windows xp系统的超级管理员安全忠告Windows安全

windows xp系统的超级管理员安全忠告Windows安全（精选10篇）

篇1：windows xp系统的超级管理员安全忠告Windows安全

windows xp凭借极高的安全性和稳定性，赢得了广大用户的青睐，我们可以通过建立个人账户、设定密码来保护自己的个人隐私，还可以用administrators(超级管理员)的身份任意设置账户，为每一个账户设置不同的权限，可以说拥有至高无上的权利，也拥有系统的“生杀大权”，享有系统最高级别的安全保障。

但是，如果我告诉你，我能不费吹灰之力就可以将你这个administrators给废掉，取而代之的是我成为administrators，你信不信?呵呵，你不信？好，我们来试一试：

步骤一 重新启动计算机，在出现启动菜单时按f8键进入高级选项菜单，选择“安全模式”进入系统；

步骤二 打开“控制面板”，找到“用户和密码”选项，看看是不是账户中包括administrators？好，现在将administrators账户删除，重新创建一个administrators，或是更改原来的administrators账户密码；

步骤三 重新启动计算机后，只有输入新的密码才能登录windows xp，

为什么会出现这种问题呢？原因很简单：windows xp真正的超级管理员账号应该是在安全模式下的administrators，并不是在正常模式下的administrators。在默认情况下，安全模式下的administrators密码为空。无论用户在正常模式下将administrators密码设置得多么复杂，安全性多么高，如果没有设置安全模式下的administrators密码，你的电脑将毫无秘密可言。

现在，你是不是对windows xp的安全性有些担忧了?那怎么办?这还不简单：赶紧进入安全模式，设置administrators密码，将自己提升为真正的administrators!当然，这次设置的密码要记牢了，否则下次你就真的无法进入windows xp了!

关 键 字：Windows安全

篇2：windows xp系统的超级管理员安全忠告Windows安全

1、恢复被破坏的Win XP系统文件

如果Windows XP的系统文件被病毒或其它原因破坏了，我们可以从Windows XP的安装盘中恢复那些被破坏的文件。

具体方法：在Windows XP的安装盘中搜索被破坏的文件，需要注意的是，文件名的最后一个字符用底线“_”代替，例如：如果要搜索“Notepad.exe”则需要用“Notepad.ex_”来进行搜索。

搜索到了之后，打开命令行模式(在“运行”中输入“cmd”)，然后输入：“EXPAND 源文件的完整路径 目标文件的完整路径”。例如：EXPAND D:SETUPNOTEPAD.EX_ C:WindowsNOTEPAD.EXE。有一点需要注意的是，如果路径中有空格的话，那么需要把路径用双引号(英文引号)包括起来。

找到当然是最好的，但有时我们在Windows XP盘中搜索的时候找不到我们需要的文件。产生这种情况的一个原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”当作一个文件夹，所以对于Windows XP系统来说，只需要把“CAB”文件右拖然后复制到相应目录即可。

如果使用的是其他Windows平台，搜索到包含目标文件名的“CAB”文件。然后打开命令行模式，输入：“EXTRACT /L 目标位置 CAB文件的完整路径”，例如：EXTRACT /L C:Windows D:I386Driver.cab Notepad.exe。同前面一样，如同路径中有空格的话，则需要用双引号把路径包括起来。

2、拒绝“分组相似任务栏”

虽然Windows XP “分组相似任务栏按钮”设置虽然可以让你的任务栏少开窗口，保持干净，但对于一些需要打开同类多个窗口的工作非常不便,。如你是经常用QQ这样的通讯软件和人在线聊天的话，如果有两个以上的好友同时和你交谈，你马上会感到XP这种默认设置造成的不便 D D每次你想切换交谈对象的时候，要先点击组，然后弹出的菜单里再选要交谈的好友，而且每个好友在组里显示的都是一样的图标，谈话对象多的时候，你可能要一个个的点击来看到底刚才是谁回复了话，在等着你反应，而且选错了一个，又得从组开始选，很麻烦。显然地，这样不如原来的开出几个窗口，在任务栏里的各个小窗口点击一次就可进行开始聊天。更改方法：点击“开始→控制面板→外观和主题→任务栏和‘开始’菜单”，在弹出的窗口内，将“分组相似任务栏按钮”选项前面的钩去掉。

3、通过注册表卸载无用的动态链接

资源管理器经常在内存中留下无用的动态链接，为了消除这种现象，你可以打开注册表编辑器，设置键值：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionEXPlorerAlwaysUnloadDLL=DWORD: 1将其设为0，这一功能就会被关闭。注意：为了让设置生效，需要重新启动计算机。

4、清除prefetch文件夹中的预读文件

当Win XP使用一段时间后，预读文件夹里的文件会变得很大，里面会有死链文件，这会减慢系统时间。建议：定期删除这些文件。(Windowsprefetch)

5、Windows XP减肥法

以下方法为本人目前的winXP的减肥法，经过使用，觉得比较安全，效果明显，至少可以减少300m空间。注意：不建议初学者使用。

删除驱动备份： WindowsDriver cachei386目录下的Driver.cab文件(73MB) 但是以后我们每次安装新硬件时必须插入Windows的安装光盘。

删除系统文件备份(一般不怎么用到的): 运行命令行sfc /purgecache

删掉备用的dll文件： 只要你拷贝了安装文件或者有安装光盘，可以这样做。Windowssystem32dllcache下文件(减去200――300mb)。

6、了解Win XP启动时间

尽管Windows XP的启动速度已经能让我们感到满意了，但微软仍然为我们提供了一款用于了解的Windows XP启动时具体所消耗启动时间的小工具，以及查看CPU的使用率、Disk I/O等等，由于该工具用图形的方式显示出来，因此一目了然，

工具可到此处下载。

7、恢复EXE文件关联

EXE文件关联出错非常的麻烦，因为这种情况的出现多是由于病毒引起的，而杀毒软件的主文件都是EXE文件，既然EXE文件关联出错，又怎能运行得了杀毒软件呢?还好XP提供了安全模式下的命令行工具供我们使用，可以利用命令行工具来解决这个问题。

在安全模式下输入：assoc<空格>.exe=exefile<回车>，屏幕上将显示“.exe=exefile”。现在关闭命令提示符窗口，按Ctrl+Alt+Del组合键调出“Windows安全”窗口，按“关机”按钮后选择“重新启动”选项，按正常模式启动Windows后，所有的EXE文件都能正常运行了!

8、让Win XP能自动更新

当Windows 有了更新时，自动更新系统会提示你进行Windows的升级工作，当然这项功能会在上网之后才会有真正的效果。有一点可以肯定的就是，要想实现自动更新，系统必定会收集用户的电脑信息，然后传送到微软站点，通过反馈信息来决定是否要进行升级工作。这项设置也是在“系统属性”窗口，切换到“自动更新”选项卡可以看到这里有三个选择，选了最后一个“关闭自动更新”，这样系统就不会出现经常提示你进行自动更新了，如果你没用正版的Windows XP操作系统，建议你关闭此功能，因为他可能会让你在不知道的情况就把系统升级至Windows XP SP2版，这样会造成系统的不稳定。

9、在Home版中安装IIS

大家知道，Windows XP Home版不能安装IIS或者PWS。按照一般的方法，你只能升级到XP Professional或者使用Windows ，不过只要略使手段，你就可以在Windows XP Home上安装IIS了。

首先在“开始”菜单的“运行”中输入“c:Windowsinfsysoc.inf”，系统会自动使用记事本打开sysoc.inf这个文件。在sysoc.inf中找到“[Components]”这一段，并继续找到类似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字，把这一行替换为“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并关闭。

