也說Windows XP系統(tǒng)安全鞏固*

馬 味，王 曄

（西昌學(xué)院 汽車與電子工程學(xué)院，四川 西昌 615000）

也說Windows XP系統(tǒng)安全鞏固*

馬 味，王 曄

（西昌學(xué)院 汽車與電子工程學(xué)院，四川 西昌 615000）

鑒于微軟公司對Windows XP系統(tǒng)停止提供技術(shù)支持和漏洞修復(fù)，Windows XP用戶既能使用“圍籬笆”提供的服務(wù)，又可從帳戶管理、帳戶策略和禁用默認共享方面鞏固系統(tǒng)。

帳戶管理；帳戶策略；禁止默認共享；安全鞏固

引言

據(jù)CNZZ調(diào)查統(tǒng)計，至2013年10月，我國的Windows XP用戶比例達59％?！吨袊髽I(yè)殺毒軟件產(chǎn)品市場調(diào)研報告》顯示，Windows XP系統(tǒng)在中國企業(yè)市場占有高達43％的份額，甚至在部分政府單位和大型企業(yè)中Windows XP系統(tǒng)的應(yīng)用比例超過了60％[1]。這兩大調(diào)查證明中國Windows XP用戶數(shù)量巨大?？墒?，2014年4月8日，微軟公司停止提供Windows XP系統(tǒng)技術(shù)支持與安全漏洞修復(fù)，很多Windows XP用戶由于自身或其他原因，不能及時升級到Windows 7或Windows 8等更新更安全的系統(tǒng)。確保XP系統(tǒng)的安全將是一個非常重要的問題。

大多數(shù)Windows XP用戶會啟動Windows自帶的防火墻，安裝殺毒軟件并定期對系統(tǒng)殺毒、升級病毒庫，安裝安全衛(wèi)士并定期對電腦進行體檢，還有利用“圍籬笆”提供的“系統(tǒng)升級援助”、“XP系統(tǒng)安全主動防御”、“XP救援服務(wù)站”、“XP用戶專版安全軟件”等的一系列安全服務(wù)。筆者認為還可從帳戶管理、禁用默認共享、帳戶策略方面鞏固Windows XP系統(tǒng)的安全。

1 帳號管理

用戶在命令提示符界面輸入net user以后可看到用戶列表，包括Administrator和Guest這兩個帳戶。它們是系統(tǒng)安裝完以后自動創(chuàng)建的。如果用戶沒有對此做相應(yīng)設(shè)置的話，將存在一定的安全隱患。

1.1 Administrator設(shè)置密碼及更名

Administrator帳戶是系統(tǒng)自動創(chuàng)建并且密碼為空的超級管理員帳戶，權(quán)限非常大，不能刪除或者禁用。如果用戶沒有進行相關(guān)的設(shè)置，非法用戶通過它很容易進入用戶電腦，輕者竊取或者刪除重要資料，重者讓系統(tǒng)癱瘓。所以，首先要對Administrator帳戶設(shè)置密碼。這一密碼最好采用字母、數(shù)字和符號的組合，長度最好大于等于8個字符。這樣的密碼是抗攻擊的最好密碼，可通過控制面板里面的[用戶帳戶]窗口設(shè)置Administrator密碼。其次，最好更名Administrator帳戶，不能使用admin這樣的名字，要盡量將Administrator偽裝為普通用戶，如Guest 1或者Guestone。詳細來講，Administrator帳戶更名的操作順序為：[控制面板]→[管理工具]→[計算機管理]→[本地用戶和組]→[用戶]，再在右邊窗格中右鍵選中Administrator，選擇[重命名]完成[2]。如圖 1所示。

圖1 計算機管理窗口用戶

1.2 Guest帳戶停用

Guest帳戶也是系統(tǒng)安裝完畢以后默認建立的帳戶。該帳戶的權(quán)限最低，以便瀏覽者查看計算機上的一些資源。黑客可將該帳戶的權(quán)限提升到管理員權(quán)限，從而給用戶計算機帶來危害。因此，停用Guest帳戶可加強系統(tǒng)的安全。在圖1的[計算機管理]窗口里面，右擊Guest帳戶后選擇[屬性]，在[Guest屬性]窗戶里面的[常規(guī)]選項卡中勾選[帳戶已停用]，點擊[應(yīng)用]和[確定]按鈕即完成設(shè)置。如圖2所示。

圖2 Guest屬性窗口

1.3 陷阱帳戶

陷阱帳戶是創(chuàng)建一Guest組，名字為“Administrator”的本地帳戶。它同時還有一超過10位的超級復(fù)雜的密碼，這樣可花費那些企圖入侵者很多時間，又可借此發(fā)現(xiàn)入侵者的企圖。詳細步驟為先創(chuàng)建新用戶，再將該用戶添加到Guest組。創(chuàng)建新用戶的步驟為：[計算機管理]窗口中右擊右側(cè)窗格的空白地方，選擇[新用戶]，打開[新用戶]對話框，輸入用戶名及密碼，再選擇[創(chuàng)建]按鈕。將該用戶添加到Guest組的步驟為：在圖2所示的Guest屬性窗口的[隸屬于]選項卡里進行添加操作。

