它的及时更新。Internet 上的所有系统、公司的 Intranet 或者家庭网络都应该安装防病毒软件。
在 Microsoft TechNet 安全网站上可以获得更多的防病毒安全信息。
Windows XP 中的“自动更新”功能可以自动检测并下载来自 Microsoft 的最新安全修补程序。可以将“自动更新”配置成在后台自动下载修补程序并在下载完成后提醒用户安装它们。
要配置“自动更新”,请单击“控制面板”中的“系统”,然后选择“自动更新”选项卡。选择第一个通知设置,这样可以自动下载更新程序并在准备安装它们时通知您。
另外,Microsoft 还会通过其安全通知服务发布安全电子公告。这些电子公告是针对任何发现有安全问题的 Microsoft 产品发布的。当这些电子公告推荐安装安全修补程序时,您应该立即下载修补程序并将其安装在计算机上。
NTFS 分区能够提供 FAT、FAT32 或 FAT32x 文件系统所不能提供的访问控制与保护。确保计算机中的所有分区使用 NTFS 格式进行了格式化。如果必要,请使用转换实用程序将 FAT 分区非破坏性的转换为 NTFS 格式。
默认情况下,未连接到域的 Windows XP Professional 系统使用一种被称为“简单文件共享”的网络访问模式。在此模式下,所有从网络的另一端登录计算机的企图都会被强制要求使用来宾帐户。这意味着从 Server Message Block(即 SMB,用于文件和打印访问)或 Remote Procedure Call(即 RPC,大多数远程管理工具和远程注册表访问会使用它)所进行的远程访问将只能采用来宾帐户。
在“简单文件共享”模式中,可以创建文件共享从而使得网络访问为只读,或者使得网络访问可以读、创建、更改或删除文件。“简单文件共享”适用于家庭网络并要求位于防火墙后,Windows XP 提供的即为这种网络。如果您连接到了 Internet,但是没有在防火墙之后操作,请注意,任何 Internet 用户都将有可能访问您所创建的文件共享。
如果您的 Windows XP 计算机连接在域中,或者禁用了“简单文件共享”,则会使用“典型”安全模式。在“典型”安全模式中,试图从网络的另一端登录本地计算机的用户必须要经过身份验证,他们不会被映射到来宾帐户。为了只将网络访问权授给有关的组或单个用户,需要创建文件共享。
Windows XP 通过 ICS 功能提供了在家庭或小型商务网络上多台计算机共享单一 Internet 连接的能力。一台被称作 ICS 主机的计算机直接连接到 Internet 并与网络上的其余计算机共享其连接。所有的客户计算机都依靠该 ICS 主机提供 Internet 访问。启用 ICS 可以增强安全性,因为此时只有该 ICS 主机在 Internet 上可见。
要启用 ICS,请在“网络连接”中右键单击某个 Internet 连接,单击“属性”,单击“高级”选项卡,然后选中相应的复选框。
您还可以使用“家庭组网向导”来配置 ICS。有关 ICS 的详细信息,请参阅 Windows XP 中的“帮助和支持中心”。
Internet 连接防火墙 (ICF) 设计用于家庭和小型商务,它为直接连接到 Internet 的 Windows XP 计算机,或那些连接到运行 ICF 的 Internet 连接共享主机计算机的计算机或设备提供保护。Windows XP ICF 使用动态数据包筛选,这意味着防火墙上的端口只会在需要的时候动态打开,以便您访问感兴趣的服务。
要启用 ICF,请在“网络连接”中右键单击某个 Internet 连接,单击“属性”,单击“高级”,然后选中相应的复选框。
您还可以使用“家庭组网向导”来配置 ICF。有关 ICF 的详细信息,请参阅 Windows XP 中的“帮助和支持中心”。
软件限制策略为管理员提供了一种标识各自域中运行的软件以及控制该软件运行性能的策略驱动机制。管理员使用软件限制策略可以阻止不希望的程序运行,这些程序包括病毒、特洛伊木马或其他已知在安装时会导致冲突的软件。通过配置本地安全策略,软件限制策略可用于独立的计算机上。软件限制策略还可以和组策略以及 Active Directory 整合。
有关创建软件限制策略的详细信息,请参考 Windows XP Professional 和 Windows XP Home Edition 的新增安全内容白皮书。
