第二章 windowsxp系統(tǒng)的基本安全.ppt

1、第二章 Windowsxp系統(tǒng)的基本安全,安全是一種“買不到”的東西。打開包裝箱后即插即用并提供足夠安全水平的安全防護(hù)體系是不存在的。,本講的目標(biāo),了解WindowsXP系統(tǒng)缺省安裝會(huì)帶來的安全隱患； 理解和掌握Windows XP系統(tǒng)的啟動(dòng)過程，能夠獨(dú)立解決啟動(dòng)中碰到的疑難問題。 理解和掌握Windows XP系統(tǒng)帳戶的安全策略。 對Windows XP系統(tǒng)進(jìn)行性能優(yōu)化。 掌握常見的系統(tǒng)安全措施。,授課建議,重點(diǎn)分析Windows XP系統(tǒng)的啟動(dòng)過程。 簡要分析Windows XP系統(tǒng)帳戶的安全策略。 介紹WindowsXP系統(tǒng)缺省安裝會(huì)帶來的安全隱患 簡要介紹對Windows XP系統(tǒng)進(jìn)行

2、性能優(yōu)化。 通過操作演示介紹常見的系統(tǒng)安全措施。,什么是操作系統(tǒng),操作系統(tǒng)是管理計(jì)算機(jī)系統(tǒng)的全部硬件、軟件及數(shù)據(jù)資源的管理控制程序，大致包括5 個(gè)方面的管理功能：進(jìn)程管理、設(shè)備管理、文件管理、存儲管理和作業(yè)管理。 WindowsXP操作系統(tǒng)SP2的重大改進(jìn)： 1安全中心 該工具提供了三個(gè)重要安全組件（反病毒軟件、網(wǎng)絡(luò)防火墻、自動(dòng)更新功能）的監(jiān)控。如果這三個(gè)組件中的某個(gè)組件被禁用或者設(shè)置錯(cuò)誤，系統(tǒng)提示區(qū)中會(huì)顯示出一個(gè)警告圖標(biāo)。 2Windows 防火墻 該功能加強(qiáng)了對系統(tǒng)中數(shù)據(jù)訪問的過濾功能。 3無線網(wǎng)絡(luò) 使無線網(wǎng)絡(luò)的連接配置更加簡便，同時(shí)加強(qiáng)了無線網(wǎng)絡(luò)連接的安全保證。,系統(tǒng)啟動(dòng)過程,1. 預(yù)引

3、導(dǎo)(Pre-Boot)階段； 2. 引導(dǎo)階段； 3. 加載內(nèi)核階段； 4. 初始化內(nèi)核階段； 5. 登陸。,預(yù)引導(dǎo)(Pre-Boot)階段,在計(jì)算機(jī)啟動(dòng)加電之后，并且在Windows XP 操作系統(tǒng)啟動(dòng)之前這段時(shí)間，稱之為預(yù)引導(dǎo)（Pre-Boot）階段。 在這個(gè)階段里，計(jì)算機(jī)首先運(yùn)行Power On Self Test（POST），POST 檢測系統(tǒng)的總內(nèi)存以及其他硬件設(shè)備的現(xiàn)狀。 如果計(jì)算機(jī)系統(tǒng)的BIOS(基礎(chǔ)輸入/輸出系統(tǒng))是即插即用的，那么計(jì)算機(jī)硬件設(shè)備將經(jīng)過檢驗(yàn)以及完成配置。 計(jì)算機(jī)的基礎(chǔ)輸入/輸出系統(tǒng)（BIOS）定位計(jì)算機(jī)的引導(dǎo)設(shè)備，然后MBR(Master Boot Record)

