发布时间 : 星期日 文章Windows XP系统攻防实战更新完毕开始阅读
发送回您的电脑,激活您的软件产品。激活码是由44位数字组成。在不经过重新激活的情况下,用户只能对电脑硬件配置做不超过五次的改动。例如更换显卡、声卡,新增硬盘、内存等等。每120天系统会对这个数字进行一次清零,也就是说,用户可以再获得五次改动的机会。如果在120天内的硬件改动超过了五次,则Windows XP将停止工作,这时用户不得不重新进行激活。(注:“产品激活”是专为个人用户准备的。)
我们看看黑客对此项技术怎么看:有经验的黑客完全可以利用安装Windows XP的PC不能频繁更改硬件信息的这一特性来编写程序,在感染XP后,使系统错误的通过程序设定来错误的认为硬件更改次数和范围超越限度,直接导致Windows XP锁定系统,使普通用户对系统失去控制权,一旦出现这种情形,将是很糟糕的情形。
其实,我们只需看知道一个消息,便可知道,未来的XP在安全方面还有待加强:在Windows XP刚正式上市不久,微软公司就宣布“专业版或家庭版用户,都至少有20MB的更新套件要下载。”其中有些是用来修正Windows XP安全漏洞、解决系统问题,有些则是新增功能。其中一个5.2MB更新程序会修正显示某些网页需用到的微软虚拟机器(VM)中之漏洞。另外一个1.9MB程序则是修正IE6的安全漏洞。
6.2.7 防范工作
Windows XP的安全由于自身的庞大和功能的繁多而显得较为复杂,尽管Windows XP在安全方面的技术和性能都做了大量的工作,将安全防范性能提高到了一个前所未有的高度,但是无孔不入的入侵问题仍然不可能使任何一种系统做到100%的安全,所以要保证Windows XP不发生大的意外,就要做好防范工作,并努力提高自身的知识水平,尽快熟悉操作系统的的管家——“控制面板”。由于Windows XP的大量新增功能,如数字媒体、及时信息传递以及电子照片处理等,这些都将使该基于该系统的PC和网络应用进入一个新的阶段,同样这些崭新的功能也对安全问题提出了新的要求。经常下载系统补丁将有助于用户的安全防范,经常光顾微软的安全公告板,会了解一些微软公布的安全漏洞最新消息,总之,“防患于未然”才是真正的消除安全隐患的最明智方法。
以上漏洞修补请参考光盘内容:无需上网,直接点击即可修补:
www.Microsoft.com/china (WinXP通用即插即用模块修补)
www.Microsoft.com/china (XP安装程序导致安装过程中断修补)
www.Microsoft.com/china (全面即插即用漏洞)
www.Microsoft.com/china (任务栏假死修补)
www.Microsoft.com/china (修复包)
www.Microsoft.com/china (自动连接漏洞修补)
6.3 Windows XP的安全配置
充分利用Windows XP的安全特性进行一些必要的安全配置,不失为一种有效的防范措施。本节就Windows XP所自带的安全配置方面进行了具体的讲解。
1、充分利用自带的免费Internet连接防火墙功能(ICF)
Windows XP(ICF)是一个基于包的防火墙,防火墙首先不响应Ping命令,并禁止外部程序对本机进行端口扫描,并自动记录所有发出、接收的数据包的IP地址、端口、服务以及其他一些代码。这样有效地减少了外部攻击的威胁。Internet连接防火墙功能(ICF)需要激活后方可使用,XP支持拨号上网的用户使用防火墙功能,点击“拨号连接”属性,在“高级”中有一项为“Internet连接防火墙”,把其中的“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”的选择框内打上“√”,点击“确定”按钮
即可激活防火墙功能,如图6-3所示。
图6-3
现在很多网吧的服务器使用的操作系统是Windows XP,不仅是因为Windows XP自带虚拟拨号软件,可以很好的支持ADSL,更重要的是Windows XP自带的防火墙能够支持多用户。网络管理员在设置Windows XP连接共享(ICS)后(Windows XP连接共享相对于98/2000有了进一步的改善),局域网用户就可以高速浏览Internet。需要注意的是,如果局域网内的每位用户都使用防火墙功能,则防火墙功能有可能导致局域网内的某些通讯的阻碍。所以建议工作站就不必再使用ICF,而且由于工作站与Internet的任何通信都必须通过设置共享的主机来实现,这样就隐藏了工作站的地址。工作站就相对安全一些。当然,我们还可以用其它的专业防火墙,例如国内颇具盛名的KV3000、VRV等。
2.利用Windows XP内置的IE6.0来保护个人隐私
首先我们需要在IE6.0中定义透露个人信息的具体参数选项,浏览器会在用户上网时,自动判断所访问的 站点的安全、可信等级。对于安全站点,浏览器把你的隐私参数和站点定义的隐私政策进行比较。根据预先设定的隐私参数,来限制信息方面的流通,如图6-4所示。