2 禁用默認共享

默認共享是在計算機系統(tǒng)安裝后自動開啟的管理共享，管理員常用它來管理遠程計算機。這也給黑客帶來了可乘之機。黑客通過這些共享磁盤分區(qū)，隨意進入用戶計算機，給用戶帶來不安全因素。因此，禁用默認共享可徹底消除安全隱患[3,4]。

2.1 查看默認共享

在Windows XP里面，默認開啟的共享為所有分區(qū)磁盤及“admin$”、“ipc$”。這些共享都有“$”標(biāo)志，表示共享狀態(tài)是隱藏的。[網(wǎng)上鄰居]中找不到這種隱藏的默認分區(qū)，用戶只能在[運行]對話框中輸入“\計算機名或IP地址盤符$”對這些默認共享進行訪問，或者在瀏覽器的地址欄中輸入“file://計算機名或IP地址/盤符$”來訪問。查看默認共享資源可通過以下兩種方法來實現(xiàn)。

● 使用net share命令

詳細步驟為：執(zhí)行[開始]→[運行]，在運行對話框中輸入“cmd”，選擇[確定]按鈕。打開命令提示符窗口并輸入“net share”查看所有開啟的默認共享資源。

● 使用[計算機管理]窗口查看

右擊[我的電腦]→[管理]→[計算機管理]，在計算機管理窗口中展開[共享文件夾]節(jié)點，并單擊[共享]選項。在右側(cè)窗格中就能看見默認共享資源。如圖3所示。

圖3 計算機管理窗口的共享

2.2 停止默認共享

停止默認共享可使用net share命令、計算機管理窗口、關(guān)閉Server服務(wù)、修改注冊表和卸載[文件和打印機共享]進行設(shè)置。其中net share命令和計算機管理窗口只能暫時關(guān)閉默認共享。關(guān)閉Server服務(wù)和修改注冊表可永久關(guān)閉共享。卸載“文件和打印機共享”后，系統(tǒng)不能再給任何人提供共享功能，一般不推薦使用。下面依次介紹。

● net share命令

net share命令關(guān)閉默認共享與net share查看默認共享操作基本相同，在命令提示符窗口輸入“net share盤符$/delete”命令，按回車鍵刪除指定的默認共享。如輸入“net share C$/delete”（delete前必須有空格）并按回車鍵，顯示C$已經(jīng)刪除的信息。使用同樣的方法可刪除D$、E$、Admin$、IPC$等默認共享。

另外，還能使用批處理命令在開機時自動關(guān)閉全部的默認共享。詳細步驟為：

打開記事本程序，輸入圖4所示的命令，將該文件另存為批處理文件（即文件擴展名為.bat），將該文件拖到啟動子菜單下。這樣每次啟動計算機時，就會運行該批處理文件，關(guān)閉所有的默認共享。也可雙擊.bat文件或在命令提示符下運行.bat文件都可關(guān)閉默認共享。用戶還可根據(jù)需要選擇關(guān)閉默認共享，只要打開.bat文件即能進行修改。

圖4 批處理命令編寫

● 計算機管理窗口

使用計算機管理窗口查看默認共享的界面中，右擊選中的默認共享，選擇[操作]→[停止共享]，彈出[共享文件夾]提示框，選擇[是]按鈕完成選定默認共享的關(guān)閉。

● 關(guān)閉Server服務(wù)

詳細步驟為：

[開始]→[運行]，在[運行]對話框中輸入 services.msc，單擊[確定]按鈕打開服務(wù)窗口?；蛘咭来芜x擇[控制面版]→[管理工具]→[服務(wù)]打開服務(wù)窗口，在右側(cè)窗格中雙擊server，打開server屬性（本地計算機）窗口，將啟動類型改為[已禁用]，單擊[停止]按鈕，再單擊[應(yīng)用]、[確定]按鈕。如圖5所示。

圖5 Server的屬性窗口

● 修改注冊表

利用注冊表編輯器可將默認共享永久關(guān)閉。詳細實現(xiàn)是通過創(chuàng)建DWROD鍵值，將它的值設(shè)為0。詳細步驟為：

在[運行]中輸入regedit命令打開注冊表編輯器，選擇主鍵HEKY_LOCAL_MACHINE，在該主鍵下選擇子鍵：

SYSTEMCurrentControlSetSetServicesLanman ServeAutotunedParameters，右擊右側(cè)窗格的空白地方，[新建]→[DWROD 值]菜單項，創(chuàng)建名為AutoShareServer的DWROD值，并將其賦值為“0”。如圖6所示。

圖6 創(chuàng)建AutoShareServer鍵值

● 卸載“文件和打印機共享”

