Windows XP有着较强的稳定性和安全性成为目前最普及的操作系统。然而，陆续发现的漏洞，还是让Windows XP有被攻击的威胁。本篇就以Windows XP操作系统如何在安全性上得到改善，以及平时系统维护时的安全策略进行探讨，希望对广大Windows XP用户有所帮助。

  . 安装安全策略

       1、不要选择从网络上安装

           虽然微软支持在线安装，但这绝对不安全。在系统未全部安装完之前不要连入网络，甚至不要把一切硬件都连接好来再安装。因为Windows XP安装时，在输入用户管理员账号“Administrator”的密码后，系统会建立一个“ADMIN”的共享账号，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过“ADMIN”进入系统；同时，安装完成，各种服务会马上自动运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。

         2、要选择NTFS格式来分区

         最好所有的分区都是NTFS格式，因为NTFS格式的分区在安全性方面更加有保障。就算其他分区采用别的格式(如FAT32)，但至少系统所在的分区中应是NTFS格式。另外，应用程序不要和系统放在同一个分区中，以免攻击者利用应用程序的漏洞(如微软的IIS的漏洞)导致系统文件的泄漏，甚至让入侵者远程获取管理员权限。

         3、系统版本的选择

         版本的选择：Windows XP有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，我强烈建议：在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug&Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况）。

         4、组件的定制

         Windows XP在默认情况下会安装一些常用的组件，但是正是这个默认安装是很危险的，你应该确切的知道你需要哪些服务，而且仅仅安装你确实需要的服务，根据安全原则：最少的服务+最小的权限=最大的安全。

           5、分区和逻辑盘的分配

       建议建立多于两个分区，一个系统分区，一个以上应用程序分区，把系统分区和应用程序分区分开，以此来保护应用程序，一般来说，病毒或者黑客利用漏洞攻击，损坏的是系统分区，而不会对应用程序分区造成损坏。

  . 账号安全策略

         1、用户安全设置

         检查用户账号，停止不需要的账号，建议更改默认的账号名。

           a、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。

           b、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。

           c、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrator权限的用户只在需要的时候使用。

           d、把系统Administrator账号改名Windows XP的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

           e、创建一个陷阱用户创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

           f、把共享文件的权限从Everyone组改成授权用户 不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的。

           g、不让系统显示上次登录的用户名 打开注册表编辑器并找到注册表项HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把键值改成1。

           h、系统账号/共享列表 Windows XP的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接，还可以在Windows XP的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：

             0：None. Rely on default permissions（无，取决于默认的权限）

                       0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等等，对服务器来说这样的设置非常危险。

             1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM账号和共享）

                       1这个值是只允许非NULL用户存取SAM账号信息和共享信息。

             2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）

                       2这个值是在win2000中才支持的，如果不想有任何共享，就设为2。一般推荐设为1。

           2、口令安全设置

             a、使用密码 要注意密码的复杂性，还要记住经常改密码。

             b、开启密码策略 注意应用密码策略，加强密码复杂性，设置密码长度最小值为8位，设置强制密码历史为5次，时间为42天。