Administrator賬戶建議

因為強大的權(quán)限，Windows環(huán)境下的administrator賬戶必須受到重點保護，本段將討論各種保護具有管理員特權(quán)賬戶的方法。

Additional Administrator Accounts

在Windows XP安裝過程中，如果用戶決定把XP安裝成獨立工作站，用戶就會被詢問“誰將使用這臺計算機？”以及會被要求創(chuàng)建至少一個用戶賬戶，如果不創(chuàng)建任何賬戶那安裝過程將無法繼續(xù)下去。任何在這里創(chuàng)建的賬戶都將會被指派一個空白的密碼，并成為Administrators組的成員。因此，哪怕僅創(chuàng)建了一個賬戶，機器中也會有兩個管理員賬戶：系統(tǒng)內(nèi)建的Administrator賬戶以及用戶創(chuàng)建的賬戶。獨立工作站形式的Windows XP系統(tǒng)需要一個額外的管理員賬戶因為不建議使用系統(tǒng)內(nèi)建的Administrator賬戶進行本地登陸。然而在域環(huán)境中，額外的管理員賬戶會帶來安全隱患。在Windows XP中，使用空白密碼的本地賬戶無法通過網(wǎng)絡(luò)登錄，但是他們可以本地登錄。因此在域環(huán)境中，建議刪除在安裝系統(tǒng)過程中創(chuàng)建的額外的管理員賬戶，并確保系統(tǒng)內(nèi)建的Administrator賬戶有一個好的、復(fù)雜的密碼。如果還需要額外的管理員賬戶，確保該賬戶有一個強密碼。

要刪除一個用戶賬戶：

選擇控制面板 - 用戶賬戶點擊要刪除的賬戶點擊刪除賬戶

用戶賬戶還可以用以下方法刪除：

選擇開始 - 所有程序 - 管理工具 - 計算機管理展開本地用戶和組節(jié)點雙擊用戶在右側(cè)的面板，右鍵點擊想要刪除的賬戶從彈出菜單選擇刪除

Administrator賬戶的使用以及RunAs命令

管理員應(yīng)當(dāng)有兩個賬戶：一個具有管理員特權(quán)一個只是普通用戶。系統(tǒng)管理員應(yīng)該只在需要的時候才使用管理員賬戶，而日常任務(wù)使用普通賬戶。管理員決不能用他們的管理員賬戶訪問互聯(lián)網(wǎng)，因為網(wǎng)頁上可能包含各種惡意代碼，并且這些代碼可能會以當(dāng)前登錄用戶的身份運行。 當(dāng)進行某些需要管理員權(quán)限的操作時，可以使用runas命令。這個命令可以允許沒有特權(quán)的用戶以其他用戶的身份運行某些程序。在命令行下輸入runas /?可獲得詳細的參數(shù)，該命令可以這樣使用：

runas /user:domain_nameadministrator_account program_name

runas命令也可以通過以下方法處理后直接在快捷方式的右鍵菜單中執(zhí)行：

從開始菜單中，找到目標(biāo)程序在按下SHIFT鍵的同時右鍵點擊該程序的快捷方式 從彈出菜單中選擇運行方式選擇下列用戶輸入或選擇一個用戶名輸入密碼點擊確定

注意：RunAs命令需要Windows XP中的Secondary Logon服務(wù)或Windows 2000中的RunAs服務(wù)正確運行，這些服務(wù)默認是啟動的。共享資源的權(quán)限

Windows共享意味著一些資源，例如文件、文件夾、打印機和其他一些資源可以通過網(wǎng)絡(luò)向網(wǎng)絡(luò)用戶發(fā)布出去，供他們遠程訪問。一般用戶不能在他們本機上創(chuàng)建共享，只有Administrators組和Power Users組的用戶具有創(chuàng)建共享的權(quán)限，同時要創(chuàng)建共享首先還要保證必須對要共享的文件夾至少具有只讀的權(quán)限。其他具有創(chuàng)建永久共享對象權(quán)限的用戶也可以創(chuàng)建共享。因為共享的數(shù)據(jù)中可能包含中還要數(shù)據(jù)并且是通向本地系統(tǒng)的窗口，因此對于共享資源的權(quán)限設(shè)置一定要注意。

可以對一個用戶或者用戶組指派以下的共享權(quán)限：

完全控制更改只讀

共享權(quán)限是不依賴于NTFS權(quán)限存在的，然而共享權(quán)限又跟NTFS權(quán)限密不可分。當(dāng)訪問一個遠程共享時，將會被應(yīng)用兩者結(jié)合的更具有限制性的權(quán)限。舉例來說，如果一個用戶訪問一個具有完全控制權(quán)限的共享文件夾，但是相對本地系統(tǒng)則只有只讀的NTFS權(quán)限時，他將只能獲得對該文件夾只讀的權(quán)限。