4、 主引導(dǎo)記錄被加載并運(yùn)行。在預(yù)引導(dǎo)階段，從引導(dǎo)扇區(qū)加載并初始化NTLDR 文件。 注：NTLDR 存放于C 盤根目錄下，是一個(gè)具有隱藏、只讀屬性的系統(tǒng)文件，主要職責(zé)是解析Boot.ini 文件。,引導(dǎo)階段,初始引導(dǎo)加載器階段 從實(shí)模式轉(zhuǎn)換為32位平面模式 操作系統(tǒng)選擇階段 設(shè)置boot.ini文件使系統(tǒng)提供操作系統(tǒng)選擇 硬件檢測階段 N將收集計(jì)算機(jī)硬件信息列表并將列表返回到NTLDR，便于以后將這些信息加入HKEY_LOCAL_MACHINE下的hardware 配置選擇階段,加載內(nèi)核階段,ntldr 加載稱為Windows XP 內(nèi)核的ntokrnl.exe。系統(tǒng)加載了WindowsXP 內(nèi)

5、核但是沒有將它初始化。接著ntldr 加載硬件抽象層（HAL，hal.dll）。然后，系統(tǒng)繼續(xù)加載HKEY_LOCAL_MACHINEsystem鍵，NTLDR 讀取select鍵來決定哪一個(gè)Control Set將被加載?？刂萍邪O(shè)備的驅(qū)動(dòng)程序以及需要加載的服務(wù)。NTLDR 加載HKEY_LOCAL_MACHINEsystemservice.下start 鍵值為0 的最底層設(shè)備驅(qū)動(dòng)。當(dāng)作為Control Set 的鏡像的Current Control Set被加載時(shí)，ntldr 傳遞控制給內(nèi)核，初始化內(nèi)核階段就開始了。 注：如果在啟動(dòng)的時(shí)候按F8 鍵，那么我們將會(huì)在啟動(dòng)菜單中看到多種選擇

6、啟動(dòng)模式，這時(shí)NTLDR 將根據(jù)用戶的選擇來使用啟動(dòng)參數(shù)加載NT內(nèi)核，用戶也可以在Boot.ini 文件里設(shè)置啟動(dòng)參數(shù)。,初始化內(nèi)核階段,系統(tǒng)完成了啟動(dòng)的4項(xiàng)任務(wù) 內(nèi)核使用在硬件檢測時(shí)收集到的數(shù)據(jù)來創(chuàng)建了HKEY_LOCAL_MACHINEHARDWARE鍵。 內(nèi)核通過引用HKEY_LOCAL_MACHINEsystemCurrent的默認(rèn)值復(fù)制Control Set來創(chuàng)建了Clone Control Set。Clone Control Set配置是計(jì)算機(jī)數(shù)據(jù)的備份，不包括啟動(dòng)中的改變，也不會(huì)被修改。 系統(tǒng)完成初始化以及加載設(shè)備驅(qū)動(dòng)程序，內(nèi)核初始化那些在加載內(nèi)核階段被加載的底層驅(qū)動(dòng)程序，然后內(nèi)

7、核掃描HKEY_LOCAL_MACHINEsystemCurrentControlSetservice.下start鍵值為1的設(shè)備驅(qū)動(dòng)程序。 Session Manager啟動(dòng)了Windows XP高級子系統(tǒng)以及服務(wù)，Session Manager啟動(dòng)控制所有輸入、輸出設(shè)備以及訪問顯示器屏幕的Win32子系統(tǒng)以及Winlogon進(jìn)程，初始化內(nèi)核完畢。,登錄方式,交互式登錄 登錄界面的歡迎信息，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.編輯相應(yīng)項(xiàng)值 網(wǎng)絡(luò)登錄 采用域帳號登錄 服務(wù)登錄 批處理登錄 通常被

