《Windows XP超级技巧 1000 例》8-2|江阴雨辰互联

2023年7月3日发(作者：)

二、安全设置篇

安全和应用在很多时候是矛盾的。因此，您需要在其中找到平衡点，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。

1、组策略安全设置

“组策略”程序位于“C:WINDOWSSYSTEM32”文件夹中，名为“”。启动组策略时，首先单击［开始］按钮，选择“运行”命令，在“运行”文本框中输入“”命令，随后单击［确定］，即可启动Windows组策略。

下面来看看Windows XP Professional本地组策略的应用例子：

①禁止更改显示属性

在Windows的桌面的空白处单击右键，选择“属性”，进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置，如果您不想让别人随意更改各项设置，就可以通过组策略将其隐藏起来。方法是：在组策略控制台中依次展开［用户配置］→［管理模板］→［控制面板］→［显示］分支，启用隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等各项，还可以对桌面主题、屏保程序等进行个性化设置。

②禁止更改开始菜单和任务栏我们可以通过组策略禁止用户在进入电脑后随意更改开始菜单和任务栏各项设置，设置时依次展开［用户配置］→［管理模板］→［任务栏和开始菜单］分支，在右侧窗格中双击“阻止更改‘任务栏和开始菜单’设置”策略，在弹出的“设置”对话框中点选“已启用”选项框即可。以后我们在右键单击开始菜单或任务栏时，系统会出现一个错误消息提示是某个设置禁止了这个操作。

③禁用注册表管理器

为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器禁止访问设置。设置时依次展开［用户设置］ →［管理模板］ →［系统］分支，然后在右侧窗口中双击“阻止访问注册表编辑工具”策略，随后在弹出的对话框中选择“启用”即可。

④限制使用应用程序

如果您的电脑设置了多个用户，想要限制用户可以运行的应用程序，也能在组策略中设置。设置时依次展开［用户配置］ →［管理模板］ →［系统］，然后在右侧窗口中双击“只运行许可的Windows应用程序”策略，随后在弹出的对话框中选择“启用”选项，激活下面的“应用程序列表”，在此单击［显示］按钮，弹出一个“显示内容”对话框，在此单击［添加］按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。

⑤禁用“添加/删除程序”

将计算机中的“添加/删除程序”选项隐藏，防止其他用户随意安装、卸载应用程序。设置时在组策略中依次展开［用户配置］ →［管理模板］ →［控制面板］→［添加/删除程序］，双击右侧的“删除添加/删除程序”策略，在弹出“删除添加/删除程序”对话框中点选“启用”选项，随后单击［确定］。此外，在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏，启动了保护计算机中系统文件及应用程序的作用。

⑥禁止建立新的拨号

如果不想让别人在计算机中拨号上网，组策略也可以做到。屏蔽“建立新连接”时，首先在组策略中依次展开［用户配置］→［管理模板］→［网络］→［网络连接］分支；在右边的窗口中双击“禁止访问新建连接向导”，在弹出一个设置对话框，这时在设置对话框“已启用”单选项，单击［OK］即可。通过此项设置，在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。

通过以上的设置其他的用户再也不能在此电脑上轻举妄动了！

2、用户安全设置

①禁用Guest帐号：在计算机管理的用户里面把Guest帐号禁用。为了保险起见，最好给Guest加一个复杂的密码。您可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

②限制不必要的用户：去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

③创建两个管理员帐号：创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。

④把系统Administrator帐号改名：大家都知道，Windows XP 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成XTCX。

⑤创建一个陷阱用户：什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。 ⑥把共享文件的权限从Everyone组改成授权用户：任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

⑦开启用户策略：使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

⑧不让系统显示上次登录的用户名：默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：单击“开始->运行”，键入 regedit，然后单击“确定”，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindows

NTcurrentVersionWinlogon，在右侧窗格中新建或编辑名为“DontDisplayLastUserName”的DWORD值，将键值设置为“1”，禁止显示上次登陆的用户名。

3、密码安全设置

①使用安全密码：一些公司的管理员创建帐号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

②设置屏幕保护密码：这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

③开启密码策略：注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。

④考虑使用智能卡来代替密码：对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

4、系统安全设置

①使用NTFS格式分区：最好把服务器的所有分区都改成NTFS格式，NTFS文件系统要比FAT、FAT32的文件系统安全得多。

②运行防毒软件：杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，因此要注意经常运行程序并升级病毒库。

③到微软网站下载最新的补丁程序：很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出现很久了，还放着服务器的漏洞不补给人家当靶子用。经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的惟一方法。