把Windows 2000 Professional的光盘插入光驱，同时按下Shift键禁止光驱的自动运行。在运行中输入“CMD”然后回车，打开命令行模式，在命令行下输入下列的两条命令，在每一行命令结束后回车(假设光驱是D盘)：

EXPand d:i386iis.dl_ c:Windowssystem32setupiis2.dll

EXPand d:i386iis.in_ c:Windowsinfiis2.inf

这时，打开你的控制面板，并点击“添加删除程序”图标，之后点击“添加删除Windows组件”。

请仔细看，在“开始”菜单中显示的操作系统是Windows XP Home，但是经过修改，已经有了添加IIS的选项了。

然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS，在本例中我们只安装了WWW服务。系统会开始复制文件，这需要一些时间。并且在这起见，请保持Windows 2000 Professional的光盘还在光驱中。

在安装结束后，你可以打开“控制面板→性能和选项→管理工具”，“Internet信息服务管理”已经出现在那里。

如果你想要验证IIS是否运行正常，而已打开IE，在地址栏中输入“localhost”然后回车，如果能看到图三的界面，那么你的IIS就全部正常运行了。

最后还有一点注意的：如果你在安装过程中，系统需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll这个文件，那是因为你按照默认的选项安装了IIS。要解决这个问题，只要在安装IIS的时候先点击“详细信息”，然后取消对SMTP的选择(即不要安装SMTP服务器)，那么复制文件的时候就不会需要那两个文件了。

如果在你安装的到图1的位置后发现，已经显示了Internet信息服务(IIS)的安装项目，但是它们根本无法被选中，那很可能因为你使用的iis.dl_和iis.in_是从Windows XP Professional中取出的，只要换成Windows 2000 Professional中的就可以继续正常安装了。

篇3：windows xp系统的超级管理员安全忠告Windows安全

关键词：Windows Server,活动目录,校园网,安全管理

随着教育信息化的发展, 校园网建设已经经历了早期以硬件投资为主的时间。如何挖掘校园网资源、充分发挥校园网的优势、提高网络安全性、降低校园网建设的总体拥有成本 (TCO) 成为了校园建设新的方向。

利用Windows Server 2003的活动目录和统一身份验证功能, 可以根据学院的物理分布和部门的逻辑结构进行统一管理。在这种统一管理的模式下, 普通用户不必再关心他的计算机在哪里。通过活动目录的管理, 只要在任意一台计算机上以自己的用户登录域, 就可以访问到自己的文件和Windows界面设置。用户以普通用户登陆系统, 通过组策略的约束, 可以限制下载安装应用软件, 进行软件和系统补丁的统一安装和部署。通过“用户数据管理”, 可以实现数据的实时备份, 增加了系统的安全性和可靠性。

(一) 校园网的安全威胁分析

网络安全包括物理安全和逻辑安全。物理安全指网络系统中各种通信计算机设备以及相关设备的物理保护, 免予破坏、丢失等;逻辑安全包括信息完整性、保密性和可用性。完整性是指计算机系统能够防止非法修改和删除数据和程序, 保密性是指信息不泄漏给未经授权的人, 可用性是指系统能够防止非法独占计算机资源和数据, 合法用户的正常请求能及时、正确、安全地得到服务或回应。

网络计算机中安全威胁主要有:身份窃取、身份假冒、数据窃取、数据篡改、操作否认、非授权访问、病毒等。在湖南城建职业技术学院校园网管理中, 最主要的安全威胁来自计算机病毒和非授权访问。

1. 计算机病毒威胁

计算机病毒是校园网的最大威胁, 终端计算机通过校园网接入到Internet, 这些计算机通过在Internet上下载软件进行自我安装和维护, 这些操作都是由计算机使用者来进行, 网络中心没有对其进行任何的约束和管理。由于计算机系统的安装与维护都是由计算机操作员自己进行, 而这些人只具有操作计算机的能力, 而没有任何的系统安装与维护的能力, 以至于很多计算机安装后没有安装任何操作系统补丁, 部分电脑甚至在没有安装杀毒软件的情况下接入了Internet。缺乏管理直接导致终端计算机中毒频繁, 而维护人员奔走于不同的办公室之间进行系统修复。在学院系统维护人员不足的情况下, 部分办公室计算机出现的鼓掌往往要拖很多天才能恢复, 严重影响了学院的正常教学工作的开展。

2. 非授权访问

非授权访问即没有预先经过同意, 就使用网络或计算机资源被看作非授权访问, 如有意避开系统访问控制机制, 对网络设备及资源进行非正常使用, 或擅自扩大权限, 越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

由于没有集中管理与统一的身份验证机制, 校园网中的所有计算机都是采取本地用户登陆, 而计算机操作人员由于没有一个有效的密码策略的约束, 往往对登陆用户不设置密码, 很多操作人员甚至将Administrator的密码设置为空, 这样任何人都可以轻易的取得计算机系统的访问和控制权限。

(二) 湖南城建职业技术学院校园网介绍

湖南城建职业技术学院网络中心和校园网的建设已初具规模, 校园网络部分主干传输速率为1Gbps, 其它为100Mbps, 运行稳定可靠, 为教学和科研提供了优质的服务。网络覆盖了高新校区的办公楼、教学楼、实验楼和教工宿舍, 没有包括学生宿舍。网络建成于2001年, 投资100余万, 至今已经使用了7年有余, 为学院的信息化建设做出了重大贡献。

学院设置网络中心, 设置有WWW服务器、OA服务器、教务服务器。在网络管理方面没有同意的网络管理平台, 接入层设备不具备网管功能, 部分分布层设备不具有远程管理能力, 这个网络设备管理带来了困难。随着信息技术的发展, 越来越多的应用开始在校园网上运行。学院所有办公室以及图书馆、设计院、计算机实训中心以及学生公寓都接入到了校园网。接入计算机数量的急剧膨胀给校园网的管理和安全带了挑战, 学院没有建立统一的网络管理和用户认证平台, 对终端计算机几乎没有任何管理能力, 为了改变这种现状, 决定在校园网中采用活动目录对整个网络进行管理。

(三) Windows Server 2003活动目录架构

Windows Server 2003的活动目录 (AD) 是提供一种能够集中管理、组织和控制网络资源访问的机制。活动目录 (AD) 包括两个方面:一个是目录, 另一个是与目录相关的服务。目录分区是域, 一个域可存储诸多对象, 域和域之间可建立层次关系, 形成树和森林, 无限扩展, 使所有的网络资源分布于各个域中, 方便用户的资源共享;组织单元 (OU) 是包含在域中的目录对象类型, 可包含用户、组、计算机等, 通过对OU实施组策略, 可优化网络管理, 使用OU可将网络中的域数量降到最低。活动目录 (AD) 服务使用结构化的数据存储作为目录信息的逻辑层次结构基础。通过登录验证以及对目录中对象的访问控制, 将安全性集成到活动目录中。通过一次网络登录, 管理员可以管理整个网络中的目录数据, 获得授权的网络用户可访问网络上任何地方的资源, 用基于组策略的管理减轻复杂的网络工作。Windows Server 2003活动目录具有如下优点。

1. 集中安全管理。

安装活动目录后信息的安全性完全与活动目录集成, 用户授权管理和目录进入控制已经整合在活动目录当中。此外, 活动目录还可以提供存储和应用程序作用域的安全策略, 提供安全策略的存储和应用范围。安全策略可包含帐户信息, AD还可以委派控制和基于任务委派控制, 实现分散管理。