如何设定浏览器将决定是否向站点泄露你的个人信息。IE6.0中可以很好管理Cookie。Cookie是一些站点为了提供用户特征信息而存在你的电脑上的一个小文件。通过设置IE,用户可以做到:禁止所有Cookies存储到你的电脑上、拒绝第三方Cookies,但允许其它的Cookies存储到电脑上、允许所有Cookies存储到电脑上。这样一来,用户就可以很轻松的管理Cookies,从而不再担心Cookies将你的信息泄露出去。
图6-4
3.利用加密文件系统(EFS)加密
在Windows XP中EFS使用扩展数据加密标准(DESX)作为加密算法。EFS自动地为用户生成一对密钥和证书,并在利用了CryptoAPI结构的情况下以公钥加密为基础。它当用户加密文件夹的时候,该文件夹的下层所有文件夹和文件都将被自动加密。加密后的文件夹将限制、识别用户是否属于非法访问,只有对这个文件进行加密的用户可以打开这个文件并使用它。这对使用便携式电脑的用户非常适用,因为当电脑被丢失时,不必担心文件的泄露问题(不知拉登的高级助手们看到绝密文件被美国情报局了若指掌的时候,是否想过Windows XP中EFS)从网络安全的角度来看,一旦有一天,当入侵者对存储数据的计算机有完全入侵能力的时候,加密的文件也将使入侵者大感恼火,重重的加密文件登录鉴定和文件许可这些安全特性将有效地阻止入侵者的行为。
4.屏蔽不需要的服务组件
XP众多的服务组件使用户享受到了前所未有的服务,但是出于种种原因,用户能真正在日常用到的组件还是为数不多,换句话说,也就是还不会用,这就造成了很大的系统资源浪费和造成了一定的安全隐患,甚至黑客们还会据此尝试一些入侵。所以屏蔽一些暂时还不需要的服务组件是目前我们所能做的安全设置中的一个重要部分。屏蔽这些服务组件很简单,如图6-5所示。
图6-5
右键单击“我的电脑”选择“属性→管理→服务的应用程序→服务”选项,可以看到Windows XP上加载的各个程序组件,选择其中部分服务组件,选中属性,然后单击停止,并将启动类型设置为手动或者已禁用。
注意:在进行此项操作时必须注意到有些服务组件是Windows XP运行时所必须存在的,如果冒然关闭会造成系统运行困难甚至崩溃。我们可以通过双击该服务或者鼠标悬停察看该服务的说明,确定不需要该服务后再禁止。
5.进行适当的文件加密
在Windows XP 的资源管理器中选中需要加密的文件或文件夹,在选择文件夹或文件的情况下点击鼠标右键,在弹出的菜单中选择“属性”命令,随后在Windows XP弹出的文件加密对话框中单击“常规”标签,然后再依次选择“高级”/“加密内容以便保护数据”就可以了,如图6-6所示。
图6-6
6.利用补丁解决“系统假死”等现象
假死现象是由于用户在使用各种应用程序时操作不当或者系统本身问题等原因,导致正在使用的部分应用程序很长时间没有响应的现象。现在已经证实,这是一种程序编写上的BUG,绝大多数还是因为当前执行的应用程序与系统无法兼容引起的,目前微软网站已经提供了这一有趣的现象的补丁。还有一种方法是找到该程序的执行文件,然后单击鼠标右键,在弹出的对话框中选择“兼容性”标签,再在“兼容模式”下选择相应需要的运行环境。从而可以解决部分假死现象问题。象这样的系统补丁还有很多,建议用户多去微软网站看看,及时的下载补丁程序。
7.关闭系统还原功能
是的,你没有看错,关闭系统还原功能!建议用户关闭这个设置的原因是因为“系统还原”功能首先要求用户拥有巨大的硬盘空间。目前很多用户还是在老式计算机上升级使用WindowsXP,“系统还原”默认的设置是在每个分区都有还原点,记录每个分区的软件安装和使用状态,这样的默认设置会使许多硬盘容量并不是很宽裕的用户感到潜在的威胁。“系统还原”功能要进行大量的硬盘数据读写,对CPU的占用率也是很高,所以一般用户完全可以关闭“系统还原”功能,而不并影响系统的稳定和安全性。如果用户需要进行“系统还原”功能,也可以采取只开启安装系统的分区的还原功能即可,同时关闭其它分区还原功能,如图6-7所示。
图6-7
8.关闭自动更新、目录共享和远程协助支持
自动更新、目录共享和远程协助支持这些从Windows2000就开始引入的功能,确实很新颖,在某些方面也起着作用,但是如果从安全角度来看的话,这种服务功能用户没有什么特殊用途的话,建议在“系统选项和服务管理”里将此项服务关闭,如图6-8所示。 6-8
微软有时给人的感觉就是这么矛盾,想把一切都揽在手心里,却又偏偏不是做得太好??
9.管理好“用户账户”和“密码”
对于Windows XP这样的多用户系统,良好的用户账户管理可以控制多用户不能随意进入系统的一些核心位置或对安全管理措施进行操作,这样可以起到保护整个系统和个人配置文件的安全,同样也会在使用公用电脑中的保护隐私、加强系统安全、防止用户误操作导致的一些不良后果等方面起到很好的保护作用。设置用户账户和管理权限方法如下:
首先应以“计算机管理员”身份登录,然后再进入“开始/控制面板”(如图6-9),(“控制面板”有几种展现方式,出现的方式会因设置的不同而略有不同。)在控制面板窗口中单击“用户账户”图标,就可打开“用户账户”窗口(如图6-10)。在出现的图中根据提示输入账户名。在紧接着出现的图中(如图6-11),设置新建的账户类型为“计算机管理员”,不选择“受限用户”是因为在用户权限方面,计算机管理员有着可以对整个操作系统进行调整的权限,包括程序安装、文件