关闭XP的十大隐患 提高系统的安全性

提高系统安全性涉及到许多方面，其中重要的一步是关闭不必要的服务。虽然微软的windowsxp不是网络操作系统，但默认情况下它拥有的不少服务是打开的。对于一位清醒的微软用户而言，关闭一些不需要的服务是一个保障安全性的重要方面。

　　当然，每一个Windows版本都提供了不同的服务，因此，为安全目的而在一种系统中禁用的服务可能仅适用于一个特定版本。因此本文所讨论的服务列表可能仅适用于xp的特定版本。不过，本文所讨论的内容却可以为用户检查其它系统上的服务提供指南。

　　1.IIS：微软的互联网信息服务（IIS）提供了将用户的计算机变成一个web服务器的能力。这项服务可以通过以下方法关闭之：打开“控制面板”，找到“添加或删除程序”，单击“添加/删除Windows组件”，取消选择“internet信息服务（IIS）”即可。

　　2.NetMeeting远程桌面共享：网络会议主要是一个Windows平台的VoIP和视频会议客户端，不过这种服务仅对远程桌面访问需要。

　　3.远程桌面帮助会话管理器（RemoteDesktopHelpSessionManager）：这种服务可以允许其它人远程访问你的系统，帮助你解决问题。

　　4.远程注册表：这种能力从安全的观点来看是相当可怕的。因为它允许远程用户能够编辑Windows的注册表。

　　5.路由器和远程访问服务：这种服务包含了多种能力，这些能力正是多数系统管理员可能会需要单独提供的。这些服务中的任何一个对于一个典型的桌面系统，如对XP来说都是必要的，然而，作为一项单独的服务它们又需要关闭。路由选择和远程访问提供了一种将系统用作路由器和NAT设备的能力，或者作为一个拨号访问网关，或者作为一个VPN服务器。如果你不想让设备发挥这种功能，完全可以禁用之。

　　6.简单文件共享（SimpleFileSharing）：如果一台计算机并不是微软Windows域的一部分，默认情况下所有的文件共享是可以从任何地方访问的。然而，在现实世界中，我们只想将共享提供给特定的、授权的用户。同样地，简单文件共享只是无一例外地允共享提供给所有用户，这并不是共享文件系统的初衷。

　　默认情况下，在WindowsXP的专业版和家用版中，这种功能是活动的。不过，它无法在家用版中禁用。在专业版中，可通过这种方法关闭之：打开“我的电脑”/“工具”菜单/“文件夹选项”/“查看”选项卡，取消选择“高级设置”下的“使用简单文件共享（推荐）”。

　　7.SSDP发现服务：也称为简单服务发现服务，这种服务用于发现网络上的UPnP设备，“通用即插即用设备主机UniversalPlugandPlayDeviceHost”需要这项服务。

　　8.Telnet（远程登录）：远程登录服务是一项很老的机制，可以提供对一台计算机的远程访问。现在，很少使用telnet远程管理一个系统，取而代之的是一种加密协议即SSH。因此完全可以禁用远程登录。

　　9.UniversalPlugandPlayDeviceHost：即前面所说的“通用即插即用设备主机”服务，虽然许多用户在系统中安装了这项服务，其实并不太实用。

　　10.WindowsMessengerService：这项服务即messenger，它提供了“网络发送”和“警报器”的功能。它与即时通信客户端无关，因此可禁用之。

　　在你的系统上，这些服务可能并没有全部打开或安装。一个特定的服务是否安装或运行依赖于安装系统时的选择，不管你是在运行XP家用版或专业版。

　　除了上述的简单文件共享，其它所有的服务都可以采用相同的方式禁用。最简单的方法即：依次打开“控制面板”-“管理工具”-“服务”，要想禁用列表中的某项服务，可以在其上双击，在弹出的窗口中选择“启动类型”单击“停止”即可完全关闭某种服务。

　　一般说来，用户为了安全的需要应将某服务设为“禁用”的状态。方法是：在某服务上右击选择属性，在弹出的窗口中选择“启动类型”后下拉列表中的“已禁用”，然后单击“确定”即可。如果用户对某项服务是否为其它服务提供服务心存疑惑，单击窗口中的“依存关系”选项卡，即可查看。