2. 基于策略的管理。

组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录或组织单元的组策略对象 (GPOs) 中。GPOs设置决定目录对象和域资源的进入权限, 什么样的域资源可以被用户使用, 以及这些域资源怎样使用等。

3. 可扩展性和伸缩性。

活动目录具有很强的可扩展性, 管理员可以在计划中增加新的对象类, 或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如, 在校园网你可以给每一个用户对象增加一个网络资源授权属性, 然后存储每一个用户获取权限作为用户帐号的一部分。信息复制为目录提供了信息可用性、容错、负载平衡和性能优势, 活动目录使用多主机复制, 允许您在任何域控制器上而不是单个主域控制器上同步更新目录。

4. 互操性和灵活的查询。

由于活动目录是基于标准的目录访问协议, 许多应用程序界面 (API) 都允许开发者进入这些协议, 例如活动目录服务界面 (ADSI) 、轻型目录访问协议 (LDAP) 、名称服务提供程序接口 (NSPI) , 因此它可与使用这些协议的其他目录服务相互操作和友好的查询界面。

(四) 活动目录在校园网安全管理中的应用

1.RIS、Intellimirror、DFS

AD的远程安装服务 (RIS) 可以通过网络对一台全新的电脑进行Windows系统的安装, 并且不需要太多的手动干预。RIS可以利用带有自启动PROM的网卡或者是RIS启动软盘来连接网络。一旦网络连接成功并正确验证身份, Windows就可以自动安装到新电脑中。

智能镜像是一套为了增加系统灵活性而设计的AD机制。表现为不管用户在何处登陆, 其应用软件、数据以及桌面设置都和在本地系统登陆一样。实质上, 这和之前在Windows NT系统中使用的漫游用户配置文件有着异曲同工的作用。用户数据、设置和应用程序不但是随着用户从一台PC到另一台PC, 而且不论用户是否登陆网络, 都会得到自己的配置。

在AD环境中的分布式文件系统 (DFS) 和在Windows NT环境中相比, 有了长足的发展。这个系统的主要目的是将分散在网络各个共享文件夹下的用户文件集中到一个虚拟的文件夹下, 以方便用户查找文件。

2. 组策略轻松实现配置用户环境和安全, 管理软件服务

组策略是集中统一管理网络主机的有效方式, 其实简单地说, 组策略设置就是在修改注册表中的配置。当然, 组策略使用了更完善的管理组织方法, 可以对各种对象中的设置进行管理和配置, 远比手工修改注册表方便、灵活, 功能也更加强大。

在Windows 2003中提供了组策略管理控制台 (GPMC.MSC) 实现管理。我们可以使用“组策略”为用户和计算机组定义用户和计算机的配置。通过使用“组策略”, Microsoft管理控制台 (MMC) 可以为特定用户和计算机组创建个性化的配置。“组策略”配置包含在一个“组策略对象” (GPO) 中, 该对象又与选定的Active Directory服务容器如站点、域或组织单位 (OU) 等相关联。

利用组策略, 可以对几乎所有的MSI安装包进行分发, 还包括ZAP。如果没有这些文件, 用InstallShield AdminStudio进行重新打包, 可实现快速在校园网中软件部署及其实现软件限制策略。

3. 其他网络服务整合

目录服务可将目录、数据库、人力资源应用软件、电子邮件、网络操作系统等等众多不同系统的用户信息整合, 帮助企业提供产品及更广泛的安全身份管理方案。这些方案解决了目前信息总监所面对的主要商业问题;既能将实时、以角色为基础的资源传送给分散的员工、合作伙伴及客户, 同时又能保持系统及数据的安全。此外使用ISA server 2004和活动目录结合, 可以完全实现校园网信息监控和管理。

(五) 总结

Windows Server 2003活动目录是分布式网络体系结构的基础。应用活动目录技术来规划管理校园网, 能够实现资源和用户的集中管理, 方便用户查询使用网络资源, 增加校园网的安全性, 实现校园网内多种网络操作系统的互联。

参考文献

[1]陈功.校园网络安全分析[J].达县师范高等专科学校学报 (自然科学版) , 2006-03.

[2]李志民.基于活动目录的访问控制系统设计[J].中原工学院学报, 2004-04.

[3]杨上影.Windows2003活动目录实现校园网信息化管理[J].广西师范学院学报 (自然科学版) , 2005-03.

[4]薛菲, 王曼珠.Windows Server2003活动目录从入门到精通[M].北京:电子工业出版社, 2003.

篇4：windows xp系统的超级管理员安全忠告Windows安全

关键词：网络技术；服务器；文件管理；权限

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 (2012) 16-0035-02

一、引言

Windows Server 2003是微软的服务器操作系统。最初叫作“Windows .NET Server”，后改成“Windows .NET Server 2003”，最终被改成“Windows Server 2003”。相对于Windows 2000做了很多改进，如：改进的Active Directory（活动目录）（如可以从schema中删除类）；改进的Group Policy（组策略）操作和管理；改进的磁盘管理，如可以从Shadow Copy（卷影复制）中备份文件。特别是在改进的脚本和命令行工具，对微软来说是一次革新。

二、FAT文件系统的管理

运行Windows Server 2003的计算机的磁盘分区可以使用三种类型的文件系统：FAT、FAT32和NTFS。下面将对FAT及NTFS这两类文件系统进行比较，以使用户了解NTFS的诸多优点和特性。FAT (File Allocation Table)指的是文件分配表，包括FAT和FAT32两种。FAT是一种适合小卷集、对系统安全性要求不高、需要双重引导的用户应选择使用的文件系统。

（一）FAT文件系统简介。FAT16是用户早期使用的DOS、Windows 95使用的文件系统，现在常用的Windows 98/2003/XP等系统均支持FAT16文件系统。它最大可以管理2GB的分区，但每个分区最多只能有65525个簇（簇是磁盘空间的配置单位）。随着硬盘或分区容量的增大，每个簇所占的空间将越来越大，从而导致硬盘空间的浪费。FAT32是FAT16的增强版，随着大容量硬盘的出现，从Windows 98开始流行，它可以支持大到2TB (2048GB)的分区。FAT32使用的簇比FAT16小，从而有效地节约了硬盘空间。FAT文件系统是一种最初用于小型磁盘和简单文件夹结构的简单文件系统，它的主要特点是向后兼容，最大的优点就是它适用于所有的Windows操作系统。另外，FAT文件系统在容量较小的卷上使用比较好，因为FAT启动只使用非常少的开销。FAT在容量低于512MB的卷上工作时最好，当卷容量超过1.024GB时，效率就显得很低。而对于400MB～500MB以下的卷，FAT文件系统相对于NTFS文件系统来说是一个比较好的选择，这是因为，NTFS文件系统需要引入额外磁盘的空间开销。所以对于使用一般操作系统的用户来说，FAT是一种合适的文件管理系统。不过对于使用Windows Server 2003的用户来说，FAT文件系统则不能满足用户的要求。

（二）FAT文件系统的优缺点。FAT文件系统的优点主要是所占容量与计算机的开销很少，支持各种操作系统，在多种操作系统之间可移植。这种可移植性使FAT文件系统可以方便地用于传送数据，但同时也带来较大的安全性隐患。从机器上拆下FAT格式的硬盘，几乎可以把它装到任何其他计算机上，不需要任何专用软件即可直接读出。