8、執(zhí)行批處理操作的程序所使用,交互式登錄的系統(tǒng)組件,Winlogon,加載GINA，監(jiān)視認(rèn)證順序,加載認(rèn)證包,支持額外的驗(yàn)證機(jī)制,為認(rèn)證建立安全通道,提供登陸接口,提供真正的用戶校驗(yàn),管理用戶和用戶證書的數(shù)據(jù)庫,Winlogonexe,加載其他登錄組件；提供同安全相關(guān)的用戶操作圖形界面，以便用戶能進(jìn)行登錄或注銷等相關(guān)操作。 如果用戶設(shè)置了“安全登錄”，在Winlogon 初始化時(shí)，會(huì)在系統(tǒng)中注冊一個(gè)SAS (Secure Attention Sequence-安全警告序列)。SAS 是一組組合鍵，默認(rèn)情況下為Ctrl-Alt-Delete。它的作用是確保用戶交互式登錄時(shí)輸入的信息被系統(tǒng)所接受，而

9、不會(huì)被其他程序所獲取。所以說，使用“安全登錄”進(jìn)行登錄，可以確保用戶的賬號和密碼不會(huì)被黑客盜取。要啟用“安全登錄”的功能，可以運(yùn)行“Control userpasswords2”命令，打開“用戶賬戶”對話框，選擇“高級”。選中“要求用戶按Ctrl-Alt-Delete”選項(xiàng)后確定即可。以后，在每次登錄對話框出現(xiàn)前都有一個(gè)提示，要求用戶按Ctrl-Alt-Delete 組合鍵，目的是為了在登錄時(shí)出現(xiàn)Windows XP的GINA 登錄對話框，因?yàn)橹挥邢到y(tǒng)本身的GINA 才能截獲這個(gè)組合鍵信息。 Winlogon.exe的三種狀態(tài) 已登錄狀態(tài) 已注銷狀態(tài) 已鎖定狀態(tài),GINA,GINA 的全稱為“

10、Graphical Identification and Authentication”-圖形化識別和驗(yàn)證，是幾個(gè)動(dòng)態(tài)數(shù)據(jù)庫文件，被Winlogon.exe 所調(diào)用，為其提供能夠?qū)τ脩羯矸葸M(jìn)行識別和驗(yàn)證的函數(shù)，并把用戶的賬號和密碼反饋給Winlogon.exe。在登錄過程中，“歡迎屏幕”和“登錄對話框”就是GINA 顯示的。 Winlogon 調(diào)用了GINA 組文件，把用戶提供的賬號和密碼傳達(dá)給GINA，由GINA負(fù)責(zé)對賬號和密碼的有效性進(jìn)行驗(yàn)證，然后把驗(yàn)證結(jié)果反饋給Winlogon程序。在與Winlogon.exe 對話時(shí)，GINA 會(huì)首先確定Winlogon.exe 的當(dāng)前狀態(tài)，再根據(jù)不同

11、狀態(tài)來執(zhí)行不同的驗(yàn)證工作。 用GINA 生成3 個(gè)桌面系統(tǒng) Winlogon 桌面 用戶桌面 屏幕保護(hù)桌面,LSA 服務(wù),LSA 的全稱為“Local Security Authority”-本地安全授權(quán)，是Windows 系統(tǒng)中一個(gè)相當(dāng)重要的服務(wù)，所有安全認(rèn)證相關(guān)的處理都要通過這個(gè)服務(wù)。它從Winlogon.exe 中獲取用戶的賬號和密碼，然后經(jīng)過密鑰機(jī)制處理，并和存儲賬號數(shù)據(jù)庫中的密鑰進(jìn)行對比，如果對比的結(jié)果匹配，LSA 就認(rèn)為用戶的身份有效，允許用戶登錄計(jì)算機(jī)。如果對比的結(jié)果不匹配，LSA 就認(rèn)為用戶的身份無效。這時(shí)用戶就無法登錄計(jì)算機(jī)。,SAM 數(shù)據(jù)庫,SAM 的全稱為“Securit