在Windows XP系統(tǒng)中，所有共享功能都是通過“文件和打印機共享”服務(wù)提供的。若將其卸載，默認共享就被徹底關(guān)閉，同時計算機也就不存在任何共享功能。所以，一般不推薦使用該方法關(guān)閉默認共享。卸載“文件和打印機共享”是通過本地連接屬性對話框來實現(xiàn)的，選中[Microsoft網(wǎng)絡(luò)的文件與打印機共享]→[卸載]按鈕，按默認步驟執(zhí)行。

3 帳戶策略設(shè)置

帳戶策略有密碼策略和賬戶鎖定策略兩種。其中，通過密碼策略的設(shè)置可加強密碼的破解難度。帳戶鎖定策略可有效地避免自動猜測工具的攻擊，同時也可打擊手動嘗試者[3,4]。

3.1 密碼策略

通過執(zhí)行[開始]→[管理工具]→[本地安全策略]→[帳戶策略]→[密碼策略]，查看所有的密碼策略選項。常用的選項為[密碼必須符合復(fù)雜性要求]、[密碼長度最小值]、[密碼最長存留期]和[密碼最短存留期]。其中，[密碼必須符合復(fù)雜性要求]是指密碼中必須包含字母、數(shù)字、特殊字符等，強制用戶必須使用經(jīng)過復(fù)雜設(shè)置的密碼。[密碼長度最小值]確定用戶的帳戶密碼可包含的最少字符數(shù)，推薦8位及以上字符。[密碼最長存留期]確定用戶更換密碼以前可使用該密碼的天數(shù)，推薦30～90天之間。[密碼最短存留期]確定用戶在更改密碼以前必須使用該密碼的天數(shù)，可設(shè)置一介于1和998天之間的值，或者將天數(shù)設(shè)置為0，能立即更改密碼。這些選項的啟用總是右擊相應(yīng)選報后選擇[屬性]完成。

圖7 密碼策略窗口

3.2 賬戶鎖定策略

帳戶鎖定是指當(dāng)帳戶受到密碼詞典或暴力破解等方式的在線自動登錄工具攻擊時，將此帳戶進行鎖定，使其在一段時間內(nèi)不能再次使用的策略。帳戶策略主要由帳戶鎖定閾值、賬戶鎖定時間和復(fù)位賬戶鎖定計數(shù)器組成。帳戶鎖定閾值確定用戶帳戶被鎖定登錄的失敗次數(shù)，建議值為3～5。賬戶鎖定時間確定帳戶在自動解鎖前保持鎖定狀態(tài)的分鐘數(shù)，有效范圍為0～99999分鐘之間。復(fù)位賬戶鎖定計數(shù)器確定在登錄嘗試失敗計數(shù)器重置為0以前，嘗試登錄失敗之后所需的時間[5]。如圖8所示。

圖8 帳戶鎖定策略窗口

通常為了保護用戶帳戶安全，推薦的帳戶策略應(yīng)包括以下內(nèi)容：

啟動[密碼必須符合復(fù)雜性要求]，推薦密碼長度最小值為8個字符或更高，賬戶鎖定閾值為3或者更高，復(fù)位帳戶鎖定計數(shù)器設(shè)置為30分鐘以后。

4 結(jié)語

微軟公司自2014年4月8日停止了提供Windows XP系統(tǒng)技術(shù)支持與安全漏洞修復(fù)，筆者建議數(shù)量巨大的Windows XP系統(tǒng)用戶通過帳戶管理、禁用默認共享和帳戶策略的設(shè)置加固計算機系統(tǒng)安全。Windows XP系統(tǒng)用戶最好選擇新系統(tǒng)是上策。

注釋及參考文獻：

[1]http://www.docin.com/p-837599565.html.

[2]石志國.計算機網(wǎng)絡(luò)安全教程[M].北京:清華大學(xué)出版社,2011:227-235.

[3]導(dǎo)向工作室.24小時學(xué)會黑客功放[M].北京:人民郵電出版社,2011:165-173.

[4]武新華.黑客攻防實戰(zhàn)從入門到精通第2版[M].北京:科學(xué)出版社,2011:25-28.

[5]陳中平.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2011:113-116，127-132.

We to Reinforce the Security of Windows XP System

MA Wei,WANG Ye
(School of Automotive and Electronic Engineering，Xichang College,Xichang,Sichuan 615013)

Because Microsoft ceased providing technical support and bug fixes for Windows XP system,the users of Windows XP system not only can use the services of“firm fence”providing,but also should reinforce Windows XP system from accounts management,forbid default shared,and accounts strategies.

accounts management;accounts strategies;forbid default shared;reinforce security

TP316.89

A

1673-1891（2015）02-0068-04

2015-03-10

西昌學(xué)院研究生項目“VBA在Excel中的應(yīng)用研究”(項目編號：XY09-ZA18)。

馬味（1981-），女，回族，四川西昌人，講師，軟件工程碩士，研究方向：計算機基礎(chǔ)與系統(tǒng)安全。