为了保护那些未对其帐户采用密码保护的用户,没有密码的 Windows XP Professional 帐户只能从物理的计算机控制台登录。默认情况下,除非在主物理控制台登录屏幕,否则空密码帐户将不再能用于从网络远程登录计算机或其他所有登录操作。比如,您将无法作为本地空密码用户使用辅助登录服务 (RunAs) 启动程序。
为本地帐户指定密码会解除阻止从网络登录的限制。它还将允许该帐户访问所有已授权它访问的资源,甚至通过网络连接。因此,与其为帐户指定一个不可靠、易于猜中的密码,还不如将保留的空密码指定给它。在指定帐户密码时,请确保密码至少有九个字符长,并在最前面的七个字符中至少含有一个标点符号或非印字 ASCII 字符。
警告
如果计算机所处的物理位置不安全,建议您为所有的本地用户帐户指定密码。否则,任何可以物理访问该计算机的人员都能使用不带密码的帐户轻易登录。这对于便携式计算机而言尤其重要。便携式计算机的所有本地用户帐户始终应该有可靠的密码。
注意
这种限制不适用于域帐户, 同样也不适用于本地来宾帐户。如果启用了带有空密码的来宾帐户,则系统允许其登录并访问该来宾帐户所授权访问的任何资源。
如果您希望禁用没有密码则不允许登录网络的限制,可以通过“本地安全策略”来完成。
安装 Windows XP 之后,您应该禁用那些对计算机而言不必要的所有网络服务。尤其应该考虑计算机是否需要某些 IIS Web 服务。默认情况下,IIS 并未作为 Windows XP 的组件安装。只有在特别需要这种服务时,才安装它。
您应该在“计算机管理单元”中检查系统上的激活帐户(对用户和程序而言)列表。禁用所有非激活帐户并删除不再需要的帐户。
该设置选项仅适用于属于域的 Windows XP Professional 计算机或未使用“简单文件共享”模式的计算机。
在未连接到域的 Windows XP Professional 系统上,试图从网络的另一端登录的用户在默认情况下将被强制要求使用来宾帐户。这种修改是为了阻止那些企图从 Internet 访问系统的黑客使用没有密码的本地管理员帐户登录。要使用该功能(它是“简单文件共享”模式的一部分),必须在所有未加入到域的 Windows XP 计算机上启用来宾帐户。对加入到域的计算机或已禁用了“简单文件共享”模式并且未加入到域的计算机而言,应该禁用来宾帐户。这将阻止那些试图登录计算机的用户使用来宾帐户访问网络。
为了保护那些未对其帐户采用密码保护的用户,没有密码的 Windows XP Professional 帐户将只能用于从物理的计算机控制台登录。默认情况下,除非在主物理控制台登录屏幕,否则空密码帐户将不再能用于从网络远程登录计算机或其他所有登录操作。
注意
该限制不适用于域帐户。亦不适用于本地来宾帐户。如果启用了带有空密码的来宾帐户,它将被允许登录并访问由该来宾帐户所授予访问的任何资源。
使用“本地安全策略”管理单元可加强用于密码接受的系统策略。Microsoft 建议您进行下列修改:
Windows XP 包含的帐户锁定功能可以在登录失败的次数达到管理员指定的之后禁用该帐户。比如,可以设定在登录失败次数达到 5 至 10 次后启用本地帐户锁定,在至少 30 分钟后重置该帐户,或者将锁定期限设置为“永久(直到管理员解锁)”。如果觉得过于严厉,您可以考虑让帐户在一定的时间之后自动解锁。
使用帐户锁定的目的通常有两个:一是使试图使用无效密码登录用户帐户的多次操作被察觉到,二是防止辞典攻击时猜测帐户密码的企图,或反复猜测密码的企图。在这里没有一个能适用于所有情形的十全十美的设置。您可以根据自己的环境考虑合理的设置。
保护系统时,最重要的事情之一就是使用防病毒软件并确保它的及时更新。Internet 上的所有系统、公司的 Intranet 或者家庭网络都应该安装防病毒软件。
在 Microsoft TechNet 安全网站上可以获得更多的防病毒安全信息。
Windows XP 中的“自动更新”功能可以自动检测并下载来自 Microsoft 的最新安全修补程序。可以将“自动更新”配置成在后台自动下载修补程序并在下载完成后提醒用户安装它们。
要配置“自动更新”,请单击“控制面板”中的“系统”,然后选择“自动更新”选项卡。选择第一个通知设置,这样可以自动下载更新程序并在准备安装它们时通知您。
另外,Microsoft 还会通过其安全通知服务发布安全电子公告。这些电子公告是针对任何发现有安全问题的 Microsoft 产品发布的。当这些电子公告推荐安装安全修补程序时,您应该立即下载修补程序并将其安装在计算机上。
©2001 Microsoft Corporation. 保留所有权利。