12、y Account Manager”-安全賬號管理器，是一個(gè)被保護(hù)的子系統(tǒng)，它通過存儲在計(jì)算機(jī)注冊表中的安全賬號來管理用戶和用戶組的信息。我們可以把SAM 看成一個(gè)賬號數(shù)據(jù)庫。對于沒有加入到域的計(jì)算機(jī)來說，它存儲在本地，而對于加入到域的計(jì)算機(jī)，它存儲在域控制器上。,登錄到本機(jī)的過程,1. 用戶首先按Ctrl+Alt+Del 組合鍵。 2. Winlogon 檢測到用戶按下SAS 鍵，就調(diào)用GINA，由GINA 顯示登錄對話框，以便用戶輸入賬號和密碼。 3. 用戶輸入賬號和密碼，確定后，GINA 把信息發(fā)送給LSA 進(jìn)行驗(yàn)證。 4. 在用戶登錄到本機(jī)的情況下，LSA 會(huì)調(diào)用驗(yàn)證程序包，把用戶信息

13、處理后生成密鑰，同SAM 數(shù)據(jù)庫中存儲的密鑰進(jìn)行對比。 5. 如果對比后發(fā)現(xiàn)用戶有效，SAM 會(huì)把用戶的SID(Security Identifier-安全標(biāo)識)，用戶所屬用戶組的SID，和其他一些相關(guān)信息發(fā)送給LSA。 6. LSA 把收到的SID 信息創(chuàng)建安全訪問令牌，然后把令牌的句柄和登錄信息發(fā)送給Winlogon.exe。 7. Winlogon.exe 對用戶登錄處理后，完成整個(gè)登錄過程。,登錄到域的過程,1. 用戶首先按Ctrl+Alt+Del 組合鍵。 2. Winlogon檢測到用戶按下SAS 鍵，就調(diào)用GINA，由GINA 顯示登錄對話框。 3. 用戶輸入所要登錄的域、賬號與

14、密碼，確定后，GINA 把相關(guān)信息發(fā)送給LSA 進(jìn)行驗(yàn)證。 4. 在用戶登錄到本機(jī)的情況下，LSA 把請求發(fā)送給Kerberos 驗(yàn)證程序包。通過散列算法，根據(jù)用戶信息生成一個(gè)密鑰，并把密鑰存儲在證書緩存區(qū)中。 5. Kerberos 驗(yàn)證程序向KDC(Key Distribution Center-密鑰分配中心)發(fā)送一個(gè)包含用戶身份信息和驗(yàn)證預(yù)處理數(shù)據(jù)的驗(yàn)證服務(wù)請求，其中包含用戶證書和散列算法加密時(shí)間的標(biāo)記。 6. KDC 接收到數(shù)據(jù)后，利用自己的密鑰對請求中的時(shí)間標(biāo)記進(jìn)行解密，通過解密的時(shí)間標(biāo)記是否正確，就可以判斷用戶是否有效。 7. 如果用戶有效，KDC 把向用戶發(fā)送一個(gè)TGT(Tick

15、et-Granting Ticket-票據(jù)授予票據(jù))。該TGT(AS_REP)把用戶的密鑰進(jìn)行解密，其中包含會(huì)話密鑰、該會(huì)話密鑰指向的用戶名稱、該票據(jù)的最大生命期以及其他一些可能需要的數(shù)據(jù)和設(shè)置等。用戶所申請的票據(jù)在KDC 的密鑰中被加密，并附著在AS_REP 中。在TGT 的授權(quán)數(shù)據(jù)部分包含用戶賬號的SID 以及該用戶所屬的全局組和通用組的SID。注意，返回到LSA 的SID 包含用戶的訪問令牌。票據(jù)的最大生命期是由域策略決定的。如果票據(jù)在活動(dòng)的會(huì)話中超過期限，用戶就必須申請新的票據(jù)。 8. 當(dāng)用戶試圖訪問資源時(shí)，客戶系統(tǒng)使用TGT從域控制器上的Kerberos TGS 請求服務(wù)票據(jù))。然后