三、NTFS文件系统的管理

NTFS（New Technology File System，新技术文件系统）是Windows Server 2003推荐使用的高性能文件系统，它支持许多新的文件安全、存储和容错功能，而这些功能也正是FAT文件系统所缺少的。Windows 2003 Sever的NTFS文件系统提供了FAT文件系统所没有的安全性、可靠性和兼容性。其设计目标就是在大容量的硬盘上能够很快地执行读、写和搜索等标准的文件操作，甚至包括像文件系统恢复这样的高级操作。NTFS文件系统包括了文件服务器和高端个人计算机所需的安全特性。它还支持对于关键数据、十分重要的数据访问控制和私有权限。除了可以赋予计算机中的共享文件夹特定权限外，NTFS文件和文件夹无论共享与否都可以赋予权限，NTFS是惟一允许为单个文件指定权限的文件系统。但是，当用户从NTFS卷移动或复制文件到FAT卷时，NTFS文件系统权限和其他特有属性将会丢失。NTFS文件系统设计简单却功能强大。从本质上来讲，卷中的一切都是文件，文件中的一切都是属性，从数据属性到安全属性，再到文件名属性。NTFS卷中的每个扇区都分配给了某个文件，甚至文件系统的超数据也是文件的一部分。

（一）NTFS文件系统的优点。NTFS文件系统是Windows Server 2003所推荐的文件系统。它具有FAT文件系统的所有基本功能，并且提供如FAT文件系统所没有的优点。更为安全的文件保障，提供文件加密，能够大大提高信息的安全性。

（二）NTFS的安全特性。NTFS实现了很多安全功能，包括基于用户和组账号的许可权、审计、拥有权、可靠的文件清除和上一次访问的时间标记等安全特性。许可权。NTFS能记住哪些用户或组可以访问哪些文件或记录，并为不同的用户提供不同的访问等级。审计。Windows Server 2003可将与NTFS安全有关的事件记录到安全记录中，日后可利用“事件查看器”进行查看。系统管理员可以设置哪些方面要进行审计及详尽到何种程度。拥有权。NTFS还能记住文件的所属关系，创建文件或目录的用户自动成为该文件的拥有者，并拥有对它的全部权限。管理员或个别具有相应许可的人，可以接受文件或目录的拥有权。可靠的文件清除。NTFS会回收未分配的磁盘扇区中的数据，对这种扇区的访问将返回0值。这样可以防止利用对磁盘的低层次访问去恢复文件已经被删除的扇区。

四、管理文件与文件夹的访问许可权

Windows Server 2003以用户和组账户为基础来实现文件系统的许可权。每个文件、文件夹都有一个称作访问控制清单(Access Control List)的许可清单，该清单列举出哪些用户或组对该资源有哪种类型的访问权限。访问控制清单中的各项称为访问控制项。在FAT中，文件和文件夹的属性不够丰富，因此不能实现在文件或文件夹基础上的安全防护。文件访问许可权只能用于NTFS卷。

三、检查网站挂马

篇5：windows xp系统的超级管理员安全忠告Windows安全

自动：如果某个服务被设置为自动，那么它就会随着启动WindowsXP一起运行，这就势必延长启动所需要的时间，但是有些服务是必须设置为自动的，因为这些服务是与系统有紧密关联的，如果设置为别的启动方式的话，系统就会出现问题，所以最好不要动它们。

手动：如果某个服务被设置为手动，那么该服务会不启动，只有在需要它的时候才会启动它。这样就可以节省不少的系统资源。

已禁用：如果一个服务被设置为已禁用，那就表示这个服务将不再启动了，哪怕是在需要它的时候，它也不会启动，如果你认为某个服务真的没有用了，可以选择它。

应该禁止哪些服务

在众多服务中，大家可能有些茫然，我怎么知道哪些服务该保留哪些服务该禁止呢？呵呵，其实不难，每个服务都有简单的描述，通过描述你可以大概判断出是否需要该服务。附表是一些可以关闭或者禁用的服务，你可以有选择地关闭。

恢复误操作

如果你不小心把某项服务设置了“已禁用”，导致系统工作不正常，而这时从服务窗口或者运行Services.msc也不能进行修改的话，那么惟一解决的途径就是修改注册表了，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”键值，其下就是系统存在的所有服务，找到出了问题的服务，在右边你会看到一个二进制值“Start”，修改它的数值数同样可以更改它的启动方式，“2”表示自动，“3”表示手动，而“4”则表示已禁用，

附：windows xp系统中可以被禁用的服务对照表

application layer gateway service为inte.net连接共享和internet连接防火墙提供第三方协议插件的支持如果你没启用internet连接共享或windows xp内置防火墙，可以禁止这个服务。

automatic updates自动从windows update启用windows更新的下载和安装需要时，我们完全可以在windows update web网站手动进行更新。

clipbook启用“剪贴板查看器”储存信息并与远程计算机共享如果你没有使用windows xp的远程桌面功能，那么可以禁止该服务。

error reporting service服务和应用程序在非标准环境下运行时允许错误报告这个错误报告对大多数人来说是没用的，所以说我们可以禁止这项服务。

fast user switching compatibility为在多用户下需要协助的应用程序提供管理windows xp允许在一台电脑上进行多用户之间的快速切换，如果使用不到，完全可以禁止该服务。

篇6：windows xp系统的超级管理员安全忠告Windows安全

1 系统与磁盘格式选择

1.1 不要使用Ghost版的Windows XP系统

在选用操作系统时,最好不要选择Ghost版的Windows XP系统,因为使用此系统版本的用户,默认情况下会自动开启远程终端服务,并且还会存在一个弱口令形式的new账号,两者很容易被黑客利用,从而导致最后计算机被别有用心的人入侵。当然如果只有Ghost版的Windows XP系统安装盘也没关系,不过要注意的是请在系统安装完成后,依次单击“开始”→“运行”选项,在打开的“运行”对话框内,输入services.msc命令回车,此时就会启动“服务”列表对话框。从中找到terminal services服务项后,将其属性更改为“已禁用”选项确定即可。

1.2 磁盘选用NTFS格式

NTFS分区格式是随着Windows NT操作系统而产生的,并随着Windows NT4跨入主力分区格式的行列,它的优点是安全性和稳定性极其出色,在使用中不易产生文件碎片,NTFS分区对用户权限做出了非常严格的限制,每个用户都只能按着系统赋予的权限进行操作,任何试图越权的操作都将被系统禁止,同时它还提供了容错结构日志,可以将用户的操作全部记录下来,从而保护了系统的安全。

1.3 收集罪证缉拿黑客

众所周知,审核登录是本地策略里的一个安全功能,所以要想利用审核登录制止黑客的非法入侵。这里首先应当启动本地安全策略,具体操作如下:依次单击“开始”→“运行”选项,在打开的“运行”对话框内,输入“control admintools”命令回车,在所显示的“管理工具”页面内,双击“本地策略”标签项,此时就会弹出“本地安全设置”对话框。在其左侧展开“本地策略”选项,单击“审核策略”标签,而后在双击右侧“审核登录事件”选项,将“审核这些操作中”的“成功”、“失败”都选上后,在以相同的方法把“审核账号管理”、“审核账号登录事件”,以及“审核目录服务访问”都设置好后,系统会把远程入侵者的信息记录到日志,以便于我们能够“顺藤摸瓜”的抓住黑客。至于如何查找记录非法入侵者信息,我们可以通过在“运行”对话框内,输入eventvwr.msc命令将“事件查看器”打开,即可进行查看。

2 系统权限设置

2.1 对磁盘进行权限设置

要想对磁盘进行权限设置,前提条件你的系统必须是Win2k以上的操作系统,但是Windows XP家庭版用户除外,并且其磁盘驱动器都均为NTFS文件形式,以上两者缺一不可。然后才可以右击你想要设置的盘符驱动器,选择“属性”选项,添加adminitrator和system确定后,再选择everyone用户将其删除,单击“高级”勾选上里面“重置所有子对象的权限并允许传播可继承权限”即可。

