第二章节 windowsxp系统的基本安全.pptVIP

帐号安全策略 ——让指定的用户只能在特定时间登录 如果需要设置这个账户从周一到周五的早上9 点到晚上5 点才能登录。可以用下面这个命令： net user Guest /time:M-F,08:00-17:00， 或者net user Guest /time:M-F,9am-5pm 如果需要依次指定每天的时间，那么也只需要按照下面这个格式： net user Guest /time:M,4am-5pm;T,1pm-3pm;W-F,8:00-17:00。 而net user Guest /time:all 这个命令则可以允许该用户随时登录。 帐号安全策略 ——限制系统账号/共享列表 Windows XP 的默认安装允许任何用户通过空用户得到系统所有账号/共享列表 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139 空连接。 在Windows XP 的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制）。 帐号安全策略 ——限制自动登录的次数 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon右侧窗格创建名为AutoLogonCount 的字符串值，将其值设置为自动登录的次数。 密码策略的推荐设置 强制执行密码历史记录 密码最长期限 密码最短期限 密码必须符合复杂性要求 为域中所有用户使用可还原的加密来储存密码 24个密码 42天 2天 启 用 禁 用 合理管理用户密码 密码过期前显示信息提示 从待机状态恢复时不输入密码 退出带密码的屏保时出现登陆界面 若需要不让密码过期，可选中“密码永不过期”复选框 缺省安全服务的问题 系统安装好后，缺省会启动很多服务。但是用户平时使用到的服务组件是有限的，而哪些很少用到的组件不但占用了不少系统资源，会引起系统不稳定外，还会为黑客的远程入侵提供了多种途径。 服务分为三种启动类型 自动 手动 已禁用 必须禁止的服务 1.NetMeeting Remote Desktop Sharing 2.Messenger（提供net send 命令） 3.Terminal Services 4.Remote Registry 5.Fast User Switching Compatibility 6.Telnet 7.Performance Logs And Alerts 收集本地或远程计算机基于预先配置的日常参数的性能数据，然后将此数据写入日志或触发警报 8.Remote Desktop Help Session Manager 9.TCP/IP NetBIOS Helper 可以禁止的服务 1.Alerter：通知所选用户和计算机有关系统管理级警报。如果你未连上局域网且不需要管理警报，则可将其禁止。 2.Indexing Service：本地和远程计算机上文件的索引内容和属性，提供文件快速访问。这项服务对个人用户没有多大用处。 3.Application Layer Gateway Service：为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。如果你没有启用Internet连接共享或Windows XP的内置防火墙，可以禁止该服务。 4.Uninterruptible Power Supply：管理连接到计算机的不间断电源，没有安装UPS的用户可以禁用。 5.Print Spooler：将文件加载到内存中以便稍后打印。如果没装打印机，可以禁用。 6.Smart Card：管理计算机对智能卡的读取访问。基本上用不上，可以禁用。 7.Ssdp Discovery Service：启动家庭网络上的upnp设备自动发现。具有upnp的设备还不多，对于我们来说这个服务是没有用的。 8.Automatic Updates：自动从Windows Update网络更新补丁。利用Windows Update功能进行升级，速度太慢，建议大家通过多线程下载工具下载补丁到本地硬盘后，再进行升级。 9.Clipbook：启用“剪贴板查看器”储存信息并与远程计算机共享。如果不想与远程计算机进行信息共享，就可以禁止。 10.Imapi Cd-burning Com Service：用Imapi管理CD录制，虽然Win XP中内置了此功能，但是我们大多会选择专业刻录软件，另外如果没有安装刻录机的话，也可以禁止该服务。 11.Workstation：创建和维护到远程服务的客