除了通過(guò)安全模板設(shè)置的安全選項(xiàng)，還有很多其他可供設(shè)置的安全選項(xiàng)，本章就是有關(guān)這些選項(xiàng)的。

Administrator賬戶建議

因?yàn)閺?qiáng)大的權(quán)限，Windows環(huán)境下的administrator賬戶必須受到重點(diǎn)保護(hù)，本段將討論各種保護(hù)具有管理員特權(quán)賬戶的方法。

Additional Administrator Accounts

在Windows XP安裝過(guò)程中，如果用戶決定把XP安裝成獨(dú)立工作站，用戶就會(huì)被詢問(wèn)“誰(shuí)將使用這臺(tái)計(jì)算機(jī)？”以及會(huì)被要求創(chuàng)建至少一個(gè)用戶賬戶，如果不創(chuàng)建任何賬戶那安裝過(guò)程將無(wú)法繼續(xù)下去。任何在這里創(chuàng)建的賬戶都將會(huì)被指派一個(gè)空白的密碼，并成為Administrators組的成員。因此，哪怕僅創(chuàng)建了一個(gè)賬戶，機(jī)器中也會(huì)有兩個(gè)管理員賬戶：系統(tǒng)內(nèi)建的Administrator賬戶以及用戶創(chuàng)建的賬戶。獨(dú)立工作站形式的Windows XP系統(tǒng)需要一個(gè)額外的管理員賬戶因?yàn)椴唤ㄗh使用系統(tǒng)內(nèi)建的Administrator賬戶進(jìn)行本地登陸。然而在域環(huán)境中，額外的管理員賬戶會(huì)帶來(lái)安全隱患。在Windows XP中，使用空白密碼的本地賬戶無(wú)法通過(guò)網(wǎng)絡(luò)登錄，但是他們可以本地登錄。因此在域環(huán)境中，建議刪除在安裝系統(tǒng)過(guò)程中創(chuàng)建的額外的管理員賬戶，并確保系統(tǒng)內(nèi)建的Administrator賬戶有一個(gè)好的、復(fù)雜的密碼。如果還需要額外的管理員賬戶，確保該賬戶有一個(gè)強(qiáng)密碼。

要?jiǎng)h除一個(gè)用戶賬戶：

選擇控制面板 - 用戶賬戶點(diǎn)擊要?jiǎng)h除的賬戶點(diǎn)擊刪除賬戶

用戶賬戶還可以用以下方法刪除：

選擇開始 - 所有程序 - 管理工具 - 計(jì)算機(jī)管理展開本地用戶和組節(jié)點(diǎn)雙擊用戶在右側(cè)的面板，右鍵點(diǎn)擊想要?jiǎng)h除的賬戶從彈出菜單選擇刪除

Administrator賬戶的使用以及RunAs命令

管理員應(yīng)當(dāng)有兩個(gè)賬戶：一個(gè)具有管理員特權(quán)一個(gè)只是普通用戶。系統(tǒng)管理員應(yīng)該只在需要的時(shí)候才使用管理員賬戶，而日常任務(wù)使用普通賬戶。管理員決不能用他們的管理員賬戶訪問(wèn)互聯(lián)網(wǎng)，因?yàn)榫W(wǎng)頁(yè)上可能包含各種惡意代碼，并且這些代碼可能會(huì)以當(dāng)前登錄用戶的身份運(yùn)行。 當(dāng)進(jìn)行某些需要管理員權(quán)限的操作時(shí)，可以使用runas命令。這個(gè)命令可以允許沒(méi)有特權(quán)的用戶以其他用戶的身份運(yùn)行某些程序。在命令行下輸入runas /?可獲得詳細(xì)的參數(shù)，該命令可以這樣使用：

runas /user:domain_nameadministrator_account program_name

runas命令也可以通過(guò)以下方法處理后直接在快捷方式的右鍵菜單中執(zhí)行：

從開始菜單中，找到目標(biāo)程序在按下SHIFT鍵的同時(shí)右鍵點(diǎn)擊該程序的快捷方式 從彈出菜單中選擇運(yùn)行方式選擇下列用戶輸入或選擇一個(gè)用戶名輸入密碼點(diǎn)擊確定

注意：RunAs命令需要Windows XP中的Secondary Logon服務(wù)或Windows 2000中的RunAs服務(wù)正確運(yùn)行，這些服務(wù)默認(rèn)是啟動(dòng)的。共享資源的權(quán)限