2.2 某些文件的权限设置

如果你要想对某些单个文件权限进行设置,我们可以通过在命令行下的cacls命令,对其文件进行权限设置。这里不排除很多人都对cacls命令的使用比较陌生,可以在CMD命令行下,输入cacls/?命令,就可在其CMD命令行下的区域显示出该命令的详细用法。这里以这里就拿123.txt文件为例,在命令行下输入cacls 123.txt/e/g administrator:f命令回车后,就可对其文件进行处理。等到光标另起一行后,输入type 23.txt试探一下情况,此时就会出现拒绝访问的提示信息。另外把该文件移动到系统盘的根目录下,在一定程度上也可以防止木马对其的加载。

2.3 注册表启动项的权限设置

为了防止恶意程序在注册表的启动项内,修改一些重要的设置,我们可以给其启动项,做一下相关的权限设置,就可避免此类恶意情况出现。这里打开“运行”对话框,输入regedt32命令回车后,在弹出的“注册表”对话框内,依次展开左侧主件到HKEY_LO-CAL_MACHINESOFTWAREMicrosoftWindowsCurrent Version Run下,右击该键值选择“权限”选项。然后单击“高级”,将“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目(I)”前的勾去掉,然后单击“确定”按钮,将administrator和system账号以外的用户删除。操作完毕后,勾选上“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目(I)”即可。

3 系统服务的安全操作

要想查看服务列表,请在桌面内依次单击“开始→“运行”选项,在打开的对话框里,输入services.msc命令回车后,就可打开“系统服务列表”对话框窗口。其服务列表右侧所罗列出来的是当前系统所有安装的程序服务,如果你对这里某个服务不太了解,可以通过双击该服务栏,在弹出的“属性”对话框内,就可观看到其服务的描述情况。

3.1 禁用Alter/messeng信使服务

基于Alter/messeng信使服务,虽然可以使管理员向网络中的其他用户发送信息,但是QQ和MSN聊天软件的出现,足以代替其服务的所有功能,而且两个聊天软件在通讯方面非常强悍,要比基于服务发送信息强的多。另外恶意人可以利用该服务,使用ne send向网络中的用户发垃圾信息,能够影响到用户正常的上网。所以为此你最好在列表服务对话框内,双击messeng信使服务,在弹出的属性对话框内,将其信使服务的启动类型,选择为“已禁用”选项,就可将其服务关闭。

3.2 禁用clipbook服务

clipbook服务的开启,可以使管理员能够轻松查看本地剪贴板里的内容,但是该服务被黑客所利用,同样也会为其提供便捷的查看剪贴板。如果此时是一个喜欢将密码复制到剪贴板,再将进行粘贴到相关位置的人,可想而知被人利用的后果,将是不堪设想的。因此,这里同样在服务“列表”对话框内,找到且双击clipbook服务名称,在弹出的“相关属性”对话框内,将启动项列表选择为已禁用,就可将其服务进行关闭。

3.3 禁用Remote Registry服务

虽然开放Remote Registry服务,可以让管理员远程操控其他计算机的注册表,但是殊不知它也会给我们带来潜在的安全隐患。比如对方获取了我们本地计算机的账号及密码,并且IPC$空连接服务也是启动,那么黑客就可以基于此服务在启动项里加载上一个自启动的恶意程序,可想而知你的计算机以后就要听命于他。所以Remote Registry服务也要将其禁用,其操作方法同上便可。

3.4 关闭Task Scheduler服务

一般远程入侵者,在通过IPC$空命令连接到被害主机后,为了便于接下来的远程操控,都会将其远程控制木马上传到受害主机内,然后在使用At命令激活刚才所上传的木马,使其发挥作用。而其使用At命令是基于Task Scheduler计划服务运行的,所以为了防止黑客在自己的主机上激活木马,请将其Task Scheduler服务关闭掉,这样即使以后你的机器真被黑客上传了木马,它也无法激活并运行其木马。

3.5 禁用Terminal services服务

Terminal services服务,也就是大家经常叫远程终端,此服务的开放可以允许多个用户连接并控制一台机器,并且在远程计算机上所显示的桌面和应用程序,可以非常直观的进行观看、操控。如果黑客利用Terminal services服务登录主机,后果自然是不言而喻的,所以为了对其服务防患于未然。这里同样在服务列表里,打开“Terminal services服务”的属性对话框,将其启动类型更改为“已禁用”状态后,单击“确定”按钮使其生效。然后右击“我的电脑”图标,选择“属性”选项,在弹出的“系统属性”对话框内,切入至上方“远程”标签,将里面“允许从这台计算机发送远程协助邀请”的复选框勾去掉即可。

4 利用好Windows XP自带的安全中心,可以有效防止外来攻击

虽然微软漏洞很多,但是Windows XP自带的安全中心,也算是广大用户防御攻击一个“安慰”。该安全中心不仅为用户提供了防火墙功能,而且就连病毒保护软件、自动更新系统漏洞的防御措施,也都内置在其安全中心内了。如果此时你要进入到安全中心,只要在桌面依次单击“开始→控制面板→安全中心”选项,就可打开“安全中心”对话框进入

要想阻止其他网站所弹出的窗口,这里我们单击下面的“Internet选项”标签,在弹出的“Internet属性”对话框内,切入至上方“隐私”标签处,此时你会发现下面会多出一个弹出“窗口阻止”程序栏,然后我们单击其栏目里的“设置”按钮,在弹出的“阻止程序设置”对话框内,将要允许的网站地址输入到文本框内,这样你就只能接受一些自己设置的正规网站弹出的窗口。

另外该安全中心还提供了防火墙功能,你只要在其下方单击“Windows防火墙”标签,就可弹出“Windows防火墙”对话框窗口,然后从中选中里面“启用”单选框项,单击“确定”按钮,便可发挥内置的防火墙抵御外界攻击的作用。除此之外如果你不愿意去微软的网站去下载补丁,可以单击下方“自动更新”标签,在弹出的“自动更新”对话框内,设置好更新时间,其系统就会在你所指定的时间,自动帮你更新系统下载安全补丁了。

摘要：该文侧重于分析Microsoft Windows XP Professional版本,从其系统本身的特性、服务设置及注册表设置等来讲述系统的安全策略。

关键词：Windows XP,设置,隐患,安全

参考文献

[1]陈健.浅谈Windows XP操作系统的基本安全防护[J].科技信息,2009(2).

[2]陆治.修改Windows XP默认设置让系统更安全[J].中国检验检疫,2007(11).

