也說Windows XP系統安全鞏固*

馬 味，王 曄

（西昌學院 汽車與電子工程學院，四川 西昌 615000）

也說Windows XP系統安全鞏固*

馬 味，王 曄

（西昌學院 汽車與電子工程學院，四川 西昌 615000）

鑒于微軟公司對Windows XP系統停止提供技術支持和漏洞修復，Windows XP用戶既能使用“圍籬笆”提供的服務，又可從帳戶管理、帳戶策略和禁用默認共享方面鞏固系統。

帳戶管理；帳戶策略；禁止默認共享；安全鞏固

引言

據CNZZ調查統計，至2013年10月，我國的Windows XP用戶比例達59％?！吨袊髽I殺毒軟件產品市場調研報告》顯示，Windows XP系統在中國企業市場占有高達43％的份額，甚至在部分政府單位和大型企業中Windows XP系統的應用比例超過了60％[1]。這兩大調查證明中國Windows XP用戶數量巨大?？墒?，2014年4月8日，微軟公司停止提供Windows XP系統技術支持與安全漏洞修復，很多Windows XP用戶由于自身或其他原因，不能及時升級到Windows 7或Windows 8等更新更安全的系統。確保XP系統的安全將是一個非常重要的問題。

大多數Windows XP用戶會啟動Windows自帶的防火墻，安裝殺毒軟件并定期對系統殺毒、升級病毒庫，安裝安全衛士并定期對電腦進行體檢，還有利用“圍籬笆”提供的“系統升級援助”、“XP系統安全主動防御”、“XP救援服務站”、“XP用戶專版安全軟件”等的一系列安全服務。筆者認為還可從帳戶管理、禁用默認共享、帳戶策略方面鞏固Windows XP系統的安全。

1 帳號管理

用戶在命令提示符界面輸入net user以后可看到用戶列表，包括Administrator和Guest這兩個帳戶。它們是系統安裝完以后自動創建的。如果用戶沒有對此做相應設置的話，將存在一定的安全隱患。

1.1 Administrator設置密碼及更名

Administrator帳戶是系統自動創建并且密碼為空的超級管理員帳戶，權限非常大，不能刪除或者禁用。如果用戶沒有進行相關的設置，非法用戶通過它很容易進入用戶電腦，輕者竊取或者刪除重要資料，重者讓系統癱瘓。所以，首先要對Administrator帳戶設置密碼。這一密碼最好采用字母、數字和符號的組合，長度最好大于等于8個字符。這樣的密碼是抗攻擊的最好密碼，可通過控制面板里面的[用戶帳戶]窗口設置Administrator密碼。其次，最好更名Administrator帳戶，不能使用admin這樣的名字，要盡量將Administrator偽裝為普通用戶，如Guest 1或者Guestone。詳細來講，Administrator帳戶更名的操作順序為：[控制面板]→[管理工具]→[計算機管理]→[本地用戶和組]→[用戶]，再在右邊窗格中右鍵選中Administrator，選擇[重命名]完成[2]。如圖 1所示。

圖1 計算機管理窗口用戶

1.2 Guest帳戶停用

Guest帳戶也是系統安裝完畢以后默認建立的帳戶。該帳戶的權限最低，以便瀏覽者查看計算機上的一些資源。黑客可將該帳戶的權限提升到管理員權限，從而給用戶計算機帶來危害。因此，停用Guest帳戶可加強系統的安全。在圖1的[計算機管理]窗口里面，右擊Guest帳戶后選擇[屬性]，在[Guest屬性]窗戶里面的[常規]選項卡中勾選[帳戶已停用]，點擊[應用]和[確定]按鈕即完成設置。如圖2所示。

圖2 Guest屬性窗口

1.3 陷阱帳戶

陷阱帳戶是創建一Guest組，名字為“Administrator”的本地帳戶。它同時還有一超過10位的超級復雜的密碼，這樣可花費那些企圖入侵者很多時間，又可借此發現入侵者的企圖。詳細步驟為先創建新用戶，再將該用戶添加到Guest組。創建新用戶的步驟為：[計算機管理]窗口中右擊右側窗格的空白地方，選擇[新用戶]，打開[新用戶]對話框，輸入用戶名及密碼，再選擇[創建]按鈕。將該用戶添加到Guest組的步驟為：在圖2所示的Guest屬性窗口的[隸屬于]選項卡里進行添加操作。