　　很明显，这个列表并不是用户在其计算机上需要禁用服务的完整列表。这里列示的仅仅是用户最可能不需要的服务，或者说这些服务如果运行的话会对系统造成一些安全漏洞。当然还有其它的一些服务禁用之后也不会产生不良后果，不过你在禁用某项服务之前，最好先对它进行研究，需要清除其功能、依存关系、停止后的后果，确信你真得不需要这项服务。谨记：一些重要的服务对系统的正常运行是很重要的，如远程过程调用（RemoteProcedureCall（RPC））服务。

　　我们可以这样说，每一项正在运行但却未用的服务就是计算机上的一个安全漏洞。如果某项服务对授权用户和基本的系统功能来说并不重要，您就需要关闭它。

第一式：全面禁用控制面板

　　通常情况下，通过对控制面板的操作，用户几乎可以对系统中的任何一个设置进行修改，在方便用户的同时也为网络维护人员带来了麻烦。因此对于没必要操作功能进行全面禁止，步骤首先启动注册表编辑器，打开”HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer”子项，接着在Explorer子项中新建一个名为NoControlPanel的双字节值项，并将该值项的数值数据设置为1，最后，退出注册表编辑器并重新注销或重启。　　

　　效果：在重启之后，查看电脑的”设置”菜单，就会发现不存在控制面板了，如图1所示。当用户右键点击计算机属性时，就会出现限制窗口，显示”本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系”字样。　　

　　第二式：隐藏/显示控制面板中的指定项　　

　　全面禁用控制面板固然可以起到防范的效果，但有针对性的来隐藏其中的某项，也是很灵活的，操作方式为首先打开”HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer”子项，在Explorer子项中建立一个名为DisallowCpl的双字节值项，并将该值项数据设置为1，在Explorer子项中再新建一个名为DisallowCpl的子项，并在该子项中新建一个名为1的字符串值项，并将该值项的数值数据设置为intl.cpl，这里就对控制面板中的区域和语言选项进行了限制，使其遁形，而其他项目照显无误。相反的，也可以显示指定的项目，其他都不显示，打开”HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer”子项，在其内新建一个名为RestrictCpl的双字节值项，并将该值项的数值数据设置为1，继续在其内新建一个名为RestrictCpl的子项，在它里面新建一个名为1的字符串值项，并将该值项的数值数据设置为intl.cpl，退出注册表，重新注销或启动。　　

　　效果：重新启动机器后，就会发现控制面板可以打开了，里面的项目只有一个区域和语言选项，其他都隐藏了。　　　 第三式：隐藏internet选项中的选项卡　　

　　Internet选项对用户非常的重要，它是我们进入互联网的重要的设置数据，时常会受到木马或人为的篡改，可以通过注册表来隐藏它的选项夹，比如常规项，打开”HKEY_CURRENT_USER/Software/Policies/Microsoft”子项，新建一个internet explorer子项，并在该子项内建立一个名为control panel的子项，并在control panel中新建一个名为generaltab双字节值项，并将数值设置为1，关闭注册表重新启动机器。假如要隐藏安全项，那么在control panel的子项中建立一个名为securitytab双字节值项，并将其数值设为1。　　

　　效果：可以打开internet选项，发现常规、安全选项夹都不见了。　　

　　第四式：隐藏文件夹选项　　

　　文件夹选项可以初步为我们隐藏系统文件和个人数据，免收不必要的损坏，但是人人都知道如何打开它，因此就不安全了，可以通过注册表来使其遁形，打开”HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer”子项，在其中建立一个名为nofolderoptions的双字节值项，并使其数值为1，退出注册表重新启动机器。　　

　　效果：打开控制面板，会发现文件夹选项不见了。　　

　　第五式：禁止添加打印机　　

　　乱添打印机会造成网络故障和病毒的传播，可以通过注册表限制用户不能随意的添加打印机，操作步骤打开”HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer”子项，在其中新建一个名为NOaddPrinter的双字节值项，并使其数值为1，退出注册表重启机器。　　

　　效果：打开设置中的打印机，尽管可以点击右键选择”添加打印机”，但显示此操作被禁止的提示窗口　
 
 

一、采用两种界面来满足不同需求 　　

　　Vista防火墙有两种独立的图形配置界面： 一是基本的配置界面，可以通过“安全中心”和“控制面板”来访问; 二是高级配置界面，用户在创建自定义的MMC后，可作为插件来访问。 　　