Windows共享意味著一些資源，例如文件、文件夾、打印機(jī)和其他一些資源可以通過(guò)網(wǎng)絡(luò)向網(wǎng)絡(luò)用戶發(fā)布出去，供他們遠(yuǎn)程訪問(wèn)。一般用戶不能在他們本機(jī)上創(chuàng)建共享，只有Administrators組和Power Users組的用戶具有創(chuàng)建共享的權(quán)限，同時(shí)要?jiǎng)?chuàng)建共享首先還要保證必須對(duì)要共享的文件夾至少具有只讀的權(quán)限。其他具有創(chuàng)建永久共享對(duì)象權(quán)限的用戶也可以創(chuàng)建共享。因?yàn)楣蚕淼臄?shù)據(jù)中可能包含中還要數(shù)據(jù)并且是通向本地系統(tǒng)的窗口，因此對(duì)于共享資源的權(quán)限設(shè)置一定要注意。

可以對(duì)一個(gè)用戶或者用戶組指派以下的共享權(quán)限：

完全控制更改只讀

共享權(quán)限是不依賴于NTFS權(quán)限存在的，然而共享權(quán)限又跟NTFS權(quán)限密不可分。當(dāng)訪問(wèn)一個(gè)遠(yuǎn)程共享時(shí)，將會(huì)被應(yīng)用兩者結(jié)合的更具有限制性的權(quán)限。舉例來(lái)說(shuō)，如果一個(gè)用戶訪問(wèn)一個(gè)具有完全控制權(quán)限的共享文件夾，但是相對(duì)本地系統(tǒng)則只有只讀的NTFS權(quán)限時(shí)，他將只能獲得對(duì)該文件夾只讀的權(quán)限。

共享的默認(rèn)是給Everyone完全控制的權(quán)限，因此為了限制訪問(wèn)，你必須自己編輯共享權(quán)限，這意味著你的NTFS權(quán)限將會(huì)被單獨(dú)用來(lái)決定遠(yuǎn)程用戶可以具有什么樣的權(quán)限。如果因?yàn)槟承┰蛴脩粼L問(wèn)共享文件夾時(shí)需要獲得比他們本地登錄后獲得的權(quán)限稍小的共享權(quán)限，你就可以使用共享權(quán)限在NTFS權(quán)限的基礎(chǔ)上更進(jìn)一步地限制他的訪問(wèn)。然而要注意，對(duì)用戶共享權(quán)限的限制不會(huì)被應(yīng)用于他們通過(guò)終端服務(wù)進(jìn)行的本地登錄，基于這個(gè)原因，建議NTFS權(quán)限一定要設(shè)置好。

注意：當(dāng)簡(jiǎn)單文件共享被禁用（例如Windows XP計(jì)算機(jī)加入域）后，Windows XP不允許共享Documents and Settings、Program Files還有%SystemRoot%文件夾，以及%SystemRoot%的子文件夾。

設(shè)置共享權(quán)限

要?jiǎng)?chuàng)建共享并設(shè)置權(quán)限：

在資源管理器中，右鍵點(diǎn)擊想要共享的文件夾從彈出菜單中選擇共享和安全…點(diǎn)擊共享該文件夾指定一個(gè)共享名點(diǎn)擊權(quán)限按鈕從共享的訪問(wèn)列表中添加、刪除或者編輯用戶和用戶組的權(quán)限

注意：如果你打開了簡(jiǎn)單文件共享，這個(gè)對(duì)話框?qū)?huì)完全不同。在使用簡(jiǎn)單文件共享的情況下，所有的網(wǎng)絡(luò)用戶都被識(shí)別為來(lái)賓用戶，而不管他們登錄使用的賬戶。

共享的安全建議

當(dāng)創(chuàng)建共享和設(shè)置共享權(quán)限時(shí)，在可能的情況下請(qǐng)盡量遵循下列建議：

確保所有的共享都沒(méi)有給Everyone組指派任何權(quán)限使用經(jīng)驗(yàn)證用戶或者用戶組代替Everyone組只給用戶和/或用戶組所需要的最小權(quán)限

為了保護(hù)包含敏感數(shù)據(jù)的共享不被一般人知道，可以在創(chuàng)建共享時(shí)給共享名后添加一個(gè)$符號(hào)來(lái)隱藏共享，這種情況下用戶仍然可以訪問(wèn)隱藏的共享文件夾，但是必須輸入準(zhǔn)確的共享路徑（在這種情況下隱藏的共享不會(huì)出現(xiàn)在網(wǎng)絡(luò)鄰中）

