对Windows XP进行保护是一项挑战,也是一个复杂的过程,无法在一个上网的工作站完成最初安装后立刻就做好。在教育环境和公司环境下,对Windows XP进行保护的过程比较类似,但是起因有些时候却并不相同。对绝大多数的企业环境来说,要保护一台工作的主要理由一般是为了防止对系统未经授权的访问——这包括了对数据的保护,以及禁止“非官方”的软件安装。在某些情况下,由于缺乏相关的经验或者合适的人员,某些公司甚至根本不对工作站进行任何保护。他们仅仅依赖于Windows XP操作系统自带的那些“普通”安全防护措施。
在K-12的环境中,有一些额外的起因。简单的说,教育环境,特别是K-12,指的是操作系统加上所有本地软件的总体集合。而网络管理员工作中的很大一部分是用于防止意外或故意的篡改。至于工作站上的数据安全,对人们来说则是一个很罕见的概念,因为所有的数据几乎都不是存储在K-12环境本地中的。同样,为了维护操作的稳固性,也是一个关键性的因素。在K-12环境中,新手终端用户一般是那些老师,而熟练终端用户一般是那些学生。正确的防护措施可以为所有组群的终端用户提供益处。对老师而言,它提供了一个坚固可靠的接口以及相关功能。而对学生而言,它提供了一个受到控制的环境,无法对之进行任何篡改。
在K12环境中保护Windows XP——过程
在K12环境中保护Windows XP的过程相当复杂。网络管理员必须从网络管理员、技术人员、行政管理人员,教师,以及学生的不同角度来考虑客户端操作系统。在操作系统中的防护必须有效、可靠,其保护的软件除了一开始就安装上去的那些,还需要包括后来安装的部分。要做到这些,必须使用:ACLs(许可)
通过使用Windows XP的“存取控制列表(ACL)”部件,网络管理员可以对工作站上的每一个驱动器,文件夹,以及文件进行保护。仅有必要的权限才会被给予,而必要时也可以去除相关的权限。默认情况下,大部分操作系统以及相关软件对终端用户来说是开放的。使用ACL,对管理员和系统来说,操作系统所创建的所有文件夹和文件必须被设置为“完全控制”权限,而对用户则应当设置为“读取和执行”。这些权限必须被继承到所有的子目录和文件上(包括Program Files文件夹,以及系统根驱动器上的Windows文件夹)。唯一需要保留一定层次写权限的文件夹是:
C:\Temp (未必存在)
C:\Documents and Settings\All Users
C:\Documents and Settings\Default User
C:\WINDOWS\Debug
C:\WINDOWS\Prefetch
C:\WINDOWS\Temp
C:\WINDOWS\system32\MsDtc
C:\WINDOWS\system32\spool
上文的过程需要为了用户本地组,将全部ACL替换为“读取和执行”权限(不过,上面所列出的这些目录除外)
注:在C:\Program Files中的程序显然需要写权限,这样才能保证它们的正常运行。
本地用户组
一个ACL仅可以被实施于一个用户或者一个用户组上。通常来说,使用本地组来创建权限总是最好的(你应当很少有机会使用实际的用户帐户)。通过使用本地组来设置权限,对许多网络管理员来说是一个标准操作,也是微软所推荐的做法。之所以不推荐使用全局组,因为一旦当工作站同域控制器失去联络时,它的效力就会消失了。
混合
你应当仅仅在绝对必要时才使用远程管理(Terminal服务)。同样,你也应当将其设置为仅有网络管理员才具有存取权限。你最好应当禁止一切无必要的系统服务。这可能是一个复杂的任务,因为你必须仔细进行,并执行正确的测试。最后,任何非必要的软件应当被从工作站中清除掉。这同样也包括Windows操作系统本身可以移除的软件部分。
在K12环境中保护Windows XP——排除疑难以及监控
审核工具与记录(Windows XP内置)
正确的使用,审核以及记录,在进行排除疑难杂症时分外有用,也可以用于确认操作系统上的防护设置是否正确。
FileMon(文件监控)与RegMon(注册表监控)
Windows XP中内置的审核工具功能强大,能提供很高的价值。而Sysinternals(现在由微软收购)提供的一套工具,则是这些内置工具的绝佳补充。这些工具中的两个是FileMon和RegMon,用于监控文件系统以及注册表活动的实时图形工具。通常情况下,它们所能轻易提供的信息,常常是操作系统的审核工具所无法单独提供的。在测试一个新建/修改后的Windows XP工作站的安装时,这些工具分外有用。传统软件,或者那些有本地数据存储的软件,通常会和上文那些推荐的安全设置产生冲突。那么这些工具就可以帮助系统管理员迅速的发现和解决问题。
在K12环境中保护Windows XP——结果
在K12环境中对Windows XP进行保护绝不是一个轻松的任务。网络管理员必须考虑整体的方方方面,以及各种特殊需求。你必须对使用本地组设置正确的权限,并关闭任何不必要的软件或功能。你必须使用内置的或者第三方的工具,对所有的修改进行测试。其结果就是你获得了一台安全可靠,不会被恶意篡改的Windows XP工作站。