　　这可以防止新手用户无意中的改变而导致连接中断，又为高级用户对防火墙设置进行更细化地定制以及控制出站和入站流量提供了一种方法。用户还可以在netsh advfirewall上下文中使用命令，从命令行对Vista防火墙进行配置; 也可以编写脚本，针对一组计算机自动对防火墙进行配置; 还可以通过组策略来控制Vista防火墙的设置。 　　

　　二、默认设置下的安全 　　

　　Vista中的 Windows防火墙在默认状态下采用安全配置，同时仍支持最佳易用性。默认状态下，大多数入站流量被阻挡，出站连接被允许。Vista防火墙可与 Vista的Windows服务加固这项新功能协同工作，所以如果防火墙检测到被Windows服务加固网络规则禁止的行为，它就会阻挡该行为。防火墙还完全支持纯IPv6的网络环境。 　　

　　三、基本配置选项 　　

　　利用基本配置界面，用户可以启动或者关闭防火墙，或者设置防火墙完全阻挡所有程序; 还可以允许有例外情况存在(可以指定不阻挡哪些程序、服务或者端口)，并且指定每种例外情况的范围(是否适用于来自所有计算机的流量，包括互联网上的计算机、局域网/子网上的计算机，或者是你指定了IP地址或者子网的计算机); 还可以指定希望防火墙保护哪些连接，并且配置安全日志和ICMP设置。　

　　四、ICMP消息阻挡 　　

　　默认状态下，入站ICMP回应请求可以通过防火墙，而其他所有ICMP信息被阻挡在外。这是因为，Ping工具定期用来发送回应请求消息，用于故障诊断。不过，黑客也可以发送回应请求消息来锁定目标主机。用户可以通过基本配置界面上的“高级”选项卡，阻挡回应请求消息。 　　

　　五、多个防火墙配置文件 　　

　　附带高级安全MMC插件的Vista防火墙可以让用户在计算机上创建多个防火墙配置文件，那样就可以针对不同环境使用不同的防火墙配置。这对便携式计算机来说特别有用。譬如说，当用户连接到公共无线热点时，可能需要比连接到家庭网络时更安全的配置。用户最多可以创建三个防火墙配置文件： 一个用于连接到Windows域、一个用于连接到专用网络，另一个用于连接到公共网络。

六、IPSec功能 　　

　　通过高级配置界面，用户可以定制IPSec设置，指定用于加密和完整性的安全方法、确定密钥的生命周期按时间计算还是按会话计算，并且选择所需的Diffie-Hellman密钥交换算法。默认状态下，IPSec连接的数据加密功能是禁用的，但可以启用它，并且选择哪些算法用于数据加密和完整性。

　　七、安全规则 　　

　　通过向导程序，用户可以逐步创建安全规则，从而控制单台计算机或者一组计算机之间如何及何时建立安全连接; 也可以根据域成员或者安全状况等标准来限制连接，但允许指定的计算机可以不符合连接验证要求; 还可以创建规则，要求两台特定的计算机(服务器到服务器)连接时需要验证，或者使用隧道规则对网关之间的连接进行验证。 　　

　　八、自定义的验证规则 　　

　　在创建自定义的验证规则时，要指定单台计算机或者一组计算机(通过IP地址或者地址范围)成为连接端点。用户可以请求或者要求对入站连接、出站连接或者两者进行验证。 　　

　　九、入站和出站规则 　　

　　用户可以创建入站和出站规则，从而阻挡或者允许特定程序或者端口进行连接; 可以使用预先设置的规则，也可以创建自定义规则，“新建规则向导”可以帮用户逐步完成创建规则的步骤；用户可以将规则应用于一组程序、端口或者服务，也可将规则应用于所有程序或者某个特定程序；可以阻挡某个软件进行所有连接、允许所有连接，或者只允许安全连接，并要求使用加密来保护通过该连接发送的数据的安全性; 可以为入站和出站流量配置源IP地址及目的地IP地址，同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。 　　

　　十、基于活动目录的规则 　　

　　用户可以创建规则来阻挡或者允许基于活动目录用户、计算机或者组账户的连接，只要连接通过带有Kerberos v5(包含活动目录账户信息)的IPSec来保护安全。用户还可以使用具有高级安全功能的Windows防火墙，执行网络访问保护(NAP)策略。 　　

　　Windows Meeting Space(WMS)是Windows Vista内置的一个新程序，它便于最多10个协作者共享桌面、文件和演示文档，并通过网络传送个人消息给对方