④关闭默认共享：Windows XP安装好以后，系统会创建一些隐藏的共享，您可以在Cmd下打“Net Share” 查看他们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享，打开“管理工具计算机管理共享文件夹共享”在相应的共享文件夹上按右键，点[停止共享]即可。

⑤锁住注册表：在Windows XP中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。如果您觉得还不够的话，可以进一步设定注册表访问权限。详细信息请参考：/support/kb/articles/Q153/1/

⑥禁止用户从软盘和光驱启动系统：一些第三方的工具能通过引导系统来绕过原有的安全机制。如果您的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。当然，把机箱锁起来仍不失为一个好方法。

⑦利用Windows XP的安全配置工具来配置安全策略：微软提供了一套基于MMC(管理控制台)安全配置和分析工具，利用它们您可以很方便地配置您的服务器以满足您的要求。具体内容请参考微软主页：/windows2000/techinfo/howitworks/security/

5、服务安全设置

①关闭不必要的端口：关闭端口意味着减少功能，在安全和功能上面需要您做一点决策。如果服务器安装在防火墙的后面，冒险就会少些。但是，永远不要认为您可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为：打开“ 网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性” 打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可。

②设置好安全记录的访问权限：安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统帐户才有权访问。

③把敏感文件存放在另外的文件服务器中：虽然现在服务器的硬盘容量都很大，但是您还是应该考虑是否有必要把一些重要的用户数据(文件、数据表、项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

④禁止建立空连接：默认情况下，任何用户都可通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”的“RestrictAnonymous”的值改成“1”即可。

6、关闭缩略图的缓存

该设置控制是否缓存缩略图视图。如果启用该设置，缩略图视图将不被缓存；如果禁用或不配置该设置，缩略图视图将被缓存。

单击“开始->运行”，键入 regedit，然后单击“确定”，找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，在右侧窗格中新建或编辑名为“NoThumbnailCache”的DWORD值，将键值设置为“1”，关闭缩略图的缓存；如将键值设置为“0”，则打开缩略图的缓存。

【注意】

对于安全性至关重要的共享企业工作站或计算机，您必须启用该设置以关闭缩略图视图缓存，因为缩图图缓存可以被任何人读取。

7、如何锁定“我的电脑”？

既能安全地保护您的文件(因为其中有些是不能让别人看到的内容)，又能留在4月1日给同事们来个恶作剧，那就是给“我的电脑”上锁。

单击“开始->运行”，键入 regedit，然后单击“确定”，找到HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}InProcServer32，在右侧窗格中编辑“默认”，将键值设置为“-”锁定“我的电脑”；如将键值设置为“”则解除锁定。

8、限制某些程序从帮助中启动

允许您限制程序从联机帮助中运行。如果启用这个设置，您可以阻止指定的程序被允许从帮助运行。

单击“开始->运行”，键入 regedit，然后单击“确定”，找到HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSystem，在右侧窗格中新建或编辑名为“DisableInHelp”字符串项，将键值填入“,”即可限制和从联机帮助中运行。

【提示】

对于“DisableInHelp”的值为被限制的程序，当有多个程序时应用逗号将这些程序隔开。

9、如何修改Windows xp的版本号？

在Windows xp里面有一个内部版本号(正式版的是：nt.010817-1148，这个版本号也是存放在注册表中的)，具体位置是HKEY_LOCAL_MACHINESoftwareMicrosoftWindows ntCurrentVersion，在右侧窗格中新建或编辑名为“BuildLab”的字符串值，将其键值修改成个性化的内部版本号即可。

【提示】

查看修改后效果的技巧是：在任意的Windows xp自带的程序中选择“帮助→关于XXX”，在“内部版本号”这几个字后面就是您修改的内容。

为了避免一些兼容性问题，比如一些WINDOWS软件通过此来判断是否为Windows的某个特定版本，所以最好不要把前面的“2600”也改了，否则容易引起问题！

10、如何了解自己所使用的版本？

在资源管理器中找到：c:文件，然后用右键点击该文件，接着选择属性，在弹出的属性窗口选择“版本”选项卡，选择“文件版本”，在右边窗口您可以看到XP的版本号。

11、如何修改Windows XP系统ID号？

在系统属性里面的常规标签下我们可以看到一串数字，如：55274-640-0000356-23677，这就是Windows XP 的ID号。正版的 Windows XP 每一套的 ID 号是不相同的，那么我们可不可以修改呢？当然可以！

单击“开始->运行”，键入 regedit，然后单击“确定”，找到以下几个存放ID号键值，修改之。

①HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerRegistration的字符串ProductId

②HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion的字符串ProductId

③HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion的字符串ProductId

④HKEY_LOCAL_MACHINESOFTWAREMicrosoftUser information的字符串产品标识