共享的默認是給Everyone完全控制的權(quán)限，因此為了限制訪問，你必須自己編輯共享權(quán)限，這意味著你的NTFS權(quán)限將會被單獨用來決定遠程用戶可以具有什么樣的權(quán)限。如果因為某些原因用戶訪問共享文件夾時需要獲得比他們本地登錄后獲得的權(quán)限稍小的共享權(quán)限，你就可以使用共享權(quán)限在NTFS權(quán)限的基礎(chǔ)上更進一步地限制他的訪問。然而要注意，對用戶共享權(quán)限的限制不會被應(yīng)用于他們通過終端服務(wù)進行的本地登錄，基于這個原因，建議NTFS權(quán)限一定要設(shè)置好。

注意：當(dāng)簡單文件共享被禁用（例如Windows XP計算機加入域）后，Windows XP不允許共享Documents and Settings、Program Files還有%SystemRoot%文件夾，以及%SystemRoot%的子文件夾。

設(shè)置共享權(quán)限

要創(chuàng)建共享并設(shè)置權(quán)限：

在資源管理器中，右鍵點擊想要共享的文件夾從彈出菜單中選擇共享和安全…點擊共享該文件夾指定一個共享名點擊權(quán)限按鈕從共享的訪問列表中添加、刪除或者編輯用戶和用戶組的權(quán)限

注意：如果你打開了簡單文件共享，這個對話框?qū)耆煌Ｔ谑褂煤唵挝募蚕淼那闆r下，所有的網(wǎng)絡(luò)用戶都被識別為來賓用戶，而不管他們登錄使用的賬戶。

共享的安全建議

當(dāng)創(chuàng)建共享和設(shè)置共享權(quán)限時，在可能的情況下請盡量遵循下列建議：

確保所有的共享都沒有給Everyone組指派任何權(quán)限使用經(jīng)驗證用戶或者用戶組代替Everyone組只給用戶和/或用戶組所需要的最小權(quán)限

為了保護包含敏感數(shù)據(jù)的共享不被一般人知道，可以在創(chuàng)建共享時給共享名后添加一個$符號來隱藏共享，這種情況下用戶仍然可以訪問隱藏的共享文件夾，但是必須輸入準(zhǔn)確的共享路徑（在這種情況下隱藏的共享不會出現(xiàn)在網(wǎng)絡(luò)鄰中）

刪除POSIX 注冊表項目

如同本文開頭所說，POSIX子系統(tǒng)不再包含在Windows XP中，然而兩個POSIX注冊表鍵仍然存在，事實上，一個鍵HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubSystemsPosix被設(shè)置為%SystemRoot%system32psxss.exe，這個文件并不存在于Windows XP中。因此建議使用以下步驟刪除這個注冊表鍵：

在注冊表編輯器regedit中，定位到HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubsystems 鍵

在右側(cè)面板中，選擇可選值

從編輯菜單中選擇刪除

在詢問“Are you sure you want to delete this value?“的對話框上，點擊確定按鈕

重復(fù)以上步驟刪除Posix的注冊表鍵值，同樣是在Subsystems 鍵其他組策略設(shè)置

本段列舉了一些可以通過組策略被應(yīng)用的安全建議。組策略可以被應(yīng)用到Windows XP計算機，無論該計算機是否域成員。同時，組策略也可以從Windows 2000域控制器應(yīng)用到Windows XP工作站。要訪問GPO：

在MMC的組策略組件中打開GPO或者在容器的屬性 - 組策略選項卡下訪問鏈接的GPO

如果通過組策略選項卡訪問，高亮選擇目標(biāo)GPO然后點擊編輯按鈕訪問組策略組件

禁用遠處協(xié)助/桌面

跟其他所有遠程控制技術(shù)一樣，遠程協(xié)助和遠程桌面因為用途的關(guān)系具有一定的安全風(fēng)險。建議不要在需要高度安全性的網(wǎng)絡(luò)中使用遠程控制技術(shù)，若要禁用遠程協(xié)助，可設(shè)置以下的組策略：

定位到計算機配置管理模板系統(tǒng)遠程協(xié)助節(jié)點雙擊右側(cè)面板的請求遠程協(xié)助設(shè)置點擊禁用按鈕禁止用戶請求遠程協(xié)助應(yīng)用設(shè)置并關(guān)閉窗口雙擊右側(cè)面板的提供遠程協(xié)助設(shè)置點擊禁用按鈕禁止用戶在這臺計算機上向別人提供遠程協(xié)助幫助應(yīng)用設(shè)置并關(guān)閉窗口注意：組策略的設(shè)置將會覆蓋其他任何的系統(tǒng)屬性中遠程選項卡的設(shè)置。