刪除POSIX 注冊(cè)表項(xiàng)目

如同本文開頭所說(shuō)，POSIX子系統(tǒng)不再包含在Windows XP中，然而兩個(gè)POSIX注冊(cè)表鍵仍然存在，事實(shí)上，一個(gè)鍵HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubSystemsPosix被設(shè)置為%SystemRoot%system32psxss.exe，這個(gè)文件并不存在于Windows XP中。因此建議使用以下步驟刪除這個(gè)注冊(cè)表鍵：

在注冊(cè)表編輯器regedit中，定位到HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubsystems 鍵

在右側(cè)面板中，選擇可選值

從編輯菜單中選擇刪除

在詢問(wèn)“Are you sure you want to delete this value?“的對(duì)話框上，點(diǎn)擊確定按鈕

重復(fù)以上步驟刪除Posix的注冊(cè)表鍵值，同樣是在Subsystems 鍵其他組策略設(shè)置

本段列舉了一些可以通過(guò)組策略被應(yīng)用的安全建議。組策略可以被應(yīng)用到Windows XP計(jì)算機(jī)，無(wú)論該計(jì)算機(jī)是否域成員。同時(shí)，組策略也可以從Windows 2000域控制器應(yīng)用到Windows XP工作站。要訪問(wèn)GPO：

在MMC的組策略組件中打開GPO或者在容器的屬性 - 組策略選項(xiàng)卡下訪問(wèn)鏈接的GPO

如果通過(guò)組策略選項(xiàng)卡訪問(wèn)，高亮選擇目標(biāo)GPO然后點(diǎn)擊編輯按鈕訪問(wèn)組策略組件

禁用遠(yuǎn)處協(xié)助/桌面

跟其他所有遠(yuǎn)程控制技術(shù)一樣，遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面因?yàn)橛猛镜年P(guān)系具有一定的安全風(fēng)險(xiǎn)。建議不要在需要高度安全性的網(wǎng)絡(luò)中使用遠(yuǎn)程控制技術(shù)，若要禁用遠(yuǎn)程協(xié)助，可設(shè)置以下的組策略：

定位到計(jì)算機(jī)配置管理模板系統(tǒng)遠(yuǎn)程協(xié)助節(jié)點(diǎn)雙擊右側(cè)面板的請(qǐng)求遠(yuǎn)程協(xié)助設(shè)置點(diǎn)擊禁用按鈕禁止用戶請(qǐng)求遠(yuǎn)程協(xié)助應(yīng)用設(shè)置并關(guān)閉窗口雙擊右側(cè)面板的提供遠(yuǎn)程協(xié)助設(shè)置點(diǎn)擊禁用按鈕禁止用戶在這臺(tái)計(jì)算機(jī)上向別人提供遠(yuǎn)程協(xié)助幫助應(yīng)用設(shè)置并關(guān)閉窗口注意：組策略的設(shè)置將會(huì)覆蓋其他任何的系統(tǒng)屬性中遠(yuǎn)程選項(xiàng)卡的設(shè)置。

要禁止計(jì)算機(jī)接受遠(yuǎn)程桌面連接，進(jìn)行如下操作：右鍵點(diǎn)擊我的電腦，選擇屬性打開系統(tǒng)屬性對(duì)話框在系統(tǒng)屬性對(duì)話框打開遠(yuǎn)程選項(xiàng)卡確保允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)復(fù)選框沒(méi)有被選中點(diǎn)擊選擇遠(yuǎn)程用戶...按鈕，打開遠(yuǎn)程桌面用戶對(duì)話框從Remote Desktop Users用戶組刪除所有用戶和用戶組

網(wǎng)絡(luò)初始化

默認(rèn)情況下，Windows XP在允許用戶登錄之前并不會(huì)等待網(wǎng)絡(luò)初始化完全完成；相反，在登錄一些已經(jīng)存在的用戶是多半會(huì)使用緩存的憑證，這會(huì)減少登錄所需的時(shí)間。用戶登錄后組策略才會(huì)在后臺(tái)被應(yīng)用。

這種行為造成了組策略的某些擴(kuò)展，例如軟件安裝和文件夾重定向應(yīng)用，都需要用戶登錄至少兩次后才能被成功應(yīng)用。因?yàn)檫@些擴(kuò)展都要求在被處理的過(guò)程中沒(méi)有已經(jīng)登錄的用戶，并且最好是強(qiáng)制在用戶登錄之前再前臺(tái)進(jìn)行，同時(shí)，用戶策略的改變例如添加配置文件路徑或者添加登錄腳本都需要兩次登錄以便生效。

