[交流] 安全系统DIY

经常有人说，Windows XP从根基上就不够安全，现在我们向你介绍增强Windows XP安全性的专业方法。
    在Windows XP Professional中，为了增强易用性，默认情况下微软关闭或完全禁止了很多安全特性。这等于在你的系统中开了很多门，甚至不用借助专业的工具就可以实现入侵。以用户权限为例，在安装过程中，Windows会自动创建一个不受任何保护的管理员帐户，并将进行安装操作的人的帐户添加到管理员组。这也就意味着，任何使用这种方式登录的人都可以获得所有的管理权限。
    这种特性也会被以同样方式运行的病毒借用。但只要你了解一些常识，并使用正确的工具，你就可以把原本容易被入侵的系统放入一个安全的数字保险箱。

检查隐藏用户
    默认情况下，Windows XP会在安装过程中创建四个预先设置好的帐户：Administrator、Guest、Help Assistant以及Support，不过很多人并没有注意到这一点，因为“控制面板”中的“用户帐户”选项只显示其中两类帐户：用户自己的帐户还有Guest。如果想要看到完整的默认帐户以及用户帐户列表，你需要运行“管理工具”下的“计算机管理”控制台单元，然后在“本地用户和组”节点下查看。
    要解决这个问题，只要取消用户帐户的所有管理特权，并按照下面介绍的操作给所有具有管理特权的帐户设置一个高强度、安全的密码——这是你应该优先关注的。
    启动系统后最好不要显示欢迎屏幕，为了确保只有被授权的人才可以访问系统，最好以传统的Windows登录界面方式进入系统，这种方式从Windows NT时代就开始使用了。

控制访问方式
    要更改“欢迎屏幕”选项，并为不受保护的Administrator帐户添加密码。请在欢迎屏幕上按下Ctrl+Alt+Del组合键两次，打开传统Windows登录对话框，在用户名一栏中输入“Administrator”。保持密码为空，如果可以登录，就说明你的Administrator帐户并没有受到保护。

打开“控制面板”|“用户帐户”|“更改用户登录或注销的方式”，取消对“使用欢迎屏幕”选项的选择，并点击“应用选项”按钮确认更改。
    在“用户帐户”窗口中点击“更改帐户”，然后点击“Administrator”图标。点击“创建密码”，然后输入你的密码。在随后出现的对话框中回答有关是否要限制他人对你的文件和文件夹进行访问的问题，选择“是的，仅供我使用”，这样就可以阻止具有有限权限的用户访问由管理员创建的文件了。你还可以通过“计算机管理”控制单元重设密码(如图1),方法会在下面详细介绍。
    安全的密码并不单纯指密码的长度必须很长，而是指密码必须很难被猜中。这样的密码必须至少包含15位字符，同时还要包含大小写字母、数字，以及至少一个特殊字符，例如@、#或者$等。密码越复杂越好，不过你要确保自己能记住这样的密码，通常使用句子或者短语作为密码更好记一点。

自动保证密码安全
    如果你更改了自己帐户的密码，请确保新密码和老密码有较大不同。当创建和保存新密码的时候，有些工具，例如Keepass相当有用。该软件内置的密码生成器可以根据你的需要创建安全的密码。你可以选择要生成的密码中需要包含哪些字符以及密码的长度，你还可以借助鼠标指针的移动以及键盘输入来生成随机密码。Keepass也可以用来管理你的密码
别依赖管理特权
    一旦将Administrator帐户纳入保护，你就可以开始配置其他用户帐户了。要配置其他用户帐户，请使用Administrator帐户登录，然后打开“本地用户和组”管理单元；在“组”节点下，用右键单击“Administrators”，然后选择“属性”；在“成员”框中选中你想要从该组中删除的帐户，然后点击“删除”按钮确认删除。
    如果想要向该组中添加帐户，请在该组的“属性”对话框中重复与上文所述类似的操作，不过在用户的“属性”对话框中点击“添加”按钮。
    这样做的不便之处在于被从Administrators组删除的用户只拥有更少的权限，但在进行一些日常操作，例如安装新软件的时候往往需要管理员帐户的协助。要在这种情况下协助用户，你可以通过按下Windows徽标键+L键打开登录界面，并使用管理员帐户登录。

正确使用特权
    如果你正在使用非管理员帐户，那么你就必须忍受不少限制。大致来说，如果一个应用程序深入系统的操作越多，那么该程序就需要越高的权限。
    甚至Windows XP自带的一些组件也需要管理员权限，例如磁盘碎片整理程序、数据备份程序，还有一些控制面板选项，例如firewall.cpl、main.cpl以及sysdm.cpl等。

下面将要介绍的Runas命令在这里就可以用到。不过对每个应用程序都分别用鼠标右键点击，然后输入密码显得有些麻烦（如图2），尤其是在日常操作经常需要用到的时候。这时候直接修改应用程序的快捷方式就简单多了。

管理模式下运行的应用程序
    如果你希望让一个程序运行在管理模式下（而你并没有使用管理员帐户登录），请用鼠标右键点击该程序快捷方式的图标，选择“属性”，在该快捷方式运行的命令前添加“runas /user:[username]”，这样整行命令就变成了“runas /user:[username] “C:\[program filename.exe]””。
    在这个例子中，“[username]”代表管理员帐户的用户名。当你下一次“通过”该快捷方式启动程序的时候，系统会自动打开一个命令提示行窗口，你需要在这里输入该管理员帐户的密码。在你输入密码的时候，输入的内容并不会显示在命令行窗口中，这是正常的，Windows并不会显示你输入的内容，而且光标的位置也不会随着你的输入移动，不用担心。
    联合使用runas命令以及/savecred参数可以实现更方便的操作。该参数让Windows记住你输入的管理员帐户密码。这样完整的命令就变成了：
    runas /user:[username] /savecred “C:\[programfilename.exe]”
    通过这种方式记忆的密码可以通过“用户帐户”|“管理我的网络密码”选项进行管理，而且可以随时从中将密码删除。
没什么用的安全中心
    创建一个安全的系统也包含可通过“控制面板”打开的Windows XP安全中心（如图3、4）。通过该功能可以管理的设置包括Windows Update、Windows防火墙，还有病毒扫描程序。因为“安全更新”功能是系统的一个服务，而非一个应用程序，因此它是可以随意操作的。例如，病毒可以欺骗该服务，说防病毒软件目前的病毒定义是最新的，Troj/Bdoor-HK以及W32.Spybot.NLX do这类病毒甚至可以干脆关闭该功能。你不能因为安全中心服务没有报告任何问题就认为你的系统是安全的。而且安全中心服务本身也缺乏有效的防病毒软件和反间谍软件，因此你仍需要自己安装相应的软件。