2 禁用默認共享

默認共享是在計算機系統安裝后自動開啟的管理共享，管理員常用它來管理遠程計算機。這也給黑客帶來了可乘之機。黑客通過這些共享磁盤分區，隨意進入用戶計算機，給用戶帶來不安全因素。因此，禁用默認共享可徹底消除安全隱患[3,4]。

2.1 查看默認共享

在Windows XP里面，默認開啟的共享為所有分區磁盤及“admin$”、“ipc$”。這些共享都有“$”標志，表示共享狀態是隱藏的。[網上鄰居]中找不到這種隱藏的默認分區，用戶只能在[運行]對話框中輸入“\計算機名或IP地址盤符$”對這些默認共享進行訪問，或者在瀏覽器的地址欄中輸入“file://計算機名或IP地址/盤符$”來訪問。查看默認共享資源可通過以下兩種方法來實現。

● 使用net share命令

詳細步驟為：執行[開始]→[運行]，在運行對話框中輸入“cmd”，選擇[確定]按鈕。打開命令提示符窗口并輸入“net share”查看所有開啟的默認共享資源。

● 使用[計算機管理]窗口查看

右擊[我的電腦]→[管理]→[計算機管理]，在計算機管理窗口中展開[共享文件夾]節點，并單擊[共享]選項。在右側窗格中就能看見默認共享資源。如圖3所示。

圖3 計算機管理窗口的共享

2.2 停止默認共享

停止默認共享可使用net share命令、計算機管理窗口、關閉Server服務、修改注冊表和卸載[文件和打印機共享]進行設置。其中net share命令和計算機管理窗口只能暫時關閉默認共享。關閉Server服務和修改注冊表可永久關閉共享。卸載“文件和打印機共享”后，系統不能再給任何人提供共享功能，一般不推薦使用。下面依次介紹。

● net share命令

net share命令關閉默認共享與net share查看默認共享操作基本相同，在命令提示符窗口輸入“net share盤符$/delete”命令，按回車鍵刪除指定的默認共享。如輸入“net share C$/delete”（delete前必須有空格）并按回車鍵，顯示C$已經刪除的信息。使用同樣的方法可刪除D$、E$、Admin$、IPC$等默認共享。

另外，還能使用批處理命令在開機時自動關閉全部的默認共享。詳細步驟為：

打開記事本程序，輸入圖4所示的命令，將該文件另存為批處理文件（即文件擴展名為.bat），將該文件拖到啟動子菜單下。這樣每次啟動計算機時，就會運行該批處理文件，關閉所有的默認共享。也可雙擊.bat文件或在命令提示符下運行.bat文件都可關閉默認共享。用戶還可根據需要選擇關閉默認共享，只要打開.bat文件即能進行修改。

圖4 批處理命令編寫

● 計算機管理窗口

使用計算機管理窗口查看默認共享的界面中，右擊選中的默認共享，選擇[操作]→[停止共享]，彈出[共享文件夾]提示框，選擇[是]按鈕完成選定默認共享的關閉。

● 關閉Server服務

詳細步驟為：

[開始]→[運行]，在[運行]對話框中輸入 services.msc，單擊[確定]按鈕打開服務窗口?；蛘咭来芜x擇[控制面版]→[管理工具]→[服務]打開服務窗口，在右側窗格中雙擊server，打開server屬性（本地計算機）窗口，將啟動類型改為[已禁用]，單擊[停止]按鈕，再單擊[應用]、[確定]按鈕。如圖5所示。

圖5 Server的屬性窗口

● 修改注冊表

利用注冊表編輯器可將默認共享永久關閉。詳細實現是通過創建DWROD鍵值，將它的值設為0。詳細步驟為：

在[運行]中輸入regedit命令打開注冊表編輯器，選擇主鍵HEKY_LOCAL_MACHINE，在該主鍵下選擇子鍵：

SYSTEMCurrentControlSetSetServicesLanman ServeAutotunedParameters，右擊右側窗格的空白地方，[新建]→[DWROD 值]菜單項，創建名為AutoShareServer的DWROD值，并將其賦值為“0”。如圖6所示。

圖6 創建AutoShareServer鍵值

● 卸載“文件和打印機共享”