篇7：掌控Windows系统的安全

对于很多的PC用户来说，最关心的事情莫过于Windows系统的安全了。为了提高系统的安全程度，我们可能对系统进行了多方面的安全设置，但是这些安全设置是否能够全面提升系统的安全级别、系统是否还存在着一些不安全的因素、系统的总体安全等级处于什么水平，对于这些，我们可能还没有一个整体的了解和掌握。

Windows XP系统提供的“安全配置和分析”管理工具可以帮助我们实现这个目标，它的主要作用是对本地系统的安全性进行分析和配置。“安全配置和分析”管理工具可以根据系统提供的不同级别的安全模板对当前系统的安全设置进行分析，在分析结果中，以可视化的标记或注释突出显示当前的设置与系统建议的安全级别不匹配的区域，从而找出系统安全的薄弱环节，同时这个工具为我们提供了快速对系统进行安全配置的途径，用户只需要选择相应的安全模板，剩下的事情由“安全配置和分析”管理工具自动为您完成，从而轻松地掌控系统的安全。

要启动“安全配置和分析”管理工具，需要启动系统控制台，并将“安全配置和分析”管理单元加载到控制台中。方法如下：

1.在[开始]菜单的“运行”处，执行“mmc”命令，启动系统控制台窗口；

2.点击“控制台”主界面中“文件”菜单下的“添加/删除管理单元”命令；

3.在“添加/删除管理单元”对话框中，点击“独立”选项页的“添加”，在弹出的“添加独立管理单元”对话框中，选择列表中的“安全配置和分析”项，点击“添加”，如图1所示；

图1 添加“安全配置和分析”管理单元

4.点击“关闭”，返回“添加/删除管理单元”对话框，此时在列表中可以看到新增加了“安全配置和分析”项；

5.点击“确定”，完成“安全配置和分析”管理单元的加载。

执行安全性分析是根据系统提供的安全模板来实现的，这个过程中，需要用户打开或新建一个包含安全信息的数据库，并选择合适的安全模板。

1.在控制台窗口中，右键点击控制台根节点下的“安全配置和分析”，在快捷菜单中选择“打开数据库”命令，如图2所示；

图2打开安全配置与分析数据库

2.如果是首次对系统进行安全性分析，需要新建一个数据库，在“打开数据库”对话框的“文件名”处为新建的数据库输入一个名称，然后点击“打开”；

3.在弹出的“导入模板”对话框中，可以看到7个安全模板文件，这些安全模板文件的安全级别以及作用的效果为：

Rootsec：系统根目录安全模板。可以指定由 Windows XP所引入的新的根目录权限。默认情况下，Rootsec.inf 为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改模板对其它卷应用相同的根目录权限，该模板并不覆盖已经明确定义在子对象上的权限，它只传递由子对象继承的权限。

Setup security：默认的安全设置模板。这是一个针对特定计算机的安全模板，它包含了在安装操作系统期间所应用的默认安全设置，包括系统驱动器的根目录的文件权限。由于是默认的安全设置模板，当系统出现故障时，可以利用该模板或模板的一部分进行灾难恢复。

Compatws：兼容模板。通常情况下，工作站和服务器的默认权限主要授予三个本地用户组：Administrators、Power users和Users，Administrators组成员拥有最高的权限，而Users组中的用户权限最低。由于权限的限制，不同组中的用户能够访问应用程序的能力有很大的区别，而兼容模板可以以某种方式对已经授予users组的默认文件和注册表的权限进行更改，而不需要更改用户所在的组，可以极大地提高系统所有权的安全性和可靠性。

Securedc和Securews：安全模板。安全模板定义了至少可能影响应用程序兼容性的增强安全设置。例如，严格密码和锁定设置、审核策略的设置等等。安全模板的安全级别要高于兼容模板。

Hisecdc和Hisecws：高级安全模板。在安全模板的基础上对加密和签名作进一步的限制。这些加密和签名是进行身份认证和保证数据在安全的通道中进行传输所必需的，要求对安全通道数据进行强力的加密和签名，从而形成域到成员和成员到域的信任关系。

对于工作站而言，使用安全模板进行系统安全性分析就可以了。

4.选择一个适宜的安全模板，如Securews.inf，点击“打开”；

5.右键单击“安全配置和分析”项，选择菜单中的“立即分析计算机”命令，并在“进行分析”对话框中指定保存错误日志文件的路径，点击“确定”，开始系统安全机制的分析进程；

6.安全分析进程结束后，展开“安全配置和分析”节点下的各项，在右侧窗格的项目列表中，通过项目中显示的可视化的图标可以查看哪些安全设置与系统建议的安全级别匹配，哪些不匹配，如图3所示；

图3查看安全分析结果

例如在图3中，密码策略中有四项策略带有红色的差号，这表明不匹配；两项策略带有绿色的对号，表示匹配。

如果再想用其他的安全模板进行安全性分析，可以在“安全配置和分析”节点上单击右键，点击快捷菜单中的“导入模板”命令，在“导入模板”对话框中，选择需要的安全模板文件，同时选择“导入之前清除这个数据库”选择框，如图4所示，重复上述步骤5和6的操作。

图4导入安全模板

使用Windows XP的安全配置和分析管理工具，您不仅可以分析系统的安全配置是否适合，同时还可以设置系统安全配置，从而将您系统的安全状况掌握在自己手中，但是在使用安全配置和分析管理工具时您需要注意以下两点：

1.必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作；

篇8：windows xp系统的超级管理员安全忠告Windows安全

一、用户安全设置

禁用Guest账号;限制不必要的用户;创建2个管理员账号:一个一般权限用户用来收信以及处理一些日常事务, 另一个拥有Administrator权限的用户只在需要的时候使用;把系统Administrator账号改名。

创建一个陷阱用户:创建一个名为“Administrator”的本地用户, 把它的权限设置成最低, 什么事也干不了的那种, 并且加上一个超过10位的超级复杂密码。这样可以让那些非法用户忙上一段时间, 借此发现它们的入侵企图。把共享文件的权限从Everyone组改成授权用户;开启用户策略。

不让系统显示上次登录的用户名:默认情况下, 登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名, 进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项HKLMSoflwarek Microsoft WindowsCurrent VersionWinlogonk Dont-Display Last User Name, 把REG_SZ的键值改成l。

二、密码安全设置

使用安全密码, 设置屏幕保护密码;开启密码策略:注意应用密码策略, 如启用密码复杂性要求, 设置密码长度最小值为12位, 设置强制密码历史为5次, 时间为42天;可考虑使用智能卡来代替密码。

三、特别强调的问题

(一) 及时关注漏洞信息的发布, 并确保系统已经打上了最新的补丁;

禁止无关端口与TCP/IP筛选;禁止无关端口:利用防火墙中的设置, 将与使用无关的端口关闭;端口筛选:在Windows 2000中, 网上邻居→属性-与Internet连接的本地连接-属性-TCP/IP属性-高级-TCP/IP筛选-设置需要筛选的TCP及UDP端口;系统的“本地安全策略”这个工具是在, 单击“开始-控制面板-管理工具-本地安全策略”后, 会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略, 并可选择查看方式, 导出列表及导入策略等操作。

(二) 安全日志的设置。

安全日志是记录一个系统的重要手段, 通过日志可以查看系统一些运行状态, 而Windows 2000的默认安装是不开任何安全审核的, 因此需要在本地安全策略-审核策略中打开相应的审核。单击“开始-控制面板-管理工具-本地安全策略-左边的本地策略-审核策略”, 看到右栏有“审核策略更改”等9个项目, 双击每个项目, 然后在“成功、失败”的选框上进行选择。

(三) 账号安全设置。

Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表, 容易造成一些密码泄漏而对电脑进行攻击, 所以必须采用以下进行安全设置。单击“开始-控制面板-管理工具-本地安全策略-本地策略-账户策略”, 看到右栏有“密码策略、账户锁定策略”2个项目。

在“密码策略”中设置:启用“密码必须符合复杂性要求”, “密码长度最小值”为6个字符, “强制密码历史”为5次, “密码最长存留期”为30天。在“账户锁定策略”中设置:“复位账户锁定计数器”为30分钟之后, “账户锁定时间”为30分钟, “账户锁定值”为30分钟。