為了遵守在Windows2000或者Windows NT域中不對(duì)從登錄到Windows XP客戶端的用戶進(jìn)行密碼過(guò)期提醒這一策略，文體發(fā)生了。如果用戶是在組策略應(yīng)用之前使用緩存的憑據(jù)登錄的，當(dāng)密碼過(guò)期警告信息應(yīng)該被顯示時(shí)這個(gè)響應(yīng)卻不能被處理，直到用戶下一次登錄。因此用戶的密碼應(yīng)當(dāng)在用戶收到警告消息之后再過(guò)期。 本文不建議緩存登錄憑證（交互式登錄：可被緩存的前次登錄的個(gè)數(shù)這個(gè)安全選項(xiàng)被設(shè)置為0），這樣緩存的用戶憑證就不能被用來(lái)驗(yàn)證登錄到域的用戶，強(qiáng)制等待網(wǎng)絡(luò)初始化完全完成后進(jìn)行。然而，如果緩存的前次登錄的格式被設(shè)置為非0的數(shù)字，問(wèn)題同樣會(huì)存在。關(guān)于Windows XP中密碼過(guò)期問(wèn)題的詳細(xì)內(nèi)容請(qǐng)參考微軟知識(shí)庫(kù)文章Q313194：

通常來(lái)說(shuō)，把所有與計(jì)算機(jī)有關(guān)的組策略的改變放在用戶登錄之前應(yīng)用是一個(gè)好習(xí)慣，這樣用戶就可以在最新的安全設(shè)置下使用系統(tǒng)，因此建議使用以下的組策略設(shè)置：

定位到計(jì)算機(jī)配置管理模板系統(tǒng)登錄選項(xiàng)在右側(cè)面板，雙擊計(jì)算機(jī)啟動(dòng)和登錄時(shí)總是等待網(wǎng)絡(luò)點(diǎn)擊啟用按鈕點(diǎn)擊確定

禁用媒體的自動(dòng)播放

自動(dòng)播放功能會(huì)在可以動(dòng)媒體插入后讀取其中的數(shù)據(jù)，默認(rèn)情況下，Windows XP會(huì)自動(dòng)運(yùn)行光驅(qū)中插入的所有光盤，這將會(huì)允許可執(zhí)行的內(nèi)容在被允許前自動(dòng)被執(zhí)行。默認(rèn)情況下軟盤和網(wǎng)絡(luò)驅(qū)動(dòng)器的自動(dòng)播放功能被禁用了。要禁止所有驅(qū)動(dòng)器上的自動(dòng)播放功能，可采取如下操作：

定位到計(jì)算機(jī)配置管理模板系統(tǒng)選項(xiàng)在右側(cè)的面板，雙擊關(guān)閉自動(dòng)播放點(diǎn)擊啟用按鈕在關(guān)閉自動(dòng)播放: 下拉菜單，選擇所有驅(qū)動(dòng)器點(diǎn)擊確定

封閉網(wǎng)絡(luò)中的NetBIOS和SMB端口

在Windows環(huán)境中，NetBIOS定義了一個(gè)軟件接口和命名協(xié)議，基于TCP/IP之上的NetBIOS（NetBT）為TCP/IP協(xié)議提供了NetBIOS程序接口。Windows 2000和Windows XP使用NetBT與Windows NT以及更老版本的Windows（例如Windows 9x）系統(tǒng)交流。然而，當(dāng)與其他Windows 2000或者Windows XP計(jì)算機(jī)交流時(shí)，Windows XP使用了direct hosting。Direct hosting在命名協(xié)議方面利用了DNS代替NetBIOS，并使用了TCP端口445而不是TCP端口139。服務(wù)器消息過(guò)濾服務(wù)使用直接通過(guò)TCP/IP協(xié)議的網(wǎng)絡(luò)資源共享，而不是使用NetBIOS作為“中間人”。

Windows NetBIOS和SMB端口（端口135-139還有端口445）之間的交流可以提供關(guān)于Windows系統(tǒng)的很多信息，并且可能引起潛在的攻擊。因此禁止從局域網(wǎng)外連向系統(tǒng)這些端口的連接是很重要的。

建議在防火墻或者路由器上阻擋到端口135、137、138、139和445的出站以及入站連接，大量的攻擊以及潛在的威脅都是因?yàn)槌稣镜腟MB連接造成的。