16、TGS 把服務(wù)票據(jù)發(fā)送給客戶。該服務(wù)票據(jù)是使用服務(wù)器的密鑰進(jìn)行加密的。同時(shí)，SID 被Kerberos 服務(wù)從TGT 復(fù)制到所有的Kerberos服務(wù)包含的子序列服務(wù)票據(jù)中。 9. 客戶把票據(jù)直接提交到需要訪問的網(wǎng)絡(luò)服務(wù)上，通過服務(wù)票據(jù)就能證明用戶的標(biāo)識和針對該服務(wù)的權(quán)限，以及服務(wù)對應(yīng)用戶的標(biāo)識。,自動(dòng)登錄,運(yùn)行“Control userpasswords2”，在“用戶賬戶”窗口中取消“要使用本機(jī)，用戶必須輸入用戶名和密碼”選項(xiàng)，確定后會(huì)出現(xiàn)一個(gè)對話框，輸入要自動(dòng)登錄的賬號和密碼即可 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVer

17、sionWinlogon在右邊窗口中新建兩個(gè)字符串值DefaultUserName”和“DefaultPassword”，分別賦值為你想自動(dòng)登錄的用戶名和密碼，DefaultUserName一般已有，然后再新建一個(gè)名為“AutoAdminLogon”的字符串并賦值為1,啟動(dòng)密碼保護(hù),Windows XP 還有一個(gè)更安全的“啟動(dòng)密碼”，這個(gè)密碼顯示在用戶密碼前，而且還可以生成鑰匙盤，如果設(shè)置它，你的Windows XP 就更加安全了。Syskey命令設(shè)置啟動(dòng)密碼的方式： 設(shè)置啟動(dòng)密碼 制作“鑰匙盤”,windowsXP 安全模式的效用,修復(fù)連接狀態(tài)中斷 檢測不兼容的硬件 卸載不正確的驅(qū)動(dòng),啟動(dòng)模

18、式,1.安全模式 只有基本文件和驅(qū)動(dòng)程序、默認(rèn)系統(tǒng)服務(wù) 2.帶網(wǎng)絡(luò)連接的安全模式 安全模式網(wǎng)絡(luò)連接 3.帶命令行提示符的安全模式 只有基本文件和驅(qū)動(dòng)程序 4.啟用啟動(dòng)日志 安全模式ntbtlog.txt日志 5.啟用VGA 模式 利用基本VGA模式 6.最后一次正確的配置 使用上一次關(guān)閉時(shí)所保存的注冊表信息和驅(qū)動(dòng)程序來啟動(dòng) 7.目錄服務(wù)恢復(fù)模式 用于恢復(fù)域控制器上的SYSVOL目錄和AD目錄服務(wù)，針對服務(wù)器操作系統(tǒng) 8.調(diào)試模式 啟動(dòng)時(shí)通過串行電纜將調(diào)試信息發(fā)送到另一臺計(jì)算機(jī)。,禁用安全模式,通過修改注冊表，使用戶無法進(jìn)入Windows XP帶有命令行的安全模式，避免他人在安全模式下利用net

19、 user 命令修改其他用戶的密碼，同時(shí)限制受限用戶訪問并修改注冊表，避免他人修改注冊表啟動(dòng)安全模式。 使用管理員級別帳戶登錄Windows XP，在“運(yùn)行”窗口中輸入“regedit”，打開注冊表編輯器，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot鍵值， 將SafeBoot下的“Minimal”及“Network”項(xiàng)，改名為“Minimal1”及“Network1”或其它與原鍵值不同的名稱，修改完成后，其他人在啟動(dòng)時(shí)按F8 鍵進(jìn)入任何一種安全模式，系統(tǒng)都會(huì)自動(dòng)重啟。 在注冊表編輯器中，選中HKEY_LOCAL _MACH