篇9：windows xp系统的超级管理员安全忠告Windows安全

【关键词】Windows系统；组策略；安全

一、Windows系统存在的共性问题

对Windows系统而言，当链接到浏览器、电子邮件或即时通讯软件的关键部分时，功能强大的反病毒软件是可以和计算机之间进行交流的。每一个互联网用户都会选择自己喜欢的反病毒解决方案，且都有自己的个人特色。但网络安全专家的角度指出，个人桌面系统存在共性的问题。

（1）在连网之前安装杀毒软件。在连上互联网之前，任何微软Windows计算机都应该安装杀毒软件。我就见过这样的事例，恶意软件感染计算机的速度比下载杀毒软件快得多。如果你觉得在没有打开浏览器访问任何网站之前，就不用担心病毒。那么这就意味着你没有意识到计算机的安全问题。（2）选择包含实时扫描工具的杀毒软件。为了防止计算机遇上病毒或蠕虫，所以必须安装一个实时的自动扫描工具，以确保在进行日常工作可以发现病毒和蠕虫的感染，防止其蔓延。实时扫描可能会对windows系统性能带来更大的压力，因此，你经常会有关闭它的想法，但请一定要谨慎考虑。浏览网页和收发电子邮件时不能关闭杀毒软件的实时扫描来获得额外的性能提高。不然，一旦遇上病毒或蠕虫，将会带来比给系统性能造成来压力更巨大的麻烦。（3）对windows系统进行定期扫描。除了对windows系统性能进行实时扫描之外，还应该经常对系统进行全面扫描，最好做到每天自动进行扫描。实时扫描只能在病毒感染前进行检测，若windows系统在连接时被感染，就可以有效地对其进行保护。即使做到这些，但也可能会出现杀毒软件的特征代码库里没有包含这些病毒的情况。所以，对windows系统进行全面扫描是十分有必要的。（4）不能同时使用两种杀毒软件。同时使用两种杀毒软件，可能会带来不必要的麻烦。因为，不管是当其中一种病毒签名文件被另一种当作实际病毒来进行处理，还是在连接网络时它们的实时扫描工具会因为控制权造成冲突导致系统性能的下降，这两种情况都会导致出现问题。所以，同时维护互不兼容的两种杀毒软件会导致一些意料之外的情况出现。

有很多其它方法可以保护系统免受病毒的攻击。一个优秀的防火墙；用户在浏览网页、检查电子邮件或下载文件时坚持良好的安全习惯；甚至微软视窗用户账户控制功能有时都可以提供帮助，尽管在某种程度上UAC带来的麻烦比好处多得多。

二、对windows系统的安全防护

到目前为止，微软仍然没有将可以被病毒和蠕虫利用的漏洞做好防护处理，默认设置也没有作任何改善。（1）给本机设置登录密码。当我们在使用电脑时，可能会因为临时有事要离开座位一会。而电脑上有一些打开的文档还没有处理完，或者你正在下载东西等等。为了避免他人动用你的电脑，一般情况下最好是把電脑设置密码锁定。然而在很多局域网中，为了能够方便的登录网络，有时候会建立访客账户，如果对方利用这些账户来注销当前账户登录到别的账户，那就会带来很多意想不到的麻烦。既然我们不能删除或禁用这些账户，那么我们可以通过组策略禁止一些账户在本机上登录，让访客只能通过网络登录。禁止用户登录可以通过组策略里的选项来完成。在“组策略”窗口中依次打开"计算机配置→Windows设置→安全设置→本地策略→用户权限分配"，然后点击“拒绝本地登录”，在弹出的窗口中添加要禁止的用户就可以实现。但要注意的是Windows XP Home Edition没有“组策略”，只有Windows XP Professional版本才有。（2）设置待机密码。除了设置屏幕保护密码之外，还应该设置一个待机密码，这样电脑才会更安全。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”，在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”，那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。（3）自动给操作做个记录。要养成在"事件查看器"里查看事件的习惯。例如，在对“组策略”做了修改之后，Windows系统就出现问题，那么“事件查看器”就会及时反应改过的策略。你可以在“登录事件”里查看到详细的登录信息，登录事件里记载了未经允许的登录事件，还有一些账户密码已过期等信息。若需要启动某个审核，只需双击相应的项目，选择“成功”和“失败”即可。（4）不要对IE浏览器的主页做任何修改。假如不希望网络上的恶意代码，或者除自己之外的人对设置好的IE浏览器主页进行更改，可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支，然后双击“禁用更改主页设置”策略，点击启用就设置好了。逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支，我们可以在其下发现“Internet控制面板”、“浏览器菜单”、“工具栏”和“管理员认可的控件”等策略选项。利用它可以打造出一个富有个性又安全的IE。（5）隐藏Administrator。在Windows系统中，默认的管理员账户名为Administrator。为了避免系统管理员Administrator账户的密码被人恶意破解，可以将账号Administrator改为自己喜欢且易记的名字，这样可以加强安全。如果再新建一个访客用户，用户名为Administrator，然后再加上非常复杂但自己记得住的密码就更安全了。如此一来，上次登录到计算机的用户名就不会显示在Windows的登录画面中。

参 考 文 献

篇10：windows xp系统的超级管理员安全忠告Windows安全

关键词：网络安全,实时监控,Windows

0 引言

随着计算机网络的迅猛发展, 从网络中获取信息已经成为人们学习和生活的一个重要手段, 但网络时刻都面临着来自各方面的威胁和攻击, 因此进行简单有效的网络安全监控就显得尤其重要[1]。从这个角度出发, 设计和实现了一个基于Windows的网络安全监控系统, 它能有效监测进出网络的数据, 具有良好的实时网络安全监控能力。

1 关键技术

1.1 包过滤技术

在网络中传输数据时, 为了保证所有共享资源的计算机都能公平、迅速地使用网络, 通常以数据包 (Packet) 为单位进行数据传输。包过滤技术[2]的工作原理就是数据包过滤, 即在网络中适当的位置上对数据包进行有选择的过滤, 它通过对数据包的IP头和TCP头或者UDP头的检查来实现。在TCP/IP中, 存在着一些标准的服务端口号, 如FTP的端口号为21, HTTP的端口号为80等, 通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或者另外一个网络之间的连接, 如可以阻塞一些被认为是有恶意的或不信任的主机或网络连接到用户的内部网络中来的。

包过滤是在网络层中的IP层实现的, 它根据数据包的源IP地址、目的IP地址、协议类型 (TCP包、UDP包、ICMP包) 、源端口、目的端口等包头信息以及数据包传输方向等信息来判断是否允许数据包通过。具体而言, 包过滤针对每一个数据包的包头, 结合事先制定的过滤规则对这些数据包作出判断, 从而采取相应的措施, 它可能会丢弃 (Drop) 这个包, 可能会接受 (Accept) 这个包, 也可能执行其它较为复杂的动作。

1.2 地址转换技术

地址转换技术是将一个IP地址用另一个IP地址来代替。这种技术主要应用在两个方面: (1) 网络管理员希望隐藏内部网的IP地址; (2) 内部网的IP地址是无效的。因此, 外部网不能访问内部网, 而内部网之间的主机则可以互相访问。

1.3 内容检查技术

内容检查技术能够提供对高层服务协议数据进行监控, 以确保数据流的安全。它是利用智能方式来分析数据, 使得系统免受信息内容安全威胁的一个软件组合[3]。

1.4 入侵检测技术

入侵检测技术可以采用概率统计方法、神经网络、专家系统、模式匹配和行为分析等来实现入侵检测系统的检测机制, 以此分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果[4]。

2 系统体系结构

本系统的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。因此本设计采用屏蔽子网的体系结构, 在堡垒主机上实现包过滤技术, 或者直接把系统安装在目标计算机上, 在目标计算机上实现包过滤技术。从而对其内部网的网络安全起到监控作用, 其体系结构如图1所示。