要禁止計算機接受遠程桌面連接，進行如下操作：右鍵點擊我的電腦，選擇屬性打開系統(tǒng)屬性對話框在系統(tǒng)屬性對話框打開遠程選項卡確保允許用戶遠程連接到這臺計算機復(fù)選框沒有被選中點擊選擇遠程用戶...按鈕，打開遠程桌面用戶對話框從Remote Desktop Users用戶組刪除所有用戶和用戶組

網(wǎng)絡(luò)初始化

默認情況下，Windows XP在允許用戶登錄之前并不會等待網(wǎng)絡(luò)初始化完全完成；相反，在登錄一些已經(jīng)存在的用戶是多半會使用緩存的憑證，這會減少登錄所需的時間。用戶登錄后組策略才會在后臺被應(yīng)用。

這種行為造成了組策略的某些擴展，例如軟件安裝和文件夾重定向應(yīng)用，都需要用戶登錄至少兩次后才能被成功應(yīng)用。因為這些擴展都要求在被處理的過程中沒有已經(jīng)登錄的用戶，并且最好是強制在用戶登錄之前再前臺進行，同時，用戶策略的改變例如添加配置文件路徑或者添加登錄腳本都需要兩次登錄以便生效。

為了遵守在Windows2000或者Windows NT域中不對從登錄到Windows XP客戶端的用戶進行密碼過期提醒這一策略，文體發(fā)生了。如果用戶是在組策略應(yīng)用之前使用緩存的憑據(jù)登錄的，當(dāng)密碼過期警告信息應(yīng)該被顯示時這個響應(yīng)卻不能被處理，直到用戶下一次登錄。因此用戶的密碼應(yīng)當(dāng)在用戶收到警告消息之后再過期。 本文不建議緩存登錄憑證（交互式登錄：可被緩存的前次登錄的個數(shù)這個安全選項被設(shè)置為0），這樣緩存的用戶憑證就不能被用來驗證登錄到域的用戶，強制等待網(wǎng)絡(luò)初始化完全完成后進行。然而，如果緩存的前次登錄的格式被設(shè)置為非0的數(shù)字，問題同樣會存在。關(guān)于Windows XP中密碼過期問題的詳細內(nèi)容請參考微軟知識庫文章Q313194：

通常來說，把所有與計算機有關(guān)的組策略的改變放在用戶登錄之前應(yīng)用是一個好習(xí)慣，這樣用戶就可以在最新的安全設(shè)置下使用系統(tǒng)，因此建議使用以下的組策略設(shè)置：

定位到計算機配置管理模板系統(tǒng)登錄選項在右側(cè)面板，雙擊計算機啟動和登錄時總是等待網(wǎng)絡(luò)點擊啟用按鈕點擊確定

禁用媒體的自動播放

自動播放功能會在可以動媒體插入后讀取其中的數(shù)據(jù)，默認情況下，Windows XP會自動運行光驅(qū)中插入的所有光盤，這將會允許可執(zhí)行的內(nèi)容在被允許前自動被執(zhí)行。默認情況下軟盤和網(wǎng)絡(luò)驅(qū)動器的自動播放功能被禁用了。要禁止所有驅(qū)動器上的自動播放功能，可采取如下操作：

定位到計算機配置管理模板系統(tǒng)選項在右側(cè)的面板，雙擊關(guān)閉自動播放點擊啟用按鈕在關(guān)閉自動播放: 下拉菜單，選擇所有驅(qū)動器點擊確定

封閉網(wǎng)絡(luò)中的NetBIOS和SMB端口

在Windows環(huán)境中，NetBIOS定義了一個軟件接口和命名協(xié)議，基于TCP/IP之上的NetBIOS（NetBT）為TCP/IP協(xié)議提供了NetBIOS程序接口。Windows 2000和Windows XP使用NetBT與Windows NT以及更老版本的Windows（例如Windows 9x）系統(tǒng)交流。然而，當(dāng)與其他Windows 2000或者Windows XP計算機交流時，Windows XP使用了direct hosting。Direct hosting在命名協(xié)議方面利用了DNS代替NetBIOS，并使用了TCP端口445而不是TCP端口139。服務(wù)器消息過濾服務(wù)使用直接通過TCP/IP協(xié)議的網(wǎng)絡(luò)資源共享，而不是使用NetBIOS作為“中間人”。

Windows NetBIOS和SMB端口（端口135-139還有端口445）之間的交流可以提供關(guān)于Windows系統(tǒng)的很多信息，并且可能引起潛在的攻擊。因此禁止從局域網(wǎng)外連向系統(tǒng)這些端口的連接是很重要的。

建議在防火墻或者路由器上阻擋到端口135、137、138、139和445的出站以及入站連接，大量的攻擊以及潛在的威脅都是因為出站的SMB連接造成的。