在Windows XP系統中，所有共享功能都是通過“文件和打印機共享”服務提供的。若將其卸載，默認共享就被徹底關閉，同時計算機也就不存在任何共享功能。所以，一般不推薦使用該方法關閉默認共享。卸載“文件和打印機共享”是通過本地連接屬性對話框來實現的，選中[Microsoft網絡的文件與打印機共享]→[卸載]按鈕，按默認步驟執行。

3 帳戶策略設置

帳戶策略有密碼策略和賬戶鎖定策略兩種。其中，通過密碼策略的設置可加強密碼的破解難度。帳戶鎖定策略可有效地避免自動猜測工具的攻擊，同時也可打擊手動嘗試者[3,4]。

3.1 密碼策略

通過執行[開始]→[管理工具]→[本地安全策略]→[帳戶策略]→[密碼策略]，查看所有的密碼策略選項。常用的選項為[密碼必須符合復雜性要求]、[密碼長度最小值]、[密碼最長存留期]和[密碼最短存留期]。其中，[密碼必須符合復雜性要求]是指密碼中必須包含字母、數字、特殊字符等，強制用戶必須使用經過復雜設置的密碼。[密碼長度最小值]確定用戶的帳戶密碼可包含的最少字符數，推薦8位及以上字符。[密碼最長存留期]確定用戶更換密碼以前可使用該密碼的天數，推薦30～90天之間。[密碼最短存留期]確定用戶在更改密碼以前必須使用該密碼的天數，可設置一介于1和998天之間的值，或者將天數設置為0，能立即更改密碼。這些選項的啟用總是右擊相應選報后選擇[屬性]完成。

圖7 密碼策略窗口

3.2 賬戶鎖定策略

帳戶鎖定是指當帳戶受到密碼詞典或暴力破解等方式的在線自動登錄工具攻擊時，將此帳戶進行鎖定，使其在一段時間內不能再次使用的策略。帳戶策略主要由帳戶鎖定閾值、賬戶鎖定時間和復位賬戶鎖定計數器組成。帳戶鎖定閾值確定用戶帳戶被鎖定登錄的失敗次數，建議值為3～5。賬戶鎖定時間確定帳戶在自動解鎖前保持鎖定狀態的分鐘數，有效范圍為0～99999分鐘之間。復位賬戶鎖定計數器確定在登錄嘗試失敗計數器重置為0以前，嘗試登錄失敗之后所需的時間[5]。如圖8所示。

圖8 帳戶鎖定策略窗口

通常為了保護用戶帳戶安全，推薦的帳戶策略應包括以下內容：

啟動[密碼必須符合復雜性要求]，推薦密碼長度最小值為8個字符或更高，賬戶鎖定閾值為3或者更高，復位帳戶鎖定計數器設置為30分鐘以后。

4 結語

微軟公司自2014年4月8日停止了提供Windows XP系統技術支持與安全漏洞修復，筆者建議數量巨大的Windows XP系統用戶通過帳戶管理、禁用默認共享和帳戶策略的設置加固計算機系統安全。Windows XP系統用戶最好選擇新系統是上策。

注釋及參考文獻：

[1]http://www.docin.com/p-837599565.html.

[2]石志國.計算機網絡安全教程[M].北京:清華大學出版社,2011:227-235.

[3]導向工作室.24小時學會黑客功放[M].北京:人民郵電出版社,2011:165-173.

[4]武新華.黑客攻防實戰從入門到精通第2版[M].北京:科學出版社,2011:25-28.

[5]陳中平.網絡安全[M].北京:清華大學出版社,2011:113-116，127-132.

We to Reinforce the Security of Windows XP System

MA Wei,WANG Ye
(School of Automotive and Electronic Engineering，Xichang College,Xichang,Sichuan 615013)

Because Microsoft ceased providing technical support and bug fixes for Windows XP system,the users of Windows XP system not only can use the services of“firm fence”providing,but also should reinforce Windows XP system from accounts management,forbid default shared,and accounts strategies.

accounts management;accounts strategies;forbid default shared;reinforce security

TP316.89

A

1673-1891（2015）02-0068-04

2015-03-10

西昌學院研究生項目“VBA在Excel中的應用研究”(項目編號：XY09-ZA18)。

馬味（1981-），女，回族，四川西昌人，講師，軟件工程碩士，研究方向：計算機基礎與系統安全。