本设计通过包过滤技术来实现系统的监控作用。本系统最终体现在网络交换中, 在OSI的层次结构的关系, 如图2所示。

3 系统功能和模块的详细设计

本系统的主要功能是封包过滤。其中入侵检测、控管规则、包过滤和实时监控等功能都是基于封包过滤技术的。其功能具体设计为: (1) 根据应用程序的访问规则可以对应用程序连网动作进行过滤; (2) 可以实时监视和控制相应的网络活动; (3) 具备日志功能, 用以记录网络访问动作的详细信息; (4) 被攻击或拦阻时, 能够通过弹出窗口来实时显示警示, 方便用户采取相应的措施。

根据模块、对象化编程的思想, 本系统设计分为五个模块:数据包捕获模块、包过滤模块、控管规则模块、报警信息模块、用户模块。其模块设计的流程图, 如图3所示。

3.1 数据包捕获

目前从网络中捕获数据包有两种方法:第一, 采用专用硬件;第二, 利用普通计算机与网络连接的通用硬件网络适配器 (即网卡) , 用软件来完成数据包的捕获。软件捕获数据包虽然在性能上比不上专用硬件, 然而其实现成本相对更低, 并且修改方便、更新容易。因此, 本设计采用软件的捕获方法来实现数据包的捕获。

通常, 一个合法的网络接口只响应以下两种数据包 (帧) :第一, 帧的目标地址具有和本地网络接口相匹配的硬件地址;第二, 帧的目标地址是“广播地址” (代表所有的接口地址) , 格式如下:“FF FF FF FF FF FF”。当接收到这两种数据帧时, 网卡通过CPU产生中断, 操作系统进行中断处理后将数据帧中包含的数据传给上层系统作进一步处理, 而在其他情况下数据帧将被丢弃而不作处理。

数据包捕获主要是对网络数据包进行捕获, 并且进行报文分类。截获数据包是实现一个系统所有功能的第一步, 截获数据包可以在用户状态下拦截网络数据包, 也可以在核心状态下进行数据包截获。由于本设计采用软件的方法来实现其捕获功能, 所以本系统的数据包捕获是在用户状态下来拦截网络数据包。在用户状态下进行网络数据包拦截有以下三种方法: (1) Winsock Layered Service Provider; (2) Windows包过滤接口; (3) 替换系统自带的Winsock动态连接库。

本设计是利用VB6.0的Winsock[5]来实现数据包的捕获, 每次获取数据后必须有一段延时, 数据取到之后必须放在缓冲区 (Buff) 的数组中。

3.2 包过滤实现

包过滤模块是本软件设计的重点。一旦驱动程序截获网络数据包后, 就跟本系统相互通讯, 通知本系统对数据包进行判断, 如果符合控管规则, 就接受数据包, 反之丢弃该数据包。本模块利用VB6.0来实现, 其主要设计步骤如下:

(1) 创建一个事件Event。

(2) 通过CreateFile 函数创建驱动程序实例, 并调用其中的Winsock。

(3) 把Event这个事件的句柄传给所创建的驱动程序。

(4) 驱动程序通过DeviceControl的函数来接受Event的句柄。

(5) 通过的DeviceIOControl的函数来传递控制驱动程序的消息。

(6) 通过Dispatch历程来获取应用程序传递过来的消息, 再由消息类型确定进行相应的服务。

(7) 把结果数据放入共享内存区中, 设置Event事件通知本模块所请求的事情已经响应完成。

(8) 根据上面的结果, 再通过VB的WaitForSingleObject函数来获知事件发生。

(9) 在共享内存区中获取数据, 并且将该事件重置。

包过滤模块是根据本系统设计的控管规则 (主要有IP规则、端口规则、高级规则、TCP/UDP协议) 来进行过滤。一旦捕获数据包后, 本模块就根据以上步骤对其进行必要的检测, 使系统做出相应的判断。在本模块设计中, 充分利用了入侵检测技术。

3.3 控管规则设计

控管规则模块负责对过滤规则进行控制与管理, 包过滤就是建立在本模块的基础之上的。在实际操作中, 用户可以根据需要, 对控管规则进行修改和管理, 如对特定的计算机进行限制或放行、对特殊端口进行特别管理等。在本模块中, 为了便于跟踪发生网络安全事件的主机, 充分利用了地址转换技术, 捕获其IP或端口等。在本系统中, 控管规则按以下优先级顺序应用:

(1) 阻止连接。

(2) 连接询问。

(3) 允许连接。

通过以上的控管规则优先级别的调用, 确定相应的出入站通信, 从而对进出网络的数据进行有效的安全监控。

3.4 报警信息

报警信息模块的功能是实时报警。首先检测是否告警, 一旦收到告警信息, 马上向报警信息模块发出指示, 并负责将报警信息实时地提示用户, 用户则可自行判断如何操作。

3.5 用户界面设计

根据需求, 用户模块主要功能设计如下:实时监控、通信阻止与允许、规则更改、监控日志等。在本系统的设计中, 充分为用户考虑, 尽量使操作界面简单清晰, 用户根据提示很容易就能进行判断, 做出相应的操作选择。

4 测试

(1) 基本功能测试

本系统通过对报警提示、流量监测、规则更改和日志功能等进行测试, 达到了预期目的。

(2) 网络丢包率测试

在千兆网卡80%的负载环境下, 对系统进行了应用测试, 其平均丢包率小于0.05, 如表1所示。

结论:经测试本系统在网络环境中能够获得较严格的访问控制策略, 实现对数据包的控制访问;并且在流量大于100Mbps的千兆网卡上, 丢包率小于万分之一, 性能达到了网络安全软件行业的标准。测试结果显示, 系统能有效监测进出网络的数据, 对数据包进行严格访问控制, 实现入侵检测和流量监测, 具有良好的实时安全监控能力。

5 发展趋势

总体而言, 网络安全监控技术是构成整个网络安全系统的关键, 它通过检测和控制网络之间的信息交换、访问来对计算机网络的信息安全进行保护。一款多功能、高安全性的网络安全监控系统可以让用户的网络更加安全可靠。但这些的前提是要确保网络的运行效率, 因此在网络安全监控系统的发展过程中, 必须始终将高性能放在重要位置, 目前的这类系统都正在朝这个方向努力。作为优秀的此类系统产品, 它应该包含有访问控制、网络地址转换、代理、认证、日志审计等基础功能, 而且应该拥有自己的特色。

6 结束语

随着威胁网络安全的因素越来越多, 攻击方式不断翻新, 维护网络环境的安全是十分必要的。本系统是在Windows XP环境下, 利用VB6.0工具设计与实现的。本系统具有操作简单、控管规则简化和可维护性强等特点, 能对用户的网络安全进行简单有效的保障。但由于网络安全问题是一个非常复杂的系统工程, 如何提高它在实际中的防御能力, 还需要不断地去思考、去探索。

参考文献

[1]韩彬.防火墙技术在网络安全中的实际应用[J].科技资讯, 2010 (1) :13.

[2]杨永杰, 冯军, 谢正光.一种基于ND IS网络数据包过滤器的设计[J].计算机应用与软件, 2010, 27 (7) :100-102.

[3]柳婵娟.网络安全审计与监控系统的设计与实现[J].电脑知识与技术, 2008, 3 (7) :1391-1393.

[4]高翔.基于协议分析的入侵检测系统研究[J].自动化与仪器仪表, 2010, 150 (4) :24-27.