20、INE，單擊右鍵，選擇菜單“權(quán)限”，打開“HKEY_ LOCAL_MACHINE的權(quán)限”窗口，選中“Users”，勾去“Users 的權(quán)限”下的“讀取”項(xiàng)。這樣就可以防止普通用戶修改注冊表使安全模式恢復(fù)正常。,啟動(dòng)的隱藏之處（一）,1當(dāng)前用戶專有的啟動(dòng)文件夾 這是許多應(yīng)用軟件自動(dòng)啟動(dòng)的常用位置，Windows 自動(dòng)啟動(dòng)放入該文件夾的所有快捷方式。用戶啟動(dòng)文件夾一般在：Documents and Settings開始菜單程序啟動(dòng)，其中“”是當(dāng)前登錄的用戶帳戶名稱。 2對所有用戶有效的啟動(dòng)文件夾 這是尋找自動(dòng)啟動(dòng)程序的第二個(gè)重要位置，不管用戶用什么身份登錄系統(tǒng)，放入該文件夾的快捷方式總是自動(dòng)啟動(dòng)這

21、是它與用戶專有的啟動(dòng)文件夾的區(qū)別所在。該文件夾一般在：Documents and SettingsAll Users開始菜單程序啟動(dòng)。 3 Load 注冊鍵 HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload 4Userinit 注冊鍵 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit 5ExplorerRun 注冊鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurren

22、tVersionPoliciesExplorerRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun,啟動(dòng)的隱藏之處（二）,6RunServicesOnce 注冊鍵，用來啟動(dòng)服務(wù)程序，啟動(dòng)時(shí)間在用戶登錄之前，先于其他通過注冊鍵啟動(dòng)的程序 HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunServicesOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersio

23、nRunServicesOnce 7RunServices 注冊鍵，RunServices 注冊鍵指定的程序緊接RunServicesOnce 指定的程序之后運(yùn)行，但兩者都在用戶登錄之前。 HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionRunServices， HKEY_LOCAL_MACHINESOFTWARE Microsoft Windows CurrentVersionRunServices。 8RunOnceSetup 注冊鍵，指定了用戶登錄之后運(yùn)行的程序， HKEY_CURRENT_USERSoftwareMicr

24、osoftWindowsCurrentVersionRunOnceSetup HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceSetup 9RunOnce 注冊鍵，指定自動(dòng)運(yùn)行程序 HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoft Windows CurrentVersionRunOnce HKEY_LOCAL_MACHINE 下面的RunOnce 鍵會(huì)在用戶登錄之后立

25、即運(yùn)行程序，運(yùn)行時(shí)機(jī)在其他Run 鍵指定的程序之前。HKEY_CURRENT_USER 下面的RunOnce 鍵在操作系統(tǒng)處理其他Run鍵以及“ 啟動(dòng)” 文件夾的內(nèi)容之后運(yùn)行。如果是XP ， 還需要檢查一下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersion RunOnceEx。 10Run 注冊鍵，指定自動(dòng)運(yùn)行程序 HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun， HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Curre

26、ntVersion Run HKEY_CURRENT_USER 下面的Run 鍵緊接HKEY_LOCAL_MACHINE 下面的Run 鍵運(yùn)行，但兩者都在處理“啟動(dòng)”文件夾之前。,windowsXP 有兩類默認(rèn)賬號,administrator Guest,加固系統(tǒng)賬戶,禁止枚舉賬號 禁用來賓賬戶,加強(qiáng)密碼安全,密碼復(fù)雜性要求,強(qiáng)壯密碼的組成 大寫字母 小寫字母 數(shù)字 非字母、數(shù)字的字符 密碼長度：不小于8字節(jié)長,強(qiáng)壯密碼應(yīng)符合的規(guī)則,個(gè)人名字或呢稱,電話號碼、生日等敏感信息,輸入8字符以上密碼,記錄于紙上或放置于辦公處,使用重復(fù)的字符,=強(qiáng)壯的密碼,Windows2000口令破解的一個(gè)測試結(jié)果

27、,在一臺高端PC機(jī)(4個(gè)CPU)上強(qiáng)行破解 5.5小時(shí)內(nèi)破解字母-數(shù)字口令 45小時(shí)破解字母-數(shù)字-部分符號口令 480小時(shí)破解字母-數(shù)字-全部符號口令 在200臺集群服務(wù)器上強(qiáng)行破解 15分鐘破解字母-數(shù)字-全部符號口令,帳號安全策略,禁用Guest帳號 限制不必要的用戶 創(chuàng)建兩個(gè)管理員帳號 把系統(tǒng)Administrator帳號改名 創(chuàng)建一個(gè)陷阱帳號 把共享文件的權(quán)限從Every組改成授權(quán)用戶 不讓系統(tǒng)顯示上次登錄的用戶名 HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Dont-DisplayLastUserName1,帳

28、號安全策略 讓指定的用戶只能在特定時(shí)間登錄,如果需要設(shè)置這個(gè)賬戶從周一到周五的早上9 點(diǎn)到晚上5 點(diǎn)才能登錄。可以用下面這個(gè)命令： net user Guest /time:M-F,08:00-17:00， 或者net user Guest /time:M-F,9am-5pm 如果需要依次指定每天的時(shí)間，那么也只需要按照下面這個(gè)格式： net user Guest /time:M,4am-5pm;T,1pm-3pm;W-F,8:00-17:00。 而net user Guest /time:all 這個(gè)命令則可以允許該用戶隨時(shí)登錄。,帳號安全策略 限制系統(tǒng)賬號/共享列表,Windows XP

29、的默認(rèn)安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號/共享列表 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止139 空連接。 在Windows XP 的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項(xiàng)RestrictAnonymous（匿名連接的額外限制）。,帳號安全策略 限制自動(dòng)登錄的次數(shù),HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon右側(cè)窗格創(chuàng)建名為AutoLogonCount 的字

30、符串值，將其值設(shè)置為自動(dòng)登錄的次數(shù)。,密碼策略的推薦設(shè)置,合理管理用戶密碼,密碼過期前顯示信息提示 從待機(jī)狀態(tài)恢復(fù)時(shí)不輸入密碼 退出帶密碼的屏保時(shí)出現(xiàn)登陸界面 若需要不讓密碼過期，可選中“密碼永不過期”復(fù)選框,缺省安全服務(wù)的問題,系統(tǒng)安裝好后，缺省會(huì)啟動(dòng)很多服務(wù)。但是用戶平時(shí)使用到的服務(wù)組件是有限的，而哪些很少用到的組件不但占用了不少系統(tǒng)資源，會(huì)引起系統(tǒng)不穩(wěn)定外，還會(huì)為黑客的遠(yuǎn)程入侵提供了多種途徑。,服務(wù)分為三種啟動(dòng)類型,自動(dòng) 手動(dòng) 已禁用,十大必禁服務(wù),可以禁止的服務(wù),防范IPC服務(wù)的攻擊,第一步：將以下項(xiàng)設(shè)置為“1”，就能禁止空用戶連接。 HKEY_LOCAL _MACHINESYSTEM

31、CurrentControlSetControlLSA 的RestrictAnonymous 第二步：打開注冊表的項(xiàng)（如下）， HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesLanmanServerParameters。 對于服務(wù)器，添加鍵值“AutoShareServer”，類型為“REG_DWORD”，值為“0”。 對于客戶機(jī)，添加鍵值“AutoShareWks”，類型為“REG_DWORD”，值為“0”。,開機(jī)優(yōu)化（一）,加快關(guān)機(jī)速度 HKEY_CURRENT_USERControl PanelDesktop把AutoEndTasks

32、 的鍵值設(shè)置為1；然后在將“HungAppTimeout”的鍵值改為“4000(或更少)，默認(rèn)為50000 HKEY_LOCAL_MACHINESystemCurrentControlSetControl將WaitToKillServiceTimeout 設(shè)置為“4000”； 提高寬帶速度 優(yōu)化網(wǎng)上鄰居 HKEY_LOCAL_MACHINEsofewareMicrosoftWindowsCurrent Version ExploreRemoteComputerNameSpace刪除其下的(打印機(jī))和D6277990-4C6A-11CF8D87- 00AA0060F5BF(計(jì)劃任務(wù))，重新啟動(dòng)電腦，再次訪問